Exchange Online中的邮件跟踪常见问题解答
本文介绍用户可能提出的消息传送问题以及可能的答案。 还介绍了如何使用邮件跟踪工具,以获取答案并解决具体的邮件传递问题。
运行邮件跟踪时查看结果需要多长时间?
- 在经典 Exchange 管理中心 (经典 EAC) 中,对于不到 7 天的邮件,搜索结果会立即显示。
- 在现代 Exchange 管理中心 (新式 EAC) 中,对于少于 10 天的邮件,搜索结果会立即显示。
为较旧的消息运行消息跟踪时,结果将在几个小时内作为可下载的 CSV 文件返回。
注意
Microsoft Defender门户中的 Exchange 邮件跟踪链接将在新式 EAC 中打开邮件跟踪。
发送的消息显示在消息跟踪中需要多长时间?
发送消息时,消息应需要 5-10 分钟才能显示在消息跟踪数据中。
是否可以通过 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 运行消息跟踪? 要使用哪些 cmdlet?
可以在 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 中使用以下 cmdlet 来运行消息跟踪:
Get-MessageTrace:跟踪不到 10 天的消息。
Get-MessageTraceDetail:查看特定消息的消息跟踪事件详细信息。
Get-HistoricalSearch:使用此 cmdlet 可以查看有关过去 10 天内执行的历史搜索的信息。
Start-HistoricalSearch:为小于 90 天的邮件启动新的历史搜索。
Stop-HistoricalSearch:停止尚未启动的排队历史搜索, (状态值) NotStarted 。
若要连接到 Exchange Online PowerShell,请参阅连接到 Exchange Online PowerShell。
若要在没有Exchange Online邮箱的情况下连接到独立 EOP 组织中的Exchange Online Protection PowerShell,请参阅连接到 Exchange Online Protection PowerShell。
为什么在用户界面运行邮件跟踪时会发生超时错误?
超时错误的可能原因在于查询的处理时间过久。 请考虑简化您的搜索条件。 可能需要考虑使用 Get-MessageTrace cmdlet,该 cmdlet 具有更宽松的超时要求。
为什么我没有收到预期的电子邮件?
下面是一些可能的原因:
邮件检测为垃圾邮件。
由于规则匹配,邮件被发送到隔离邮件。
邮件被拒绝
- 由恶意软件筛选器
- 因为附加到邮件的文件包含恶意软件
- 因为邮件正文包含恶意软件
- 由规则
- 因为操作被拒绝
- 因为操作被强制 TLS,同时建立 TLS 失败
- 由连接器,因为 TLS 是必需的,同时建立失败
邮件正被审阅同时正等待批准,或者被审阅者拒绝。
从未发送过邮件。
该消息仍在处理中,因为上一次失败,并且服务正在重新尝试传递。
邮件无法传送到您的邮箱
- 因为无法访问目标
- 因为目标拒绝该邮件
- 因为邮件在传送尝试期间超时
若要了解所发生的情况,请执行:
运行消息跟踪。 使用尽可能多的搜索条件缩小结果范围。 例如,你应该知道邮件的发件人和预期收件人,以及发送邮件时的一般时间段。
查看结果,找到消息,然后查看有关邮件的特定详细信息 (请参阅 查看 7 天以内的邮件的邮件跟踪结果 或 查看超过 7 天) 的邮件的邮件跟踪结果 。 查找“ 失败” 或“ 挂起 ”的传递状态,解释未收到消息的原因。
确认消息已发送,服务已成功接收,未筛选、重定向或发送审核,并且未遇到任何传递失败或延迟。
为什么收到意外的邮件?
下面是一些可能的原因:
- 该邮件从隔离邮件中释放。
- 该邮件正等待审阅者批准,同时已释放。
- 该邮件是未检测到的垃圾邮件。
- 该邮件与添加到邮件的规则匹配。
- 该邮件被发送到通讯组列表,其中您是成员之一。
若要了解所发生的情况,请执行:
运行消息跟踪。 使用尽可能多的搜索条件缩小结果范围。 例如,指定接收邮件的收件人,将传递状态设置为 “已送达”,并设置基于邮件接收时间的时间段。
查看结果,找到消息,然后查看有关邮件的特定详细信息 (请参阅 查看 7 天以内的邮件的邮件跟踪结果 或 查看超过 7 天) 的邮件的邮件跟踪结果 。
为什么有人没有收到我的邮件,或者为什么我收到此未送达报告 (也称为 NDR 或退回邮件) ?
可能的原因如下:
邮件检测为垃圾邮件。
由于规则匹配,邮件被发送到隔离邮件。
邮件已重新路由,因为连接器将其发送到了另一个目标。
邮件被拒绝:
- 由恶意软件筛选器
- 因为附加到邮件的文件包含恶意软件
- 因为邮件正文包含恶意软件
- 由规则
- 因为操作被拒绝
- 因为操作被强制 TLS,同时建立 TLS 失败
- 由连接器,因为 TLS 是必需的,同时建立失败
邮件正被审阅同时正等待批准,或者被审阅者拒绝。
从未发送过邮件。
该消息仍在处理中,因为上一次失败,并且服务正在重新尝试传递。
消息未能传递到目标:
- 因为无法访问目标
- 因为目标拒绝该邮件
- 因为邮件在传送尝试期间超时
邮件被传送到目标,但是在访问它之前已经被删除(可能的原因是它匹配一个规则)。
若要了解所发生的情况,请执行:
运行消息跟踪。 使用尽可能多的搜索条件缩小结果范围。 例如,你应该知道邮件的发件人和预期收件人,以及发送邮件时的一般时间段。
查看结果,找到消息,然后查看有关邮件的特定详细信息 (请参阅 查看 7 天以内的邮件的邮件跟踪结果 或 查看超过 7 天) 的邮件的邮件跟踪结果 。
查找“ 失败” 或 “挂起 ”的传递状态,解释邮件未送达的原因。 确认消息已发送,服务已成功接收,未筛选、重定向或发送审核,并且未遇到任何传递失败或延迟。 如果无法访问目标,可以使用 To IP 来帮助排查连接问题。
为什么我的邮件那么长时间才到达目标地址? 它在管道中的什么地方?
可能的原因如下:
- 预定的目标没有响应。 这是最可能的情况。
- 它可能是较大邮件,处理花费了很长时间
- 服务延迟可能导致延误
- 消息可能已被阻止
若要了解所发生的情况,请执行:
运行消息跟踪。 使用尽可能多的搜索条件缩小结果范围。 例如,你应该知道邮件的发件人和预期收件人,以及发送邮件时的一般时间段。
查看结果,找到消息,然后查看有关邮件的特定详细信息 (请参阅 查看 7 天以内的邮件的邮件跟踪结果 或 查看超过 7 天) 的邮件的邮件跟踪结果 。
事件部分将告诉你消息尚未传递的原因。 查看事件时,时间戳信息将允许你通过消息传递管道跟踪消息,并告知服务处理每个事件所需的时间。 事件详细信息还会通知你传递的消息是否很大,或者目标是否没有响应。
邮件被标记为垃圾邮件?
邮件被标记为垃圾邮件有多种原因。 例如,发送 IP 地址可能会出现在服务的某个 IP 阻止列表中。 邮件可能因实际邮件的内容而被标记为垃圾邮件,如当它与垃圾邮件内容筛选器的规则匹配时。 邮件跟踪工具仅跟踪垃圾邮件内容筛选器事件;无法跟踪连接筛选器事件(例如,被阻止的 IP 地址)。 有关垃圾邮件筛选的详细信息,包括垃圾邮件内容筛选,请参阅 Office 365 电子邮件反垃圾邮件保护。
若要了解邮件被标记为垃圾邮件的原因::
运行消息跟踪,在结果中找到消息,然后查看有关该邮件的特定详细信息 (请参阅 查看 7 天以内的邮件的邮件跟踪结果 或 查看 7 天以上邮件) 的邮件跟踪结果 。
当内容筛选器将邮件标记为垃圾邮件时,如果邮件被发送到“垃圾邮件Email”文件夹或隔离区,则邮件的状态为“已送达”。 您可以查看事件详细信息,以便查看邮件如何到达其目的地。 例如,它可能通知您,该邮件被确定为具有高垃圾邮件可信度级别,或者匹配高级垃圾邮件筛选选项。 你还将被告知由于邮件被标记为垃圾邮件而发生的操作,例如,如果邮件被发送到隔离区、带有 X 标头的标记,或者邮件是通过高风险传递池发送的。
邮件被检测到包含恶意软件?
当邮件正文或附件中的属性匹配其中一个反恶意软件引擎的恶意软件定义时,该邮件将被检测为恶意软件。 有关恶意软件筛选的更多详细信息,请参阅 反恶意软件保护。
若要了解为何检测到邮件包含恶意软件, 请运行邮件跟踪。 使用尽可能多的搜索条件缩小结果范围。 将传递状态设置为 “失败”。
查看结果,找到消息,然后查看有关邮件的特定详细信息 (请参阅 查看 7 天以内的邮件的邮件跟踪结果 或 查看超过 7 天) 的邮件的邮件跟踪结果 。
如果邮件由于确定包含恶意软件而尚未传递,则会在事件部分中提供此信息。 例如,下面是一个示例详细信息:在附件文件中检测到恶意软件:“ZipBomb”。zip。 你还将被告知由于包含恶意软件的邮件而发生的操作,例如,如果整个邮件被阻止,或者所有附件已被删除并替换为警报文本文件。
对邮件应用了哪些邮件流规则 (也称为传输规则) 或 DLP 策略?
若要了解哪些邮件流规则 (自定义策略规则) 或数据丢失防护 (DLP) 策略 (Exchange Online 客户仅) 应用于邮件,请运行邮件跟踪。 使用尽可能多的搜索条件缩小结果范围。 将传递状态设置为 “失败”。
查看结果,找到消息,然后查看有关邮件的特定详细信息 (请参阅 查看 7 天以内的邮件的邮件跟踪结果 或 查看超过 7 天) 的邮件的邮件跟踪结果 。
如果邮件内容与规则匹配而未送达,事件部分将告知匹配的邮件流规则的名称。 你还将被告知邮件流规则匹配导致的操作,例如,如果邮件被隔离、拒绝、重定向、发送审查、解密,或者任何其他可能的选项。 有关如何创建 Exchange 邮件流规则并为其设置操作的信息,请参阅 Exchange Online 中的邮件流规则 (传输规则) 。
运行消息跟踪时,它将返回规则 ID-1。 这意味着什么?
当邮件跟踪遇到不再存在的邮件流规则时,将返回规则 ID-1。 (在发送原始邮件后,邮件流规则可能已被修改或删除。)
当使用邮件跟踪工具时,我是否应注意任何已知的限制或行为说明?
当使用邮件跟踪工具时,您应注意以下事项:
IP 阻止的邮件:IP 信誉阻止列表阻止的邮件将包含在实时报告的垃圾邮件数据中,但你无法对这些邮件执行邮件跟踪。
重定向的邮件:如果收件人被邮件流规则重写,或者因为域的垃圾邮件操作设置为 “重定向到电子邮件地址”,则无法在单个搜索中跟踪该邮件。 可跟踪原始邮件,直到收件人被更改。 之后,将无法使用原始收件人跟踪邮件。 您可以使用新收件人再次跟踪邮件。
MAIL FROM:邮件跟踪工具使用 SMTP 对话开始时显示的 MAIL FROM 值作为搜索中的发件人,而不管邮件的 DATA 部分显示什么。 该邮件可能显示答复地址或不同的收件人:或发件人值。 如果电子邮件是由进程而不是电子邮件客户端发送的,则 MAIL FROM 中的发件人与实际邮件中的发件人不匹配的可能性增加。
邮件流规则更新:当邮件与邮件流规则匹配时,规则 ID 存储在邮件跟踪和实时报告数据库中。 如果跟踪其中一条消息,或向下钻取报表中的规则详细信息,则消息跟踪和实时报告用户界面会根据报告数据库中的规则 ID 从托管服务网络动态拉取当前规则信息。 如果在处理邮件后更改了该特定规则的属性, (将其从“拒绝”更改为“允许”(例如,) ),则规则 ID 在邮件跟踪和实时报告返回的结果中保持不变,但 Exchange 管理中心将显示新的邮件流规则属性。 您可以使用审核报告功能,以确定更改规则的时间以及更改的属性。
垃圾邮件筛选的邮件:当内容筛选器将邮件标记为垃圾邮件时,如果邮件被发送到“垃圾邮件Email”文件夹或隔离区,则邮件的状态为“已送达”。 深入了解事件详细信息,以便查看邮件如何到达其目的地。