Treinamento
Roteiro de aprendizagem
Use advance techniques in canvas apps to perform custom updates and optimization - Training
Use advance techniques in canvas apps to perform custom updates and optimization
Não há mais suporte para esse navegador.
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.
O rastreio de mensagens no novo centro de administração do Exchange (EAC) segue as mensagens de e-mail à medida que percorrem a sua organização do Microsoft 365. Pode determinar se o serviço recebeu, rejeitou, adiou ou entregou uma mensagem. O rastreio de mensagens também mostra que ações foram tomadas na mensagem antes de atingir o estado final.
O rastreio de mensagens no novo EAC melhora o rastreio de mensagens original que estava disponível no EAC clássico. Pode utilizar as informações do rastreio de mensagens para responder eficientemente às perguntas dos utilizadores sobre o que aconteceu às mensagens, resolver problemas de fluxo de correio e validar as alterações de políticas.
Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:
Permissões do Exchange Online: associação ao grupo de funções Gestão da Organização .
Permissões do Microsoft Entra: a associação às funções de Administrador* Global ou Administrador do Exchange dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.
Importante
* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
O número máximo de mensagens apresentadas nos resultados depende do tipo de relatório que selecionou. Para obter mais informações, consulte os Resultados do rastreio de mensagens. O cmdlet Get-HistoricalSearch no PowerShell do Exchange Online devolve todas as mensagens nos resultados.
No novo EAC em https://admin.exchange.microsoft.com, aceda a Rastreio demensagens do fluxo> de correio. Em alternativa, para aceder diretamente à página Rastreio de mensagens, utilize https://admin.exchange.microsoft.com/#/messagetrace.
Na página Rastreio de mensagens, pode iniciar um novo rastreio predefinido ao selecionar Iniciar um rastreio.
Na lista de opções Novo rastreio de mensagens que é aberta, as seleções predefinidas procuram todas as mensagens de todos os remetentes e destinatários dos últimos dois dias. Em alternativa, pode utilizar uma das consultas armazenadas a partir dos separadores disponíveis (tal como estão ou como pontos de partida para as suas próprias consultas):
O separador Relatórios transferíveis mostra os pedidos de relatório transferíveis e os próprios relatórios quando estão disponíveis para transferência.
As secções seguintes descrevem as definições disponíveis na lista de opções Novo rastreio de mensagens que é aberta quando seleciona Iniciar um rastreio ou abre um rastreio existente.
O valor predefinido para Remetentes e Destinatários é Todos, mas pode introduzir valores específicos:
Pode escrever os endereços de e-mail de remetentes e destinatários externos. Os carateres universais são suportados (por exemplo, *@contoso.com
), mas não pode utilizar múltiplos carateres universais num único valor.
Pode colar múltiplas listas de remetentes ou destinatários separadas por ponto e vírgula (;
), espaços (\s
), símbolos de retorno (\r
) ou novas linhas (\n
).
Na secção Intervalo de tempo , o valor predefinido é 2 dias, mas pode especificar intervalos de data/hora até 90 dias. Quando utilizar intervalos de data/hora, considere os seguintes problemas:
Por predefinição, selecione o intervalo de tempo na vista Controlo de Deslize com uma linha cronológica.
Guardar uma consulta na vista Controlo de Deslize guarda o intervalo de tempo relativo (por exemplo, daqui a dois dias).
Pode mudar para a vista Intervalo de tempo personalizado para especificar os seguintes valores:
Guardar uma consulta na vista Intervalo de tempo personalizado guarda o intervalo de data/hora absoluto (por exemplo, 2023-05-06 13:00 to 2023-05-08 18:00
).
Durante 10 dias ou menos, os resultados estão disponíveis instantaneamente como um relatório de Resumo.
Se especificar um intervalo de data/hora que seja ligeiramente superior a 10 dias:
Na secção Opções de pesquisa detalhadas , estão disponíveis as seguintes opções:
Estado de entrega: estão disponíveis os seguintes valores:
* Este valor só está disponível em pesquisas que sejam inferiores a 10 dias. Se precisar de consultar dados com mais de 10 dias, utilize o cmdlet Start-HistoricalSearch no PowerShell do Exchange Online.
Observação
poderá haver um atraso de cinco a dez minutos entre os valores de estado de entrega comunicados e reais e comunicados.
ID da Mensagem: o ID da mensagem da Internet (também conhecido como O ID de Cliente) que se encontra no campo cabeçalho Message-ID no cabeçalho da mensagem. Os utilizadores podem dar-lhe este valor para investigar mensagens específicas.
Esse valor é constante durante o tempo de vida da mensagem. Para mensagens criadas no Microsoft 365 ou no Exchange, o valor ID da Mensagem utiliza o formato <GUID@ServerFQDN>
, incluindo os parênteses angulares. Por exemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
. Outros sistemas de e-mail podem utilizar sintaxe ou valores diferentes. Este valor é suposto ser exclusivo, mas nem todos os sistemas de e-mail seguem estritamente este requisito. Se o campo De cabeçalho Message-ID: não existir ou estiver em branco para mensagens recebidas de origens externas, é atribuído um valor arbitrário.
Quando utilizar o ID da Mensagem para filtrar os resultados, certifique-se de que inclui a cadeia completa, incluindo parênteses retos em ângulo.
ID da Mensagem de Rede: o ID da Mensagem de Rede é um valor de ID de mensagem exclusivo que prevalece entre as cópias da mensagem que podem ser criadas devido à bifurcação e ao longo do processo de transporte de mensagens. É dinâmico, em que o respetivo valor difere até mesmo para uma cópia da instância específica da mensagem. Por conseguinte, cada versão copiada da instância terá um valor de ID de Mensagem de Rede diferente.
As diferenças entre o ID da Mensagem de Rede e o ID da Mensagem são resumidas na tabela seguinte:
ID da Mensagem de Rede | ID da Mensagem |
---|---|
ID da instância específica de uma mensagem de e-mail | ID da mensagem de e-mail |
Exclusivo e persiste em cópias da mensagem que podem ser criadas devido à bifurcação de mensagens | Constante para a duração da mensagem |
Para obter mais informações sobre o ID da Mensagem de Rede, veja as seguintes informações:
Para rastrear o valor do ID da Mensagem de Rede e utilizá-lo para rastrear mensagens específicas no Exchange Online, utilize qualquer um dos seguintes cabeçalhos de mensagem:
X-MS-Exchange-Organization-Network-Message-Id
X-MS-Office365-Filtering-Correlation-Id
X-MS-Exchange-CrossTenant-Network-Message-Id
Pode utilizar o valor ID da Mensagem de Rede desses cabeçalhos para obter mensagens específicas. Por exemplo:
Também pode utilizar o cmdlet Get-MessageTrace no PowerShell do Exchange Online para rastrear o valor do ID da Mensagem de Rede .
O exemplo seguinte utiliza o valor ID da Mensagem de Rede para localizar mensagens enviadas entre john@contoso.com
13 de junho de 2024 e 15 de junho de 2024:
2bbad36aa4674c7ba82f4b307fff549
.Get-MessageTrace -MessageTraceId 2bbad36aa4674c7ba82f4b307fff549f -SenderAddress john@contoso.com -StartDate 06/13/2024 -EndDate 06/15/2024 | Get-MessageTraceDetail
Direção: selecione um dos seguintes valores:
Endereço IP do cliente original: o endereço IP do computador ou dispositivo cliente do remetente de e-mail. Pode utilizar este filtro para investigar computadores hackeados que estão a enviar grandes quantidades de spam ou software maligno. Embora as mensagens possam parecer provenientes de vários remetentes, é provável que o mesmo computador esteja a gerar todas as mensagens.
Observação
As informações do endereço IP do cliente só estão disponíveis durante 10 dias e apenas no relatório de resumo Avançado ou no Relatório expandido (ficheiros CSV transferíveis).
Os tipos de relatório disponíveis são:
Relatório de resumo: disponível se o intervalo de tempo for inferior a 10 dias e não necessitar de outras opções de filtragem. Os resultados estão disponíveis quase imediatamente após selecionar Procurar. O relatório devolve até 20 000 resultados.
Selecione Procurar para iniciar o rastreio de mensagens. É levado para a página Resultados da pesquisa de rastreio de mensagens, conforme descrito na secção Resultado do relatório de resumo .
As últimas 10 consultas de relatório de Resumo estão disponíveis no separador Consultas guardadas automaticamente na página Rastreio de mensagens.
Relatório de resumo melhorado: inclui as informações no relatório de resumo e outros detalhes (por exemplo, direção e endereço IP do cliente original). Disponível apenas como um ficheiro CSV transferível. O relatório devolve até 100 000 resultados.
Relatório alargado: inclui as mesmas informações que o relatório de resumo alargado e detalhes abrangentes do evento de encaminhamento e mensagem. Disponível apenas como um ficheiro CSV transferível. O relatório devolve até 1000 resultados.
O relatório de resumo avançado e o Relatório expandido requerem uma ou mais das seguintes opções de filtragem, independentemente do intervalo de tempo: Remetentes, Destinatários ou ID da Mensagem.
O relatório de resumo avançado e o relatório Expandido são preparados com dados de rastreio de mensagens arquivadas. Pode demorar várias horas até que o relatório esteja disponível para transferência. Dependendo do número de outros administradores que também submeteram pedidos de relatório por volta da mesma altura, também poderá notar um atraso antes de o processamento começar num pedido em fila.
Embora possa selecionar o relatório de resumo avançado ou Relatório expandido para qualquer intervalo de datas/horas, as últimas 24 horas de dados arquivados não estão normalmente disponíveis.
O tamanho máximo de um ficheiro CSV transferível é de 800 MB. Se um relatório transferível exceder os 800 MB, não poderá abrir o relatório no Excel ou no Bloco de Notas.
Quando seleciona Seguinte, é levado para uma lista de opções de resumo que lista as opções de filtragem selecionadas, um título exclusivo (editável) para o relatório e o endereço de e-mail para receber a notificação quando o rastreio de mensagens for concluído (também editável e tem de estar num dos domínios aceites da sua organização).
Selecione Preparar relatório para submeter o rastreio de mensagens. Pode ver o estado do relatório no separador Relatórios transferíveis . Para obter mais informações sobre os dados devolvidos, veja as secções Relatórios de resumo melhorados e Relatórios expandidos .
Observação
O endereço IP do servidor de proteção de saída da EOP, que está incluído no registo SPF do Microsoft 365, não é apresentado em nenhum tipo de relatório de rastreio de mensagens. Esta condição é por predefinição, uma vez que os relatórios de rastreio de mensagens são gerados antes do envolvimento do servidor de proteção de saída.
Os diferentes tipos de relatório devolvem diferentes níveis de informações. As informações disponíveis nos diferentes relatórios são descritas nas secções seguintes:
Depois de executar o rastreio de mensagens, os resultados são ordenados por data/hora descendentes (eventos mais recentes primeiro).
O relatório Resumo contém as seguintes informações:
Por predefinição, os primeiros 250 resultados são carregados e prontamente disponíveis. Quando se desloca para baixo, existe uma ligeira pausa à medida que o próximo lote de resultados é carregado, até um máximo de 10 000.
Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.
No separador E-mail, pode diminuir o espaçamento vertical na lista ao clicar em Alterar vista e, em seguida, selecionar Compactar
lista.
Utilize a caixa Procurar e um valor correspondente para localizar entradas específicas. Os carateres universais não são suportados
Para filtros mais avançados que também pode guardar e utilizar mais tarde, selecione Filtrar e, em seguida, selecione
Novo filtro. Na lista de opções Filtro personalizado que é aberta, introduza as seguintes informações:
Atribua um nome ao filtro: introduza um nome exclusivo.
Adicione uma cláusula de filtro ao introduzir as seguintes informações:
Pode selecionar Adicionar nova cláusula e repetir o passo anterior quantas vezes for necessário. Várias cláusulas utilizam a lógica AND (<Cláusula1> E <Cláusula2>...).
Para remover uma cláusula de filtro, selecione Remover cláusula junto à entrada.
Quando tiver terminado na lista de opções Filtro personalizado , selecione Guardar. O novo filtro é carregado automaticamente e os resultados filtrados são apresentados na página Resultados da pesquisa de rastreio de mensagens. Este resultado é o mesmo que selecionar Filtrar e, em seguida, selecionar o filtro existente na secção Filtros personalizados na lista.
Para descarregar um filtro existente e voltar às informações predefinidas apresentadas na página Resultados da pesquisa de rastreio de mensagens, selecione >
Limpar todos os filtros.
Selecione Editar rastreio de mensagens para editar os critérios de pesquisa.
Utilize Exportar resultados para exportar os resultados apresentados para um ficheiro CSV.
Selecione Atualizar para atualizar os resultados.
Os registos de mensagens relacionados são registos que partilham o mesmo ID da Mensagem. Lembre-se de que até uma única mensagem enviada entre duas pessoas pode gerar vários registos. O número de registos aumenta quando a mensagem é afetada pela expansão do grupo de distribuição, reencaminhamento, regras de fluxo de correio (também conhecidas como regras de transporte), etc.
Na área em branco junto à coluna Data , selecione a caixa de verificação redonda que aparece junto à entrada. As seguintes ações são apresentadas na página Resultados dos rastreios de mensagens :
Para obter mais informações sobre o ID da Mensagem, consulte a secção Opções de pesquisa detalhadas .
Na saída do relatório de resumo, pode ver detalhes sobre uma mensagem ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda que aparece junto ao valor Data .
Os detalhes que são apresentados contêm as seguintes informações que não estão presentes no relatório de resumo:
Eventos de mensagens: depois de expandir esta secção, pode ver classificações que ajudam a categorizar as ações que o serviço executa nas mensagens. Alguns dos eventos mais interessantes que poderá encontrar são:
Observações:
Mais informações: Depois de expandir esta secção, pode ver os seguintes detalhes:
<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
.Está disponível um relatório de resumo avançado no separador Relatórios transferíveis na página Rastreio de mensagens:
As seguintes informações estão disponíveis no ficheiro CSV do relatório de resumo avançado :
<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
.1341ac7b13fb42ab4d4408cf7f55890f
.* Estas propriedades só estão disponíveis num relatório de resumo Avançado.
Está disponível um relatório Expandido no separador Relatórios transferíveis na página Rastreio de mensagens:
As seguintes informações estão disponíveis no ficheiro CSV de relatório avançado :
client_ip: o endereço IP do servidor de e-mail ou cliente de mensagens que submeteu a mensagem.
client_hostname: o nome do anfitrião ou FQDN do servidor de e-mail ou cliente de mensagens que submeteu a mensagem.
server_ip: o endereço IP do servidor de origem ou de destino.
server_hostname: o nome do anfitrião ou FQDN do servidor de destino.
source_context: informações adicionais associadas ao campo de origem . Por exemplo:
Protocol Filter Agent
3489061114359050000
origem: o componente do Exchange Online responsável pelo evento. Por exemplo:
AGENT
MAILBOXRULE
SMTP
event_id: este valor corresponde aos valores do evento Mensagem que são explicados em Localizar registos relacionados para esta mensagem.
internal_message_id: um identificador de mensagem atribuído pelo servidor do Exchange Online que está atualmente a processar a mensagem.
recipient_address: os endereços de e-mail dos destinatários da mensagem. Vários endereços de email são separados pelo caractere de ponto-e-vírgula (;).
recipient_count: o número total de destinatários na mensagem.
related_recipient_address: apresentar eventos com EXPAND
, REDIRECT
e para apresentar os endereços de e-mail RESOLVE
de outros destinatários associados à mensagem.
referência: este campo contém informações adicionais para tipos específicos de eventos. Por exemplo:
DSN: contém a ligação do relatório, que é o valor message_id da notificação de estado de entrega associada (também conhecida como DSN, relatório não dinâmico, NDR ou mensagem de devolução) se for gerado um DSN subsequente a este evento. Se esta mensagem for uma mensagem DSN, este campo contém o valor message_id da mensagem original para a qual o DSN foi gerado.
EXPANDIR: contém o valor related_recipient_address das mensagens relacionadas.
RECEBER: poderá conter o valor message_id da mensagem relacionada se a mensagem tiver sido gerada por outros processos (por exemplo, regras da Caixa de Entrada).
ENVIAR: contém o valor internal_message_id de qualquer mensagem DSN.
TRANSFERÊNCIA: contém o valor internal_message_id da mensagem que está a ser forkada (por exemplo, por conversão de conteúdo, limites de destinatários de mensagens ou agentes).
MAILBOXRULE: contém o valor internal_message_id da mensagem de entrada que fez com que a regra da Caixa de Entrada gerasse a mensagem de saída.
Para outros tipos de eventos, este campo (internal_message_id) está em branco.
return_path: o endereço de e-mail de devolução especificado pelo comando MAIL FROM que enviou a mensagem. Embora este campo nunca esteja vazio, pode ter o valor de endereço do remetente nulo representado como <>
.
message_info: informações adicionais sobre a mensagem. Por exemplo:
DELIVER
e SEND
eventos. A data-hora de origem é a hora em que a mensagem entrou pela primeira vez na organização do Exchange Online. A data/hora UTC é representada no formato de data/hora ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ
, em que yyyy
= ano, MM
= mês, dd
= dia, T
indica o início do componente de hora, hh
= hora, mm
= minuto, ss
= segundo, fff
= frações de segundo, e Z
significa Zulu
, que é outra forma de denotar UTC.11a
e o tipo de autenticação que foi utilizado quando ocorreu o erro de autenticação.
tenant_id: um valor GUID que representa a organização do Exchange Online (por exemplo, 39238e87-b5ab-4ef6-a559-af54c6b07b42
).
original_server_ip: o endereço IP do servidor original.
custom_data: contém dados relacionados com tipos de eventos específicos. Para obter mais informações, consulte as seguintes seções:
O campo custom_data de um AGENTINFO
evento é utilizado por vários agentes do Exchange Online para registar detalhes de processamento de mensagens. Alguns dos agentes mais interessantes são descritos nas secções seguintes.
Um custom_data valor que começa com S:SFA
é do agente de filtro de spam. Para obter mais informações, veja Campos de cabeçalho da mensagem X-Forefront-Antispam-Report.
Um exemplo de um valor de custom_data para uma mensagem filtrada por spam tem o seguinte aspeto:
S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;
Um custom_data valor que começa com S:AMA
é do agente de filtro de software maligno. Os principais detalhes estão descritos na tabela seguinte:
Valor | Descrição |
---|---|
AMA=SUM|v=1| ou AMA=EV|v=1 |
Foi determinado que a mensagem contém malware.
SUM indica que o software maligno pode ter sido detetado por qualquer número de motores.
EV indica que o software maligno foi detetado por um motor específico. Quando um motor deteta software maligno, as ações subsequentes são acionadas. |
Action=r |
A mensagem foi substituída. |
Action=p |
A mensagem foi ignorada. |
Action=d |
A mensagem foi adiada. |
Action=s |
A mensagem foi excluída. |
Action=st |
A mensagem foi ignorada. |
Action=sy |
A mensagem foi ignorada. |
Action=ni |
A mensagem foi rejeitada. |
Action=ne |
A mensagem foi rejeitada. |
Action=b |
A mensagem foi bloqueada. |
Name=<malware> |
O nome do malware foi detectado. |
File=<filename> |
O nome do arquivo que continha o malware. |
Um exemplo de um valor de custom_data para uma mensagem que contém software maligno tem o seguinte aspeto:
S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename
Um custom_data valor que começa comS:TRA
é do agente da Regra de Transporte para regras de fluxo de correio (também conhecidas como regras de transporte). Os principais detalhes estão descritos na tabela seguinte:
Valor | Descrição |
---|---|
ETR|ruleId=<guid> |
A identificação da regra encontrou uma correspondência. |
St=<datetime> |
A data e hora em UTC em que ocorreu a correspondência da regra. |
Action=<ActionDefinition> |
A ação que foi aplicada. Para obter uma lista de ações disponíveis, consulte Ações de regras de fluxo de correio no Exchange Online. |
Mode=<Mode> |
O modo da regra. Os valores válidos são:
|
Um exemplo de um valor de custom_data para uma mensagem que corresponde às condições de uma regra de fluxo de correio tem o seguinte aspeto:
S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce
Treinamento
Roteiro de aprendizagem
Use advance techniques in canvas apps to perform custom updates and optimization - Training
Use advance techniques in canvas apps to perform custom updates and optimization
Documentação
Como executar um rastreio de mensagens no centro de administração clássico do Exchange no Exchange Online
Rastreio de mensagens no portal do Microsoft Defender - Microsoft Defender for Office 365
Os administradores podem utilizar a ligação Rastreio de mensagens no portal do Microsoft Defender para saber o que aconteceu às mensagens.
FAQ sobre Rastreio de Mensagens no Exchange Online
Perguntas mais frequentes sobre o rastreio de mensagens.