运行邮件跟踪和查看结果

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2016-06-24

作为管理员,你可以通过在 Exchange 管理中心 (EAC) 中运行邮件跟踪来查看电子邮件所发生的情况。运行邮件跟踪后,可以在列表中查看结果,然后查看特定邮件的详细信息。提供了过去 90 天内的邮件跟踪数据。对于超过 7 天的邮件,其结果只能在可下载的 .CSV 文件中进行查看。

有关邮件跟踪和其他邮件流故障排除工具的视频演练,请参见以 Office 365 商业版管理员身份查找并解决电子邮件传递问题

提示提示:
有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection
如果你是 Office 365 商业版管理员,你可以联系 Office 365 商业版支持人员

  1. 使用你的工作或学校帐户登录到 Office 365

  2. 选择左上角的应用启动器图标 Office 365 应用启动器,然后选择“管理”。

  3. 在左下侧导航中,展开“管理”并选择“Exchange”。

  4. 在 Exchange 管理中心 (EAC) 中,转到“邮件流”>“邮件跟踪

    Exchange 管理中心的屏幕截图显示从邮件流导航菜单选中了消息跟踪。

  1. 在 EAC 中,导航到“邮件流”>“邮件跟踪”。

    Exchange 管理中心的屏幕截图显示从邮件流导航菜单选中了消息跟踪。
  2. 根据所搜索内容的不同,您可以在以下字段输入值。7 天之内的邮件不需要指定这些字段。只需单击“搜索”来检索默认时间段(即过去 48 小时)的所有邮件跟踪数据。

    1. 日期范围   使用下拉列表,选择搜索在过去的 24 小时、48 小时或 7 天内发送或接收的邮件。您也可以选择包括过去 90 天内的任何范围的自定义时间范围。对于自定义搜索,您还可以更改以协调世界时 (UTC) 表示的时区。

    2. 发送状态   使用下拉列表,选择您希望查看信息的邮件的状态。保留“所有”的默认值以涵盖所有状态。其他可能的值是:

      • 已发送   该邮件已成功送达给目标。

      • 失败   邮件未送达。或者已尝试并失败,或者筛选服务所采取的操作使得未进行传递。例如,如果该邮件被确认包含恶意软件。

      • 挂起   正尝试或重新尝试传递邮件。

      • 展开   邮件发送到通讯组列表并展开,以便可以单独查看列表成员。

      • 未知   目前未知邮件传递状态。当列出查询结果后,传递详细信息字段将不包含任何信息。

      重要说明重要说明:
      如果要对超过 7 天的邮件运行邮件跟踪,不能选择“挂起”或“未知”。
    3. 邮件 ID   该 Internet 邮件 ID (也称为客户端 ID)位于带有“邮件-ID:”令牌的邮件标题中。用户可为您提供该信息以调查特定邮件。

      此 ID 的形式取决于发送邮件系统。示例如下:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

      注意注意:
      请务必记包含完整邮件 ID 字符串。这可能包括尖括号 (<>)。

      该 ID 应该是唯一的,然而其生成取决于发送邮件系统,并且并不是所有发送邮件系统的行为方式都一样。所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

    4. 发件人   您可以通过单击“发件人”字段旁的“添加发件人”按钮缩小针对特定发件人的搜索范围。在后续对话框中,从用户选取器列表中选择一个或多个公司发件人,然后单击“添加”。若要添加不在列表中的发件人,请键入其电子邮件地址,然后单击“检查姓名”。此框中,以下格式的电子邮件地址支持通配符:*@contoso.com。指定通配符时,无法使用其他地址。完成选择之后,单击“确定”。

    5. 收件人   您可以通过单击“收件人”字段旁的“添加收件人”按钮缩小针对特定收件人的搜索范围。在后续对话框中,从用户选取器列表中选择一个或多个公司收件人,然后单击“添加”。若要添加不在列表中的收件人,请键入其电子邮件地址,然后单击“检查姓名”。此框中,以下格式的电子邮件地址支持通配符:*@contoso.com。指定通配符时,无法使用其他地址。完成选择之后,单击“确定”。

  3. 如果要搜索超过 7 天的邮件,请指定以下参数值(或者可以跳过此步骤):

    1. 报告包括邮件事件和路由详细信息   如果针对一封或几封特定邮件,建议仅选中此复选框,因为包括事件详细信息将导致需要更长的时间来处理更大的报告。

    2. 方向   使用下拉列表选择是希望搜索“全部”邮件(默认)、发送到组织的“入站”邮件,还是来自组织的“出站”邮件。

    3. 原始客户端 IP 地址   指定发件人客户端的 IP 地址。

    4. 报告标题   指定此报告的唯一标识符。这还将用作电子邮件通知的主题行文本。默认为“邮件跟踪报告 <星期>,<当前日期> <当前时间>”。例如“邮件跟踪报告 星期四,2013 年 10 月 17 日,上午 7:21:09”。

    5. 通知电子邮件地址   指定您希望在邮件跟踪完成时收到通知的电子邮件地址。此地址必须驻留在您的接受域的列表中。

  4. 单击“搜索”运行邮件跟踪。如果您接近 24 小时内允许运行的跟踪次数阀值,系统将发出警告。

运行邮件跟踪后,根据您搜索的邮件是 7 天以内还是超过 7 天的,继续查看下面的部分,阅读有关如何查看结果的详细信息。

注意注意:
若要搜索其他邮件,您可以单击“清除”按钮,然后指定新的搜索条件。

提示提示:
有关查看超过 7 天的邮件的邮件跟踪结果的信息,请参见查看超过 7 天的邮件的邮件跟踪结果

在 EAC 中运行邮件跟踪后,将以最近邮件先显示的方式,按日期顺序列出结果。您可以通过单击标题来对任何列出字段排序。第二次单击列标题将反转排序顺序。在查看邮件跟踪结果时,会提供关于每封邮件的以下信息:

  • 日期   服务收到邮件的日期及时间(使用配置的 UTC 时区)。

  • 发件人 别名@格式的发件人电子邮件地址。

  • 收件人   收件人电子邮件地址。对于发送给多个收件人的邮件,每个收件人占用一行。如果收件人是通讯组列表,通讯组列表将为第一个收件人,然后通讯组列表的每个成员将包括在单独一行中,以便您可以检查所有收件人的状态。

  • 主题   邮件的主题行文本。如有必要,会在首串 256 个字符处截断。

  • 状态   该字段指定了邮件是否“已发送”至收件人或预定目的地、是否发送至收件人“失败”(不管因为接近目标失败,还是被筛选)、是否为“挂起”传递(有可能出现在传递过程中,也有可能是传递被推迟,但正在重试)、是否“展开”(因传送邮件至通讯组列表 (DL),而该通讯组列表并没有展开到通讯组列表的收件人,所以没有进行传递)或是否为“无”状态(因为邮件或是被拒绝,或是重定向至不同的收件人,所以没有到收件人邮件的传递状态)。

注意注意:
邮件跟踪最多可以显示 500 个条目。默认情况下,用户界面每页显示 50 个条目,并且您可以浏览这些页面。您还可以更改每页显示的条目数,最多为 500 个。

通过在 EAC 中运行邮件跟踪工具检查返回项目列表后,您可以双击单个邮件,以查看该邮件的以下其他详细信息:

  • 邮件大小   邮件(包括附件)的大小,单位为千字节 (KB),或者,如果邮件大小超过 999 KB,则为兆字节 (MB)。

  • 邮件 ID   这是在带有“Message-ID:”令牌的邮件头中找到的 Internet 邮件 ID(也称为客户端 ID)。此 ID 的形式取决于发送邮件系统。示例如下:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    该 ID 应该是唯一的,然而其生成取决于发送邮件系统,并且并不是所有发送邮件系统的行为方式都一样。所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

    该 ID 以输出形式给出,这样跟踪查询与问题邮件可以关联到一起。

  • 至 IP   该 IP 地址为服务尝试将邮件传递到的那个 IP 地址。如果有多个收件人,会显示这些。对于发送到 Exchange Online 的入站邮件,该值是空值。

  • 自 IP   发送邮件的计算机的 IP 地址。对于从 Exchange Online 发送的出站邮件,该值是空值。

在“事件”一节中,以下字段提供了邮件经过邮件管道时所发生事件的消息:

  • 日期   事件发生的日期和时间。

  • 事件   该字段简要通知您发生了什么,例如如果服务收到了邮件、邮件传递到了目标收件人或没有传递到目标收件人等情况均会进行通知。下面是可能列出的事件的示例:

    • RECEIVE   服务已收到邮件。

    • SEND   服务已发送邮件。

    • FAIL   邮件未能送达。

    • DELIVER   邮件已送达到邮箱。

    • EXPAND   邮件发送到展开的通讯组。

    • TRANSFER   由于内容转换、邮件收件人限制或代理原因,收件人被移动到分支的邮件。

    • DEFER   邮件传递延迟,稍后可能重试。

    • 已解决   邮件已基于 Active Directory 查找重定向到新的收件人地址。当发生这种情况时,原始收件人地址会被列在邮件跟踪中的单独一行,包括邮件的最终传递状态。

    提示提示:
    可能会出现其他事件;有关详细信息,请参阅邮件跟踪中的“邮件跟踪日志中的事件类型”部分。
  • 操作   该字段显示了邮件如果因恶意软件或垃圾邮件检测,或规则匹配而被筛选时所进行的操作。例如,在邮件被删除或发送到隔离时,均会通知您。

  • 详情   此字段提供详细论述发生事情的详细信息。例如,该字段可能通知您匹配了哪个特定传输规则,以及作为匹配结果会如何处理邮件。该字段也可通知您在哪个附件中检测到了哪个特定恶意软件,或者为什么邮件被检测为垃圾邮件。如果成功传递了邮件,该字段会告诉您邮件传递到的那个 IP 地址。

提示提示:
有关查看 7 天之内的邮件的邮件跟踪结果的信息,请参阅查看 7 天之内的邮件的邮件跟踪结果

如果要对超过 7 天的邮件运行邮件跟踪,则您在单击“搜索”后,会出现一条消息,通知您邮件已成功提交,并且在跟踪完成后,系统将发送一条电子邮件通知到提供的电子邮件地址。(如果已进行邮件跟踪并且已成功检索到与您的搜索条件相匹配的数据,则此通知邮件将包括有关跟踪和指向可下载 .CSV 文件的链接的信息。如果未找到与您定义的搜索条件相匹配的数据,系统会请您提交包括已更改条件的新请求,以获取有效结果。)

可以在 EAC 中单击“查看挂起或完成的跟踪”查看对超过 7 天的邮件运行跟踪的列表。在结果 UI 中,跟踪列表根据提交的日期和时间排序,优先显示最近提交的跟踪。除报告标题、提交跟踪的日期和时间以及邮件数量外,报告中还会列出以下状态值:

  • 未开始   跟踪已提交但尚未运行。在这种情况下,您可以选择取消跟踪。

  • 已取消   跟踪已提交,但已被取消。

  • 进行中   跟踪正在运行,您不能取消跟踪或下载结果。

  • 已完成   跟踪已完成,您可以单击“下载此报告”检索 .CSV 文件形式的结果。请注意,如果摘要报告的邮件跟踪结果超过 5000 封邮件,将会截取前 5000 封邮件。如果详细报告的邮件跟踪结果超过 3000 封邮件,将会截取前 3000 封邮件。如果无法查看所需的所有结果,建议将搜索拆分为多个查询。

选择一个特定的邮件跟踪时,右窗格中将显示其他信息。根据指定的搜索条件,可能会包括运行跟踪的日期范围、邮件发件人和预期收件人等详细信息。

注意注意:
包含超过 7 天的数据的邮件跟踪将在 10 天后自动从 EAC 中删除。无法手动删除。

从 EAC 的“查看挂起或完成的跟踪” UI 中或通知电子邮件中下载和查看邮件跟踪报告时,其内容取决于是否选中了“报告包括邮件事件和路由详细信息”选项。

重要说明重要说明:
为了查看下载的邮件跟踪报告,您必须将“仅查看收件人”RBAC 角色分配给您的角色组。默认情况下,下列角色组都分配了此角色:合规性管理、技术支持、安全机制管理、组织管理、仅限查看组织管理。

如果在运行邮件跟踪时未包括路由详细信息,.CSV 文件中将包含以下信息(可以在 Microsoft Excel 等应用程序中打开):

  • origin_timestamp   服务收到邮件的日期及时间(使用配置的 UTC 时区)。

  • sender_address 别名@格式的发件人电子邮件地址。

  • Recipient_status   邮件送达收件人的状态。如果邮件发送至多个收件人,将显示所有收件人和每个收件人的相应状态,格式如下:<电子邮件地址>##<状态>。例如,状态为:

    • ##Receive, Send 表示服务已接收邮件,并发送到预定的目标地址。

    • ##Receive, Fail 表示服务已接收邮件,但无法送达预定的目标地址。

    • ##Receive, Deliver 表示服务已接收邮件,并送达收件人的邮箱。

  • message_subject   邮件的主题行文本。如有必要,会在首串 256 个字符处截断。

  • total_bytes   邮件(包括附件)大小,以字节为单位。

  • message_id   此 Internet 邮件 ID(也称为客户端 ID)位于带有“邮件-ID:”令牌的邮件标题中。此 ID 的形式取决于发送邮件系统。示例如下:<08f1e0f6806a47b4ac103961109ae6ef@服务器.>。

    该 ID 应该是唯一的,然而其生成取决于发送邮件系统,并且并不是所有发送邮件系统的行为方式都一样。所以,在查询单个邮件 ID 时,有可能获得多个邮件的结果。

    该 ID 以输出形式给出,这样跟踪条目与问题邮件可以关联到一起。

  • network_message_id   唯一的邮件 ID 值,因拆分或通讯组扩展而创建,且在各邮件副本中均保持有效。示例值为 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip   发件人客户端的 IP 地址。

  • 方向性   此字段表示是发送到组织的入站邮件 (1) 还是从组织发出的出站邮件 (2)。

  • connector_id   源或目的地的发送连接器或接收连接器的名称。例如,ServerName\ConnectorNameConnectorName

  • delivery_priority   表示邮件发送的优先级为“高”、“低”还是“普通”。

如果在运行邮件跟踪时包括了路由详细信息,.CSV 文件中将包含邮件跟踪日志中的所有信息(可以在 Microsoft Excel 等应用程序中打开)。此报告中包括的部分值在前面的部分中进行了说明,其他可能对调查有用的值在邮件跟踪主题的“邮件跟踪日志文件中的字段”部分中进行了说明。

此外,“custom_data”字段可能包含特定于筛选服务的值。多个不同的代理使用 AGENTINFO 事件中的 custom_data 字段记录代理的邮件处理过程的详细信息。邮件数据保护的某些相关代理如下所述。

垃圾邮件筛选器代理 (S:SFA)

以 S:SFA 开头的字符串是垃圾邮件筛选器代理的一个条目,提供以下关键详细信息:

 

日志信息

描述

SFV=NSPM

邮件被标记为非垃圾邮件并发送给预期发件人。

SFV=SPM

邮件由内容筛选器标记为垃圾邮件。

SFV=BLK

跳过筛选但阻止邮件,因为它是由已阻止发件人发送。

SFV=SKS

邮件在内容筛选器处理之前被标记为垃圾邮件。这包括符合以下传输规则条件的邮件:自动将邮件标记为垃圾邮件并规避其他所有筛选。

SCL= <数字>

有关不同的 SCL 值及其含义的详细信息,请参阅垃圾邮件可信度

PCL= <数值>

邮件的仿冒可能性等级 (PCL) 值。可按照垃圾邮件可信度中介绍 SCL 值的方式对这些值做出解释。

DI=SB

已阻止邮件发件人。

DI=SQ

邮件已隔离。

DI=SD

邮件已删除。

DI=SJ

邮件已发送至收件人的“垃圾邮件”文件夹。

DI=SN

邮件已通过高风险传送池路由。有关详细信息,请参阅出站邮件的高风险传递池

DI=SO

邮件已通过正常出站传送池路由。

SFS=[a]|SFS=[b]

说明匹配此垃圾邮件规则。

IPV=CAL

邮件已通过垃圾邮件筛选器允许,因为已在连接筛选器中的 IP 允许列表中指定该 IP 地址。

H=[helostring]

连接邮件服务器的 HELO 或 EHLO 字符串。

PTR=[ReverseDNS]

发送 IP 地址的 PTR 记录,也被称为反向 DNS 地址。

如果邮件被过滤为垃圾邮件,custom_data 条目示例将如下所示:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

恶意软件筛选器代理 (S:AMA)

以 S:AMA 开头的字符串是反恶意软件代理的一个条目,提供以下关键详细信息:

 

日志信息

描述

AMA=SUM|v=1|

或者

AMA=EV|v=1

已确定此邮件包含恶意软件。SUM 表示恶意软件可能已由任意数量的引擎检测到。EV 表示恶意软件已由特定引擎检测到。引擎检测到恶意软件后,将触发后续操作。

Action=r

邮件已被替换。

Action=p

邮件已被忽略。

Action=d

邮件已被延迟。

Action=s

邮件已删除。

Action=st

邮件已被忽略。

Action=sy

邮件已被忽略。

Action=ni

邮件已被拒绝。

Action=ne

邮件已被拒绝。

Action=b

邮件已被阻止。

Name=<恶意软件>

已检测到的恶意软件的名称。

File=<文件名>

恶意软件中包含的文件名称。

如果邮件邮件包含恶意软件,custom_data 条目示例将如下所示:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

传输规则代理 (S:TRA)

以 S:TRA 开头的字符串是传输规则代理的一个条目,提供以下关键详细信息:

 

日志信息

描述

ETR|ruleId=[guid]

匹配的规则 ID。

St=[datetime]

规则匹配时的日期和时间(采用 UTC 时间)。

Action=[ActionDefinition]

应用的操作。有关可用操作的列表,请参阅联机在 Exchange 邮件流规则操作

Mode=Enforce

规则模式。可能的值是:

  • 强制:将强制实施规则的所有操作。

  • 在使用策略提示的情况下测试:将发送所有策略提示操作,但不会作用于其他强制实施操作。

  • 在不使用策略提示的情况下测试:日志文件中将列出操作,但不会以任何方式通知发件人,也不会作用于强制实施操作。

如果邮件与传输规则相匹配,custom_data 条目示例将如下所示:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

邮件跟踪 FAQ显示用户可能遇到的邮件问题以及可能的答案。还介绍了如何使用邮件跟踪工具,以获取答案并解决具体的邮件传递问题。

我能否通过远程 Windows PowerShell(而不是用户界面)运行消息跟踪?提供了有关可用于运行邮件跟踪的远程 Windows PowerShell cmdlet 的信息。

 
显示: