Вопросы и ответы по трассировке сообщений

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2015-02-27

В этом разделе рассматриваются вопросы относительно обмена сообщениями, которые могут возникнуть у пользователя, а также возможные ответы на них. Здесь также описывается, как использовать средство трассировки сообщений, чтобы получить эти ответы и устранить определенные проблемы с доставкой почты.

При выполнении трассировки для сообщений не старше 7 дней результаты поиска появляются сразу же. При отправке сообщения получателю до его появления в данных трассировки пройдет от 5 до 10 минут.

При выполнении трассировки сообщений, созданных более 7 дней назад, получение результатов поиска может занять несколько часов.

Можно использовать следующие удаленные командлеты Windows PowerShell для трассировки сообщения:

Get-MessageTrace — используйте этот командлет для трассировки сообщений не старше 7 дней.

Get-MessageTraceDetail — используйте этот командлет для просмотра сведений события трассировки определенного сообщения.

Get-HistoricalSearch. Используйте этот командлет для просмотра сведений об операциях поиска по журналу за последние десять дней.

Start-HistoricalSearch — используйте этот командлет, чтобы начать новую операцию поиска по журналу.

Stop-HistoricalSearch — используйте этот командлет для остановки выполняемого поиска по журналу, который имеет значение состояния NotStarted.

Сведения об использовании Windows PowerShell для подключения к службе Exchange Online Protection см. в статье Подключение к Exchange Online Protection с помощью удаленной оболочки PowerShell. Сведения об использовании Windows PowerShell для подключения к службе Exchange Online см. в статье Подключение к Exchange Online с помощью удаленной оболочки PowerShell.

Возможной причиной получения ошибки времени ожидания является слишком длительная обработка запроса. Рекомендуется упростить условия поиска. Рекомендуем рассмотреть возможность использования удаленной оболочки PowerShell, отличающейся менее жесткими требованиями ко времени ожидания.

К возможным причинам, помимо прочих, относятся следующие:

  • сообщение распознано как нежелательная почта;

  • сообщение было отправлено в карантин в соответствии с заданным правилом;

  • сообщение отклонено

    • фильтром защиты от вредоносных программ;

      • потому что вложенный в сообщение файл содержит вредоносную программу;

      • потому что в тексте письма содержится вредоносная программа;

    • правилом;

      • потому что указано действие "Отклонить";

      • потому что указано действие "Принудительно использовать TLS", но произошел сбой соединения по TLS;

    • соединителем, потому что потребовалось использовать TLS, но произошел сбой;

  • сообщение отправлено для модерирования и ожидает утверждения или отклонено модератором;

  • сообщение не было отправлено;

  • сообщение до сих пор находится в обработке по причине предыдущего отказа, служба предпринимает попытку повторно доставить сообщение;

  • доставка сообщения на ваши почтовые ящики завершилась ошибкой;

    • потому что получатель недоступен;

    • потому что получатель отклонил сообщение;

    • потому что при доставке сообщения превышено время ожидания;

Чтобы найти причину, запустите средство трассировки сообщений (см. раздел Run a message trace). Укажите значения параметров так, чтобы максимально сузить область поиска. К примеру, следует знать отправителя и предполагаемых получателей сообщения, а также общий период времени, во время которого оно было отправлено. Просмотрите результаты, найдите сообщение, затем просмотрите подробные сведения о сообщении (см. раздел View message trace results for messages that are less than 7 days old или View message trace results for messages that are more than 7 days old). Если состояние доставки сообщения — Ошибка или Ожидание, это объяснит, почему оно не было получено. Убедитесь, что сообщение было отправлено, успешно принято службой, что оно не было отфильтровано, перенаправлено или отправлено для модерирования, и что при его доставке не возникли ошибки или задержки.

К возможным причинам, помимо прочих, относятся следующие:

  • сообщение было отправлено из карантина;

  • сообщение ожидало разрешения модератора и было отправлено;

  • сообщение являлось нежелательным, что не было обнаружено;

  • сообщение соответствовало правилу, согласно которому вы были добавлены к сообщению;

  • сообщение было отправлено в список рассылки, в котором указаны ваши данные.

Чтобы найти причину, запустите средство трассировки сообщений (см. раздел Run a message trace). Укажите значения параметров так, чтобы максимально сузить область поиска. Например, укажите получателя, который получил сообщение, установите состояние доставки Доставлено и установите временной период в соответствии со временем получения сообщения. Просмотрите результаты, найдите сообщение, затем просмотрите подробные сведения о сообщении (см. раздел View message trace results for messages that are less than 7 days old или View message trace results for messages that are more than 7 days old). Похоже, что причиной получения сообщения является одно из непредвиденных событий выше.

К возможным причинам, помимо прочих, относятся следующие:

  • сообщение распознано как нежелательная почта;

  • сообщение было отправлено в карантин в соответствии с заданным правилом;

  • сообщение было перенаправлено по причине отправки его соединителем другому получателю;

  • сообщение отклонено

    • фильтром защиты от вредоносных программ;

      • потому что вложенный в сообщение файл содержит вредоносную программу;

      • потому что в тексте письма содержится вредоносная программа;

    • правилом;

      • потому что указано действие "Отклонить";

      • потому что указано действие "Принудительно использовать TLS", но произошел сбой соединения по TLS;

    • соединителем, потому что потребовалось использовать TLS, но произошел сбой;

  • сообщение отправлено для модерирования и ожидает утверждения или отклонено модератором;

  • сообщение не было отправлено;

  • сообщение до сих пор находится в обработке по причине предыдущего отказа, служба предпринимает попытку повторно доставить сообщение;

  • доставка сообщения получателю завершилась ошибкой;

    • потому что получатель недоступен;

    • потому что получатель отклонил сообщение;

    • потому что при доставке сообщения превышено время ожидания;

  • сообщение было доставлено получателю, но было удалено без прочтения (возможно, по причине соответствия правилу).

Чтобы найти причину, запустите средство трассировки сообщений (см. раздел Run a message trace). Укажите значения параметров так, чтобы максимально сузить область поиска. К примеру, следует знать отправителя и предполагаемых получателей сообщения, а также общий период времени, во время которого оно было отправлено. Просмотрите результаты, найдите сообщение и просмотрите подробные сведения о сообщении (см. раздел View message trace results for messages that are less than 7 days old или View message trace results for messages that are more than 7 days old) Если состояние доставки сообщения — Ошибка или Ожидание, это объяснит, почему оно не было доставлено. Убедитесь, что сообщение было отправлено, успешно принято службой, что оно не было отфильтровано, перенаправлено или отправлено для модерирования, и что при его доставке не возникли ошибки или задержки. Если получатель недоступен, вы можете воспользоваться командой Перейти к настройкам IP, чтобы устранить проблемы с подключением.

К возможным причинам, помимо прочих, относятся следующие:

Чтобы найти причину, запустите средство трассировки сообщений (см. раздел Run a message trace). Укажите значения параметров так, чтобы максимально сузить область поиска. К примеру, следует знать отправителя и предполагаемых получателей сообщения, а также общий период времени, во время которого оно было отправлено. Просмотрите результаты, найдите сообщение и просмотрите подробные сведения о сообщении (см. раздел View message trace results for messages that are less than 7 days old или View message trace results for messages that are more than 7 days old). В разделе событий вы узнаете, почему сообщение еще не доставлено. При просмотре событий данные временной метки позволят проследить движения сообщения по конвейеру и укажут длительность обработки каждого события службой. Сведения о событии также содержат информацию о размере сообщения и доступности получателя.

Сообщения могут быть помечены как нежелательные по нескольким причинам. Например, IP-адрес отправителя может оказаться в списках заблокированных IP-адресов службы. Сообщение может быть помечено как нежелательное по причине содержания фактического сообщения, например если его параметры соответствуют правилу в фильтре содержимого нежелательной почты. Средство трассировки сообщений позволяет отслеживать только события фильтра содержимого нежелательной почты. Трассировка событий фильтра подключений, например блокирования IP-адресов, не производится. Дополнительные сведения о фильтрации нежелательной почты, в том числе и ее содержимого, см. в разделе Защита от нежелательной электронной почты в Office 365.

Чтобы определить, почему сообщение помечено как нежелательное, запустите трассировку сообщений (см. раздел Run a message trace), найдите сообщение в результатах, а затем просмотрите подробные сведения о сообщении (см. раздел View message trace results for messages that are less than 7 days old или View message trace results for messages that are more than 7 days old). Когда фильтр содержимого помечает сообщение как нежелательное, и оно отправляется в папку "Нежелательные сообщения" или в карантин, сообщение будет иметь статус Доставлено. Чтобы выяснить, как сообщение доставлено получателю, можно просмотреть сведения о событии. Например, пользователь может получить сведения о том, что сообщение с большой вероятностью является нежелательной почтой или найдено соответствие дополнительному параметру фильтрации нежелательной почты. Кроме того, вы можете получить сведения о действии, выполненном в результате пометки сообщения как нежелательного, например в случае его отправки в карантин, пометки X-заголовком или отправки через пул доставки сообщений с высокой степенью опасности.

Сообщения определяются как вредоносные программы, если их свойства, либо в тексте письма, либо во вложении, совпадают с сигнатурой в одном из модулей защиты от вредоносных программ. Дополнительные сведения о фильтрации вредоносных программ см. в разделе Защита от вредоносных программ.

Чтобы определить, почему сообщение было помечено как вредоносное, запустите трассировку сообщений (см. раздел Run a message trace). Укажите значения параметров так, чтобы максимально сузить область поиска. Для состояния доставки установите значение Ошибка. Просмотрите результаты, найдите сообщение, затем просмотрите подробные сведения о сообщении (см. раздел View message trace results for messages that are less than 7 days old или View message trace results for messages that are more than 7 days old). Если сообщение не было доставлено по причине обнаружения в нем вредоносной программы, пользователь увидит эти сведения в разделе событий. Ниже приведен пример раздела Сведения: Вредоносная программа: “ZipBomb" обнаружена во вложенном файле. ZIP. Вы также увидите данные о действии, выполненном в результате обнаружения сообщения с вредоносной программой, например о том, что сообщение полностью заблокировано или все вложения удалены и заменены файлом с текстом оповещения.

Чтобы узнать, какое правило транспорта (правило настраиваемой политики) или какая политика предотвращения потери данных (DLP) (только для пользователей Exchange Online) были применены к сообщению, запустите трассировку сообщения (см. раздел Run a message trace). Укажите значения параметров так, чтобы максимально сузить область поиска. Для состояния доставки установите значение Ошибка. Просмотрите результаты, найдите сообщение и просмотрите подробные сведения о сообщении (см. раздел View message trace results for messages that are less than 7 days old или View message trace results for messages that are more than 7 days old). Если сообщение не доставлено по причине соответствия его содержания правилу, в разделе событий можно узнать имя примененного правила транспорта. Также будут доступны сведения о действии, выполненном в результате применения правила транспорта, например при отправке сообщения в карантин, отклонении, отправке на модерирование, расшифровке или применении любого количества других возможных параметров. Дополнительные сведения о создании правил транспорта Exchange и настройке соответствующих действий см. в разделе Правила потока обработки почты (правила транспорта) в Exchange Online.

Идентификатор правила 1 возвращается, если при трассировке сообщений обнаруживается правило транспорта, которое больше не существует. После отправки исходного сообщения правило транспорта могло быть изменено или удалено.

При использовании средства трассировки сообщений следует учитывать перечисленные ниже особенности.

  • Сообщения, заблокированные по IP: сообщения, заблокированные списками службы репутации IP-адресов, будут включены в данные защиты от нежелательной почты для отчетов в реальном времени, но трассировку этих сообщений произвести невозможно.

  • Перенаправленные сообщения: в случае перезаписывания получателя правилом транспорта или по причине выбора действия Перенаправить на адрес электронной почты для нежелательной почты, в одной операции поиска трассировка этого сообщения невозможна. Трассировка исходного сообщения возможна до момента изменения получателя. После этого трассировка сообщения для исходного получателя станет невозможна. Трассировку сообщения можно выполнить повторно с помощью нового получателя.

  • Почта от: средство трассировки сообщений использует значение поля "Почта от", представленного при соединении по протоколу SMTP в качестве отправителя в поиске, независимо от сведений, представленных в разделе сообщения "Данные". В сообщении может отображаться адрес для ответов или другие значения в полях "От" и "Отправитель". Если сообщение электронной почты было отправлено процессом, а не почтовым клиентом, повышается вероятность того, что значение отправителя в поле "Почта от" не совпадет с отправителем в сообщении.

  • Обновление правила транспорта: если сообщение соответствует условиям правила транспорта, идентификатор правила сохраняется в трассировке сообщений и базах данных отчетности в режиме реального времени. При трассировке одного из этих сообщений или детализации правила в отчете пользовательские интерфейсы трассировки сообщений и отчетности в режиме реального времени динамически запрашивают текущие сведения по правилу из сети размещенных служб на основе идентификатора правила в базе данных отчетности. При изменении атрибутов этого правила после обработки сообщения (например, изменения атрибута с "Отклонить" на "Разрешить"), идентификатор правила остается без изменений в полученных результатах трассировки сообщений и отчетности в режиме реального времени, но в Центре администрирования Exchange будут отображаться новые свойства правила транспорта. Вы можете использовать функцию отчетов аудита для определения времени изменения правила и измененных свойств.

  • Сообщения, отфильтрованные как нежелательные: когда фильтр содержимого помечает сообщение как нежелательное, и оно отправляется в папку "Нежелательные сообщения" или в карантин, сообщение будет иметь статус Доставлено. Чтобы выяснить, как сообщение было доставлено получателю, нужно более подробно изучить сведения о событии.

 
Показ: