本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

執行訊息追蹤和檢視結果

Exchange Online
 

適用版本:Exchange Online, Exchange Online Protection

上次修改主題的時間:2016-06-24

以管理員身分您可以找出有何的電子郵件執行郵件追蹤Exchange 系統管理中心 (EAC) 中。之後執行郵件追蹤,您可以在清單中,檢視結果,然後檢視特定郵件的詳細。郵件追蹤資料是提供過去 90 天。如果郵件超過 7 天,則結果只能檢視中下載。CSV 檔案。

郵件追蹤和疑難排解工具其他郵件流程影片逐步解說,請參閱找出並修正為商務系統的 Office 365 的電子郵件傳遞問題

提示提示:
有問題嗎?在 Exchange 論壇中尋求協助。此論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection
如果您是商務系統Office 365 ,您還可以連絡 Office 365 商務支援

  1. 使用工作或學校帳戶登入 Office 365

  2. 選取應用程式啟動器圖示Office 365 應用程式啟動器中左上角,選擇 [管理

  3. 左下瀏覽窗格中展開 [系統管理,並選擇 [ Exchange

  4. 在Exchange 系統管理中心 (EAC),請移至 [郵件流程>郵件追蹤

    Exchange 系統管理中心的螢幕擷取畫面顯示從郵件流程瀏覽功能表中選取了訊息追蹤。

  1. 在 EAC 中,瀏覽至 [郵件流程>郵件追蹤

    Exchange 系統管理中心的螢幕擷取畫面顯示從郵件流程瀏覽功能表中選取了訊息追蹤。
  2. 視搜尋的內容而定,您可以在下列欄位中輸入值。針對低於 7 天的郵件,則不需要這些欄位。只要按一下 [搜尋],即可擷取預設期間 (過去 48 小時) 的所有郵件追蹤資料。

    1. 日期範圍   使用下拉式清單,選擇搜尋過去 24 小時、48 小時或 7 天內傳送或接收的郵件。您也可以選取過去 90 天內任何範圍的自訂時間範圍。您也可以變更自訂搜尋的時區 (國際標準時間 (UTC))。

    2. 傳遞狀態   使用下拉式清單,選取您要檢視相關資訊的郵件狀態。保留預設值 [全部],以涵蓋所有狀態。其他可能的值為:

      • 已傳遞   郵件已成功傳遞至預定的目的地。

      • 失敗   郵件未傳遞。已嘗試並且失敗,或因為篩選服務所採取的動作而未傳遞。例如,若郵件經判定確實包含惡意程式碼。

      • 擱置   正在嘗試或重新嘗試傳遞郵件。

      • 已展開   郵件已傳送至通訊群組清單並已展開,所以可個別檢視的清單成員。

      • 未知   此時的郵件傳遞狀態不明。列出查詢的結果後,傳遞詳細資料欄位不包含任何資訊。

      重要事項重要事項:
      如果您是針對超過 7 天的項目執行郵件追蹤,則無法選取 [擱置][未知]
    3. 郵件 ID   這是在具有「Message-ID」Token 之郵件的標頭中找到的網際網路訊息 ID (也稱為「用戶端 ID」)。使用者可為您提供此資訊,以便調查特定郵件。

      此 ID 的形式會視傳送郵件系統而有所不同。以下為範例:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

      注意事項注意事項:
      務必包括完整的l Message ID 字串。此可能包含角括弧 (<>)。

      此 ID 必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統的行為都相同。因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    4. 寄件者   您可以按一下 [寄件者] 欄位旁邊的 [新增寄件者] 按鈕,將搜尋範圍縮小為特定寄件者。在後續的對話方塊中,從使用者選擇器清單中選取您公司的一或多位寄件者,然後按一下 [新增]。若要新增不在清單上的寄件者,請輸入其電子郵件地址並按一下 [檢查名稱]。在此方塊中,電子郵件地址支援萬用字元,格式如下:*@contoso.com。指定萬用字元時,無法使用其他地址。當您完成選取時,請按一下 [確定]

    5. 收件者   您可以按一下 [收件者] 欄位旁邊的 [新增收件者] 按鈕,將搜尋範圍縮小為特定收件者。在後續的對話方塊中,從使用者選擇器清單中選取您公司的一或多位收件者,然後按一下 [新增]。若要新增不在清單上的收件者,輸入他們的電子郵件,然後按一下 [檢查名稱]。在此方塊中,電子郵件地址支援萬用字元,格式如下:*@contoso.com。指定萬用字元時,無法使用其他地址。當您完成選取時,請按一下 [確定]

  3. 如果您是搜尋超過 7 天的郵件,請指定下列參數值 (否則,您可以跳過此步驟):

    1. 報告包括郵件事件和路由詳細資料    只有在您的目標設為一或多個特定郵件時,我們才建議您選取此核取方塊,因為包括事件詳細資料會產生較大型的報告,因而需要較長時間進行處理。

    2. 方向   使用下拉式清單,選取是否要搜尋 [全部] 郵件 (這是預設值)、[輸入] 郵件會傳送至組織,或是從組織傳送的 [輸出] 郵件。

    3. 原始用戶端 IP 位址   指定寄件者用戶端的 IP 位址。

    4. 報告標題   指定此報告的唯一識別碼。這也會用作電子郵件通知的主旨行文字。預設值是 [郵件追蹤報告 <day of the week>, <current date> <current time>]。例如,[郵件追蹤報告 Thursday, October 17, 2013 7:21:09 AM]。

    5. 通知電子郵件地址   指定想要在郵件追蹤完成時接收到通知的電子郵件地址。此地址必須位於公認的網域清單內。

  4. 按一下 [搜尋] 以執行郵件追蹤。如果您快到在 24 小時的期間內可以執行的追蹤數量閾值,則會收到警告。

執行郵件追蹤報告之後,根據您追蹤的郵件是少於或超過 7 天而定,請繼續閱讀下列其中一節來了解如何檢視結果。

注意事項注意事項:
若要搜尋不同的郵件,您可以按一下 [清除] 按鈕,然後指定新的搜尋準則。

提示提示:
如需檢視超過 7 天之郵件的郵件追蹤結果的詳細資訊,請參閱 <檢視郵件追蹤結果的訊息會超過 7 天

在 EAC 中執行郵件追蹤後,將會依照日期列出結果,最近的郵件會最先出現。您可以按一下欄標頭,依照所列的任何欄位排序。再按一下欄標頭,就會反轉排序順序。檢視郵件追蹤結果時,系統會提供每封郵件的下列資訊:

  • 日期   服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。

  • 寄件者   採用 alias@domain 形式的寄件者電子郵件地址。

  • 收件者   收件者的電子郵件地址。若為傳送給一個以上收件者的郵件,每一個收件者有一行地址。如果收件者為一份通訊群組清單,此通訊群組清單會是第一個收件者,而通訊群組清單的每位成員會顯示於個別行上,以便您檢查所有收件者的狀態。

  • 主旨   郵件的主旨行文字。必要時,此主旨行會截短為前 256 個字元。

  • 狀態   此欄位指定郵件 [已傳遞] 給收件者或預定目的地、傳遞給收件者 [失敗] (因為無法送達其目的地,或因為已被篩選掉)、[擱置] 傳遞 (正在傳遞的過程中,或已延遲傳遞但正在重新嘗試中)、[已展開] (沒有傳遞,因為郵件傳送至已展開至 DL 收件者的通訊群組清單 (DL)),或其狀態為 [無] (沒有傳遞狀態,因為郵件已遭拒絕或重新導向至不同的收件者)。

注意事項注意事項:
郵件追蹤的顯示上限為 500 個項目。依預設,使用者介面每頁會顯示 50 個項目,而且您可以瀏覽這些頁面。您也可以變更每頁的項目數多寡,最多可到 500 個。

檢閱在 EAC 中執行郵件追蹤所傳回的項目清單之後,按兩下個別郵件,即可檢視有關郵件的下列詳細資料:

  • 郵件大小   包含附件的郵件大小,以位元組 (KB) 為單位,如果郵件大小大於 999 KB,則以 MB 為單位。

  • 郵件 ID   這是在具有「Message-ID」Token 之郵件的標頭中找到的網際網路訊息 ID (也稱為「用戶端 ID」)。此 ID 的形式會視傳送郵件系統而有所不同。以下為範例:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    此 ID 必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統的行為都相同。因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    這會以輸出形式提供,以便追蹤項目和有問題的郵件可以產生關聯。

  • 目標 IP   服務嘗試傳遞郵件的目標 IP 位址。如有多位收件者,則會顯示這些位址。對於傳送至 Exchange Online 的輸入郵件,此值為空白。

  • 來源 IP   傳送郵件的電腦 IP 位址。對於從 Exchange Online 傳送的輸出郵件,此值為空白。

在事件區段中,下列欄位提供當郵件通過訊息管線時所發生事件的相關資訊:

  • 日期   發生事件的日期和時間。

  • 事件   此欄位會簡短通知您發生什麼情況,例如:郵件是否已由服務接收、郵件是否已經傳遞或無法傳遞至預定的收件者等等。以下是可列出的事件範例:

    • RECEIVE   服務收到郵件。

    • SEND   服務傳送郵件。

    • FAIL   郵件無法傳遞。

    • DELIVER   郵件已傳遞至信箱。

    • EXPAND   郵件已傳遞至展開的通訊群組。

    • TRANSFER   由於內容轉換、郵件收件者限制或代理程式的緣故,收件者已移至複本發送的郵件。

    • DEFER   郵件傳遞已延遲,且稍後可能再試。

    • 已解析   根據 Active Directory 查閱,已將郵件重新導向至新的收件者地址。發生此情況時,原始收件者地址會伴隨著郵件的最終傳遞狀態,出現在郵件追蹤裡的另一列。

    提示提示:
    可能會出現其他事件;如需這些項目的詳細資訊,請參閱郵件追蹤中的<郵件追蹤記錄中的事件類型>小節。
  • 動作   如果郵件因為惡意程式碼或垃圾郵件偵測或規則相符而被篩選掉,此欄位會顯示已執行的動作。例如,它會讓您知道郵件是否已遭刪除,或已傳送至隔離區。

  • 詳細資料   此欄位提供的詳細資訊可詳細說明發生何種狀況。例如,它可通知您已符合哪一個特定傳輸規則,以及郵件因為該符合而發生何種狀況。它也會通知您在哪一個特定附件中偵測到哪一種特定惡意程式碼,或郵件為何被偵測為垃圾郵件。如果已成功傳遞郵件,即可告訴您郵件傳遞至的 IP 位址。

提示提示:
如需檢視少於 7 天之郵件的郵件追蹤結果的詳細資訊,請參閱View message trace results for messages that are less than 7 days old

如果您是針對超過 7 天的項目執行郵件追蹤,則按一下 [搜尋] 時應該會顯示郵件,讓您可以知道已順利提交郵件,以及在追蹤完成時將電子郵件通知傳送至提供的電子郵件地址。(如果已處理郵件追蹤,並且已順利擷取與搜尋準則相符的資料,此通知郵件將包括追蹤相關資訊以及可下載 .CSV 檔案的連結。如果找不到符合所指定搜尋準則的資料,則系統會要求您提交具有已變更準則的新要求,以取得有效結果。)

在 EAC 中,您可以按一下 [檢視擱置或已完成追蹤],以檢視已針對超過 7 天的項目執行的追蹤清單。在產生的 UI 中,會根據提交日期和時間來排序追蹤清單,並且先顯示最新的提交。除了報告標題、追蹤提交日期和時間以及報告中的郵件數目之外,還會列出下列狀態值:

  • 未啟動   已提交追蹤,但尚未執行。此時,您可以選擇取消追蹤。

  • 已取消   已提交追蹤,但已取消追蹤。

  • 進行中   追蹤正在執行,因此您無法取消追蹤或下載結果。

  • 已完成   追蹤已完成,因此您可以按一下 [下載此報告] 來擷取 .CSV 檔案形式的結果。請注意,如果摘要報告的郵件追蹤結果超過 5000 封郵件,則會截斷為前 5000 封郵件。如果詳細報告的郵件追蹤結果超過 3000 封郵件,則會截斷為前 3000 封郵件。如果您看不到所有需要的結果,則建議您將搜尋分成多個查詢。

當您選取特定郵件追蹤時,其他資訊會顯示在右窗格中。根據指定的搜尋準則,這可能會包括詳細資料 (例如,執行追蹤的日期範圍,以及郵件的寄件者和預定收件者)。

注意事項注意事項:
在 EAC 中 10 天後自動刪除郵件追蹤資料包含超過 7 天的資料。他們無法手動刪除。

當您下載和檢視郵件追蹤報告時 (從 EAC 中的 [檢視擱置或已完成追蹤] UI 或通知電子郵件),其內容取決於是否已選取 [報告包括郵件事件和路由詳細資料] 選項。

重要事項重要事項:
若要檢視下載的郵件追蹤報告,您必須將 [僅檢視收件者] RBAC 角色指派給角色群組。預設會將此角色指派給下列角色群組:[規範管理]、[服務台]、[檢疫管理]、[組織管理]、[僅限檢視組織管理]。

如果您在執行郵件追蹤時未包括路由詳細資料,下列資訊會包括在 .CSV 檔案中,此 .CSV 檔案可以在 Microsoft Excel 這類應用程式中開啟:

  • origin_timestamp   服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。

  • sender_address   採用 alias@domain 形式的寄件者電子郵件地址。

  • Recipient_status   將郵件傳遞至收件者的狀態。如果郵件已傳送至多個收件者,則會顯示所有收件者和其對應狀態,格式為:<email address>##<status>。例如,狀態:

    • [##接收、傳送] 表示服務已接收到郵件,並將郵件傳送至預定目的地。

    • [##接收、失敗] 表示服務已接收到郵件,但無法將郵件傳遞至預定目的地。

    • [##接收、傳遞] 表示服務已接收到郵件,並將郵件傳遞至收件者的信箱。

  • message_subject   郵件的主旨行文字。必要時,此主旨行會截短為前 256 個字元。

  • total_bytes   含附件的郵件大小 (位元組)。

  • message_id   這是在具有「Message-ID:」Token 之郵件的標頭中找到的網際網路訊息 ID (也稱為「用戶端 ID」)。此 ID 的形式會視傳送郵件系統而有所不同。以下為範例:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    此 ID 必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統的行為都相同。因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    這會以輸出形式提供,以便追蹤項目和有問題的郵件可以產生關聯。

  • network_message_id   這是唯一的郵件 ID 值,會持續存在於郵件所有因為複本發送或通訊群組展開等原因而產生的副本上。範例值是 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip   寄件者用戶端的 IP 位址。

  • directionality   此欄位表示是否將郵件傳送至組織 (輸入 (1)),或是否從組織傳送郵件 (輸出 (2))。

  • connector_id   來源或目的地「傳送」連接器或「接收」連接器的名稱。例如 ServerName\ConnectorNameConnectorName

  • delivery_priority   表示是否傳送優先順序為 [高][低][標準] 的郵件。

如果執行郵件追蹤時包含路由的詳細資訊,請中會包含來自郵件追蹤記錄檔的所有資訊。CSV 檔案,您可以在 Microsoft Excel之類的應用程式中開啟。此報告中包含的值的一些說明前] 區段中,而郵件追蹤主題 」 欄位中的郵件追蹤記錄檔 」 一節說明可能會很有用的調查目的其他值。

此外,custom_data 欄位可能包含篩選服務特有的值。各種不同的代理程式使用 AGENTINFO 事件中的 custom_data 欄位來記錄代理程式郵件處理的詳細資料。下面說明一些郵件資料保護相關代理程式。

垃圾郵件篩選代理程式 (S:SFA)

開頭為 S:SFA 的字串是來自垃圾郵件篩選代理程式的項目,以及提供下列重要詳細資料:

 

記錄資訊

描述

SFV=NSPM

郵件標記為非垃圾郵件,並傳送給預定的收件者。

SFV=SPM

內容篩選已將郵件標記為垃圾郵件。

SFV=BLK

已略過篩選,且郵件來自封鎖的寄件者,所以封鎖郵件。

SFV=SKS

內容篩選在處理郵件前,已將郵件標記為垃圾郵件。這包括符合傳輸規則因此自動標記為垃圾郵件,因而略過所有其他篩選的郵件。

SCL= <number>

如需不同 SCL 值和其意義的詳細資訊,請參閱垃圾郵件信賴等級

PCL= <number>

郵件的網路釣魚信賴等級 (PCL) 值。這些值的解譯方式與垃圾郵件信賴等級中所記載的 SCL 值相同。

DI=SB

已封鎖郵件的寄件者。

DI=SQ

已隔離郵件。

DI=SD

已刪除郵件。

DI=SJ

郵件已傳送至收件者的 [垃圾郵件] 資料夾。

DI=SN

已透過較高風險傳遞集區路由傳送郵件。如需詳細資訊,請參閱 外寄郵件的高風險傳遞集區

DI=SO

已透過標準輸出傳遞集區路由傳送郵件。

SFS=[a]|SFS=[b]

這表示已符合垃圾郵件規則。

IPV=CAL

因為 IP 位址指定於連線篩選的 [IP 允許] 清單中,所以已透過垃圾郵件篩選允許郵件。

H=[helostring]

連線郵件伺服器的 HELO 或 EHLO 字串。

PTR=[ReverseDNS]

傳送 IP 位址 (也稱為反向 DNS 位址) 的 PTR 記錄。

篩選郵件是否為垃圾郵件時,範例 custom_data 項目會與下面類似:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

惡意程式碼篩選代理程式 (S:AMA)

開頭為 S:AMA 的字串是來自反惡意程式碼代理程式的項目,以及提供下列重要詳細資料:

 

記錄資訊

描述

AMA=SUM|v=1|

AMA=EV|v=1

郵件已判定為包含惡意程式碼。SUM 表示任意數目的引擎偵測不到惡意程式碼。EV 表示特定引擎偵測到惡意程式碼。引擎偵測到惡意程式碼時,這會觸發後續動作。

Action=r

已取代郵件。

Action=p

已略過郵件。

Action=d

已延遲郵件。

Action=s

已刪除郵件。

Action=st

已略過郵件。

Action=sy

已略過郵件。

Action=ni

已拒絕郵件。

Action=ne

已拒絕郵件。

Action=b

已封鎖郵件。

Name=<malware>

偵測到之惡意程式碼的名稱。

File=<filename>

含有惡意程式碼之檔案的名稱。

郵件包含惡意程式碼時,範例 custom_data 項目會類似下面的內容:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

傳輸規則代理程式 (S:TRA)

開頭為 S:TRA 的字串是來自傳輸規則代理程式的項目,以及提供下列重要詳細資料:

 

記錄資訊

描述

ETR|ruleId=[guid]

已符合的規則 ID。

St=[datetime]

規則比對時的日期和時間 (UTC)。

Action=[ActionDefinition]

已套用的動作。如需可用動作的清單,請參閱郵件流程規則動作在 Exchange Online

Mode=Enforce

規則的模式。可能的值為:

  • 強制:將強制執行規則上的所有動作。

  • 搭配原則提示來測試:將會傳送任何「原則提示」動作,但將不會處理其他強制執行動作。

  • 不搭配原則提示就測試:動作將會列在記錄檔中,但是不會以任何方法通知寄件者,而且不會處理強制執行動作。

郵件符合傳輸規則時,範例 custom_data 項目會類似下面的內容:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

郵件追蹤常見問題集中顯示使用者可能遇到的郵件傳遞問題及可能的解答。其中也說明如何使用郵件追蹤工具來取得解答,以及對特定的郵件傳遞問題進行疑難排解。

可以執行郵件追蹤透過遠端 Windows PowerShell 而不是使用者介面吗?讓您可以用來執行郵件追蹤遠端Windows PowerShell cmdlet 的相關資訊。

 
顯示: