Rastreamento de mensagens no novo centro de administração do Exchange em Exchange Online

  • Artigo

O rastreamento de mensagens no novo Centro de Administração do Exchange (EAC) segue as mensagens de email enquanto elas viajam pela sua organização do Microsoft 365. Você pode determinar se o serviço recebeu, rejeitou, adiou ou entregou uma mensagem. O rastreamento de mensagens também mostra quais ações foram tomadas na mensagem antes de chegar ao seu status final.

O rastreamento de mensagens no novo EAC melhora o rastreamento de mensagem original que estava disponível no EAC clássico. Você pode usar as informações do rastreamento de mensagens para responder eficientemente às perguntas do usuário sobre o que aconteceu com as mensagens, para solucionar problemas de fluxo de email e para validar as alterações de política.

Do que você precisa saber para começar?

  • Você precisa receber permissões para fazer os procedimentos neste artigo. Você tem as seguintes opções:

    • Exchange Online permissões: Associação ao grupo de funções gerenciamento de organização.
    • Microsoft Entra permissões: a associação nas funções administrador global ou administrador do Exchange fornece aos usuários as permissões e permissões necessárias para outros recursos no Microsoft 365.

  • O número máximo de mensagens exibidas nos resultados depende do tipo de relatório selecionado. Para obter mais informações, confira os resultados do rastreamento de mensagens. O cmdlet Get-HistoricSearch no Exchange Online PowerShell retorna todas as mensagens nos resultados.

Abrir rastreamento de mensagem

No novo EAC em https://admin.exchange.microsoft.com, acesse Rastreamentode mensagensde fluxo> de email. Ou, para ir diretamente para a página de rastreamento de mensagens , use https://admin.exchange.microsoft.com/#/messagetrace.

Página de rastreamento de mensagens

Na página Rastreamento de mensagens , você pode iniciar um novo rastreamento padrão selecionando Iniciar um rastreamento.

No novo flyout de rastreamento de mensagens que é aberto, as seleções padrão pesquisam todas as mensagens para todos os remetentes e destinatários nos últimos dois dias. Ou você pode usar uma das consultas armazenadas nas guias disponíveis (como é ou como ponto de partida para suas próprias consultas):

  • Consultas padrão: consultas internas fornecidas pelo Microsoft 365.
  • Consultas personalizadas: consultas salvas por administradores em sua organização para uso futuro.
  • Consultas salvas automaticamente: as últimas 10 consultas executadas mais recentemente. Esta lista torna simples continuar de onde você parou.

A guia Relatórios para download mostra as solicitações de relatório para download e os próprios relatórios quando estão disponíveis para download.

A página Rastreamento de mensagens no novo EAC.

Opções para um novo rastreamento de mensagens

As seções a seguir descrevem as configurações disponíveis no novo flyout de rastreamento de mensagens que é aberto quando você seleciona Iniciar um rastreamento ou abrir um rastreamento existente.

O novo sobrevoo de rastreamento de mensagens no novo EAC.

Remetentes e destinatários

O valor padrão para remetentes e destinatários é Todos, mas você pode inserir valores específicos:

  • Remetentes: clique na caixa e comece a digitar para inserir ou selecionar um ou mais remetentes da sua organização.
  • Destinatários: clique na caixa e comece a digitar para inserir ou selecionar um ou mais destinatários em sua organização.

Você pode digitar os endereços de email de remetentes externos e destinatários. Há suporte para curingas (por exemplo, *@contoso.com), mas você não pode usar vários curingas em um único valor.

Você pode colar várias listas de remetentes ou destinatários separadas por ponto-e-vírgula (;), espaços (\s), retornos de transporte (\r) ou novas linhas (\n).

Intervalo de tempo

Na seção Intervalo de tempo , o valor padrão é de 2 dias, mas você pode especificar intervalos de data/hora até 90 dias. Ao usar intervalos de data/hora, considere os seguintes problemas:

  • Por padrão, você seleciona o intervalo de tempo na exibição controle deslizante usando um linha do tempo.

    Um intervalo de tempo do controle deslizante em um novo rastreamento de mensagem no novo EAC.

    Salvar uma consulta no modo de exibição slider salva o intervalo de tempo relativo (por exemplo, dois dias a partir de hoje).

  • Você pode alternar para a exibição de intervalo de tempo personalizado para especificar os seguintes valores:

    • Fuso horário: aplica-se às suas entradas de consulta e aos resultados da consulta.
    • Data e hora de início.
    • Data e hora de término.

    Um intervalo de tempo personalizado em um novo rastreamento de mensagem no novo EAC.

    Salvar uma consulta no modo de exibição de intervalo de tempo personalizado salva o intervalo absoluto de data/hora (por exemplo, 2023-05-06 13:00 to 2023-05-08 18:00).

Por 10 dias ou menos, os resultados estão disponíveis instantaneamente como um relatório resumo.

Se você especificar um intervalo de data/hora que seja um pouco maior que 10 dias:

  • Os resultados estão disponíveis apenas como um arquivo CSV para download (um relatório de resumo aprimorado ou um relatório estendido).
  • Os resultados são preparados usando dados de rastreamento de mensagens arquivados. Pode levar várias horas até que o relatório esteja disponível para download. Dependendo de quantos outros administradores também enviaram solicitações de relatório ao mesmo tempo, você também pode notar um atraso antes do início do processamento em uma solicitação na fila.

Opções de pesquisa detalhadas

Na seção Opções detalhadas de pesquisa , as seguintes opções estão disponíveis:

  • Status de entrega: os seguintes valores estão disponíveis:

    • Tudo: esse é o valor padrão.
    • Entregue: a mensagem foi entregue com êxito no destino pretendido.
    • Expandido: um destinatário do grupo de distribuição foi expandido antes da entrega para os membros individuais do grupo.
    • Falha: a mensagem não foi entregue.
    • Pendente*: a entrega da mensagem está sendo tentada ou reattempada.
    • *Em quarentena: a mensagem foi colocada em quarentena (como spam, email em massa ou phishing). Para obter mais informações, consulte Mensagens de email em quarentena no EOP.
    • Filtrado como spam*: a mensagem foi identificada como spam e foi rejeitada ou bloqueada (não colocada em quarentena).
    • Obtendo status: a mensagem foi recebida recentemente pelo Microsoft 365, mas nenhum outro status dados ainda está disponível. Você pode marcar novamente em alguns minutos.

    * Esse valor só está disponível em pesquisas com menos de 10 dias. Se você precisar consultar dados com mais de 10 dias, use o cmdlet Start-HistoricSearch no Exchange Online PowerShell.

    Observação

    pode haver um atraso de cinco a dez minutos entre os valores de entrega relatados e reais e relatados status.

  • ID da mensagem: a ID da mensagem da Internet (também conhecida como ID do cliente) encontrada no campo cabeçalho ID de mensagem no cabeçalho da mensagem. Os usuários podem fornecer esse valor para investigar mensagens específicas.

    Esse valor é constante durante o tempo de vida da mensagem. Para mensagens criadas no Microsoft 365 ou Exchange, o valor ID da Mensagem usa o formato <GUID@ServerFQDN>, incluindo os colchetes em ângulo. Por exemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Outros sistemas de email podem usar sintaxe ou valores diferentes. Esse valor deveria ser exclusivo, mas nem todos os sistemas de email seguem estritamente esse requisito. Se o campo ID de Mensagem: cabeçalho não existir ou estiver em branco para mensagens de entrada de fontes externas, um valor arbitrário será atribuído.

    Ao usar a ID da Mensagem para filtrar os resultados, verifique se você inclui a cadeia de caracteres completa, incluindo quaisquer colchetes em ângulo.

  • Direção: selecione um dos seguintes valores:

    • Tudo: esse é o valor padrão.
    • Entrada: mensagens enviadas para destinatários em sua organização.
    • Saída: mensagens enviadas de usuários em sua organização.

  • Endereço IP do cliente original: o endereço IP do computador ou dispositivo cliente do remetente de email. Você pode usar esse filtro para investigar computadores hackeados que estão enviando grandes quantidades de spam ou malware. Embora as mensagens pareçam vir de vários remetentes, é provável que o mesmo computador esteja gerando todas as mensagens.

    Observação

    As informações de endereço IP do cliente estão disponíveis apenas por 10 dias e somente no relatório de resumo aprimorado ou no relatório Estendido (arquivos CSV para download).

Tipo de relatório

Os tipos de relatório disponíveis são:

  • Relatório de resumo: disponível se o intervalo de tempo for menor que 10 dias e não exigir outras opções de filtragem. Os resultados estão disponíveis quase imediatamente depois que você seleciona Pesquisa. O relatório retorna até 20.000 resultados.

    Selecione Pesquisa para iniciar o rastreamento da mensagem. Você é levado para a página Resultados da pesquisa de rastreamento de mensagens , conforme descrito na seção Saída do relatório Resumo .

    As últimas 10 consultas de relatório de resumo estão disponíveis na guia Consultas salvas automaticamente na página Rastreamento de mensagens .

  • Relatório de resumo aprimorado: inclui as informações no relatório de resumo, além de outros detalhes (por exemplo, direção e endereço IP do cliente original). Disponível apenas como um arquivo CSV para download. O relatório retorna até 100.000 resultados.

  • Relatório estendido: inclui as mesmas informações do relatório de resumo estendido, além de detalhes abrangentes de roteamento e evento de mensagem. Disponível apenas como um arquivo CSV para download. O relatório retorna até 1.000 resultados.

    O relatório de resumo aprimorado e o relatório estendido exigem uma ou mais das seguintes opções de filtragem, independentemente do intervalo de tempo: Remetentes, Destinatários ou ID da Mensagem.

    O relatório de resumo aprimorado e o relatório estendido são preparados usando dados de rastreamento de mensagens arquivados. Pode levar várias horas até que o relatório esteja disponível para download. Dependendo de quantos outros administradores também enviaram solicitações de relatório ao mesmo tempo, você também pode notar um atraso antes do início do processamento em uma solicitação na fila.

    Embora você possa selecionar o relatório de resumo aprimorado ou relatório estendido para qualquer intervalo de data/hora, as últimas 24 horas de dados arquivados normalmente não estão disponíveis.

    O tamanho máximo de um arquivo CSV para download é de 800 MB. Se um relatório para download exceder 800 MB, você não poderá abrir o relatório no Excel ou no Bloco de Notas.

    Quando você seleciona Avançar, você é levado para um flyout de resumo que lista as opções de filtragem selecionadas, um título exclusivo (editável) para o relatório e o endereço de email para receber a notificação quando o rastreamento de mensagem for concluído (também editável e deve estar em um dos domínios aceitos da sua organização).

    Selecione Preparar relatório para enviar o rastreamento da mensagem. Você pode ver o status do relatório na guia Relatórios para download. Para obter mais informações sobre os dados retornados, consulte as seções Relatórios de resumo aprimorados e relatórios estendidos.

Resultados do rastreamento de mensagens

Os diferentes tipos de relatório retornam diferentes níveis de informações. As informações disponíveis nos diferentes relatórios são descritas nas seguintes seções:

Saída de relatório de resumo

Depois de executar o rastreamento da mensagem, os resultados são classificados por data/hora decrescente (os eventos mais recentes primeiro).

O relatório Resumo contém as seguintes informações:

  • Data: a data e a hora em que a mensagem foi recebida pelo serviço, usando o fuso horário UTC configurado.
  • Remetente: o endereço de email do remetente (domíniode alias@).
  • Destinatário: o endereço de email do destinatário. Se a mensagem tiver vários destinatários, cada destinatário estará em uma linha separada. Se o destinatário for um grupo de distribuição, um grupo de distribuição dinâmica ou um grupo de segurança habilitado para email, o grupo será o primeiro destinatário, seguido por cada membro do grupo em uma linha separada.
  • Assunto: os primeiros 256 caracteres do campo Assunto: da mensagem.
  • Status: esses valores são descritos na seção Opções de pesquisa detalhadas .

Por padrão, os primeiros 250 resultados são carregados e prontamente disponíveis. Quando você rola para baixo, há uma pequena pausa à medida que o próximo lote de resultados é carregado, até um máximo de 10.000.

Você pode classificar as entradas clicando em um cabeçalho de coluna disponível.

Na guia Email, você pode diminuir o espaçamento vertical na lista clicando em Alterar exibição e selecionando Lista compacta.

Use a caixa Pesquisa e um valor correspondente para encontrar entradas específicas. Não há suporte para curingas

Para filtros mais avançados que você também pode salvar e usar posteriormente, selecione Filtrar e, em seguida, selecionar Novo filtro. No flyout de filtro personalizado que é aberto, insira as seguintes informações:

  • Nomeie seu filtro: insira um nome exclusivo.

  • Adicione uma cláusula de filtro inserindo as seguintes informações:

    • Campo: selecione entre os seguintes valores:
      • Sender
      • Recipiente
      • Assunto
      • Status
    • Operador: selecione começa com ou é.
    • Valor: insira o valor que você deseja pesquisar.

    Você pode selecionar Adicionar nova cláusula e repetir a etapa anterior quantas vezes for necessário. Várias cláusulas usam a lógica AND (<Cláusula1> E <Cláusula2>...).

    Para remover uma cláusula de filtro, selecione Remover cláusula ao lado da entrada.

    Quando terminar no flyout do filtro personalizado , selecione Salvar. O novo filtro é carregado automaticamente e os resultados filtrados são mostrados na página Resultados da pesquisa de rastreamento de mensagens . Esse resultado é o mesmo que selecionar Filtro e selecionar o filtro existente na seção Filtros personalizados na lista.

    Para descarregar um filtro existente e retornar às informações padrão mostradas na página Resultados da pesquisa de rastreamento de mensagens , selecione >Limpar todos os filtros.

Selecione Editar rastreamento de mensagem para editar os critérios de pesquisa.

Use Exportar resultados para exportar os resultados exibidos para um arquivo CSV.

Selecione Atualizar para atualizar os resultados.

Registros de mensagens relacionados são registros que compartilham a mesma ID da mensagem. Lembre-se de que até mesmo uma única mensagem enviada entre duas pessoas pode gerar vários registros. O número de registros aumenta quando a mensagem é afetada pela expansão do grupo de distribuição, encaminhamento, regras de fluxo de email (também conhecidas como regras de transporte) e assim por diante.

Na área em branco ao lado da coluna Data, selecione a caixa de marcar redonda que aparece ao lado da entrada. As seguintes ações aparecem na página de resultados de rastreamentos de mensagem:

  • Exibição em Explorer: abre a mensagem no Explorer de Ameaças em organizações com Microsoft Defender para Office 365 Plano 2. Para obter mais informações, consulte O que é o Explorer de Ameaças?.
  • Vá caçar: procura a mensagem no Explorer de Ameaças em organizações com Microsoft Defender para Office 365 Plano 2. Para obter mais informações, consulte Caça a ameaças no Explorer de ameaças para Microsoft Defender para Office 365
  • Localizar relacionado: abre um novo rastreamento de mensagem para encontrar os registros relacionados para a mensagem.

Para obter mais informações sobre a ID da mensagem, consulte a seção Opções de pesquisa detalhadas .

Detalhes do rastreamento de mensagens

Na saída do relatório de resumo, você pode exibir detalhes sobre uma mensagem clicando em qualquer lugar da linha diferente da caixa de marcar redonda que aparece ao lado do valor Date.

O flyout de detalhes que é aberto após clicar em uma linha no rastreamento de mensagens de relatório de resumo resulta no novo EAC.

O descumprimento de detalhes que é aberto contém as seguintes informações que não estão presentes no relatório de resumo:

  • Eventos de mensagem: depois de expandir esta seção, você poderá ver classificações que ajudam a categorizar as ações que o serviço assume nas mensagens. Alguns dos eventos mais interessantes que você pode encontrar são:

    • Receber: a mensagem foi recebida pelo serviço.
    • Enviar: a mensagem foi enviada pelo serviço.
    • Falha: a mensagem não foi entregue.
    • Entrega: a mensagem foi entregue em uma caixa de correio.
    • Expanda: a mensagem foi enviada para um grupo de distribuição que foi expandido.
    • Transferência: os destinatários foram movidos para uma mensagem bifurcada devido à conversão de conteúdo, limites de destinatário de mensagens ou agentes.
    • Adiar: a entrega da mensagem foi adiada e pode ser reattempada posteriormente.
    • Resolvido: a mensagem foi redirecionada para um novo endereço destinatário com base em uma pesquisa do Active Directory. Quando esse evento acontece, o endereço original do destinatário é listado em uma linha separada no rastreamento da mensagem, juntamente com a entrega final status para a mensagem.
    • Regra DLP: a mensagem tinha uma correspondência de regra DLP.
    • Rótulo de confidencialidade: Ocorreu um evento de rotulagem do lado do servidor. Por exemplo, um rótulo foi adicionado automaticamente a uma mensagem que inclui uma ação para criptografar ou foi adicionada por meio do cliente web ou móvel. Essa ação é concluída pelo servidor exchange e está registrada. Um rótulo adicionado via Outlook não está incluído no campo de eventos.

    Observações:

    • Uma mensagem sem intercorrências entregue com êxito gera várias entradas de evento no rastreamento da mensagem. Para obter descrições de mais eventos, consulte Tipos de evento no log de rastreamento de mensagens. Este link é um tópico Exchange Server (exchange local).

  • Mais informações: depois de expandir esta seção, você poderá exibir os seguintes detalhes:

    • ID da mensagem: esse valor é descrito na seção Opções de pesquisa detalhadas . Um exemplo de um valor de ID de mensagem é <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
    • Tamanho da mensagem: o tamanho da mensagem enviada, incluindo anexos/imagens/texto.
    • No IP: o endereço IP do computador que enviou a mensagem. Para as mensagens de saída enviadas a partir do Exchange Online, o valor é nulo.
    • Para IP: o endereço IP para o qual o serviço tentou entregar a mensagem. Se a mensagem tiver vários destinatários, esses endereços serão exibidos. Para mensagens de entrada enviadas para o Exchange Online, o valor é nulo.

Relatórios de resumo aprimorados

Um relatório de resumo aprimorado está disponível na guia Relatórios baixáveis na página Rastreamento de mensagens :

  • Relatórios disponíveis para download têm o valor statusconcluído
  • Os relatórios que não estão disponíveis para download têm os valores statusNão iniciados ou em andamento.

As seguintes informações estão disponíveis no arquivo CSV do relatório de resumo aprimorado :

  • *origin_timestamp: a data e a hora em que a mensagem foi recebida inicialmente pelo serviço, usando o fuso horário UTC configurado.
  • sender_address: o endereço de email do remetente (domínio de alias@).
  • Recipient_status: o status da entrega da mensagem ao destinatário. Se a mensagem foi enviada para vários destinatários, ela mostrará todos os destinatários e os status correspondentes para cada um, no formato: <endereço> de email##<status>. Exemplos dos status do destinatário são:
    • ##Receive, Enviar significa que a mensagem foi recebida pelo serviço e foi enviada para o destino pretendido.
    • ##Receive, Fail significa que a mensagem foi recebida pelo serviço, mas a entrega para o destino pretendido falhou.
    • ##Receive, Entregar significa que a mensagem foi recebida pelo serviço e entregue na caixa de correio do destinatário.
  • message_subject: os primeiros 256 caracteres do campo Assunto da mensagem.
  • total_bytes: o tamanho da mensagem em bytes, incluindo anexos.
  • message_id: esse valor é descrito na seção Opções de pesquisa detalhadas . Um exemplo de um valor message_id é <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • network_message_id: um valor de ID de mensagem exclusivo que persiste em todas as cópias da mensagem que podem ser criadas devido à bifurcação ou expansão do grupo de distribuição. Um exemplo de network_message_id valor é 1341ac7b13fb42ab4d4408cf7f55890f.
  • original_client_ip: o endereço IP do servidor SMTP do remetente.
  • direcionalidade: indica se a mensagem foi enviada de entrada (para sua organização) ou de saída (de sua organização).
  • connector_id: o nome do conector de origem ou de destino. Para obter mais informações sobre conectores no Exchange Online, consulte Configurar fluxo de email usando conectores no Office 365.
  • *delivery_priority: se a mensagem foi enviada com prioridade alta, baixa ou normal.

* Essas propriedades estão disponíveis apenas em um relatório de resumo aprimorado.

Relatórios estendidos

Um relatório estendido está disponível na guia Relatórios para download na página Rastreamento de mensagens :

  • Relatórios disponíveis para download têm o valor statusconcluído
  • Os relatórios que não estão disponíveis para download têm os valores statusNão iniciados ou em andamento.

As seguintes informações estão disponíveis no arquivo CSV do relatório aprimorado :

  • client_ip: o endereço IP do servidor de email ou do cliente de mensagens que enviou a mensagem.

  • client_hostname: o nome do host ou FQDN do servidor de email ou cliente de mensagens que enviou a mensagem.

  • server_ip: o endereço IP do servidor de origem ou de destino.

  • server_hostname: o nome do host ou FQDN do servidor de destino.

  • source_context: informações extras associadas ao campo de origem . Por exemplo:

    • Protocol Filter Agent
    • 3489061114359050000

  • fonte: o componente Exchange Online responsável pelo evento. Por exemplo:

    • AGENT
    • MAILBOXRULE
    • SMTP

  • event_id: esse valor corresponde aos valores do evento Message que são explicados em Localizar registros relacionados para esta mensagem.

  • internal_message_id: um identificador de mensagem atribuído pelo servidor Exchange Online que está processando a mensagem no momento.

  • recipient_address: os endereços de email dos destinatários da mensagem. Vários endereços de email são separados pelo caractere de ponto-e-vírgula (;).

  • recipient_count: o número total de destinatários na mensagem.

  • related_recipient_address: apresentar com EXPAND, REDIRECTe RESOLVE eventos para exibir os endereços de email de outros destinatários associados à mensagem.

  • referência: este campo contém informações adicionais para tipos específicos de eventos. Por exemplo:

    • DSN: contém o link do relatório, que é o valor message_id da notificação de status de entrega associada (também conhecida como DSN, relatório não detalhado, NDR ou mensagem de salto) se um DSN for gerado posteriormente a esse evento. Se essa mensagem for uma mensagem DSN, esse campo conterá o valor message_id da mensagem original para a qual o DSN foi gerado.

    • EXPAND: Contém o valor related_recipient_address das mensagens relacionadas.

    • RECEBER: pode conter o valor message_id da mensagem relacionada se a mensagem foi gerada por outros processos (por exemplo, regras de caixa de entrada).

    • SEND: Contém o valor internal_message_id de qualquer mensagem DSN.

    • TRANSFER: contém o valor internal_message_id da mensagem que está sendo bifurcado (por exemplo, por conversão de conteúdo, limites de destinatário de mensagens ou agentes).

    • MAILBOXRULE: contém o valor internal_message_id da mensagem de entrada que fez com que a regra de caixa de entrada gerasse a mensagem de saída.

      Para outros tipos de eventos, esse campo (internal_message_id) está em branco.

  • return_path: o endereço de email de retorno especificado pelo comando MAIL FROM que enviou a mensagem. Embora esse campo nunca esteja vazio, ele pode ter o valor de endereço do remetente nulo representado como <>.

  • message_info: informações adicionais sobre a mensagem. Por exemplo:

    • A data-hora de origem da mensagem em UTC para DELIVER e SEND eventos. A data-hora de origem é a hora em que a mensagem entrou pela primeira vez na organização Exchange Online. A data-hora UTC é representada no formato iso 8601 date-time: yyyy-mm-ddThh:mm:ss.fffZ, onde yyyy = ano, mm = mês, dd = dia, T indica o início do componente de hora, = hora, mmhh = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra maneira de denotar UTC.
    • Erros de autenticação. Por exemplo, você pode ver o valor 11a e o tipo de autenticação que foi usado quando o erro de autenticação ocorreu.

  • tenant_id: um valor GUID que representa a organização Exchange Online (por exemplo, 39238e87-b5ab-4ef6-a559-af54c6b07b42).

  • original_server_ip: o endereço IP do servidor original.

  • custom_data: contém dados relacionados a tipos de evento específicos. Para obter mais informações, consulte as seguintes seções:

custom_data valores

O campo custom_data para um AGENTINFO evento é usado por vários agentes Exchange Online para registrar detalhes de processamento de mensagens. Alguns dos agentes mais interessantes são descritos nas seções a seguir.

Agente de filtro de spam

Um custom_data valor que começa com S:SFA é do agente de filtro de spam. Para obter mais informações, confira Campos de cabeçalho de mensagem X-Forefront-Antispam-Report.

Um exemplo de um valor custom_data para uma mensagem filtrada para spam é assim:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente de filtro de malware

Um custom_data valor que começa com S:AMA é do agente de filtro de malware. Os detalhes da chave são descritos na tabela a seguir:

Valor Descrição
AMA=SUM|v=1| ou AMA=EV|v=1 Foi determinado que a mensagem contém malware. SUM indica que o malware pode ter sido detectado por vários mecanismos. EV indica que o malware foi detectado por um mecanismo específico. Quando um mecanismo detecta malware, as ações subsequentes são disparadas.
Action=r A mensagem foi substituída.
Action=p A mensagem foi ignorada.
Action=d A mensagem foi adiada.
Action=s A mensagem foi excluída.
Action=st A mensagem foi ignorada.
Action=sy A mensagem foi ignorada.
Action=ni A mensagem foi rejeitada.
Action=ne A mensagem foi rejeitada.
Action=b A mensagem foi bloqueada.
Name=<malware> O nome do malware foi detectado.
File=<filename> O nome do arquivo que continha o malware.

Um exemplo de um valor custom_data para uma mensagem que contém malware é semelhante a este:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agente de Regra de Transporte

Um valor custom_data que começa comS:TRA é do agente regra de transporte para regras de fluxo de email (também conhecido como regras de transporte). Os detalhes da chave são descritos na tabela a seguir:

Valor Descrição
ETR|ruleId=<guid> A identificação da regra encontrou uma correspondência.
St=<datetime> A data e a hora em UTC quando a correspondência de regra ocorreu.
Action=<ActionDefinition> A ação que foi aplicada. Para obter uma lista de ações disponíveis, consulte Ações de regra de fluxo de email em Exchange Online.
Mode=<Mode> O modo da regra. Os valores válidos são:
  • Impor: todas as ações na regra são impostas.
  • Teste com dicas de política:: Todas as ações de Dica de Política são enviadas, mas outras ações de execução não são executadas.
  • Testar sem Dicas de Política: as ações são listadas em um arquivo de log, mas os remetentes não são notificados de forma alguma e as ações de execução não são executadas.</li?

Um exemplo de um valor custom_data para uma mensagem que corresponda às condições de uma regra de fluxo de email é assim:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce