Seguimiento de mensajes en el nuevo Centro de administración de Exchange en Exchange Online

El seguimiento de mensajes en el nuevo Centro de administración de Exchange (EAC) sigue los mensajes de correo electrónico a medida que viajan a través de su organización de Microsoft 365. Puede determinar si el servicio recibió, rechazó, aplazó o entregó un mensaje. El seguimiento de mensajes también muestra qué acciones se realizaron en el mensaje antes de que alcanzara su estado final.

El seguimiento de mensajes en el nuevo EAC mejora el seguimiento de mensajes original que estaba disponible en el EAC clásico. Puede usar la información del seguimiento de mensajes para responder de forma eficaz a las preguntas del usuario sobre lo que ocurrió con los mensajes, para solucionar problemas de flujo de correo y para validar los cambios de directiva.

¿Qué necesita saber antes de empezar?

  • Debe tener asignados permisos para poder realizar los procedimientos de este artículo. Tiene las siguientes opciones:

    • Exchange Online permisos: pertenencia al grupo de roles Administración de la organización.
    • Microsoft Entra permisos: la pertenencia a los roles administrador global o administrador de Exchange proporciona a los usuarios los permisos y permisos necesarios para otras características de Microsoft 365.
  • El número máximo de mensajes que se muestran en los resultados depende del tipo de informe seleccionado. Para obtener más información, consulte los resultados del seguimiento de mensajes. El cmdlet Get-HistoricalSearch de Exchange Online PowerShell devuelve todos los mensajes de los resultados.

Abrir seguimiento de mensajes

En el nuevo EAC en https://admin.exchange.microsoft.com, vaya aSeguimiento de mensajes de flujo> de correo. O bien, para ir directamente a la página Seguimiento de mensajes, use https://admin.exchange.microsoft.com/#/messagetrace.

Página de seguimiento de mensajes

En la página Seguimiento de mensajes, puede iniciar un nuevo seguimiento predeterminado seleccionando Iniciar un seguimiento.

En el control flotante Nuevo seguimiento de mensajes que se abre, las selecciones predeterminadas buscan todos los mensajes de todos los remitentes y destinatarios de los últimos dos días. O bien, puede usar una de las consultas almacenadas desde las pestañas disponibles (tal y como está o como punto de partida para sus propias consultas):

  • Consultas predeterminadas: consultas integradas proporcionadas por Microsoft 365.
  • Consultas personalizadas: consultas guardadas por los administradores de la organización para su uso futuro.
  • Consultas guardadas automáticamente: las últimas 10 consultas ejecutadas más recientemente. Esta lista facilita la recogida desde el lugar donde lo dejó.

La pestaña Informes descargables muestra las solicitudes de informe descargables y los propios informes cuando están disponibles para su descarga.

Página Seguimiento de mensajes en el nuevo EAC.

Opciones para un nuevo seguimiento de mensajes

En las secciones siguientes se describen los valores disponibles en el control flotante Nuevo seguimiento de mensajes que se abre al seleccionar Iniciar un seguimiento o abrir un seguimiento existente.

Control flotante Nuevo seguimiento de mensajes en el nuevo EAC.

Remitentes y destinatarios

El valor predeterminado para Remitentes y destinatarios es Todos, pero puede especificar valores específicos:

  • Remitentes: haga clic en el cuadro y empiece a escribir para escribir o seleccionar uno o varios remitentes de su organización.
  • Destinatarios: haga clic en el cuadro y empiece a escribir para escribir o seleccionar uno o varios destinatarios de su organización.

Puede escribir las direcciones de correo electrónico de remitentes y destinatarios externos. Se admiten caracteres comodín (por ejemplo, *@contoso.com), pero no se pueden usar varios caracteres comodín en un valor.

Puede pegar varias listas de remitentes o destinatarios separadas por punto y coma (;), espacios (\s), retornos de carro (\r) o líneas nuevas (\n).

Intervalo de tiempo

En la sección Intervalo de tiempo , el valor predeterminado es 2 días, pero puede especificar intervalos de fecha y hora de hasta 90 días. Cuando use intervalos de fecha y hora, tenga en cuenta los siguientes problemas:

  • De forma predeterminada, selecciona el intervalo de tiempo en la vista Control deslizante mediante una escala de tiempo.

    Intervalo de tiempo del control deslizante en un nuevo seguimiento de mensajes en el nuevo EAC.

    Al guardar una consulta en la vista Control deslizante , se guarda el intervalo de tiempo relativo (por ejemplo, dos días a partir de hoy).

  • Puede cambiar a la vista Intervalo de tiempo personalizado para especificar los valores siguientes:

    • Zona horaria: se aplica a las entradas de consulta y a los resultados de la consulta.
    • Fecha de inicio: fecha y hora.
    • Fecha de finalización: fecha y hora.

    Intervalo de tiempo personalizado en un nuevo seguimiento de mensajes en el nuevo EAC.

    Al guardar una consulta en la vista Intervalo de tiempo personalizado , se guarda el intervalo de fecha y hora absoluto (por ejemplo, 2023-05-06 13:00 to 2023-05-08 18:00).

Durante 10 días o menos, los resultados están disponibles al instante como un informe de resumen.

Si especifica un intervalo de fecha y hora que sea incluso ligeramente mayor que 10 días:

  • Los resultados solo están disponibles como un archivo CSV descargable (un informe de resumen mejorado o un informe extendido).
  • Los resultados se preparan mediante datos de seguimiento de mensajes archivados. El informe puede tardar varias horas en descargarse. En función de cuántos otros administradores también han enviado solicitudes de informe aproximadamente al mismo tiempo, también es posible que observe un retraso antes de que se inicie el procesamiento en una solicitud en cola.

Opciones de búsqueda detalladas

En la sección Opciones de búsqueda detalladas , están disponibles las siguientes opciones:

  • Estado de entrega: están disponibles los siguientes valores:

    • Todo: este es el valor predeterminado.
    • Entregado: el mensaje se entregó correctamente en el destino previsto.
    • Expandido: se expandió un destinatario del grupo de distribución antes de la entrega a los miembros individuales del grupo.
    • Error: el mensaje no se entregó.
    • Pendiente*: se intenta o se vuelve a intentar la entrega del mensaje.
    • *En cuarentena: el mensaje se puso en cuarentena (como correo no deseado, correo masivo o phishing). Para obtener más información, vea Mensajes de correo electrónico en cuarentena en EOP.
    • Filtrado como correo no deseado*: el mensaje se identificó como correo no deseado y se rechazó o bloqueó (no se puso en cuarentena).
    • Obtención del estado: Microsoft 365 ha recibido recientemente el mensaje, pero aún no hay ningún otro dato de estado disponible. Puede volver a comprobarlo en unos minutos.

    * Este valor solo está disponible en las búsquedas que tienen menos de 10 días.

    Nota:

    puede haber un retraso de entre cinco y diez minutos entre los valores de estado de entrega notificados y reales y notificados.

  • Id. de mensaje: el id. de mensaje de Internet (también conocido como id. de cliente) que se encuentra en el campo encabezado Message-ID del encabezado del mensaje. Los usuarios pueden proporcionarle este valor para investigar mensajes específicos.

    Este valor es constante mientras dura el mensaje. Para los mensajes creados en Microsoft 365 o Exchange, el valor id. de mensaje usa el formato <GUID@ServerFQDN>, incluidos los corchetes angulares. Por ejemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Otros sistemas de correo electrónico pueden usar valores o sintaxis diferentes. Se supone que este valor es único, pero no todos los sistemas de correo electrónico siguen estrictamente este requisito. Si el campo de encabezado Message-ID: no existe o está en blanco para los mensajes entrantes de orígenes externos, se asigna un valor arbitrario.

    Cuando use id. de mensaje para filtrar los resultados, asegúrese de incluir la cadena completa, incluidos los corchetes angulares.

  • Dirección: seleccione uno de los valores siguientes:

    • Todo: este es el valor predeterminado.
    • Entrante: mensajes enviados a los destinatarios de la organización.
    • Saliente: mensajes enviados desde usuarios de la organización.
  • Dirección IP del cliente original: dirección IP del equipo o dispositivo cliente del remitente de correo electrónico. Puede usar este filtro para investigar equipos hackeados que envían grandes cantidades de spam o malware. Aunque parezca que los mensajes proceden de varios remitentes, es probable que el mismo equipo esté generando todos los mensajes.

    Nota:

    La información de la dirección IP del cliente solo está disponible durante 10 días y solo en el informe de resumen mejorado o en el informe extendido (archivos CSV descargables).

Tipo de informe

Los tipos de informe disponibles son:

  • Informe de resumen: disponible si el intervalo de tiempo es inferior a 10 días y no requiere ninguna otra opción de filtrado. Los resultados están disponibles casi inmediatamente después de seleccionar Buscar. El informe devuelve hasta 20 000 resultados.

    Seleccione Buscar para iniciar el seguimiento del mensaje. Se le llevará a la página Resultados de la búsqueda de seguimiento de mensajes, tal como se describe en la sección Resultados del informe de resumen .

    Las últimas 10 consultas de informe de resumen están disponibles en la pestaña Consultas guardadas automáticamente de la página Seguimiento de mensajes.

  • Informe de resumen mejorado: incluye la información en el informe de resumen más otros detalles (por ejemplo, la dirección y la dirección IP del cliente original). Solo está disponible como un archivo CSV descargable. El informe devuelve hasta 100 000 resultados.

  • Informe extendido: incluye la misma información que el informe de resumen extendido y detalles completos del evento de enrutamiento y mensaje. Solo está disponible como un archivo CSV descargable. El informe devuelve hasta 1000 resultados.

    El informe de resumen mejorado y el informe extendido requieren una o varias de las siguientes opciones de filtrado, independientemente del intervalo de tiempo: remitentes, destinatarios o identificador de mensaje.

    El informe de resumen mejorado y el informe extendido se preparan mediante datos de seguimiento de mensajes archivados. El informe puede tardar varias horas en descargarse. En función de cuántos otros administradores también han enviado solicitudes de informe aproximadamente al mismo tiempo, también es posible que observe un retraso antes de que se inicie el procesamiento en una solicitud en cola.

    Aunque puede seleccionar el informe de resumen mejorado o el informe extendido para cualquier intervalo de fecha y hora, las últimas 24 horas de datos archivados no suelen estar disponibles.

    El tamaño máximo de un archivo CSV descargable es de 800 MB. Si un informe descargable supera los 800 MB, no puede abrir el informe en Excel ni en el Bloc de notas.

    Al seleccionar Siguiente, se le llevará a un control flotante de resumen que enumera las opciones de filtrado seleccionadas, un título único (editable) para el informe y la dirección de correo electrónico para recibir la notificación cuando se complete el seguimiento del mensaje (también editable y debe estar en uno de los dominios aceptados de su organización).

    Seleccione Preparar informe para enviar el seguimiento del mensaje. Puede ver el estado del informe en la pestaña Informes descargables . Para obtener más información sobre los datos devueltos, consulte las secciones Informes de resumen mejorado e Informes extendidos .

Resultados del seguimiento de mensajes

Los distintos tipos de informe devuelven distintos niveles de información. La información disponible en los distintos informes se describe en las secciones siguientes:

Salida del informe de resumen

Después de ejecutar el seguimiento del mensaje, los resultados se ordenan por fecha y hora descendentes (primero los eventos más recientes).

El informe Resumen contiene la siguiente información:

  • Fecha: fecha y hora a la que el servicio recibió el mensaje mediante la zona horaria UTC configurada.
  • Remitente: dirección de correo electrónico del remitente (dominio de alias@).
  • Destinatario: dirección de correo electrónico del destinatario. Si el mensaje tiene varios destinatarios, cada destinatario está en una línea independiente. Si el destinatario es un grupo de distribución, un grupo de distribución dinámico o un grupo de seguridad habilitado para correo, el grupo es el primer destinatario, seguido de cada miembro del grupo en una línea independiente.
  • Asunto: los primeros 256 caracteres del campo Asunto: del mensaje.
  • Estado: estos valores se describen en la sección Opciones de búsqueda detalladas .

De forma predeterminada, los primeros 250 resultados se cargan y están disponibles fácilmente. Cuando se desplaza hacia abajo, hay una ligera pausa a medida que se carga el siguiente lote de resultados, hasta un máximo de 10 000.

Para ordenar las entradas, haga clic en un encabezado de columna disponible.

En la pestaña Email, puede reducir el espaciado vertical de la lista haciendo clic en Cambiar vista y, a continuación, seleccionando Compactar lista.

Use el cuadro Buscar y un valor correspondiente para buscar entradas específicas. No se admiten caracteres comodín

Para obtener filtros más avanzados que también puede guardar y usar más adelante, seleccione Filtrar y, a continuación, seleccione Nuevo filtro. En el control flotante Filtro personalizado que se abre, escriba la siguiente información:

  • Nombre del filtro: escriba un nombre único.

  • Agregue una cláusula de filtro escribiendo la siguiente información:

    • Campo: seleccione entre los valores siguientes:
      • Sender
      • Destinatario
      • Asunto
      • Estado
    • Operador: la selección comienza con o es .
    • Valor: escriba el valor que desea buscar.

    Puede seleccionar Agregar nueva cláusula y repetir el paso anterior tantas veces como sea necesario. Varias cláusulas usan lógica AND (<cláusula 1> y <2>...).

    Para quitar una cláusula de filtro, seleccione Remove clause (Quitar cláusula ) junto a la entrada.

    Cuando haya terminado en el control flotante Filtro personalizado , seleccione Guardar. El nuevo filtro se carga automáticamente y los resultados filtrados se muestran en la página Resultados de búsqueda de seguimiento de mensajes. Este resultado es el mismo que al seleccionar Filtro y, a continuación, seleccionar el filtro existente en la sección Filtros personalizados de la lista.

    Para descargar un filtro existente y volver a la información predeterminada que se muestra en la página Resultados de búsqueda de seguimiento de mensajes, seleccione >Borrar todos los filtros.

Seleccione Editar seguimiento de mensajes para editar los criterios de búsqueda.

Use Exportar resultados para exportar los resultados mostrados a un archivo CSV.

Seleccione Actualizar para actualizar los resultados.

Los registros de mensajes relacionados son registros que comparten el mismo identificador de mensaje. Recuerde que incluso un único mensaje enviado entre dos personas puede generar varios registros. El número de registros aumenta cuando el mensaje se ve afectado por la expansión del grupo de distribución, el reenvío, las reglas de flujo de correo (también conocidas como reglas de transporte), etc.

En el área en blanco situada junto a la columna Fecha , active la casilla de verificación redonda que aparece junto a la entrada. Las siguientes acciones aparecen en la página Resultados de seguimientos de mensajes:

Para obtener más información sobre el identificador de mensaje, consulte la sección Opciones de búsqueda detalladas .

Detalles del seguimiento del mensaje

En la salida del informe de resumen, puede ver los detalles de un mensaje haciendo clic en cualquier lugar de la fila que no sea la casilla de verificación redonda que aparece junto al valor De fecha .

El control flotante de detalles que se abre después de hacer clic en una fila del seguimiento del mensaje de informe de resumen da como resultado el nuevo EAC.

El error de detalles que se abre contiene la siguiente información que no está presente en el informe de resumen:

  • Eventos de mensaje: después de expandir esta sección, puede ver clasificaciones que ayudan a clasificar las acciones que el servicio realiza en los mensajes. Algunos de los eventos más interesantes que puede encontrar son:

    • Recibir: el servicio recibió el mensaje.
    • Enviar: el servicio envió el mensaje.
    • Error: no se pudo entregar el mensaje.
    • Entregar: el mensaje se entregó en un buzón de correo.
    • Expandir: el mensaje se envió a un grupo de distribución que se expandió.
    • Transferencia: los destinatarios se han movido a un mensaje bifurcado debido a la conversión de contenido, los límites de destinatarios del mensaje o los agentes.
    • Aplazar: la entrega del mensaje se pospuso y puede que se vuelva a tentar más adelante.
    • Resuelto: el mensaje se redirigió a una nueva dirección de destinatario en función de una búsqueda de Active Directory. Cuando se produce este evento, la dirección del destinatario original aparece en una fila independiente del seguimiento del mensaje junto con el estado de entrega final del mensaje.
    • Regla DLP: el mensaje tenía una coincidencia de regla DLP.
    • Etiqueta de confidencialidad: Se produjo un evento de etiquetado del lado servidor. Por ejemplo, se agregó automáticamente una etiqueta a un mensaje que incluye una acción para cifrar o se agregó a través del cliente web o móvil. El servidor Exchange completa esta acción y se registra. Una etiqueta agregada a través de Outlook no se incluye en el campo de evento.

    Notas:

  • Más información: Después de expandir esta sección, puede ver los detalles siguientes:

    • Id. de mensaje: este valor se describe en la sección Opciones de búsqueda detalladas . Un ejemplo de un valor de id. de mensaje es <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
    • Tamaño del mensaje: tamaño del mensaje enviado, incluidos datos adjuntos, imágenes o texto.
    • Desde IP: la dirección IP del equipo que envió el mensaje. Para los mensajes salientes enviados desde Exchange Online, este valor está en blanco.
    • A IP: las direcciones IP a las que el servicio intentó entregar el mensaje. Si el mensaje tiene varios destinatarios, se muestran estas direcciones. Para los mensajes entrantes enviados a Exchange Online, este valor está en blanco.

Informes de resumen mejorados

Un informe de resumen mejorado está disponible en la pestaña Informes descargables de la página Seguimiento de mensajes:

  • Los informes que están disponibles para descargar tienen el valor Estadocompletado
  • Los informes que no están disponibles para descargar tienen los valores EstadoNo iniciado o En curso.

La siguiente información está disponible en el archivo CSV del informe de resumen mejorado :

  • *origin_timestamp: fecha y hora en que el servicio recibió inicialmente el mensaje mediante la zona horaria UTC configurada.
  • sender_address: dirección de correo electrónico del remitente (dominio de alias@).
  • Recipient_status: estado de la entrega del mensaje al destinatario. Si el mensaje se envió a varios destinatarios, muestra todos los destinatarios y el estado correspondiente de cada uno, en el formato: < dirección >de correo electrónico##<estado>. Algunos ejemplos de los estados de destinatario son:
    • ##Receive, Enviar significa que el servicio recibió el mensaje y se envió al destino previsto.
    • ##Receive, Fail significa que el servicio recibió el mensaje, pero se produjo un error en la entrega al destino previsto.
    • ##Receive, Deliver significa que el servicio recibió el mensaje y se entregó en el buzón del destinatario.
  • message_subject: los primeros 256 caracteres del campo Asunto del mensaje.
  • total_bytes: tamaño del mensaje en bytes, incluidos los datos adjuntos.
  • message_id: este valor se describe en la sección Opciones de búsqueda detalladas . Un ejemplo de un valor de message_id es <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • network_message_id: valor de identificador de mensaje único que persiste en todas las copias del mensaje que se pueden crear debido a la bifurcación o expansión del grupo de distribución. Un ejemplo de network_message_id valor es 1341ac7b13fb42ab4d4408cf7f55890f.
  • original_client_ip: dirección IP del servidor SMTP del remitente.
  • direccionalidad: indica si el mensaje se envió entrante (a su organización) o saliente (desde su organización).
  • connector_id: nombre del conector de origen o de destino. Para obtener más información sobre los conectores de Exchange Online, consulte Configuración del flujo de correo mediante conectores en Office 365.
  • *delivery_priority: si el mensaje se envió con prioridad Alta, Baja o Normal.

* Estas propiedades solo están disponibles en un informe de resumen mejorado.

Informes extendidos

Un informe extendido está disponible en la pestaña Informes descargables de la página Seguimiento de mensajes:

  • Los informes que están disponibles para descargar tienen el valor Estadocompletado
  • Los informes que no están disponibles para descargar tienen los valores EstadoNo iniciado o En curso.

La siguiente información está disponible en el archivo CSV de informe mejorado :

  • client_ip: dirección IP del servidor de correo electrónico o cliente de mensajería que envió el mensaje.

  • client_hostname: nombre de host o FQDN del servidor de correo electrónico o cliente de mensajería que envió el mensaje.

  • server_ip: dirección IP del servidor de origen o de destino.

  • server_hostname: nombre de host o FQDN del servidor de destino.

  • source_context: información adicional asociada al campo de origen . Por ejemplo:

    • Protocol Filter Agent
    • 3489061114359050000
  • source: componente de Exchange Online responsable del evento. Por ejemplo:

    • AGENT
    • MAILBOXRULE
    • SMTP
  • event_id: este valor corresponde a los valores de evento Message que se explican en Buscar registros relacionados para este mensaje.

  • internal_message_id: identificador de mensaje asignado por el servidor de Exchange Online que está procesando actualmente el mensaje.

  • recipient_address: las direcciones de correo electrónico de los destinatarios del mensaje. Si hay varias direcciones de correo electrónico, se separan por punto y coma (;).

  • recipient_count: el número total de destinatarios del mensaje.

  • related_recipient_address: presente con EXPANDeventos , REDIRECTy RESOLVE para mostrar las direcciones de correo electrónico de otros destinatarios asociadas al mensaje.

  • reference: este campo contiene información adicional para tipos específicos de eventos. Por ejemplo:

    • DSN: contiene el vínculo del informe, que es el valor message_id de la notificación de estado de entrega asociada (también conocida como DSN, informe no entrega, NDR o mensaje de devolución) si se genera un DSN posterior a este evento. Si este mensaje es un mensaje DSN, este campo contiene el valor message_id del mensaje original para el que se generó el DSN.

    • EXPAND: contiene el valor related_recipient_address de los mensajes relacionados.

    • RECEIVE: puede contener el valor message_id del mensaje relacionado si el mensaje lo generaron otros procesos (por ejemplo, reglas de bandeja de entrada).

    • SEND: contiene el valor internal_message_id de cualquier mensaje DSN.

    • TRANSFER: contiene el valor internal_message_id del mensaje que se bifurca (por ejemplo, por conversión de contenido, límites de destinatarios de mensajes o agentes).

    • MAILBOXRULE: contiene el valor internal_message_id del mensaje entrante que hizo que la regla bandeja de entrada generara el mensaje saliente.

      Para otros tipos de eventos, este campo (internal_message_id) está en blanco.

  • return_path: la dirección de correo electrónico de devolución especificada por el comando MAIL FROM que envió el mensaje. Aunque este campo nunca está vacío, puede tener el valor de dirección del remitente nulo representado como <>.

  • message_info: información adicional sobre el mensaje. Por ejemplo:

    • Fecha y hora de origen del mensaje en UTC para DELIVER eventos y SEND . La fecha y hora de origen es la hora en que el mensaje entró por primera vez en la organización Exchange Online. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, donde yyyy = año, mm = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar utc.
    • Errores de autenticación. Por ejemplo, es posible que vea el valor 11a y el tipo de autenticación que se usó cuando se produjo el error de autenticación.
  • tenant_id: valor GUID que representa la organización Exchange Online (por ejemplo, 39238e87-b5ab-4ef6-a559-af54c6b07b42).

  • original_server_ip: dirección IP del servidor original.

  • custom_data: contiene datos relacionados con tipos de eventos específicos. Para obtener más información, vea las siguientes secciones:

custom_data valores

Varios agentes de Exchange Online usan el campo custom_data de un AGENTINFO evento para registrar los detalles del procesamiento de mensajes. Algunos de los agentes más interesantes se describen en las secciones siguientes.

Agente de filtro de correo no deseado

Un valor de custom_data que comienza por S:SFA es del agente de filtro de correo no deseado. Para obtener más información, vea Campos de encabezado del mensaje X-Forefront-Antispam-Report.

Un ejemplo de un valor de custom_data para un mensaje filtrado por correo no deseado tiene este aspecto:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente de filtro de malware

Un valor de custom_data que comienza por S:AMA es del agente de filtro de malware. Los detalles clave se describen en la tabla siguiente:

Valor Descripción
AMA=SUM|v=1| o AMA=EV|v=1 Se determinó que el mensaje contiene malware. SUM indica que cualquier número de motores podría haber detectado el malware. EV indica que un motor específico detectó el malware. Cuando un motor detecta malware, se desencadenan las acciones posteriores.
Action=r El mensaje se reemplazó.
Action=p El mensaje se omitió.
Action=d El mensaje se difirió.
Action=s El mensaje se eliminó.
Action=st El mensaje se omitió.
Action=sy El mensaje se omitió.
Action=ni El mensaje se rechazó.
Action=ne El mensaje se rechazó.
Action=b El mensaje se bloqueó.
Name=<malware> Se detectó el nombre del malware.
File=<filename> El nombre del archivo que contiene el malware.

Un ejemplo de un valor de custom_data para un mensaje que contiene malware tiene este aspecto:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agente de regla de transporte

Un valor de custom_data que comienza porS:TRA es del agente de regla de transporte para las reglas de flujo de correo (también conocidas como reglas de transporte). Los detalles clave se describen en la tabla siguiente:

Valor Descripción
ETR|ruleId=<guid> El identificador de regla coincidente.
St=<datetime> Fecha y hora en UTC cuando se produjo la coincidencia de regla.
Action=<ActionDefinition> La acción que se aplicó. Para obtener una lista de las acciones disponibles, consulte Acciones de regla de flujo de correo en Exchange Online.
Mode=<Mode> El modo de la regla. Los valores admitidos son:
  • Aplicar: se aplican todas las acciones de la regla.
  • Probar con sugerencias de directiva: se envían todas las acciones de sugerencias de directiva, pero otras acciones de cumplimiento no se actúan.
  • Probar sin sugerencias de directiva: las acciones se enumeran en un archivo de registro, pero los remitentes no reciben ninguna notificación de ninguna manera y las acciones de cumplimiento no se realizan.</¿Li?

Ejemplo de un valor de custom_data para un mensaje que coincide con las condiciones de una regla de flujo de correo tiene este aspecto:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce