Exchange Online中的訊息追蹤常見問題

  • 發行項

本文提供使用者可能遇到的傳訊問題,以及可能的解答。 其中也說明如何使用郵件追蹤工具來取得解答,以及對特定的郵件傳遞問題進行疑難排解。

執行郵件追蹤時需要多久才能看到結果?

  • 在傳統 Exchange 系統管理中心 (傳統 EAC) 中,不到七天的郵件會立即顯示搜尋結果。
  • 在現代 Exchange 系統管理中心 (新式 EAC) 中,不到 10 天的訊息會立即顯示搜尋結果。

當您針對較舊的訊息執行訊息追蹤時,結果會在幾小時內以可下載的 CSV 檔案傳回。

注意事項

Microsoft Defender入口網站中的Exchange 訊息追蹤連結會在新式 EAC 中開啟訊息追蹤。

傳送的訊息需要多久的時間才會出現在訊息追蹤中?

傳送訊息時,訊息應該需要 5-10 分鐘才會出現在訊息追蹤資料中。

我可以透過 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 執行訊息追蹤嗎? 要使用哪些 Cmdlet?

您可以在 Exchange Online PowerShell 中使用下列 Cmdlet,或Exchange Online Protection PowerShell 來執行訊息追蹤:

Get-MessageTrace:追蹤不到 10 天的訊息。

Get-MessageTraceDetail:檢視特定訊息的訊息追蹤事件詳細資料。

Get-HistoricalSearch:使用此 Cmdlet 來檢視過去 10 天內執行的歷程記錄搜尋相關資訊。

Start-HistoricalSearch:針對小於 90 天的訊息開始新的歷程記錄搜尋。

Stop-HistoricalSearch:停止尚未啟動 (狀態值 NotStarted) 的佇列歷程記錄搜尋。

若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell

若要在沒有Exchange Online信箱的情況下連線到獨立 EOP 組織中的 Exchange Online Protection PowerShell,請參閱連線到 Exchange Online Protection PowerShell

在使用者介面執行郵件追蹤時,為什麼會收到逾時錯誤?

逾時錯誤的可能原因是查詢處理花費太多時間。 請簡化您的搜尋準則。 您可能想要考慮使用 Get-MessageTrace Cmdlet,其具有更寬鬆的逾時需求。

為什麼我沒收到預期的電子郵件?

以下是一些可能的原因:

  • 郵件被視為垃圾郵件。

  • 因為符合規則,郵件被送至隔離。

  • 郵件被拒絕

    • 根據惡意程式碼篩選器
    • 因為郵件附加的檔案包含惡意程式碼
    • 因為郵件內文包含惡意程式碼
    • 根據規則
    • 因為動作被拒絕
    • 因為動作是「強制 TLS」但是無法建立 TLS
    • 根據連接器,因為需要 TLS 但是無法予以建立

  • 郵件被送交仲裁,正在等候仲裁者核准或拒絕。

  • 郵件從未送出。

  • 訊息仍在處理中,因為先前發生失敗,且服務正在重新嘗試傳遞。

  • 郵件無法傳遞至您的信箱

    • 因為無法到達目的地
    • 因為目的地拒絕郵件
    • 因為郵件在嘗試傳遞期間逾時

若要瞭解發生什麼事:

執行訊息追蹤。 使用盡可能多的搜尋準則來縮小結果範圍。 例如,您應該知道郵件的寄件者和預定收件者或收件者,以及郵件傳送的一般期間。

檢視結果、找出訊息,然後檢視訊息的特定詳細資料 (請參 閱檢視七天以下訊息的訊息追蹤結果 或檢 視超過七天前 訊息的訊息追蹤結果) 。 尋找 [ 失敗 ] 或 [ 擱置 中] 的傳遞狀態,以說明為何未收到訊息。

確認訊息已傳送、服務已成功接收、未篩選、重新導向或傳送以進行仲裁,且未遇到任何傳遞失敗或延遲。

我為什麼收到非預期的郵件?

以下是一些可能的原因:

  • 郵件從隔離中釋放。
  • 郵件在等候仲裁者核准後已釋放。
  • 郵件是未偵測出來的垃圾郵件。
  • 郵件符合將您新增至郵件的規則。
  • 郵件是傳送給您隸屬的通訊群組清單。

若要瞭解發生什麼事:

執行訊息追蹤。 使用盡可能多的搜尋準則來縮小結果範圍。 例如,指定接收郵件的收件者、將傳遞狀態設定為 [ 已傳遞],並根據接收郵件的時間設定時間週期。

檢視結果、找出訊息,然後檢視訊息的特定詳細資料 (請參 閱檢視七天以下訊息的訊息追蹤結果 或檢 視超過七天前 訊息的訊息追蹤結果) 。

為什麼有人未收到我的訊息,或為什麼我收到此未傳遞報告 (也稱為 NDR 或退回的訊息) ?

可能原因包括:

  • 郵件被視為垃圾郵件。

  • 因為符合規則,郵件被送至隔離。

  • 訊息已重新路由傳送,因為連接器已將它傳送至另一個目的地。

  • 訊息遭到拒絕:

    • 根據惡意程式碼篩選器
    • 因為郵件附加的檔案包含惡意程式碼
    • 因為郵件內文包含惡意程式碼
    • 根據規則
    • 因為動作被拒絕
    • 因為動作是「強制 TLS」但是無法建立 TLS
    • 根據連接器,因為需要 TLS 但是無法予以建立

  • 郵件被送交仲裁,正在等候仲裁者核准或拒絕。

  • 郵件從未送出。

  • 訊息仍在處理中,因為先前發生失敗,且服務正在重新嘗試傳遞。

  • 無法將訊息傳遞至目的地:

    • 因為無法到達目的地
    • 因為目的地拒絕郵件
    • 因為郵件在嘗試傳遞期間逾時

  • 郵件已傳遞至目的地,但在存取前已遭刪除 (可能是因為符合規則)。

若要瞭解發生什麼事:

執行訊息追蹤。 使用盡可能多的搜尋準則來縮小結果範圍。 例如,您應該知道郵件的寄件者和預定收件者或收件者,以及郵件傳送的一般期間。

檢視結果、找出訊息,然後檢視訊息的特定詳細資料 (請參 閱檢視七天以下訊息的訊息追蹤結果 或檢 視超過七天前 訊息的訊息追蹤結果) 。

尋找 [ 失敗 ] 或 [ 擱置 中] 的傳遞狀態,以說明為何未傳遞訊息。 確認訊息已傳送、服務已成功接收、未篩選、重新導向或傳送以進行仲裁,且未遇到任何傳遞失敗或延遲。 如果無法連線到目的地,您可以使用 [至] IP 來協助針對連線問題進行疑難排解。

為什麼我的郵件需要這麼久的時間才能送達目的地? 它在管線的哪裡?

可能原因包括:

  • 預定目的地沒有回應。 這是最可能的情形。
  • 可能是大型郵件,所以需要較長的處理時間
  • 可能是服務端的延遲造成延誤
  • 訊息可能已被封鎖

若要瞭解發生什麼事:

執行訊息追蹤。 使用盡可能多的搜尋準則來縮小結果範圍。 例如,您應該知道郵件的寄件者和預定收件者或收件者,以及郵件傳送的一般期間。

檢視結果、找出訊息,然後檢視訊息的特定詳細資料 (請參 閱檢視七天以下訊息的訊息追蹤結果 或檢 視超過七天前 訊息的訊息追蹤結果) 。

事件區段會告訴您為什麼尚未傳遞訊息。 檢視事件時,時間戳記資訊可讓您透過傳訊管線追蹤訊息,並告訴您服務處理每個事件所需的時間長度。 事件詳細資料也會通知您傳遞的訊息是否很大,或目的地沒有回應。

郵件是否被標示為垃圾郵件?

郵件會因為數種原因而被標示為垃圾郵件。 例如,傳送 IP 位址可能會出現在服務的其中一個 IP 封鎖清單上。 郵件可能會因為實際的郵件內容而被標示為垃圾郵件,例如符合垃圾郵件內容篩選器的規則時。 郵件追蹤工具只能追蹤垃圾郵件內容篩選事件,無法追蹤連線篩選事件 (例如封鎖的 IP 位址)。 如需垃圾郵件篩選的詳細資訊,包括垃圾郵件內容篩選,請參閱Office 365 電子郵件反垃圾郵件保護

若要瞭解為何將郵件標示為垃圾郵件:

執行訊息追蹤、在結果中找出訊息,然後檢視訊息的特定詳細資料 (請參 閱檢視七天以下訊息的訊息追蹤結果 或檢 視超過七天前 訊息的訊息追蹤結果) 。

內容篩選將郵件標示為垃圾郵件時,如果將郵件傳送至 [垃圾郵件] 資料夾或隔離區,則其狀態為 [已傳遞]。 您可以檢視事件詳細資料,以查看郵件如何到達其目的地。 例如,可能會告知您郵件被判定為具有高垃圾郵件信賴等級,或是符合進階垃圾郵件篩選選項。 您也會收到因為訊息標示為垃圾郵件而發生的動作,例如,如果訊息已傳送至隔離區、加上 X 標頭的戳記,或是透過高風險傳遞集區傳送。

郵件是否被偵測出含有惡意程式碼?

當郵件的內容 (郵件內文或附件中) 符合其中一個反惡意程式碼引擎的惡意程式碼定義時,郵件就會被視為惡意程式碼。 如需惡意程式碼篩選的詳細資訊,請參閱 反惡意程式碼保護

若要瞭解為何偵測到訊息包含惡意程式碼, 請執行訊息追蹤。 使用盡可能多的搜尋準則來縮小結果範圍。 將傳遞狀態設定為 [失敗]

檢視結果、找出訊息,然後檢視訊息的特定詳細資料 (請參 閱檢視七天以下訊息的訊息追蹤結果 或檢 視超過七天前 訊息的訊息追蹤結果) 。

如果訊息因為判斷為包含惡意程式碼而尚未傳遞,則會在事件區段中提供這項資訊。 例如,以下是範例詳細資料:在附件檔案中偵測到惡意程式碼:「ZipBomb」。zip。 您也會收到因包含惡意程式碼的訊息而發生的動作,例如,如果整個郵件遭到封鎖,或所有附件都已刪除,並以警示文字檔取代。

哪些郵件流程規則 (也稱為傳輸規則) 或 DLP 原則已套用至郵件?

若要找出哪一個郵件流程規則 (自訂原則規則) 或資料外泄防護 (DLP) 原則 (Exchange Online 客戶只套用至郵件) ,請執行郵件追蹤。 使用盡可能多的搜尋準則來縮小結果範圍。 將傳遞狀態設定為 [失敗]

檢視結果、找出訊息,然後檢視訊息的特定詳細資料 (請參 閱檢視七天以下訊息的訊息追蹤結果 或檢 視超過七天前 訊息的訊息追蹤結果) 。

如果郵件內容符合規則而未傳遞,事件區段會讓您知道相符的郵件流程規則名稱。 您也會收到因郵件流程規則相符而發生的動作,例如郵件是否遭到隔離、拒絕、重新導向、傳送以進行仲裁、解密,或任何其他可能的選項數目。 如需如何建立 Exchange 郵件流程規則並為其設定動作的相關資訊,請參閱 Exchange Online 中) 的郵件流程規則 (傳輸規則

當我執行訊息追蹤時,它會傳回規則 ID-1。 這代表什麼意思?

當郵件追蹤遇到不再存在的郵件流程規則時,會傳回規則 ID-1。 (在傳送原始郵件之後,郵件流程規則可能已修改或刪除。)

關於使用郵件追蹤工具,還有什麼我需要知道的已知限制或行為說明?

使用郵件追蹤工具時請謹記下列幾點:

  • IP 封鎖的郵件:IP 信譽封鎖清單封鎖的郵件會包含在垃圾郵件資料中以供即時報告使用,但您無法在這些訊息上執行郵件追蹤。

  • 重新導向的郵件:如果郵件流程規則會重寫收件者,或因為網域的垃圾郵件動作設定為 [重新導向至電子郵件地址],則無法在單一搜尋中追蹤郵件。 您可以追蹤原始郵件,直到收件者改變時。 在那之後,就無法使用原始的收件者來追蹤郵件。 您可以使用新收件者重新追蹤郵件。

  • MAIL FROM:無論郵件的 DATA 區段顯示什麼,郵件追蹤工具都會使用 SMTP 交談起始時顯示的 MAIL FROM 值作為搜尋中的寄件者。 郵件可能顯示 Reply-to 地址或不同的 From:或 Sender 值。 如果電子郵件訊息是由進程所傳送,而不是由電子郵件用戶端傳送,則 MAIL FROM 中的寄件者與實際郵件中的寄件者不相符的可能性會增加。

  • 郵件流程規則更新:當郵件符合郵件流程規則時,規則識別碼會儲存在郵件追蹤和即時報告資料庫中。 如果您追蹤其中一則訊息,或向下切入報表中的規則詳細資料、訊息追蹤,以及即時報告使用者介面,會根據報表資料庫中的規則識別碼,從託管服務網路動態提取目前的規則資訊。 如果您在處理郵件後變更了該特定規則的屬性, (將其從 [拒絕] 變更為 [允許],例如) ,規則識別碼在郵件追蹤中會保持不變,並即時報告傳回的結果,但 Exchange 系統管理中心會顯示新的郵件流程規則屬性。 您可使用稽核報告功能來判定規則的變更時間以及變更的內容。

  • 垃圾郵件篩選郵件:內容篩選將郵件標示為垃圾郵件時,如果將郵件傳送至 [垃圾郵件] 資料夾或隔離區,則其狀態為 [已傳遞]。 深入了解事件詳細資料,以查看郵件如何到達其目的地。

相關資訊

追蹤電子郵件