Поделиться через


Запуск трассировки сообщений в классическом Центре администрирования Exchange в Exchange Online

Примечание.

Трассировка сообщений доступна в современном Центре администрирования Exchange. Дополнительные сведения см. в статье Трассировка сообщений в современном Центре администрирования Exchange. Ссылка на трассировку сообщений Exchange на портале Microsoft Defender открывает трассировку сообщений в современном Центре администрирования Exchange.

Обладая правами администратора, вы можете найти причину случившегося с сообщением электронной почты, запустив трассировку сообщения в Центр администрирования Exchange (EAC). После запуска трассировки сообщений можно просмотреть ее результаты в списке, а затем просмотреть сведения об определенном сообщении. Данные трассировки сообщений доступны за последние 90 дней. Если сообщение прошло более семи дней, результаты можно просмотреть только в загружаемом .CSV файле.

Пошаговое видео о трассировки сообщений и других средствах устранения неполадок с потоком обработки почты см. в статье Поиск и устранение проблем с доставкой электронной почты администратором Microsoft 365 или Office 365 для бизнеса.

Что нужно знать перед началом работы

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы в Exchange Online или Exchange Online Protection. Если вы являетесь администратором Microsoft 365 или Office 365 для бизнеса, см . статью Обращение в службу поддержки по бизнес-продуктам — справка администратора.

Запуск трассировки сообщений

  1. В Центре администрирования Электронной почты перейдите кразделу Трассировка сообщений потока >обработки почты.

    Снимок экрана с Центром администрирования Exchange, где показан выбор трассировки сообщений в меню навигации потока обработки почты.

  2. В зависимости от того, что вы ищете, можно ввести значения в следующих полях. Ни одно из этих полей не требуется для сообщений старше семи дней. Вы можете выбрать Поиск , чтобы получить все данные трассировки сообщений за период времени по умолчанию, который составляет последние 48 часов.

    1. Диапазон дат. В раскрывающемся списке выберите для поиска сообщений, отправленных или полученных за последние 24 часа, 48 часов или 7 дней. Вы также можете выбрать пользовательский период времени, который включает любой диапазон в пределах последних 90 дней. Для пользовательских поисковых запросов можно также изменить часовой пояс в формате UTC.

    2. Состояние доставки. В раскрывающемся списке выберите состояние сообщения, о которой вы хотите просмотреть сведения. Выберите Все, чтобы включить в поиск сообщения со всеми состояниями (это значение по умолчанию). Другие возможные значения.

      • Доставлено: сообщение успешно доставлено в целевое место назначения.
      • Сбой: сообщение не доставлено. Либо попытка была выполнена и завершилась ошибкой, либо она не была доставлена в результате действий, предпринятых службой фильтрации. Например, было определено, что сообщение содержит вредоносную программу.
      • Ожидание*: выполняется попытка доставки сообщения или повторная проверка.
      • Развернуто: сообщение было отправлено в список рассылки и было развернуто, чтобы члены списка можно было просматривать по отдельности.
      • Отфильтровано как спам: сообщение было доставлено в папку Нежелательная почта.
      • Неизвестно*: состояние доставки сообщения в настоящее время неизвестно. При выводе результатов запроса поля сведений о доставке не содержат никаких сведений.

      *Если вы ищете сообщения старше 7 дней, вы не можете выбрать Ожидание или Неизвестно.

    3. Идентификатор сообщения. Это идентификатор интернет-сообщения (также известный как идентификатор клиента), который находится в заголовке сообщения в поле Message-ID: header. Пользователи могут предоставлять эти сведения, чтобы исследовать определенные сообщения.

      Этот идентификатор может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Следующий пример: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

      Этот идентификатор должен быть уникальным; однако не все системы отправки почты ведут себя одинаково. В результате вы можете получить результаты для нескольких сообщений при запросе по одному идентификатору сообщения.

      Примечание. Обязательно включите полную строку идентификатора сообщения. Она может включать угловые скобки (<>).

    4. Отправитель. Поиск определенных отправителей можно сузить, нажав кнопку Добавить отправителя рядом с полем Отправитель . В следующем диалоговом окне выберите одного или нескольких отправителей из вашей компании в списке средств выбора пользователей и нажмите кнопку Добавить. Чтобы добавить отправителей, которых нет в списке, введите их адреса электронной почты и выберите Проверить имена. В этом поле для адресов электронной почты поддерживаются подстановочные знаки и имеют формат: *@contoso.com. При указании подстановочного знака нельзя использовать другой адрес. Завершив выбор, нажмите кнопку ОК.

    5. Получатель. Вы можете сузить поиск определенных получателей, нажав кнопку Добавить получателя рядом с полем Получатель . В следующем диалоговом окне выберите одного или нескольких получателей из вашей компании в списке средств выбора пользователей и нажмите кнопку Добавить. Чтобы добавить получателей, которых нет в списке, введите их адреса электронной почты и выберите Проверить имена. В этом поле для адресов электронной почты поддерживаются подстановочные знаки и имеют формат: *@contoso.com. При указании подстановочного знака нельзя использовать другой адрес. Завершив выбор, нажмите кнопку ОК.

  3. Если вы ищете сообщения старше семи дней, настройте следующие параметры: (в противном случае этот шаг можно пропустить):

    1. Включить события сообщений и сведения о маршрутизации в отчет. Этот флажок рекомендуется установить только в том случае, если вам нужно несколько сообщений. В противном случае возврат результатов занимает больше времени.

    2. Направление. Оставьте значение по умолчанию Все или выберите Входящие для сообщений, отправленных в организацию, или Исходящие для сообщений, отправленных из вашей организации.

    3. Исходный IP-адрес клиента. Укажите IP-адрес клиента отправителя.

    4. Заголовок отчета: укажите уникальный идентификатор для этого отчета. Он также будет использоваться как текст строки темы для уведомления по электронной почте. Значение по умолчанию — "Отчет о <трассировки сообщений день недели>, <текущая дата><текущего времени>". Например, "Отчет о трассировки сообщений четверг, 17 октября 2018 г. 7:21:09 AM".

    5. Адрес электронной почты для уведомлений. Укажите адрес электронной почты, который вы хотите получить по завершении трассировки сообщения. Этот адрес должен находиться в списке обслуживаемых доменов.

  4. Нажмите кнопку Поиск, чтобы запустить трассировку сообщения. Вы получите предупреждение, если вы приближаетесь к порогу количества трассировок, которые вам разрешено выполнять в течение 24-часового периода.

После выполнения трассировки сообщений перейдите к одному из следующих разделов, чтобы узнать, как просмотреть результаты.

Примечание. Чтобы найти другое сообщение, можно нажать кнопку Очистить , а затем указать новые условия поиска.

Просмотр результатов трассировки сообщений для сообщений старше 7 дней

После выполнения трассировки сообщений в Центре администрирования EAC результаты будут перечислены, отсортированы по дате, а самое последнее сообщение появится первым. Вы можете выполнить сортировку по любому из перечисленных полей, щелкнув их заголовки. После второго щелчка по заголовку столбца порядок сортировки меняется на противоположный. При просмотре результатов трассировки сообщений о каждом сообщении предоставляются следующие сведения:

  • Дата: дата и время получения сообщения службой с использованием настроенного часового пояса UTC.
  • Отправитель: адрес электронной почты отправителя в формате alias@domain.
  • Получатель: адрес электронной почты получателя или получателей. Для сообщений, отправленных нескольким получателям, для каждого получателя выделяется отдельная строка. Если получателем является список рассылки, то этот список будет первым получателем, а уже после него в отдельных строках будут указаны все участники списка рассылки, поэтому можно проверить состояние для всех получателей.
  • Тема: текст строки темы сообщения. При необходимости эта строка усекается до первых 256 знаков.
  • Состояние. Это поле указывает, было ли сообщение доставлено получателю или предполагаемому назначению. Не удалось доставить получателю (из-за того, что оно не достигло места назначения или из-за фильтрации), находится в ожидании доставки (оно находится в процессе доставки или доставка была отложена, но предпринимается повторная попытка). был развернут (доставка не была выполнена, так как сообщение было отправлено в список рассылки (DL), который был развернут для получателей DL), или имеет состояние Нет (нет состояния доставки сообщения получателю, так как сообщение было отклонено или перенаправлено другому получателю).

Примечание.

В трассировке сообщений может отображаться не более 500 записей. По умолчанию в пользовательском интерфейсе отображается 50 записей на страницу, и вы можете переходить между страницами. Можно также изменить размер записи каждой страницы до 500.

Просмотр сведений о конкретном сообщении менее 7 дней назад

После изучения списка элементов, возвращенных трассировкой сообщений в Центре администрирования Exchange, можно дважды щелкнуть какое-либо сообщение, чтобы просмотреть следующие дополнительные сведения о нем.

  • Размер сообщения: размер сообщения, включая вложения, в килобайтах (КБ) или, если размер сообщения превышает 999 КБ, в мегабайтах (МБ).

  • Идентификатор сообщения. Это идентификатор сообщения в Интернете (также известный как идентификатор клиента), который находится в заголовке сообщения с маркером Message-ID:. Форма этого зависит от системы отправки почты. Ниже приведен пример: <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>.

    Этот идентификатор должен быть уникальным, однако он зависит от системы отправки почты для создания и не все почтовые системы отправки ведут себя одинаково. В результате вы можете получить результаты для нескольких сообщений при запросе по одному идентификатору сообщения.

    Эти результаты возвращаются в виде выходных данных, так что записи трассировки и рассматриваемые сообщения могут быть связаны.

  • На IP-адрес: IP-адрес или адреса, по которым служба попыталась доставить сообщение. Если у сообщения несколько получателей, то отображается следующее. Для входящих сообщений, отправленных в Exchange Online, это значение будет пустым.

  • С IP-адреса: IP-адрес компьютера, отправляющего сообщение. Для исходящих сообщений, отправленных из Exchange Online, это значение будет пустым.

В разделе событий сведения о событиях, произошедших с сообщением во время его передачи через канал передачи сообщений, отображаются в следующих полях.

  • Дата: дата и время возникновения события.

  • Событие. В этом поле кратко сообщается о том, что произошло, например, если сообщение было получено службой, если оно было доставлено или не было доставлено предполагаемому получателю и т. д. Ниже приведены примеры событий, которые могут быть отображены в списке.

    • RECEIVE: сообщение было получено службой.

    • SEND: сообщение было отправлено службой.

    • FAIL: сообщение не удалось доставить.

    • DELIVER: сообщение доставлено в почтовый ящик.

    • EXPAND: сообщение отправлено в развернутую группу рассылки.

    • TRANSFER: получатели были перемещены в раздвоенные сообщения из-за преобразования содержимого, ограничений получателей сообщений или агентов.

    • DEFER: доставка сообщения была отложена и может быть предпринята повторно позже.

    • РЕШЕНО. Сообщение было перенаправлено на новый адрес получателя на основе поиска Active Directory. В этом случае исходный адрес получателя указывается в отдельной строке трассировки сообщений вместе с итоговым состоянием доставки сообщения.

    • Правило защиты от потери данных. В сообщении было совпадение правила защиты от потери данных в этом сообщении.

    • Метка конфиденциальности: Произошло событие маркировки на стороне сервера. Например, метка была автоматически добавлена в сообщение, включающее действие для шифрования, или была добавлена через веб-клиент или мобильный клиент. Это действие выполняется сервером Exchange Server и регистрируется в журнале. Метка, добавленная через Outlook, не будет включена в поле события.

      Совет

      Могут появиться дополнительные события. Дополнительные сведения об этих событиях см. в разделе Типы событий в журнале отслеживания сообщений.

  • Действие: в этом поле отображается действие, которое было выполнено, если сообщение было отфильтровено из-за обнаружения вредоносных программ или спама или соответствия правил. Например, в этом поле будут сведения об удалении сообщения или отправке его в карантин.

  • Сведения. В этом поле содержатся подробные сведения о том, что произошло. Например, он может сообщить, какое конкретное правило потока обработки почты (также известное как правило транспорта) было сопоставлено, и что произошло с сообщением в результате этого совпадения. Кроме того, в этом поле могут содержаться сведения о вредоносных программах, обнаруженных во вложении, или о том, почему сообщение было распознано как нежелательная почта. Если сообщение было успешно доставлено, в этом поле будут сведения об IP-адресе, по которому оно было доставлено.

Просмотр результатов трассировки сообщений для сообщений старше 7 дней

При выполнении трассировки сообщений для элементов, которые старше 7 дней, при нажатии кнопки Поиск должно появиться сообщение, сообщающее о том, что сообщение было успешно отправлено, а по завершении трассировки на указанный адрес электронной почты будет отправлено уведомление по электронной почте. (Если трассировка сообщения обработана и данные, соответствующие условиям поиска, успешно получены, это уведомление будет содержать сведения о трассировки и ссылку на скачиваемый .CSV файл. Если не найдены данные, соответствующие указанным условиям поиска, вам будет предложено отправить новый запрос с измененными критериями, чтобы получить допустимые результаты.)

В EAC можно щелкнуть Просмотреть ожидающие или завершенные трассировки , чтобы просмотреть список трассировок, которые выполнялись для элементов старше 7 дней. В открывшемся окне трассировки сортируются по дате и времени отправки. В начале списка идут трассировки, отправленные недавно. Помимо названия (заголовка) отчета, даты и времени отправки трассировки, а также количества сообщений, в отчете выводятся следующие значения состояния.

  • Не запущено: трассировка отправлена, но еще не выполняется. На этом этапе имеется возможность отмены трассировки.
  • Отменено: трассировка была отправлена, но отменена.
  • Выполняется. Трассировка выполняется, и вы не можете отменить трассировку или скачать результаты.
  • Завершено: трассировка завершена, и вы можете нажать кнопку Скачать этот отчет , чтобы получить результаты в файле .CSV. Обратите внимание, что если результаты трассировки сообщений превышают 10 0000 сообщений для сводного отчета, они будут усечены до первых 10 0000 сообщений. Если результаты трассировки сообщений превышают 1000 сообщений для подробного отчета, они будут усечены до первых 1000 сообщений. Если вы не видите все необходимые результаты, рекомендуется разбить поиск на несколько запросов.

При выборе особых критериев трассировки сообщений дополнительные сведения появляются в правой области. В зависимости от указанных вами критериев поиска сведения могут содержать информацию о диапазоне дат трассировки, отправителе и получателях сообщения.

Примечание.

  • Трассировки, включающие данные старше 7 дней, автоматически удаляются из Центра администрирования Exchange (EAC) через 10 дней. Удалить их вручную невозможно.

  • Максимальный размер скачиваемого CSV-файла — 800 МБ. Если размер скачиваемого отчета превышает 800 МБ, его невозможно открыть в Excel или Блокноте.

Просмотр сведений о конкретном сообщении более 7 дней назад

При скачивании и просмотре отчета о трассировке сообщений из раздела Просмотр ожидающих или завершенных трассировок в Центре администрирования EAC или из сообщения электронной почты с уведомлением его содержимое зависит от того, выбран ли параметр Включить события сообщений и сведения о маршрутизации с помощью отчета .

Важно!

Для просмотра загруженного отчета о трассировке сообщение, необходимо, чтобы вашей группе ролей была назначена роль RBAC "Получатели с правом просмотра". По умолчанию эта роль назначена группам ролей: "Управление соответствием требованиям", "Служба технической поддержки", "Управление санацией", "Управление организацией", "Управление организацией с правами только на просмотр".

Просмотр отчета о трассировке сообщений без сведений о маршрутизации

Если при запуске трассировки сообщений сведения о маршрутизации не были включены, в CSV-файле, который можно открыть с помощью таких приложений, как Microsoft Excel, будет содержаться следующая информация.

  • origin_timestamp: дата и время получения сообщения службой с использованием настроенного часового пояса UTC.

  • sender_address: адрес электронной почты отправителя в домене псевдонима@ формы.

  • Recipient_status: состояние доставки сообщения получателю. Если сообщение было отправлено нескольким получателям, будет отображаться все получатели и соответствующее состояние для каждого из них в формате: < адрес >электронной почты##<состояние>. Например, состояние :

    • ##Receive, Send: означает, что сообщение было получено службой и отправлено в нужное место назначения.
    • ##Receive, Fail: означает, что сообщение было получено службой, но не было доставлено в нужное место назначения.
    • ##Receive, Доставка: означает, что сообщение было получено службой и доставлено в почтовый ящик получателя.
  • message_subject: текст строки темы сообщения. При необходимости эта строка усекается до первых 256 знаков.

  • total_bytes: размер сообщения, включая вложения, в байтах.

  • message_id. Это идентификатор сообщения Интернета (также известный как идентификатор клиента), который находится в заголовке сообщения с маркером Message-ID:. Форма этого зависит от системы отправки почты. Ниже приведен пример: <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>.

    Этот идентификатор должен быть уникальным, однако он зависит от системы отправки почты для создания и не все почтовые системы отправки ведут себя одинаково. В результате вы можете получить результаты для нескольких сообщений при запросе по одному идентификатору сообщения.

    Эти результаты возвращаются в виде выходных данных, так что записи трассировки и рассматриваемые сообщения могут быть связаны.

  • network_message_id. Это уникальное значение идентификатора сообщения, которое сохраняется в копиях сообщения, которые могут быть созданы из-за бифуркации или расширения группы распространения. В примере он имеет значение 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip: IP-адрес клиента отправителя.

  • направление. Это поле указывает, было ли сообщение отправлено входящей (1) в вашу организацию, или оно было отправлено из вашей организации на исходящий трафик (2).

  • connector_id: имя исходного или целевого соединителя отправки или соединителя получения. Например, serverName\ConnectorName или ConnectorName.

  • delivery_priority: указывает, было ли отправлено сообщение с высоким, низким или обычным приоритетом.

Просмотр отчета о трассировке сообщений со сведениями о маршрутизации

Если при запуске трассировки сообщений сведения о маршрутизации были включены, в CSV-файле, который можно открыть с помощью таких приложений, как Microsoft Excel, будет содержаться вся информация из журналов отслеживания сообщений. Некоторые из значений, включенных в этот отчет, описаны в предыдущем разделе, а другие значения, которые могут быть полезны для расследования, описаны в разделе Поля в файлах журнала отслеживания сообщений.

Поле custom_data

Кроме того, в поле custom_data могут содержаться значения, указанные для службы фильтрации. Поле custom_data в событии AGENTINFO используется разными агентами для записи в журнал сведений об обработке ими сообщения. Ниже описаны некоторые из агентов, связанных с защитой данных сообщения.

Агент фильтра нежелательной почты (S:SFA)

Строка, которая начинается с "S:SFA" — это запись агента фильтра нежелательной почты. Она предоставляет следующие ключевые сведения.

Сведения журнала Описание
SFV = NSPM Сообщение помечено как не являющееся нежелательным и отправлено указанным получателям.
SFV = SPM Сообщение помечено фильтром содержимого как нежелательное.
SFV = BLK Фильтрация была пропущена, а сообщение было заблокировано, так как оно исходило от заблокированного отправителя.
SFV = SKS Сообщение помечено как нежелательное до обработки фильтром содержимого. Сюда входят сообщения, в которых сообщение соответствует правилу потока обработки почты, чтобы автоматически пометить его как спам и обойти все дополнительные фильтры.
SCL=<number> Дополнительные сведения о различных значениях SCL и их значении см. в разделе Уровни достоверности спама.
PCL=<number> Значение вероятности фишинга для сообщения. Их можно интерпретировать так же, как значения SCL, описанные в разделе Уровни достоверности спама.
DI = SB Отправитель сообщения заблокирован.
DI = SQ Сообщение перемещено в карантин.
DI = SD Сообщение удалено.
DI = SJ Сообщение отправлено в папку нежелательной почты получателя.
DI = SN Сообщение перенаправлено через пул высокого риска доставки. Дополнительные сведения см. в статье Пул доставки сообщений с высоким уровнем опасности.
DI = SO Сообщение перенаправлено через пул обычной исходящей доставки.
SFS=[a]
SFS=[b]
Это означает выполнение правил нежелательной почты.
IPV = CAL Сообщение было разрешено через фильтры нежелательной почты, так как IP-адрес был указан в списке разрешенных IP-адресов в фильтре подключений.
H = [helostring] Строка HELO или EHLO почтового сервера, который подключается.
PTR=[ReverseDNS] Запись PTR отправляющего IP-адреса, называемая также обратным DNS-адресом.

Если сообщение отфильтровано фильтром нежелательной почты, пример записи будет выглядеть следующим образом:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Агент фильтра вредоносных программ (S:AMA)

Строка, которая начинается с "S:AMA" — это запись агента фильтра вредоносных программ. Она предоставляет следующие ключевые сведения.

Сведения журнала Описание
AMA=SUM|v=1|

или

AMA=EV|v=1|

Сообщение помечено как содержащее вредоносные программы. SUM означает, что вредоносная программа могла быть обнаружена любым количеством обработчиков. EV означает, что вредоносная программа была обнаружена определенным обработчиком. Если обработчиком обнаружены вредоносные программы, это вызывает последующие действия.
Action = r Сообщение заменено.
Action = p Сообщение не проходило фильтрацию.
Action = d Сообщение отложено.
Action = s Сообщение удалено.
Action = st Сообщение не проходило фильтрацию.
Action = sy Сообщение не проходило фильтрацию.
Action = ni Сообщение отклонено.
Action = ne Сообщение отклонено.
Action = b Сообщение заблокировано.
Имя=<вредоносная программа> Имя обнаруженной вредоносной программы.
File=<filename> Имя файла, содержащего вредоносные программы.

Если сообщение содержит вредоносное программное обеспечение, пример записи custom_data будет выглядеть следующим образом:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

Агент правил транспорта (S:TRA)

Строка, начинающаяся с S:TRA, является записью из агента правил транспорта и содержит следующие основные сведения:

Сведения журнала Описание
ETR|ruleId=[guid] Выполнено правило идентификатора.
St = [дата_время] Дата и время (в формате UTC) выполнения правила.
Action=[ActionDefinition] Примененное действие. Список доступных действий см. в разделе Действия правила потока почты в Exchange Online.
Mode = Enforce Режим правила. Возможные значения:
  • Принудительно. Будут применены все действия в правиле.
  • Тест с помощью подсказок политики. Все действия подсказки политики будут отправлены, но другие действия по принудительному применению не будут выполняться.
  • Тест без подсказок политики. Действия будут перечислены в файле журнала, но отправители не будут уведомлены каким-либо образом, и принудительные действия не будут выполняться.

Если сообщение соответствует правилу потока обработки почты, пример custom_data записи будет выглядеть следующим образом:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Дополнительные сведения

В Вопросы и ответы по трассировке сообщений представлены вопросы об обмене сообщениями, которые могут возникнуть у пользователей, а также возможные ответы на них. В статье также описывается использование средства трассировки сообщений для получения нужных ответов и устранения определенных проблем с доставкой почты.

Можно ли выполнить трассировку сообщений с помощью Exchange Online PowerShell или Exchange Online Protection PowerShell? Какие командлеты следует использовать? содержит сведения о командлетах PowerShell, которые можно использовать для выполнения трассировки сообщений.