Registrazione agente di protezione da posta indesiderata
Si applica a: Exchange Server 2013
Nei registri degli agenti vengono registrate le azioni eseguite su un messaggio da specifici agenti di protezione dalla posta indesiderata in Microsoft Exchange Server 2013. Solo i seguenti agenti possono scrivere informazioni nel registro dell'agente:
- Agente filtro connessioni
- Agente filtro contenuto
- Agente regole Edge
- Agente filtro destinatario
- Agente filtro mittente
- Agente ID mittente
Nota
L'agente filtro connessioni e l'agente regole Edge non sono disponibili nei server Cassette postali.
Le informazioni inserite nel registro dipendono dall'agente, dall'evento SMTP e dall'azione eseguita sul messaggio.
Utilizzare il cmdlet Set-TransportService in Exchange Management Shell per tutte le attività di configurazione del registro dell'agente. Sono disponibili le seguenti opzioni per i registri degli agenti:
- Abilitazione o disabilitazione della registrazione degli agenti. L'impostazione predefinita è abilitata.
- Indicazione del percorso dei file di registro degli agenti. Il valore predefinito è % ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
- Indicazione della dimensione massima di ciascun file di registro dell'agente. Le dimensioni predefinite sono di 10 megabyte (MB).
- Indicazione della dimensione massima della directory contenente i file di registro degli agenti. La dimensione predefinita è 250 MB.
- Indicazione del limite massimo di validità dei file di registro degli agenti. La durata predefinita è 7 giorni.
Exchange utilizza la registrazione circolare per limitare i registri degli agenti in base alle dimensioni e al limite di validità dei file, al fine di controllare lo spazio su disco rigido utilizzato dai file di registro.
Informazioni generali sugli agenti di trasporto
Gli agenti possono agire sui messaggi solo in determinati punti della sequenza di comandi SMTP utilizzata per trasportare i messaggi attraverso un servizio di trasporto su un server Cassette postali o Trasporto Edge. Questi punti di accesso nella sequenza dei comandi SMTP sono denominati eventi SMTP. A ciascun agente può essere assegnato un valore relativo alla priorità. Tuttavia, gli eventi SMTP devono sempre verificarsi secondo un ordine specifico. Pertanto, la priorità di un agente dipende dall'evento SMTP. Difatti, se due agenti possono agire su un messaggio durante lo stesso evento SMTP, l'agente cui è stata assegnata la priorità più elevata agirà per primo.
Nella seguente tabella sono elencati gli eventi SMTP nell'ordine in cui si verificano. Per ciascun evento SMTP viene inoltre indicato quali agenti sono in grado di scrivere informazioni nel registro degli agenti in base alla priorità, dalla più alta alla più bassa.
Eventi SMTP nell'ordine in cui si verificano e agenti in grado di scrivere informazioni nel registro degli agenti in base alla priorità per ciascun evento SMTP
| Evento SMTP | Agente |
|---|---|
| OnConnect | Agente filtro connessioni |
| OnMailCommand | Agente filtro connessioni Agente filtro mittente |
| OnRcptCommand | Agente filtro connessioni Agente Filtro destinatario |
| OnEndOfHeaders | Agente filtro connessioni Agente ID mittente Agente filtro mittente |
| OnEndOfData | Agente regole Edge Agente filtro contenuto |
Nota
L'agente filtro connessioni e l'agente regole Edge non sono disponibili nei server Cassette postali.
Per ulteriori informazioni sugli agenti, sugli eventi SMTP e sulla priorità degli agenti, vedere Agenti di trasporto.
Struttura dei file di registro degli agenti
Registri degli agenti presenti in % ExchangeInstallPath%TransportRoles\Logs\Hub\AgentLog.
La convenzione di denominazione per i file di log dell'agente è AGENTLOGyyyyMMdd-nnnn.log. I segnaposto rappresentano le seguenti informazioni:
- Il segnaposto yyyyMMdd è la data UTC (Coordinated Universal Time) in cui è stato creato il file di log. Segnaposto aaaa = anno, MM = mese e dd = giorno.
- Il segnaposto nnnn è un numero di istanza che inizia con il valore 1 per ciascun giorno.
Le informazioni vengono scritte nel file di registro finché le dimensioni del file raggiungono il valore massimo specificato, quindi viene aperto un nuovo file di registro con un numero di istanza maggiore. Questo processo si ripete per tutta la giornata. La registrazione circolare elimina i file di registro meno recenti quando la directory con i registri degli agenti raggiunge le dimensioni massime specificate oppure quando un file di registro raggiunge il limite massimo di validità specificato.
I file di registro degli agenti sono file di testo contenenti dati nel formato con valori delimitati da virgole (CSV). In ciascun file di registro degli agenti è presente un'intestazione in cui sono contenute le seguenti informazioni:
- #Software: nome del software che ha creato il file di log dell'agente. Generalmente, il valore è Microsoft Exchange Server.
- #Version: numero di versione del software che ha creato il file di log dell'agente. Il valore corrente è 15.0.0.0.
- #Log-Type: valore del tipo di log, ovvero Registro agenti.
- #Date: data e ora UTC in cui è stato creato il file di log. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: aaaa-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC.
- #Fields: nomi di campo delimitati da virgole usati nei file di log dell'agente.
Informazioni scritte nel registro degli agenti
Il log dell'agente archivia ogni transazione dell'agente in una singola riga del log. Le informazioni archiviate su ogni riga sono organizzate in base ai campi. Questi campi sono separati da virgole. Il nome del campo è in genere abbastanza descrittivo da determinare il tipo di informazioni in esso contenute. Alcuni campi, tuttavia, potrebbero essere vuoti. In alternativa, il tipo di informazioni archiviate nel campo può cambiare in base all'agente o all'azione eseguita sul messaggio dall'agente. Nella tabella seguente vengono descritti i campi usati per classificare ogni transazione dell'agente.
Campi utilizzati per classificare ogni transazione degli agenti
| Nome del campo | Descrizione |
|---|---|
| Data e ora | Data e ora UTC dell'evento dell'agente. La data-ora UTC è rappresentata nel formato iso 8601 data-ora: aaaa-MM-ddThh:mm:ss.fffZ, dove aaaa = anno, MM = mese, dd = giorno, T indica l'inizio del componente ora, hh = ora, mm = minuto, ss = secondo, fff = frazioni di secondo e Z indica Zulu, che è un altro modo per indicare UTC. |
| SessionId | Identificatore univoco della sessione SMTP. È rappresentato come numero esadecimale di 16 cifre. |
| LocalEndpoint | Indirizzo IP locale e numero della porta che ha accettato il messaggio. Le sessioni SMTP utilizzano in genere la porta 25. |
| RemoteEndpoint | Indirizzo IP e numero della porta del server SMTP precedente che ha eseguito la connessione al server corrente per il recapito del messaggio. Quando la posta Internet circola in un server Trasporto Edge nella rete perimetrale, il valore di RemoteEndpoint nel registro dell'agente sul server Cassette postali sarà l'indirizzo IP del server Trasporto Edge. Pertanto, anche se il messaggio viene trasmesso tramite SMTP, il numero della porta utilizzata dal server di invio sarà un numero casuale superiore a 1.024. |
| EnteredOrgFromIP | Indirizzo IP del server SMTP remoto che ha eseguito la connessione iniziale all'organizzazione di Exchange per il recapito del messaggio. Sul server Trasporto Edge i valori dei campi RemoteEndpoint ed EnteredOrgFromIP sono identici. Gli agenti di protezione dalla posta indesiderata utilizzano l'indirizzo IP del campo EnteredOrgFromIP per esaminare un messaggio. |
| Messageid | Valore del campo di MessageID intestazione. Se il campo viene lasciato vuoto e il messaggio viene accettato, il server di trasporto Exchange assegna un valore arbitrario. Dopo l'assegnazione di un valore, il valore di MessageID è costante per la durata del messaggio. |
| P1FromAddress | Indirizzo di posta elettronica del mittente specificato in MAIL FROM nella busta del messaggio. Questo valore viene utilizzato per trasportare il messaggio tra i server di messaggistica SMTP. Viene inoltre confrontato con il valore del campo P2FromAddresses per determinare se l'indirizzo del mittente nell'intestazione del messaggio è stato contraffatto. |
| P2FromAddresses | Indirizzo di posta elettronica mittente specificato nel campo di From intestazione o nel campo di Sender intestazione nell'intestazione del messaggio. |
| Destinatario | Indirizzo di posta elettronica dei destinatari. Sebbene il messaggio originale possa contenere più destinatari, su ogni riga del registro degli agenti viene visualizzato un solo destinatario. |
| NumRecipients | Numero totale di destinatari del messaggio originale. |
| Agente | Nome dell'agente che richiama l'azione. I valori possibili sono:
|
| Evento | Evento SMTP in cui l'agente ha eseguito l'azione. Il valore del campo Event dipende dall'agente. Gli eventi SMTP disponibili per ciascun agente sono descritti nella prima tabella riportata in precedenza in questo argomento. I valori possibili del campo Event sono elencati di seguito:
|
| Azione | Azione eseguita dall'agente sul messaggio. I valori possibili del campo Action sono riportati di seguito:
|
| SmtpResponse | Risposta ESMTP (Enhanced SMTP) come definita in RFC 2034. |
| Motivo | Motivo dell'azione fornita dall'agente. |
| ReasonData | Dettagli descrittivi per l'azione fornita dall'agente. |
Ricerca nei registri degli agenti
È possibile utilizzare il cmdlet Get-AgentLog e lo script Get-AntiSpamFilteringReport.ps1 per eseguire ricerche nei registri dell'agente.
Lo script Get-AntiSpamFilteringReport.ps1 si trova in %ExchangeInstallPath%Scripts. È necessario eseguire lo script in Shell dalla cartella Script. Per accedere alla cartella Script di Shell, utilizzare il seguente comando:
Cd $env:ExchangeInstallPath\Scripts
Per eseguire lo script nella cartella Script, utilizzare la seguente sintassi:
.\Get-AntiSpamFilteringReport.ps1 -report <ReportValue> [<OptionalParameters>]
Per i dettagli sull'uso dello script, utilizzare il seguente comando:
Get-Help -Detailed .\Get-AntiSpamFilteringReport.ps1