邮件跟踪 FAQ

Exchange Online
 

适用于:Exchange Online, Exchange Online Protection

上一次修改主题:2015-02-27

本主题显示用户可能遇到的邮件问题以及可能的答案。还介绍了如何使用邮件跟踪工具,以获取答案并解决具体的邮件传递问题。

当您对少于 7 天的邮件运行邮件跟踪时,将立即显示搜索结果。当此类邮件发送给收件人时,将需要 5-10 分钟时间才会显示在邮件跟踪数据中。

对超过 7 天的邮件运行邮件跟踪时,搜索结果可能需要几个小时。

您可以使用下面的远程 Windows PowerShell cmdlet 运行邮件跟踪:

Get-MessageTrace - 使用此 cmdlet 可跟踪少于 7 天的邮件。

Get-MessageTraceDetail - 使用此 cmdlet 可查看特定邮件的邮件跟踪事件详细信息。

Get-HistoricalSearch:使用此 cmdlet 可以查看在过去十天内执行的历史搜索的信息。

Start-HistoricalSearch – 使用此 cmdlet 可启动新的历史搜索。

Stop-HistoricalSearch – 使用此 cmdlet 可停止状态值为 NotStarted 的现有历史搜索。

要了解如何使用 Windows PowerShell 连接到 Exchange Online Protection,请参阅使用远程 PowerShell 连接到 Exchange Online Protection。要了解如何使用 Windows PowerShell 连接到 Exchange Online,请参阅使用远程 PowerShell 连接到 Exchange Online

超时错误的可能原因在于查询的处理时间过久。请考虑简化您的搜索条件。不妨考虑使用远程 PowerShell,因为它的超时要求更加宽松。

可能的原因如下:

  • 邮件检测为垃圾邮件。

  • 由于规则匹配,邮件被发送到隔离邮件。

  • 邮件被拒绝

    • 由恶意软件筛选器

      • 因为附加到邮件的文件包含恶意软件

      • 因为邮件正文包含恶意软件

    • 由规则

      • 因为操作被拒绝

      • 因为操作被强制 TLS,同时建立 TLS 失败

    • 由连接器,因为 TLS 是必需的,同时建立失败

  • 邮件正被审阅同时正等待批准,或者被审阅者拒绝。

  • 从未发送过邮件。

  • 邮件正在处理之中,因为上次出现失败,同时该服务正重新尝试传送。

  • 邮件无法传送到您的邮箱

    • 因为无法访问目标

    • 因为目标拒绝该邮件

    • 因为邮件在传送尝试期间超时

要找出所发生的情况,请运行邮件跟踪(请参阅Run a message trace)。尝试以尽可能缩小搜索结果的方式指定参数值。例如,您应知道邮件的发件人和目标收件人,以及发送它的时间周期。查看结果,找到邮件,然后查看有关邮件的特定详细信息(请参阅View message trace results for messages that are less than 7 days oldView message trace results for messages that are more than 7 days old)。寻找“已失败”或“挂起”传送状态,以解释邮件未收到的原因。确认已发送邮件,已被服务成功收到,未被筛选、重定向或发送进行审阅,同时未出现任何传送失败或延迟。

可能的原因如下:

  • 该邮件从隔离邮件中释放。

  • 该邮件正等待审阅者批准,同时已释放。

  • 该邮件是未检测到的垃圾邮件。

  • 该邮件与添加到邮件的规则匹配。

  • 该邮件被发送到通讯组列表,其中您是成员之一。

要找出所发生的情况,请运行邮件跟踪(请参阅Run a message trace)。尝试以尽可能缩小搜索结果的方式指定参数值。例如,指定接收邮件的收件人,设置传送状态为“已传送”,并基于收到邮件的时间设置时间周期。查看结果,找到邮件,然后查看有关邮件的特定详细信息(请参阅View message trace results for messages that are less than 7 days oldView message trace results for messages that are more than 7 days old)。以上列出的意外事件都可能导致您收到该邮件。

可能的原因如下:

  • 邮件检测为垃圾邮件。

  • 由于规则匹配,邮件被发送到隔离邮件。

  • 该邮件被重新路由,因为连接器将它发送到另一个目标。

  • 邮件被拒绝

    • 由恶意软件筛选器

      • 因为附加到邮件的文件包含恶意软件

      • 因为邮件正文包含恶意软件

    • 由规则

      • 因为操作被拒绝

      • 因为操作被强制 TLS,同时建立 TLS 失败

    • 由连接器,因为 TLS 是必需的,同时建立失败

  • 邮件正被审阅同时正等待批准,或者被审阅者拒绝。

  • 从未发送过邮件。

  • 邮件正在处理之中,因为上次出现失败,同时该服务正重新尝试传送。

  • 邮件无法传送到目标

    • 因为无法访问目标

    • 因为目标拒绝该邮件

    • 因为邮件在传送尝试期间超时

  • 邮件被传送到目标,但是在访问它之前已经被删除(可能的原因是它匹配一个规则)。

要找出所发生的情况,请运行邮件跟踪(请参阅Run a message trace)。尝试以尽可能缩小搜索结果的方式指定参数值。例如,您应知道邮件的发件人和目标收件人,以及发送它的时间周期。查看结果,找到邮件,然后查看有关邮件的特定详细信息(请参阅View message trace results for messages that are less than 7 days oldView message trace results for messages that are more than 7 days old)。寻找“已失败”或“挂起”传送状态,以解释邮件未传送的原因。确认已发送邮件,已被服务成功收到,未被筛选、重定向或发送进行审阅,同时未出现任何传送失败或延迟。如果目标无法送达,则您可以使用“收件人 IP”帮助解决连接问题。

可能的原因如下:

要找出所发生的情况,请运行邮件跟踪(请参阅Run a message trace)。尝试以尽可能缩小搜索结果的方式指定参数值。例如,您应知道邮件的发件人和目标收件人,以及发送它的时间周期。查看结果,找到邮件,然后查看有关邮件的特定详细信息(请参阅View message trace results for messages that are less than 7 days oldView message trace results for messages that are more than 7 days old)。事件部分将告诉您未传送邮件的原因。当查看事件时,时间戳信息允许您跟随邮件的传送管道,同时告诉您服务处理每个事件所花费的时间。事件详细信息还将通知您所传送的邮件是否过大,或者目标没有响应。

邮件被标记为垃圾邮件有多种原因。例如,发送 IP 地址似乎在服务的某个 IP 阻止列表上。邮件可能因实际邮件的内容而被标记为垃圾邮件,如当它与垃圾邮件内容筛选器的规则匹配时。邮件跟踪工具仅跟踪垃圾邮件内容筛选器事件;无法跟踪连接筛选器事件(例如,被阻止的 IP 地址)。有关垃圾邮件筛选的详细信息,包括垃圾邮件内容筛选,请参阅 Office 365 电子邮件反垃圾邮件保护

要查明为何邮件被标记为垃圾邮件,请运行邮件跟踪(参阅Run a message trace),在结果中找到邮件,然后查看关于邮件的详细信息(参阅View message trace results for messages that are less than 7 days oldView message trace results for messages that are more than 7 days old)。内容筛选器将邮件标记为垃圾邮件后,如果将其发送到了“垃圾邮件”文件夹或隔离文件夹,其状态将为“已发送”。您可以查看事件详细信息,以便查看邮件如何到达其目的地。例如,它可能通知您,该邮件被确定为具有高垃圾邮件可信度级别,或者匹配高级垃圾邮件筛选选项。还将通知您邮件被标记为垃圾邮件后所采取的操作,例如,如果它被发送到隔离邮件,使用 X-header 标记,或者通过高风险传送池发送它。

当邮件正文或附件中的属性匹配其中一个反恶意软件引擎的恶意软件定义时,该邮件将被检测为恶意软件。有关恶意软件筛选的详细信息,请参阅反恶意软件保护

要找出邮件被检测为包含恶意软件的原因,请运行邮件跟踪(请参阅Run a message trace)。尝试以尽可能缩小搜索结果的方式指定参数值。设置传送状态为“已失败”。查看结果,找到邮件,然后查看有关邮件的特定详细信息(请参阅View message trace results for messages that are less than 7 days oldView message trace results for messages that are more than 7 days old)。如果邮件因被确定包含恶意软件而未传送,该信息将在事件部分提供。例如,以下是一个示例“细节”:恶意软件:“ZipBomb 被检测到包含在附件 .zip 中。还将通知您检测到邮件包含恶意软件后所采取的操作,例如,是否阻止整个邮件,或删除所有附件,并使用警报文本文件替换。

要找出对邮件应用了哪些传输规则(自定义策略规则)或数据丢失防护 (DLP) 策略(仅限 Exchange Online 客户),请运行邮件跟踪(请参阅Run a message trace)。尝试以尽可能缩小搜索结果的方式指定参数值。设置传送状态为“已失败”。查看结果,找到邮件,然后查看有关邮件的特定详细信息(请参阅View message trace results for messages that are less than 7 days oldView message trace results for messages that are more than 7 days old)。如果邮件因其内容匹配一个规则而未传送,事件部分将告诉您所匹配传输规则的名称。还将通知您匹配传输规则后所采取的操作,例如,该邮件是否被隔离、拒绝、重定向、发送进行审阅、加密或任何数量的其他可能选项。有关如何创建 Exchange 传输规则并设置相关操作的信息,请参阅Exchange Online 中的邮件流规则(传输规则)

当邮件跟踪遇到不存在的传输规则时,就会返回规则 ID-1。(在发送原始邮件之后,传输规则就被修改或删除了。)

当使用邮件跟踪工具时,您应注意以下事项:

  • IP 阻止的邮件:被 IP 信誉阻止列表阻止的邮件会包含在实时报告的垃圾邮件数据中,但您无法对这些邮件执行邮件跟踪。

  • 重定向的邮件:如果收件人被传输规则重写,或者域的垃圾邮件操作被设置为“重定向到电子邮件地址”,则在单次搜索中邮件不可跟踪。可跟踪原始邮件,直到收件人被更改。之后,将无法使用原始收件人跟踪邮件。您可以使用新收件人再次跟踪邮件。

  • MAIL FROM:邮件跟踪工具使用初始化 SMTP 对话时显示的 MAIL FROM 值作为要搜索的发件人,无论邮件的 DATA 部分显示什么内容。该邮件可能显示答复地址或不同的收件人:或发件人值。如果电子邮件是通过进程而不是电子邮件客户端发送的,则 MAIL FROM 中的发件人将很有可能与实际邮件中的发件人不匹配。

  • 传输规则更新:如果邮件匹配传输规则,则规则 ID 会存储在邮件跟踪和实时报告数据库中。如果您跟踪其中一封邮件,或向下钻取报告中的规则详细信息,邮件跟踪和实时报告用户界面将基于报告数据库中的规则 ID 动态从托管服务网络提取当前规则信息。如果您在处理完邮件后更改了特定规则的属性(例如,从拒绝更改为允许),邮件跟踪和实时报表返回的结果的规则 ID 将保持相同,但是 Exchange 管理中心将显示新传输规则属性。您可以使用审核报告功能,以确定更改规则的时间以及更改的属性。

  • 已过滤垃圾邮件的邮件:内容筛选器将邮件标记为垃圾邮件后,如果将其发送到了“垃圾邮件”文件夹或隔离文件夹,其状态将为“已发送”。深入了解事件详细信息,以便查看邮件如何到达其目的地。

 
显示: