Forum Aux Questions sur le suivi des messages

Exchange Online
 

Sapplique à :Exchange Online, Exchange Online Protection

Dernière rubrique modifiée :2015-02-27

Cette rubrique présente les questions qu’un utilisateur peut se poser sur la messagerie, ainsi que les réponses possibles. Elle décrit également le mode d’utilisation de l’outil de suivi des messages afin d’obtenir ces réponses et de résoudre les problèmes propres à la remise du courrier.

Lorsque vous exécutez un suivi des messages datant de moins de 7 jours, les résultats de la recherche apparaissent immédiatement. Lorsqu’un message comme celui-ci est envoyé à un destinataire, il apparaît dans les données de suivi des messages dans les 5 à 10 minutes suivant l’envoi.

Lorsque vous exécutez un suivi de messages remontant à plus de 7 jours, la génération des résultats peut prendre plusieurs heures.

Vous pouvez utiliser les cmdlets Windows PowerShell distantes suivantes pour exécuter un suivi des messages :

Get-MessageTrace - Utilisez cette cmdlet pour suivre des messages datant de moins de 7 jours.

Get-MessageTraceDetail - Utilisez cette cmdlet pour afficher les détails de l’évènement de suivi des messages pour un message en particulier.

Get-HistoricalSearch   Cette cmdlet permet d’afficher des informations sur les recherches historiques réalisées au cours des dix derniers jours.

Start-HistoricalSearch - Utilisez cette cmdlet pour démarrer une nouvelle recherche historique.

Stop-HistoricalSearch - Utilisez cette cmdlet pour arrêter une recherche historique existante dont la valeur d’état est NotStarted.

Pour découvrir l’utilisation de Windows PowerShell pour se connecter à Exchange Online Protection, consultez la rubrique Connexion à Exchange Online Protection à l’aide d’une session PowerShell distante. Pour découvrir l’utilisation de Windows PowerShell pour se connecter à Exchange Online, consultez la rubrique Connexion à Exchange Online à l'aide de Remote PowerShell.

La cause probable de l'affichage d'une erreur de délai est que le traitement de la requête prend trop de temps. Songez à simplifier vos critères de recherche. Vous pouvez envisager d’utiliser Remote PowerShell, dont les exigences en matière de délai sont plus souples.

Les raisons possibles sont les suivantes :

  • Le message a été identifié comme courrier indésirable.

  • Le message a été mis en quarantaine en raison d'une correspondance de règle..

  • Le message a été rejeté

    • Par le filtrage anti-programme malveillant

      • Parce qu'un fichier joint au message contenait un programme malveillant

      • Parce que le corps du message contenait un programme malveillant

    • Par une règle

      • Parce que l'action était Rejeter

      • Parce que l'action était Forcer TLS et qu'il n'a pas été possible d'établir le protocole TLS

    • Par un connecteur parce que le protocole TLS était obligatoire et qu'il n'a pas été possible de l'établir

  • Le message a été transmis pour modération et est en attente d'approbation, ou a été rejeté par le modérateur.

  • Le message n'a jamais été envoyé.

  • Le message est encore en cours de traitement en raison d'un échec précédent et parce que le service tente une nouvelle remise.

  • La remise du message à vos boîtes aux lettres a échoué

    • Parce que la destination est inaccessible

    • Parce que la destination a rejeté le message

    • Parce que le message a expiré durant la tentative de remise

Pour savoir ce qui s’est passé, exécutez le suivi des messages (voir Run a message trace). Tentez de spécifier des valeurs de paramètres permettant de réduire le nombre de résultats de recherche. Par exemple, vous devez connaître l'expéditeur et le ou les destinataires souhaités du message, ainsi que la période de son envoi. Consultez les résultats, repérez le message, puis affichez des détails spécifiques sur celui-ci (voir View message trace results for messages that are less than 7 days old ou View message trace results for messages that are more than 7 days old). Pour comprendre la raison pour laquelle le message n'a pas été reçu, recherchez un état de remise Échec ou En attente. Vérifiez que le message a été envoyé, qu'il a été reçu par le service, qu'il n'a pas été filtré, redirigé ou transmis pour modération, et qu'il n'a rencontré aucun échec ou retard de remise.

Les raisons possibles sont les suivantes :

  • Le message a été libéré de la quarantaine.

  • Le message attendait une approbation du modérateur, et a été libéré.

  • Le message était un courrier indésirable non détecté.

  • Le message correspondait à une règle qui vous a ajouté au message.

  • Le message a été envoyé à une liste de distribution dont vous êtes membre.

Pour savoir ce qui s’est passé, exécutez le suivi des messages (voir Run a message trace). Tentez de spécifier des valeurs de paramètres permettant de réduire le nombre de résultats de recherche. Par exemple, spécifiez le destinataire ayant reçu le message, définissez l'état de remise sur Remis, puis définissez la période basée sur le moment de réception du message. Consultez les résultats, repérez le message, puis affichez des détails spécifiques sur celui-ci (voir View message trace results for messages that are less than 7 days old ou View message trace results for messages that are more than 7 days old). L’un des événements imprévus répertoriés ci-dessus est peut-être à l’origine de la réception du message.

Les raisons possibles sont les suivantes :

  • Le message a été identifié comme courrier indésirable.

  • Le message a été mis en quarantaine en raison d'une correspondance de règle..

  • Le message a été redirigé, car un connecteur l'a envoyé à une autre destination.

  • Le message a été rejeté

    • Par le filtrage anti-programme malveillant

      • Parce qu'un fichier joint au message contenait un programme malveillant

      • Parce que le corps du message contenait un programme malveillant

    • Par une règle

      • Parce que l'action était Rejeter

      • Parce que l'action était Forcer TLS et qu'il n'a pas été possible d'établir le protocole TLS

    • Par un connecteur parce que le protocole TLS était obligatoire et qu'il n'a pas été possible de l'établir

  • Le message a été transmis pour modération et est en attente d'approbation, ou a été rejeté par le modérateur.

  • Le message n'a jamais été envoyé.

  • Le message est encore en cours de traitement en raison d'un échec précédent et parce que le service tente une nouvelle remise.

  • La remise du message à la destination a échoué

    • Parce que la destination est inaccessible

    • Parce que la destination a rejeté le message

    • Parce que le message a expiré durant la tentative de remise

  • Le message a été remis à la destination, mais supprimé avant que son destinataire y ait accédé (peut-être parce qu'il correspondait à une règle).

Pour savoir ce qui s’est passé, exécutez le suivi des messages (voir Run a message trace). Tentez de spécifier des valeurs de paramètres permettant de réduire le nombre de résultats de recherche. Par exemple, vous devez connaître l’expéditeur et le ou les destinataires souhaités du message, ainsi que la période de son envoi. Consultez les résultats, repérez le message, puis affichez des détails spécifiques sur celui-ci (voir View message trace results for messages that are less than 7 days old ou View message trace results for messages that are more than 7 days old). Pour comprendre la raison pour laquelle le message n’a pas été remis, recherchez un état de remise Échec ou En attente. Vérifiez que le message a été envoyé, qu'il a été reçu par le service, qu'il n'a pas été filtré, redirigé ou transmis pour modération, et qu'il n'a rencontré aucun échec ou retard de remise. Si la destination est inaccessible, vous pouvez utiliser To IP pour dépanner des problèmes de connexion.

Les raisons possibles sont les suivantes :

Pour savoir ce qui s’est passé, exécutez le suivi des messages (voir Run a message trace). Tentez de spécifier des valeurs de paramètres permettant de réduire le nombre de résultats de recherche. Par exemple, vous devez connaître l’expéditeur et le ou les destinataires souhaités du message, ainsi que la période de son envoi. Consultez les résultats, repérez le message, puis affichez des détails spécifiques sur celui-ci (voir View message trace results for messages that are less than 7 days old ou View message trace results for messages that are more than 7 days old). La section des événements indique la raison pour laquelle le message n’a pas été remis. Lorsque vous consultez les événements, les informations d'horodatage vous permettent de suivre le message dans le pipeline de messagerie, et vous indiquent le temps pris par le service pour le traitement de chaque événement. Les détails de l'événement indiquent également si le message en cours de remise est très volumineux ou si la destination ne réagit pas.

Des messages peuvent être marqués comme courrier indésirable pour diverses raisons. Par exemple, l’adresse IP d’expédition peut figurer dans l’une des listes d’adresses IP bloquées du service. Un message peut être marqué comme courrier indésirable en raison de son contenu, par exemple, si ce dernier correspond à une règle du filtre de contenu indésirable. L'outil de suivi des messages suit uniquement les événements de filtrage de contenu indésirable. Les événements de filtrage de connexion (tels que les adresses IP bloquées) ne sont pas suivis. Pour plus d'informations sur le filtrage du courrier indésirable, y compris sur le filtrage de contenu indésirable, consultez la rubrique Protection contre le courrier indésirable Office 365.

Pour découvrir la raison pour laquelle un message a été marqué comme indésirable, exécutez le suivi des messages (voir Run a message trace), localisez le message dans les résultats, puis affichez les détails spécifiques sur le message (voir View message trace results for messages that are less than 7 days old ou View message trace results for messages that are more than 7 days old). Lorsque le filtre de contenu marque un message comme indésirable et que celui-ci est envoyé dans le dossier Courrier indésirable ou est mis en quarantaine, l’état du message est Remis. Vous pouvez afficher les détails de l’événement pour voir comment le message est arrivé à destination. Par exemple, elle peut vous indiquer que le message a été jugé présenter un seuil de probabilité de courrier indésirable élevé, ou qu'une option avancée de filtrage du courrier indésirable a été rencontrée. Vous serez également informé de l'action exécutée suite au marquage du message comme courrier indésirable, par exemple, s'il a été envoyé en quarantaine, marqué d'un en-tête X ou envoyé via le pool de remises à haut risque.

Un message est détecté comme porteur de programme malveillant quand ses propriétés, qu'il s'agisse du corps du message ou d'une pièce jointe, correspondent à une définition de programme malveillant dans l'un des moteurs du logiciel anti-programme malveillant. Pour plus d'informations sur le filtrage des programmes malveillants, consultez la rubrique Protection anti-programme malveillant.

Pour savoir pourquoi un message a été détecté comme contenant un programme malveillant, exécutez le suivi des messages (voir Run a message trace). Tentez de spécifier des valeurs de paramètres permettant de réduire le nombre de résultats de recherche. Définissez l’état de remise sur Échec. Consultez les résultats, repérez le message, puis affichez des détails spécifiques sur celui-ci (voir View message trace results for messages that are less than 7 days old ou View message trace results for messages that are more than 7 days old). Si le message n’a pas été remis parce qu’il a été déterminé qu’il contient un programme malveillant, ces informations figurent dans la section des événements. Voici un exemple de Détail : Malware: “ZipBomb” was detected in attachment file. zip. Vous serez également informé de l'action exécutée suite à la détection du message contenant un programme malveillant, par exemple, si le message entier a été bloqué ou si toutes les pièces jointes ont été supprimées et remplacées par un fichier texte d'alerte.

Pour déterminer la règle de transport (règle de stratégie personnalisée) ou stratégie de protection contre la perte de données (DLP) (clients Exchange Online uniquement) qui a été appliquée à un message, exécutez le suivi des messages (voir Run a message trace). Tentez de spécifier des valeurs de paramètres permettant de réduire le nombre de résultats de recherche. Définissez l’état de remise sur Échec. Consultez les résultats, repérez le message, puis affichez des détails spécifiques sur celui-ci (voir View message trace results for messages that are less than 7 days old ou View message trace results for messages that are more than 7 days old). Si le message n’a pas été remis parce que son contenu correspond à une règle, la section des événements indique le nom de la règle de transport concernée. Vous serez informé de l'action exécutée suite à la détection d'une correspondance avec la règle de transport, par exemple, si le message a été mise en quarantaine, rejeté, redirigé, transféré pour modération, déchiffré ou toute autre option possible. Pour plus d’informations sur la création de règles de transport Exchange et la définition d’actions pour celles-ci, voir Règles de flux de messagerie (règles de transport) dans Exchange Online.

La règle ID-1 est renvoyée quand le suivi des messages rencontre une règle de transport qui n'existe plus. (La règle de transport a peut-être été modifiée ou supprimée après l'envoi du message d'origine.)

Lors de l'exécution de l'outil de suivi des messages, vous devez être conscient de ce qui suit :

  • Messages bloqués en raison de l'adresse IP : Les messages bloqués par des listes rouges de réputation des adresses IP figurent dans les données de courrier indésirable pour les rapports en temps réel, mais vous pouvez exécuter un suivi sur ces messages.

  • Messages redirigés : Si un destinataire est modifié par une règle de transport ou parce que l’action de courrier indésirable pour le domaine est définie sur Rediriger vers l’adresse de messagerie, le message ne peut pas être suivi dans une simple recherche. Le message d'origine peut être suivi jusqu'au point où le destinataire est modifié. Ensuite, il n'est plus possible de suivre le message sur la base du destinataire d'origine. Vous pouvez suivre à nouveau le message en utilisant le nouveau destinataire.

  • MAIL FROM: L’outil de suivi des messages utilise la valeur MAIL FROM présentée au début de la conversation SMTP comme expéditeur dans une recherche, quel que soit le contenu de la section DATA du message. Le message peut présenter une adresse de réponse ou une valeur différente pour le champ De: ou Expéditeur. Si le message électronique a été envoyé par un processus et non par un client de messagerie, il existe une probabilité accrue que l'expéditeur indiqué par la valeur MAIL FROM ne corresponde pas à l'expéditeur du message réel.

  • Mises à jour de règles de transport : Quand un message correspond à une règle de transport, l’ID de règle est enregistré dans le suivi du message et dans les bases de données de rapports en temps réel. Si vous suivez l'un de ces messages, ou examinez les détails de la règle dans un rapport, le suivi du message et les interfaces utilisateur de rapport en temps réel extraient de façon dynamique les informations de règles actuelles du réseau de services hébergés sur la base de l'ID de règle figurant dans la base de données de création de rapports. Si vous avez modifié les attributs de cette règle particulière depuis le traitement du message (par exemple, en remplaçant Rejeter par Autoriser), l'ID de règle ne change pas dans le suivi du message et dans les résultats renvoyés par les rapports en temps réel, mais le Centre d'administration Exchange indique les nouvelles propriétés de règle de transport. Pour déterminer quand la règle a été modifiée et les propriétés qui ont été changées, vous pouvez utiliser la fonctionnalité de rapports d'audit.

  • Le filtrage anti-spam : Lorsque le filtre de contenu marque un message comme indésirable et que celui-ci est envoyé dans le dossier Courrier indésirable ou mis en quarantaine, l’état du message est Remis. Consultez les détails de l’événement pour voir comment le message est arrivé à destination.

 
Afficher: