Часто задаваемые вопросы о трассировке сообщений в Exchange Online

  • Статья

В этой статье приводятся вопросы для обмена сообщениями, которые могут быть у пользователя, а также возможные ответы. Здесь также описывается, как использовать средство трассировки сообщений, чтобы получить эти ответы и устранить определенные проблемы с доставкой почты.

How long does it take to see results when running a message trace?

  • В классическом Центре администрирования Exchange (классический Центр администрирования Exchange) результаты поиска сразу же отображаются для сообщений, которым менее семи дней.
  • В современном Центре администрирования Exchange (современный Центр администрирования Exchange) результаты поиска отображаются сразу же для сообщений, которым менее 10 дней.

При выполнении трассировки сообщений для старых сообщений результаты возвращаются в течение нескольких часов в виде скачиваемого CSV-файла.

Примечание.

Ссылка на трассировку сообщений Exchange на портале Microsoft Defender открывает трассировку сообщений в современном Центре администрирования Exchange.

Сколько времени требуется для отображения отправленного сообщения в трассировке сообщения?

При отправке сообщения оно должно отображаться в данных трассировки сообщения в течение 5–10 минут.

Можно ли выполнить трассировку сообщений с помощью Exchange Online PowerShell или Exchange Online Protection PowerShell? Какие командлеты следует использовать?

Для выполнения трассировки сообщений в Exchange Online PowerShell или Exchange Online Protection PowerShell можно использовать следующие командлеты:

Get-MessageTrace: трассировка сообщений старше 10 дней.

Get-MessageTraceDetail: просмотр сведений о событии трассировки сообщения для определенного сообщения.

Get-HistoricalSearch. Используйте этот командлет для просмотра сведений об исторических поисках, выполненных за последние 10 дней.

Start-HistoricalSearch: начните новый исторический поиск сообщений старше 90 дней.

Stop-HistoricalSearch: остановите поиск в очереди, который еще не запущен (значение состояния — NotStarted).

Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.

Сведения о подключении к Exchange Online Protection PowerShell в автономных организациях EOP без Exchange Online почтовых ящиков см. в статье Подключение к Exchange Online Protection PowerShell.

Почему при выполнении трассировки сообщения возникает сообщение об ошибке времени ожидания?

Возможной причиной получения ошибки времени ожидания является слишком длительная обработка запроса. Рекомендуется упростить условия поиска. Вы можете использовать командлет Get-MessageTrace , который имеет более либеральные требования к времени ожидания.

Почему я не получил(а) ожидаемого сообщения электронной почты?

Ниже приведены некоторые возможные причины.

  • сообщение распознано как нежелательная почта;

  • сообщение было отправлено в карантин в соответствии с заданным правилом;

  • сообщение отклонено

    • фильтром защиты от вредоносных программ;
    • потому что вложенный в сообщение файл содержит вредоносную программу;
    • потому что в тексте письма содержится вредоносная программа;
    • правилом;
    • потому что указано действие "Отклонить";
    • потому что указано действие "Принудительно использовать TLS", но произошел сбой соединения по TLS;
    • соединителем, потому что потребовалось использовать TLS, но произошел сбой;

  • сообщение отправлено для модерирования и ожидает утверждения или отклонено модератором;

  • сообщение не было отправлено;

  • Сообщение по-прежнему обрабатывается, так как произошел предыдущий сбой и служба повторно выполняет доставку.

  • доставка сообщения на ваши почтовые ящики завершилась ошибкой;

    • потому что получатель недоступен;
    • потому что получатель отклонил сообщение;
    • потому что при доставке сообщения превышено время ожидания;

Чтобы узнать, что произошло, выполните приведенные ниже действия.

Запустите трассировку сообщений. Используйте как можно больше условий поиска, чтобы сузить результаты. Например, необходимо знать отправителя и предполагаемого получателя или получателей сообщения, а также общий период времени, когда было отправлено сообщение.

Просмотрите результаты, найдите сообщение, а затем просмотрите конкретные сведения о сообщении (см . раздел Просмотр результатов трассировки сообщений для сообщений старше семи дней назад или Просмотр результатов трассировки сообщений для сообщений старше семи дней назад). Найдите состояние доставки Сбой или Ожидание , чтобы объяснить, почему сообщение не было получено.

Убедитесь, что сообщение отправлено, оно было успешно получено службой, что оно не было отфильтровывало, не перенаправлялось или отправлено для модерации и что в нем не произошли сбои или задержки доставки.

Почему мне пришло неожиданное сообщение?

Ниже приведены некоторые возможные причины.

  • сообщение было отправлено из карантина;
  • сообщение ожидало разрешения модератора и было отправлено;
  • сообщение являлось нежелательным, что не было обнаружено;
  • сообщение соответствовало правилу, согласно которому вы были добавлены к сообщению;
  • сообщение было отправлено в список рассылки, в котором указаны ваши данные.

Чтобы узнать, что произошло, выполните приведенные ниже действия.

Запустите трассировку сообщений. Используйте как можно больше условий поиска, чтобы сузить результаты. Например, укажите получателя, который получил сообщение, задайте для состояния доставки значение Доставлено и задайте период времени в зависимости от того, когда было получено сообщение.

Просмотрите результаты, найдите сообщение, а затем просмотрите конкретные сведения о сообщении (см . раздел Просмотр результатов трассировки сообщений для сообщений старше семи дней назад или Просмотр результатов трассировки сообщений для сообщений старше семи дней назад).

Почему кто-то не получил мое сообщение или почему я получил этот отчет о недоставке (также известное как сообщение о недоставке или отказе)?

К возможным причинам, помимо прочих, относятся следующие:

  • сообщение распознано как нежелательная почта;

  • сообщение было отправлено в карантин в соответствии с заданным правилом;

  • Сообщение было перенаправлено, так как соединитель отправил его в другое место назначения.

  • Сообщение было отклонено:

    • фильтром защиты от вредоносных программ;
    • потому что вложенный в сообщение файл содержит вредоносную программу;
    • потому что в тексте письма содержится вредоносная программа;
    • правилом;
    • потому что указано действие "Отклонить";
    • потому что указано действие "Принудительно использовать TLS", но произошел сбой соединения по TLS;
    • соединителем, потому что потребовалось использовать TLS, но произошел сбой;

  • сообщение отправлено для модерирования и ожидает утверждения или отклонено модератором;

  • сообщение не было отправлено;

  • Сообщение по-прежнему обрабатывается, так как произошел предыдущий сбой и служба повторно выполняет доставку.

  • Сообщение не удалось доставить в место назначения:

    • потому что получатель недоступен;
    • потому что получатель отклонил сообщение;
    • потому что при доставке сообщения превышено время ожидания;

  • сообщение было доставлено получателю, но было удалено без прочтения (возможно, по причине соответствия правилу).

Чтобы узнать, что произошло, выполните приведенные ниже действия.

Запустите трассировку сообщений. Используйте как можно больше условий поиска, чтобы сузить результаты. Например, необходимо знать отправителя и предполагаемого получателя или получателей сообщения, а также общий период времени, когда было отправлено сообщение.

Просмотрите результаты, найдите сообщение, а затем просмотрите конкретные сведения о сообщении (см . раздел Просмотр результатов трассировки сообщений для сообщений старше семи дней назад или Просмотр результатов трассировки сообщений для сообщений старше семи дней назад).

Найдите состояние доставки "Сбой " или "Ожидание ", чтобы объяснить, почему сообщение не было доставлено. Убедитесь, что сообщение отправлено, оно было успешно получено службой, что оно не было отфильтровывало, не перенаправлялось или отправлено для модерации и что в нем не произошли сбои или задержки доставки. Если назначение недоступно, для устранения проблем с подключением можно использовать to IP- адрес.

Почему мое сообщение так долго идет получателю? Как найти его в конвейере?

К возможным причинам, помимо прочих, относятся следующие:

  • указанный получатель не отвечает. Это наиболее вероятный сценарий;
  • это может быть большое сообщения, для обработки которого требуется длительное время;
  • запаздывание в работе службы может приводить к задержкам;
  • Возможно, сообщение заблокировано

Чтобы узнать, что произошло, выполните приведенные ниже действия.

Запустите трассировку сообщений. Используйте как можно больше условий поиска, чтобы сузить результаты. Например, необходимо знать отправителя и предполагаемого получателя или получателей сообщения, а также общий период времени, когда было отправлено сообщение.

Просмотрите результаты, найдите сообщение, а затем просмотрите конкретные сведения о сообщении (см . раздел Просмотр результатов трассировки сообщений для сообщений старше семи дней назад или Просмотр результатов трассировки сообщений для сообщений старше семи дней назад).

В разделе "События" вы узнаете, почему сообщение еще не доставлено. При просмотре событий сведения о метке времени позволяют отслеживать сообщение через конвейер обмена сообщениями и сообщать, сколько времени требуется службе для обработки каждого события. Сведения о событии также проинформируют вас о том, является ли доставленное сообщение большим или если место назначения не отвечает.

Было ли сообщение помечено как нежелательное?

Сообщения могут быть помечены как спам по нескольким причинам. Например, IP-адрес отправки может отображаться в одном из списков блокировок IP-адресов службы. Сообщение можно пометить как спам из-за содержимого фактического сообщения, например, если оно соответствует правилу в фильтре содержимого нежелательной почты. Средство трассировки сообщений отслеживает только события фильтрации содержимого нежелательной почты; события фильтра подключений (например, заблокированные IP-адреса) не отслеживаются. Дополнительные сведения о фильтрации спама, включая фильтрацию содержимого спама, см. в разделе Защита от нежелательной почты.

Чтобы узнать, почему сообщение было помечено как спам, выполните следующее:

Выполните трассировку сообщений, найдите сообщение в результатах, а затем просмотрите конкретные сведения о сообщении (см . раздел Просмотр результатов трассировки сообщений для сообщений старше семи дней назад или Просмотр результатов трассировки сообщений для сообщений старше семи дней назад).

Когда фильтр содержимого помечает сообщение как спам, если оно отправляется в папку "Нежелательная Email" или в карантин, оно будет иметь состояние Доставлено. Вы можете просмотреть сведения о событии, чтобы узнать, как сообщение поступило в место назначения. Например, он может сообщить вам о том, что сообщение было определено с высоким уровнем достоверности спама или что был сопоставлен параметр расширенной фильтрации спама. Вы также будете проинформированы о действии, которое произошло в результате пометки сообщения как спама, например, если оно было отправлено в карантин, помечено X-заголовком или если оно было отправлено через пул доставки с высоким риском.

Обнаружена ли в сообщении вредоносная программа?

Сообщения определяются как вредоносные программы, если их свойства, либо в тексте письма, либо во вложении, совпадают с сигнатурой в одном из модулей защиты от вредоносных программ. Дополнительные сведения о фильтрации вредоносных программ см. в разделе Защита от вредоносных программ.

Чтобы узнать, почему было обнаружено сообщение с вредоносными программами, выполните трассировку сообщения. Используйте как можно больше условий поиска, чтобы сузить результаты. Задайте для состояния доставки значение Сбой.

Просмотрите результаты, найдите сообщение, а затем просмотрите конкретные сведения о сообщении (см . раздел Просмотр результатов трассировки сообщений для сообщений старше семи дней назад или Просмотр результатов трассировки сообщений для сообщений старше семи дней назад).

Если сообщение еще не доставлено, так как оно было установлено, что содержит вредоносные программы, эта информация будет указана в разделе о событиях. Например, ниже приведен пример Сведения: Вредоносная программа: "ZipBomb" обнаружена во вложенном файле. zip. Вы также будете проинформированы о действии, которое произошло в результате сообщения, содержащего вредоносные программы, например, если все сообщение было заблокировано или все вложения были удалены и заменены текстовым файлом оповещения.

Какое правило потока обработки почты (также известное как правило транспорта) или политика защиты от потери данных были применены к сообщению?

Чтобы узнать, какое правило потока обработки почты (пользовательское правило политики) или политика защиты от потери данных (DLP) (только Exchange Online клиентов) было применено к сообщению, выполните трассировку сообщений. Используйте как можно больше условий поиска, чтобы сузить результаты. Задайте для состояния доставки значение Сбой.

Просмотрите результаты, найдите сообщение, а затем просмотрите конкретные сведения о сообщении (см . раздел Просмотр результатов трассировки сообщений для сообщений старше семи дней назад или Просмотр результатов трассировки сообщений для сообщений старше семи дней назад).

Если сообщение не было доставлено, так как его содержимое соответствует правилу, раздел событий сообщит имя соответствующего правила потока обработки почты. Вы также будете проинформированы о действии, которое произошло в результате соответствия правилу потока обработки почты, например, если сообщение было помещено в карантин, отклонено, перенаправлено, отправлено для модерации, расшифровки или любое количество других возможных параметров. Сведения о создании правил потока обработки почты Exchange и настройке действий для них см. в статье Правила потока обработки почты (правила транспорта) в Exchange Online.

При выполнении трассировки сообщения возвращается правило с идентификатором 1. Что это означает?

Правило с идентификатором 1 возвращается, когда трассировка сообщений попадает на правило потока обработки почты, которое больше не существует. (Правило потока обработки почты могло быть изменено или удалено после отправки исходного сообщения.)

Существуют ли ограничения или характеристики поведения, о которых следует знать при использовании средства трассировки сообщений?

При использовании средства трассировки сообщений следует учитывать перечисленные ниже особенности.

  • Сообщения, заблокированные IP-адресом. Сообщения, заблокированные списками блокировки репутации IP-адресов, будут включены в данные нежелательной почты для отчетов в режиме реального времени, но вы не сможете выполнить трассировку сообщений для этих сообщений.

  • Перенаправленные сообщения. Если получатель переписывается правилом потока обработки почты или действие нежелательной почты для домена имеет значение Перенаправление на адрес электронной почты, сообщение не отслеживается в одном поиске. Трассировка исходного сообщения возможна до момента изменения получателя. После этого трассировка сообщения для исходного получателя станет невозможна. Трассировку сообщения можно выполнить повторно с помощью нового получателя.

  • MAIL FROM. Средство трассировки сообщений использует значение MAIL FROM, представленное при инициации беседы SMTP в качестве отправителя в поиске, независимо от того, что отображается в разделе DATA сообщения. В сообщении может отображаться адрес для ответов или другие значения в полях "От" и "Отправитель". Если сообщение электронной почты было отправлено процессом, а не клиентом электронной почты, существует повышенная вероятность того, что отправитель в mail from не будет соответствовать отправителю в фактическом сообщении.

  • Обновления правил потока обработки почты. Когда сообщение соответствует правилу потока обработки почты, идентификатор правила сохраняется в базах данных трассировки сообщений и отчетов в режиме реального времени. При трассировке одного из этих сообщений или детализации сведений о правилах в отчете трассировка сообщений и пользовательские интерфейсы в режиме реального времени динамически извлекут сведения о текущем правиле из сети размещенных служб на основе идентификатора правила в базе данных отчетов. Если с момента обработки сообщения были изменены атрибуты этого правила (например, изменено его значение с "Отклонить" на "Разрешить"), идентификатор правила остается неизменным в результатах трассировки сообщений и отчетов в режиме реального времени, но в Центре администрирования Exchange будут отображаться новые свойства правила потока обработки почты. Вы можете использовать функцию отчетов аудита для определения времени изменения правила и измененных свойств.

  • Сообщения, отфильтрованные как нежелательные: когда фильтр содержимого помечает сообщение как нежелательное, и оно отправляется в папку "Нежелательные сообщения" или в карантин, сообщение будет иметь статус Доставлено. Чтобы выяснить, как сообщение было доставлено получателю, нужно более подробно изучить сведения о событии.

Дополнительные сведения

Отслеживание электронных сообщений