在 Exchange Online 的经典 EAC 中运行邮件跟踪

  • 项目

注意

新式 Exchange 管理中心提供邮件跟踪。 有关详细信息,请参阅 新式 Exchange 管理中心中的邮件跟踪。 Microsoft Defender门户中的 Exchange 邮件跟踪链接将在新式 EAC 中打开邮件跟踪。

作为管理员,你可以通过在 Exchange 管理中心 (EAC) 中运行邮件跟踪来查看电子邮件所发生的情况。 运行邮件跟踪后,可以在列表中查看结果,然后查看特定邮件的详细信息。 提供了过去 90 天内的邮件跟踪数据。 如果消息超过 7 天,则只能在可下载的 .CSV 文件中查看结果。

有关邮件跟踪和其他邮件流故障排除工具的视频演练,请参阅作为 Microsoft 365 或业务管理员Office 365查找和修复电子邮件传递问题

开始前,有必要了解什么?

提示

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange OnlineExchange Online Protection 的论坛。 如果你是适用于企业的 Microsoft 365 或Office 365,请参阅联系商业产品支持人员 - 管理员帮助

运行邮件跟踪

  1. 在 EAC 中,转到 “邮件流>邮件跟踪”。

    Exchange 管理中心的屏幕截图显示从邮件流导航菜单选中了消息跟踪。

  2. 根据要搜索的内容,可以在以下字段中输入值。 7 天之内的邮件不需要指定这些字段。 可以单击“ 搜索 ”检索默认时间段(即过去 48 小时)内的所有邮件跟踪数据。

    1. 日期范围:使用下拉列表,选择搜索在过去 24 小时、48 小时或 7 天内发送或接收的邮件。 您也可以选择包括过去 90 天内的任何范围的自定义时间范围。 对于自定义搜索,您还可以更改以协调世界时 (UTC) 表示的时区。

    2. 传递状态:使用下拉列表选择要查看相关信息的邮件的状态。 保留默认值“ 全部 ”以涵盖所有状态。 其他可能的值是:

      • 已传递:消息已成功传递到预期目标。
      • 失败:消息未传递。 尝试并失败,或者由于筛选服务执行的操作而未交付。 例如,如果该邮件被确认包含恶意软件。
      • 挂起*:正在尝试或重新尝试传递消息。
      • 展开:邮件已发送到通讯组列表,并且已展开,以便可以单独查看列表的成员。
      • 筛选为垃圾邮件:邮件已传递到垃圾邮件Email文件夹。
      • 未知*:消息传递状态目前未知。 列出查询结果后,传递详细信息字段将不包含任何信息。

      *如果要搜索超过 7 天的邮件,则不能选择 “挂起” 或“ 未知”。

    3. 消息 ID:这是 Internet 消息 ID (也称为“客户端 ID”) 在 “消息 ID: 标头”字段中找到的消息标头。 用户可为您提供该信息以调查特定邮件。

      此 ID 的形式取决于发送邮件系统。 下面是一个示例: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>

      此 ID 应是唯一的;但是,并非所有发送邮件系统的行为方式相同。 所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

      注意:请务必包含完整的消息 ID 字符串。 这可能包括尖括号 (<>)。

    4. 发件人:可以通过单击“发件人”字段旁边的“ 添加发件人 ”按钮来缩小对特定 发件人 的搜索范围。 在后续对话框中,从用户选取器列表中选择公司中的一个或多个发件人,然后单击“ 添加”。 若要添加不在列表中的发件人,请键入其电子邮件地址,然后单击“ 检查姓名”。 在此框中,电子邮件地址支持采用以下格式的通配符:*@contoso.com。 指定通配符时,无法使用其他地址。 完成选择后,单击“ 确定”。

    5. 收件人:可以通过单击“收件人”字段旁边的添加收件人”按钮来缩小对特定收件人的搜索范围。 在后续对话框中,从用户选取器列表中选择公司中的一个或多个收件人,然后单击“ 添加”。 若要添加不在列表中的收件人,请键入其电子邮件地址,然后单击“ 检查姓名”。 在此框中,电子邮件地址支持采用以下格式的通配符:*@contoso.com。 指定通配符时,无法使用其他地址。 完成选择后,单击“ 确定”。

  3. 如果要搜索超过 7 天的邮件,请配置以下设置: (否则,可以跳过此步骤) :

    1. 在报告中包括邮件事件和路由详细信息:建议仅在查找少量邮件时才选择此检查框。 否则,返回结果需要更长的时间。

    2. 方向:对于发送到组织的邮件,请保留默认值“ 全部 ”或选择“ 入站 ”;对于从组织发送的邮件,请选择 “出站 ”。

    3. 原始客户端 IP 地址:指定发件人客户端的 IP 地址。

    4. 报表标题:指定此报表的唯一标识符。 这还将用作电子邮件通知的主题行文本。 默认值为“邮件跟踪报告<日,<>当前日期><当前时间>”。 例如,“消息跟踪报告,星期四,2018 年 10 月 17 日上午 7:21:09”。

    5. 通知电子邮件地址:指定要在邮件跟踪完成时接收通知的电子邮件地址。 此地址必须驻留在您的接受域的列表中。

  4. 单击“ 搜索:”运行邮件跟踪。 如果接近允许在 24 小时内运行的跟踪数的阈值,则会发出警告。

运行消息跟踪后,转到以下部分之一,阅读有关如何查看结果的信息。

注意:若要搜索其他邮件,可以单击“ 清除 ”按钮,然后指定新的搜索条件。

查看小于 7 天的邮件的邮件跟踪结果

在 EAC 中运行消息跟踪后,将列出结果,并按日期排序,并首先显示最新的消息。 您可以通过单击标题来对任何列出字段排序。 第二次单击列标题将反转排序顺序。 在查看邮件跟踪结果时,会提供关于每封邮件的以下信息:

  • 日期:服务使用配置的 UTC 时区接收消息的日期和时间。
  • 发件人:表单 alias@domain中的发件人的电子邮件地址。
  • 收件人:收件人的电子邮件地址。 对于发送给多个收件人的邮件,每个收件人占用一行。 如果收件人是通讯组列表,通讯组列表将为第一个收件人,然后通讯组列表的每个成员将包括在单独一行中,以便您可以检查所有收件人的状态。
  • 主题:邮件的主题行文本。 如有必要,会在首串 256 个字符处截断。
  • 状态:此字段指定邮件是 已传递到 收件人还是预期目标、 未能 传递到收件人 (因为无法到达其目标或已) 筛选邮件 , (邮件 正在传递或延迟送达,但正在重新尝试) , 已 展开 (没有传递,因为邮件已发送到通讯组列表 (DL) ,该通讯组已扩展到 DL) 的收件人,或者其状态为 “无 ” (邮件没有传递到收件人的状态,因为邮件已拒绝或重定向到其他收件人) 。

注意

邮件跟踪最多可以显示 500 个条目。 默认情况下,用户界面每页显示 50 个条目,并且您可以浏览这些页面。 您还可以更改每页显示的条目数,最多为 500 个。

查看有关小于 7 天的特定邮件的详细信息

通过在 EAC 中运行邮件跟踪工具检查返回项目列表后,您可以双击单个邮件,以查看该邮件的以下其他详细信息:

  • 邮件大小:邮件大小(包括附件)以 kb (KB) 为单位;如果邮件大小大于 999 KB,则) (MB。

  • 消息 ID:这是 Internet 消息 ID (也称为客户端 ID) 使用“Message-ID:”标记在消息标头中找到。 此 ID 的形式取决于发送邮件系统。 下面是一个示例: <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>

    此 ID 应是唯一的,但是,它依赖于用于生成的发送邮件系统,并非所有发送邮件系统的行为方式都相同。 所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

    该 ID 以输出形式给出,这样跟踪条目与问题邮件可以关联到一起。

  • 到 IP:服务尝试向其传递消息的 IP 地址。 如果有多个收件人,会显示这些。 对于发送到 Exchange Online 的入站邮件,该值是空值。

  • 来自 IP:发送消息的计算机的 IP 地址。 对于从 Exchange Online 发送的出站邮件,该值是空值。

在"事件"一节中,以下字段提供了邮件经过邮件管道时所发生事件的消息:

  • 日期:事件发生的日期和时间。

  • 事件:此字段简要通知你所发生的情况,例如,如果服务收到了邮件、邮件是否已送达或未能传递到目标收件人,等等。 下面是可能列出的事件的示例:

    • RECEIVE:服务已收到消息。

    • SEND:消息由服务发送。

    • 失败:无法传递消息。

    • DELIVER:邮件已传递到邮箱。

    • EXPAND:消息已发送到已展开的通讯组。

    • 传输:由于内容转换、邮件收件人限制或代理,收件人被移动到了分位邮件。

    • DEFER:消息传递已推迟,以后可能会重新尝试。

    • RESOLVED:邮件已根据 Active Directory 查找重定向到新的收件人地址。 当发生这种情况时,原始收件人地址会被列在邮件跟踪中的单独一行,包括邮件的最终传递状态。

    • DLP 规则:邮件在此邮件中具有 DLP 规则匹配项。

    • 敏感度标签: 发生了服务器端标记事件。 例如,标签会自动添加到包含加密操作的邮件中,或通过 Web 或移动客户端添加标签。 此操作由 Exchange 服务器完成并记录。 通过 Outlook 添加的标签不会包含在事件字段中。

      提示

      可能会出现其他事件。 有关这些事件的详细信息,请参阅 消息跟踪日志中的事件类型

  • 操作:此字段显示由于恶意软件、垃圾邮件检测或规则匹配而筛选邮件时执行的操作。 例如,在邮件被删除或发送到隔离时,均会通知您。

  • 详细信息:此字段提供详细说明所发生情况的详细信息。 例如,它可能会通知你匹配了哪些特定邮件流规则 (也称为传输规则) ,以及该匹配导致邮件发生了什么情况。 该字段也可通知您在哪个附件中检测到了哪个特定恶意软件,或者为什么邮件被检测为垃圾邮件。 如果成功传递了邮件,该字段会告诉您邮件传递到的那个 IP 地址。

查看超过 7 天的邮件的邮件跟踪结果

如果对超过 7 天的项目运行邮件跟踪,则单击“ 搜索 ”时,应会显示一条消息,告知邮件已成功提交,并在跟踪完成后将电子邮件通知发送到提供的电子邮件地址。 (如果邮件跟踪已处理并成功检索与搜索条件匹配的数据,则此通知消息将包含有关跟踪的信息以及指向可下载 .CSV 文件的链接。如果未找到与指定的搜索条件匹配的数据,系统将要求你提交具有更改条件的新请求,以获取有效的结果。)

在 EAC 中,可以单击“ 查看挂起的或已完成的跟踪 ”,以查看针对 7 天前的项目运行的跟踪列表。 在产生的 UI 中,跟踪列表基于提交的日期和时间进行排序,最近的提交排在最前。 除报告标题、提交跟踪的日期和时间以及邮件数量外,报告中还会列出以下状态值:

  • 未启动:跟踪已提交,但尚未运行。 在这种情况下,您可以选择取消跟踪。
  • 已取消:跟踪已提交,但已取消。
  • 正在进行:跟踪正在运行,无法取消跟踪或下载结果。
  • 已完成:跟踪已完成,可以单击“ 下载此报表 ”以检索 .CSV 文件中的结果。 请注意,如果摘要报表的邮件跟踪结果超过 100000 条消息,则会将其截断为前 100000 封邮件。 如果详细报告的邮件跟踪结果超过 1000 条消息,则会将其截断为前 1000 条消息。 如果看不到所需的所有结果,建议将搜索分解为多个查询。

选择特定的邮件跟踪时,其他信息将显示在右窗格中。 根据您指定的搜索条件,其中可能包括各种详细信息,例如跟踪运行的日期范围,以及邮件的发件人和预期收件人。

注意

  • 包含超过 7 天的数据的邮件跟踪将在 10 天后自动从 EAC 中删除。 无法手动删除。

  • 可下载报表的最大大小为 500 MB。 如果可下载的报表超过 500 MB,则无法在 Excel 或记事本中打开报表。

查看有关超过 7 天的特定邮件的报告详细信息

下载和查看邮件跟踪报告时,无论是从 EAC 中 查看挂起或已完成的跟踪 还是从通知电子邮件,其内容取决于你是否选择了“ 包含邮件事件和路由详细信息与报告 ”选项。

重要

为了查看下载的邮件跟踪报告,您必须将"仅查看收件人"RBAC 角色分配给您的角色组。 默认情况下,下列角色组都分配了此角色:合规性管理、技术支持、安全机制管理、组织管理、仅限查看组织管理。

查看不包括路由详细信息的邮件跟踪报告

如果在运行邮件跟踪时未包括路由详细信息,.CSV 文件中将包含以下信息(可以在 Microsoft Excel 等应用程序中打开):

  • origin_timestamp:服务使用配置的 UTC 时区接收消息的日期和时间。

  • sender_address别名@表单中发件人的电子邮件地址。

  • Recipient_status:邮件传递到收件人的状态。 如果邮件已发送给多个收件人,则会显示所有收件人以及每个收件人的相应状态,格式为: <电子邮件地址>##<status>。 例如,状态为:

    • ##Receive, Send: 表示服务已接收消息并发送到预期目标。
    • ##Receive,失败:表示消息已由服务接收,但未能传递到预期目标。
    • ##Receive,传递:表示邮件已由服务接收并传递到收件人邮箱。

  • message_subject:邮件的主题行文本。 如有必要,会在首串 256 个字符处截断。

  • total_bytes:邮件(包括附件)的大小(以字节为单位)。

  • message_id:这是 Internet 消息 ID (也称为“客户端 ID”) 在消息标头中找到并带有“Message-ID:”标记。 此 ID 的形式取决于发送邮件系统。 下面是一个示例: <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>

    此 ID 应是唯一的,但是,它依赖于用于生成的发送邮件系统,并非所有发送邮件系统的行为方式都相同。 所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

    该 ID 以输出形式给出,这样跟踪条目与问题邮件可以关联到一起。

  • network_message_id:这是唯一的消息 ID 值,在可能因分叉或通讯组扩展而创建的消息副本之间保留。 示例值为 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip:发件人客户端的 IP 地址。

  • 方向性:此字段表示邮件是发送到组织的入站 (1) ,还是从组织发送出站 (2) 。

  • connector_id:源或目标发送连接器或接收连接器的名称。 例如 ,ServerName\ConnectorNameConnectorName

  • delivery_priority:表示消息的发送优先级为 “高”、“ ”或“ 正常 ”。

查看包含路由详细信息的邮件跟踪报告

如果在运行邮件跟踪时包括了路由详细信息,.CSV 文件中将包含邮件跟踪日志中的所有信息(可以在 Microsoft Excel 等应用程序中打开)。 此报表中包含的一些值在上一部分中进行了介绍,而 邮件跟踪日志文件中的字段中介绍了可用于调查的其他值。

custom_data 字段

此外,“custom_data”字段可能包含特定于筛选服务的值。 多个不同的代理使用 AGENTINFO 事件中的 custom_data 字段记录代理的邮件处理过程的详细信息。 邮件数据保护的某些相关代理如下所述。

垃圾邮件筛选器代理 (S:SFA)

以 S:SFA 开头的字符串是垃圾邮件筛选器代理的一个条目,提供以下关键详细信息:

日志信息 说明
SFV=NSPM 邮件被标记为非垃圾邮件并发送给预期发件人。
SFV=SPM 邮件由内容筛选器标记为垃圾邮件。
SFV=BLK 跳过筛选但阻止邮件,因为它是由已阻止发件人发送。
SFV=SKS 邮件在内容筛选器处理之前被标记为垃圾邮件。 这包括邮件与邮件流规则匹配的邮件,以自动将其标记为垃圾邮件并绕过所有其他筛选。
SCL=<number> 有关不同 SCL 值及其含义的详细信息,请参阅 垃圾邮件置信度
PCL=<number> 邮件的仿冒可能性等级 (PCL) 值。 这些值的解释方式与 垃圾邮件置信度中记录的 SCL 值相同。
DI=SB 已阻止邮件发件人。
DI=SQ 邮件已隔离。
DI=SD 邮件已删除。
DI=SJ 邮件已发送至收件人的"垃圾邮件"文件夹。
DI=SN 邮件已通过高风险传送池路由。 有关详细信息,请参阅出站邮件的高风险传递池
DI=SO 邮件已通过正常出站传送池路由。
SFS=[a]
SFS=[b]		 说明匹配此垃圾邮件规则。
IPV=CAL 允许邮件通过垃圾邮件筛选器,因为 IP 地址是在连接筛选器的 IP 允许列表中指定的。
H=[helostring] 连接邮件服务器的 HELO 或 EHLO 字符串。
PTR=[ReverseDNS] 发送 IP 地址的 PTR 记录,也被称为反向 DNS 地址。

如果邮件被过滤为垃圾邮件,custom_data 条目示例将如下所示:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

恶意软件筛选器代理 (S:AMA)

以 S:AMA 开头的字符串是反恶意软件代理的一个条目,提供以下关键详细信息:

日志信息 说明
AMA=SUM|v=1|

AMA=EV|v=1|

 已确定此邮件包含恶意软件。 SUM 表示恶意软件可能已被任意数量的引擎检测到。 EV 表示恶意软件已由特定引擎检测到。 引擎检测到恶意软件后,将触发后续操作。
Action=r 邮件已被替换。
Action=p 邮件已被忽略。
Action=d 邮件已被延迟。
Action=s 邮件已删除。
Action=st 邮件已被忽略。
Action=sy 邮件已被忽略。
Action=ni 邮件已被拒绝。
Action=ne 邮件已被拒绝。
Action=b 邮件已被阻止。
Name=<malware> 已检测到的恶意软件的名称。
File=<filename> 恶意软件中包含的文件名称。

如果邮件邮件包含恶意软件,custom_data 条目示例将如下所示:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

传输规则代理 (S:TRA)

以 S:TRA 开头的字符串是传输规则代理的条目,提供以下关键详细信息:

日志信息 说明
ETR|ruleId=[guid] 匹配的规则 ID。
St=[datetime] 规则匹配时的日期和时间(采用 UTC 时间)。
Action=[ActionDefinition] 应用的操作。 有关可用操作的列表,请参阅 Exchange Online 中的邮件流规则操作
Mode=Enforce 规则模式。 可能的值是:
  • 强制:将强制实施对规则执行的所有操作。
  • 使用策略提示进行测试:将发送任何策略提示操作,但不会执行其他强制操作。
  • 在没有策略提示的情况下进行测试:将在日志文件中列出操作,但不会以任何方式通知发件人,并且不会执行强制操作。

当邮件与邮件流规则匹配时,示例custom_data条目将如下所示:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

详细信息

邮件跟踪 FAQ 显示用户可能遇到的邮件问题以及可能的答案。 还介绍了如何使用邮件跟踪工具,以获取答案并解决具体的邮件传递问题。

是否可以通过 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 运行消息跟踪? 要使用哪些 cmdlet? 提供有关可用于运行消息跟踪的 PowerShell cmdlet 的信息。