Domande frequenti su Traccia messaggi in Exchange Online

Questo articolo presenta le domande di messaggistica che un utente potrebbe avere, insieme alle possibili risposte. Descrive, inoltre, come utilizzare lo strumento dei traccia dei messaggi per ottenere tali risposte e risolvere specifici problemi del recapito della posta.

How long does it take to see results when running a message trace?

• Nell'interfaccia di amministrazione di Exchange classica (interfaccia di amministrazione di Exchange classica) i risultati della ricerca vengono visualizzati immediatamente per i messaggi meno vecchi di sette giorni.
• Nell'interfaccia di amministrazione moderna di Exchange (interfaccia di amministrazione di Exchange moderna) i risultati della ricerca vengono visualizzati immediatamente per i messaggi meno vecchi di 10 giorni.

Quando si esegue una traccia dei messaggi per i messaggi meno recenti, i risultati vengono restituiti entro poche ore come file CSV scaricabile.

Nota

Il collegamento di traccia dei messaggi di Exchange nel portale di Microsoft Defender apre la traccia dei messaggi nell'interfaccia di amministrazione di Exchange moderna.

Quanto tempo è necessario affinché un messaggio inviato venga visualizzato in una traccia del messaggio?

Quando un messaggio viene inviato, la visualizzazione del messaggio nei dati di traccia del messaggio deve richiedere da 5 a 10 minuti.

È possibile eseguire una traccia dei messaggi tramite PowerShell di Exchange Online o PowerShell di Exchange Online Protection? Quali sono i cmdlet da usare?

È possibile usare i cmdlet seguenti in PowerShell di Exchange Online o PowerShell di Exchange Online Protection per eseguire una traccia dei messaggi:

Get-MessageTrace: messaggi di traccia meno di 10 giorni prima.

Get-MessageTraceDetail: visualizzare i dettagli dell'evento di traccia del messaggio per un messaggio specifico.

Get-HistoricalSearch: usare questo cmdlet per visualizzare informazioni sulle ricerche cronologica eseguite negli ultimi 10 giorni.

Start-HistoricalSearch: avviare una nuova ricerca cronologica per i messaggi che hanno meno di 90 giorni.

Stop-HistoricalSearch: arrestare le ricerche cronologica in coda non ancora avviate (il valore di stato è NotStarted).

Per informazioni su come connettersi a PowerShell per Exchange Online, vedere Connettersi a PowerShell per Exchange Online.

Per connettersi a PowerShell di Exchange Online Protection in organizzazioni EOP autonome senza cassette postali di Exchange Online, vedere Connettersi a PowerShell di Exchange Online Protection.

Perché si riceve un messaggio di errore quando si esegue la traccia del messaggi nell'interfaccia utente?

La causa probabile di un errore di timeout è il tempo eccessivo necessario per elaborare la query. Valutare l'opportunità di semplificare i criteri di ricerca. È possibile prendere in considerazione l'uso del cmdlet Get-MessageTrace , che ha requisiti di timeout più liberali.

Perché non si riceve un messaggio di posta elettronica atteso?

Ecco alcuni possibili motivi:

• Il messaggio è stato rilevato come posta indesiderata.

• Il messaggio è stato messo in quarantena a causa di una corrispondenza a una regola.

• Il messaggio è stato rifiutato

  • Dal filtro antimalware
  • Perché un file allegato al messaggio conteneva malware
  • Perché il corpo del messaggio conteneva malware
  • Da una regola
  • Perché l'azione era Rifiuta
  • Perché l'azione era Forza TLS e non è stato possibile stabilire TLS
  • Da un connettore perché TLS era richiesto ma non è stato stabilito

• Il messaggio è stato inviato per essere sottoposto a moderazione ed è in attesa di approvazione o è stato rifiutato dal moderatore.

• Il messaggio non è stato mai inviato.

• Il messaggio è ancora in fase di elaborazione perché si è verificato un errore precedente e il servizio sta ritentando il recapito.

• Non è stato possibile recapitare il messaggio alle cassette postali

  • Perché la destinazione non è raggiungibile
  • Perché la destinazione ha rifiutato il messaggio
  • Perché è stato raggiunto il timeout del messaggio durante il tentativo di recapito

Per scoprire cosa è successo:

Eseguire una traccia dei messaggi. Usare il numero più elevato possibile di criteri di ricerca per limitare i risultati. Ad esempio, è necessario conoscere il mittente e il destinatario o i destinatari previsti del messaggio e il periodo di tempo generale in cui è stato inviato il messaggio.

Visualizzare i risultati, individuare il messaggio e quindi visualizzare dettagli specifici sul messaggio.Vedere Visualizzare i risultati della traccia dei messaggi per i messaggi meno di sette giorni o Visualizzare i risultati della traccia dei messaggi per i messaggi che hanno più di sette giorni. Cercare lo stato di recapito Non riuscito o In sospeso per spiegare il motivo per cui il messaggio non è stato ricevuto.

Verificare che il messaggio sia stato inviato, che sia stato ricevuto correttamente dal servizio, che non sia stato filtrato, reindirizzato o inviato per la moderazione e che non si siano verificati errori di recapito o ritardi.

Perché si riceve un messaggio non previsto?

Ecco alcuni possibili motivi:

• Il messaggio è stato rilasciato dalla quarantena.
• Il messaggio era in attesa dell'approvazione del moderatore ed è stato rilasciato.
• Il messaggio era posta indesiderata non rilevata.
• Il messaggio corrispondeva a un regola in base a cui l'utente è stato aggiunto al messaggio.
• Il messaggio è stato inviato a una lista di distribuzione di cui si è membri.

Per scoprire cosa è successo:

Eseguire una traccia dei messaggi. Usare il numero più elevato possibile di criteri di ricerca per limitare i risultati. Ad esempio, specificare il destinatario che ha ricevuto il messaggio, impostare lo stato di recapito su Recapitato e impostare il periodo di tempo in base alla ricezione del messaggio.

Visualizzare i risultati, individuare il messaggio e quindi visualizzare dettagli specifici sul messaggio.Vedere Visualizzare i risultati della traccia dei messaggi per i messaggi meno di sette giorni o Visualizzare i risultati della traccia dei messaggi per i messaggi che hanno più di sette giorni.

Perché qualcuno non ha ricevuto il mio messaggio o perché è stato ricevuto questo report di mancato recapito (noto anche come NDR o messaggio di mancato recapito)?

Le cause possibili sono:

• Il messaggio è stato rilevato come posta indesiderata.

• Il messaggio è stato messo in quarantena a causa di una corrispondenza a una regola.

• Il messaggio è stato reindirizzato perché un connettore lo ha inviato a un'altra destinazione.

• Il messaggio è stato rifiutato:

  • Dal filtro antimalware
  • Perché un file allegato al messaggio conteneva malware
  • Perché il corpo del messaggio conteneva malware
  • Da una regola
  • Perché l'azione era Rifiuta
  • Perché l'azione era Forza TLS e non è stato possibile stabilire TLS
  • Da un connettore perché TLS era richiesto ma non è stato stabilito

• Il messaggio è stato inviato per essere sottoposto a moderazione ed è in attesa di approvazione o è stato rifiutato dal moderatore.

• Il messaggio non è stato mai inviato.

• Il messaggio è ancora in fase di elaborazione perché si è verificato un errore precedente e il servizio sta ritentando il recapito.

• Il messaggio non è stato recapitato alla destinazione:

  • Perché la destinazione non è raggiungibile
  • Perché la destinazione ha rifiutato il messaggio
  • Perché è stato raggiunto il timeout del messaggio durante il tentativo di recapito

• Il messaggio è stato recapitato alla destinazione ma è stato eliminato prima che fosse possibile accedervi, probabilmente a causa di una corrispondenza a una regola.

Per scoprire cosa è successo:

Eseguire una traccia dei messaggi. Usare il numero più elevato possibile di criteri di ricerca per limitare i risultati. Ad esempio, è necessario conoscere il mittente e il destinatario o i destinatari previsti del messaggio e il periodo di tempo generale in cui è stato inviato il messaggio.

Visualizzare i risultati, individuare il messaggio e quindi visualizzare dettagli specifici sul messaggio.Vedere Visualizzare i risultati della traccia dei messaggi per i messaggi meno di sette giorni o Visualizzare i risultati della traccia dei messaggi per i messaggi che hanno più di sette giorni.

Cercare lo stato di recapito Non riuscito o In sospeso per spiegare il motivo per cui il messaggio non è stato recapitato. Verificare che il messaggio sia stato inviato, che sia stato ricevuto correttamente dal servizio, che non sia stato filtrato, reindirizzato o inviato per la moderazione e che non si siano verificati errori di recapito o ritardi. Se la destinazione non è raggiungibile, è possibile utilizzare A IP per risolvere i problemi di connettività.

Perché l'arrivo del messaggio alla destinazione richiede tanto tempo? In che punto della pipeline si trova?

Le cause possibili sono:

• La destinazione prevista non risponde. Questo è lo scenario più probabile.
• Il messaggio è di grandi dimensioni per cui l'elaborazione richiede tempo
• La latenza nel servizio sta causando ritardi
• Il messaggio potrebbe essere stato bloccato

Per scoprire cosa è successo:

Eseguire una traccia dei messaggi. Usare il numero più elevato possibile di criteri di ricerca per limitare i risultati. Ad esempio, è necessario conoscere il mittente e il destinatario o i destinatari previsti del messaggio e il periodo di tempo generale in cui è stato inviato il messaggio.

Visualizzare i risultati, individuare il messaggio e quindi visualizzare dettagli specifici sul messaggio.Vedere Visualizzare i risultati della traccia dei messaggi per i messaggi meno di sette giorni o Visualizzare i risultati della traccia dei messaggi per i messaggi che hanno più di sette giorni.

La sezione eventi indicherà perché il messaggio non è stato ancora recapitato. Quando si visualizzano gli eventi, le informazioni su data/ora consentono di seguire il messaggio tramite la pipeline di messaggistica e indicano il tempo impiegato dal servizio per elaborare ogni evento. I dettagli dell'evento informeranno anche se il messaggio recapitato è di grandi dimensioni o se la destinazione non risponde.

Il messaggio era contrassegnato come posta indesiderata?

I messaggi possono essere contrassegnati come posta indesiderata per diversi motivi. Ad esempio, l'indirizzo IP di invio può essere visualizzato in uno degli elenchi di blocchi IP del servizio. Un messaggio può essere contrassegnato come posta indesiderata a causa del contenuto del messaggio effettivo, ad esempio quando corrisponde a una regola nel filtro del contenuto della posta indesiderata. Lo strumento di traccia dei messaggi tiene traccia solo degli eventi di filtro del contenuto della posta indesiderata; Gli eventi del filtro di connessione(ad esempio gli indirizzi IP bloccati) non sono tracciabili. Per altre informazioni sul filtro della posta indesiderata, incluso il filtro del contenuto della posta indesiderata, vedere Protezione dalla posta indesiderata.

Per scoprire perché un messaggio è stato contrassegnato come posta indesiderata:

Eseguire una traccia dei messaggi, individuare il messaggio nei risultati e quindi visualizzare dettagli specifici sul messaggio.Vedere Visualizzare i risultati della traccia dei messaggi per i messaggi meno di sette giorni o Visualizzare i risultati della traccia dei messaggi per i messaggi di più di sette giorni.

Quando il filtro contenuti segna un messaggio come posta indesiderata, se questo viene inviato alla cartella Posta indesiderata o in quarantena, gli verrà assegnato lo stato Recapitato. È possibile aprire i dettagli dell'evento per verificare in che modo il messaggio è arrivato a destinazione. Ad esempio, potrebbe indicare che il messaggio aveva un livello di probabilità di posta indesiderata alto o che è stata trovata una corrispondenza con un'opzione avanzata del filtro di posta indesiderata. Si verrà anche informati dell'azione che si è verificata a causa del messaggio contrassegnato come posta indesiderata, ad esempio se è stato inviato in quarantena, contrassegnato con un'intestazione X o se è stato inviato tramite il pool di recapiti ad alto rischio.

Perché un messaggio viene rilevato come contenente malware?

I messaggi vengono rilevati come contenenti malware quando le relative proprietà, nel corpo o in un allegato, corrispondono alla definizione di malware in uno dei motori antimalware. Per informazioni più dettagliate sul filtro malware, vedere Protezione antimalware.

Per scoprire perché è stato rilevato un messaggio che contiene malware, eseguire una traccia del messaggio. Usare il numero più elevato possibile di criteri di ricerca per limitare i risultati. Impostare lo stato di recapito su Operazione non riuscita.

Visualizzare i risultati, individuare il messaggio e quindi visualizzare dettagli specifici sul messaggio.Vedere Visualizzare i risultati della traccia dei messaggi per i messaggi meno di sette giorni o Visualizzare i risultati della traccia dei messaggi per i messaggi che hanno più di sette giorni.

Se il messaggio non è stato ancora recapitato perché è stato determinato a contenere malware, queste informazioni verranno fornite nella sezione eventi. Ad esempio, di seguito è riportato un esempio di dettaglio: Malware: "ZipBomb" è stato rilevato nel file allegato. zip. Si verrà anche informati dell'azione che si è verificata in seguito al messaggio contenente malware, ad esempio se l'intero messaggio è stato bloccato o se tutti gli allegati sono stati eliminati e sostituiti con un file di testo di avviso.

Quale regola del flusso di posta (nota anche come regola di trasporto) o criteri DLP è stata applicata a un messaggio?

Per scoprire quale regola del flusso di posta (regola dei criteri personalizzati) o criteri di prevenzione della perdita dei dati (solo clienti di Exchange Online) è stata applicata a un messaggio, eseguire una traccia dei messaggi. Usare il numero più elevato possibile di criteri di ricerca per limitare i risultati. Impostare lo stato di recapito su Operazione non riuscita.

Visualizzare i risultati, individuare il messaggio e quindi visualizzare dettagli specifici sul messaggio.Vedere Visualizzare i risultati della traccia dei messaggi per i messaggi meno di sette giorni o Visualizzare i risultati della traccia dei messaggi per i messaggi che hanno più di sette giorni.

Se il messaggio non è stato recapitato perché il contenuto corrisponde a una regola, la sezione eventi indica il nome della regola del flusso di posta corrispondente. Si verrà anche informati dell'azione che si è verificata in seguito alla corrispondenza della regola del flusso di posta, ad esempio se il messaggio è stato messo in quarantena, rifiutato, reindirizzato, inviato per moderazione, decrittografato o un numero qualsiasi di altre opzioni possibili. Per informazioni su come creare regole del flusso di posta di Exchange e impostarne le azioni, vedere Regole del flusso di posta (regole di trasporto) in Exchange Online.

Quando si esegue una traccia dei messaggi, viene restituito l'ID regola-1. Che cosa significa?

L'ID regola-1 viene restituito quando la traccia del messaggio si trova in una regola del flusso di posta che non esiste più. La regola del flusso di posta potrebbe essere stata modificata o eliminata dopo l'invio del messaggio originale.

Esistono limitazioni note o chiarificazioni del comportamento che è necessario conoscere quando si utilizza lo strumento di traccia dei messaggi?

Quando si utilizza lo strumento di traccia dei messaggi, è necessario conoscere:

• Messaggi bloccati da IP: i messaggi bloccati dagli elenchi di blocchi di reputazione IP verranno inclusi nei dati di posta indesiderata per i report in tempo reale, ma non è possibile eseguire una traccia dei messaggi su questi messaggi.

• Messaggi reindirizzati: se un destinatario viene riscritto da una regola del flusso di posta o perché l'azione di posta indesiderata per il dominio è impostata su Reindirizza all'indirizzo di posta elettronica, il messaggio non è tracciabile in una singola ricerca. Il messaggio originale può essere tracciato fino al punto in cui il destinatario è cambiato. Successivamente, il messaggio non è tracciabile in relazione al destinatario originale. È possibile tracciare di nuovo il messaggio utilizzando il nuovo destinatario.

• MAIL FROM: lo strumento di traccia dei messaggi usa il valore MAIL FROM presentato all'avvio della conversazione SMTP come mittente in una ricerca, indipendentemente da ciò che viene visualizzato nella sezione DATA del messaggio. Il messaggio potrebbe mostrare un indirizzo di risposta o valori diversi per Da: o Mittente. Se il messaggio di posta elettronica è stato inviato da un processo e non da un client di posta elettronica, è più probabile che il mittente in MAIL FROM non corrisponda al mittente nel messaggio effettivo.

• Aggiornamenti delle regole del flusso di posta: quando un messaggio corrisponde a una regola del flusso di posta, l'ID regola viene archiviato nei database di traccia dei messaggi e report in tempo reale. Se si traccia uno di questi messaggi o si esegue il drill-down dei dettagli delle regole in un report, la traccia dei messaggi e le interfacce utente di report in tempo reale estraggono dinamicamente le informazioni sulla regola corrente dalla rete dei servizi ospitati in base all'ID regola nel database di report. Se gli attributi di tale regola sono stati modificati dopo l'elaborazione del messaggio (ad esempio è stato modificato da Rifiuta in Consenti), l'ID regola rimane lo stesso nella traccia del messaggio e i risultati restituiti per la segnalazione in tempo reale, ma l'interfaccia di amministrazione di Exchange visualizzerà le nuove proprietà della regola del flusso di posta. È possibile utilizzare la funzionalità dei rapporti di controllo per determinare quando è stata modificata la regola e quali proprietà sono cambiate.

• Messaggi filtrati dal filtro di protezione da posta indesiderata: Quando il filtro contenuti segna un messaggio come posta indesiderata, se questo viene inviato alla cartella Posta indesiderata o in quarantena, gli verrà assegnato lo stato Recapitato. Aprire i dettagli dell'evento per vedere in che modo il messaggio è arrivato a destinazione.

Ulteriori informazioni

Traccia un messaggio di posta elettronica