Exchange Online中新的 Exchange 管理中心中的邮件跟踪

项目
09/22/2023

新 Exchange 管理中心的邮件跟踪 (EAC) 在电子邮件通过 Microsoft 365 组织传递时会跟踪这些邮件。可以确定服务是接收、拒绝、延迟还是已传递消息。消息跟踪还显示消息在到达最终状态之前对消息执行的操作。

新 EAC 中的消息跟踪改进了经典 EAC 中提供的原始消息跟踪。可以使用邮件跟踪中的信息有效地回答用户有关邮件发生的情况的问题、排查邮件流问题以及验证策略更改。

开始前，有必要了解什么？

需要先分配权限，然后才能执行本文中的过程。可以选择下列选项：
- Exchange Online权限：组织管理角色组中的成员身份。
- Microsoft Entra权限：全局管理员或 Exchange 管理员角色的成员身份为用户提供 Microsoft 365 中其他功能所需的权限和权限。
结果中显示的最大消息数取决于所选的报表类型。有关详细信息，请参阅消息跟踪结果。 Exchange Online PowerShell 中的 Get-HistoricalSearch cmdlet 返回结果中的所有消息。

打开邮件跟踪

在的新 EAC 中 https://admin.exchange.microsoft.com，转到 邮件流>邮件跟踪。或者，若要直接转到 “消息跟踪 ”页，请使用 https://admin.exchange.microsoft.com/#/messagetrace。

消息跟踪页

在“消息跟踪”页上，可以通过选择“启动跟踪”来启动新的默认跟踪。

在打开 的“新建邮件跟踪 ”浮出控件中，默认选择搜索过去两天所有发件人和收件人的所有邮件。或者，可以使用可用选项卡中的其中一个已存储查询， (原样，或用作自己的查询的起点，) ：

默认查询：Microsoft 365 提供的内置查询。
自定义查询：组织中管理员保存的查询供将来使用。
自动保存的查询：最近 10 个最近运行的查询。此列表使你可以轻松地从上次离开的位置进行选取。

“ 可下载报表 ”选项卡显示可下载的报表请求以及可供下载的报表本身。

新邮件跟踪的选项

以下部分介绍在选择“启动跟踪”或打开现有跟踪时打开的“新建邮件跟踪”浮出控件中的可用设置。

发件人和收件人

发件人和收件人的默认值为 All，但可以输入特定值：

发件人：单击框并开始键入以输入或选择组织中的一个或多个发件人。
收件人：单击框并开始键入以输入或选择组织中的一个或多个收件人。

可以键入外部发件人和收件人的电子邮件地址。通配符支持 (例如 *@contoso.com) ，但不能在一个值中使用多个通配符。

可以粘贴多个发件人或收件人列表， (分号) ; 、空格 () \s 、回车 () \r 或新行 (\n) 分隔。

时间范围

在 “时间范围 ”部分中，默认值为 2 天，但可以指定日期/时间范围，最长为 90 天。使用日期/时间范围时，请考虑以下问题：

默认情况下，使用时间线在滑块视图中选择时间范围。

在滑块视图中保存查询会保存相对时间范围 (例如，从今天开始的两天) 。
可以切换到 “自定义时间范围 ”视图以指定以下值：
- 时区：适用于查询输入和查询结果。
- 开始日期：日期和时间。
- 结束日期：日期和时间。
在 自定义时间范围 视图中保存查询会保存绝对日期/时间范围 (例如 2023-05-06 13:00 to 2023-05-08 18:00 ，) 。

在 10 天或更短的时间段内，结果将立即作为 摘要报告提供。

如果指定的日期/时间范围甚至略大于 10 天：

结果仅作为可下载的 CSV 文件提供， (增强摘要报表 或 扩展报表) 。
使用存档的消息跟踪数据准备结果。可能需要几个小时才能下载报表。根据大约同时提交报告请求的其他管理员数量，你可能还会注意到在排队请求开始处理之前存在延迟。

详细搜索选项

在 “详细搜索选项” 部分中，可以使用以下选项：

传递状态：以下值可用：
- All：这是默认值。
- 已传递：消息已成功传递到预期目标。
- 展开：通讯组收件人在传递到组的各个成员之前已展开。
- 失败：消息未传递。
- 挂起^*：正在尝试或重新尝试传递消息。
- 已^*隔离：邮件 (被隔离为垃圾邮件、批量邮件或钓鱼) 。有关详细信息，请参阅 EOP 中的隔离电子邮件。
- 筛选为垃圾邮件^*：邮件被标识为垃圾邮件，并且被拒绝或阻止 (未) 隔离。
- 获取状态： Microsoft 365 最近收到了该消息，但尚未提供其他状态数据。可以在几分钟内再次检查。
^* 此值仅在少于 10 天的搜索中可用。如果需要查询超过 10 天的数据，请使用 PowerShell Exchange Online 中的 Start-HistoricalSearch cmdlet。

注意

报告与实际和报告的传递状态值之间可能存在 5 到 10 分钟的延迟。
消息 ID：Internet 消息 ID (也称为客户端 ID) ，位于邮件头的 “消息 ID 标头”字段中。用户可以提供此值来调查特定消息。

该值在邮件生存期内是常量。对于在 Microsoft 365 或 Exchange 中创建的邮件， “邮件 ID” 值使用格式 <GUID@ServerFQDN>，包括尖括号。例如，<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。其他电子邮件系统可能使用不同的语法或值。此值应该是唯一的，但并非所有电子邮件系统都严格遵循此要求。如果 消息 ID： 标头字段不存在或对于来自外部源的传入消息为空，则会分配任意值。

使用 消息 ID 筛选结果时，请确保包含完整的字符串，包括任何尖括号。
方向：选择以下值之一：
- All：这是默认值。
- 入站：发送给组织中的收件人的邮件。
- 出站：从组织中的用户发送的消息。
原始客户端 IP 地址：电子邮件发件人的客户端计算机或设备的 IP 地址。可以使用此筛选器调查发送大量垃圾邮件或恶意软件的被黑客攻击的计算机。尽管邮件可能看起来来自多个发件人，但同一台计算机很可能正在生成所有消息。

注意

客户端 IP 地址信息仅在 10 天内可用，并且仅在 增强摘要报告 或 扩展报告中 (可下载的 CSV 文件) 。

报告类型

可用的报表类型包括：

摘要报告：如果时间范围小于 10 天，并且不需要其他筛选选项，则可用。选择“搜索”后，结果几乎立即可用。报表最多返回 20,000 个结果。

选择“搜索”以启动消息跟踪。将按照“摘要报告输出”部分中所述，将访问“邮件跟踪搜索结果”页。

消息跟踪页上的“自动保存的查询”选项卡上提供了最后 10 个摘要报表查询。
增强的摘要报告：包括摘要报告中的信息以及其他详细信息， (例如，方向和原始客户端 IP 地址) 。仅可用作可下载的 CSV 文件。报表最多返回 100,000 个结果。
扩展报表：包括与扩展摘要报告相同的信息，以及全面的路由和消息事件详细信息。仅可用作可下载的 CSV 文件。报表最多返回 1,000 个结果。

增强型摘要报表和扩展报表需要以下一个或多个筛选选项，而不考虑时间范围：发件人、收件人或邮件 ID。

增强型摘要报表和扩展报表是使用存档消息跟踪数据准备的。可能需要几个小时才能下载报表。根据大约同时提交报告请求的其他管理员数量，你可能还会注意到在排队请求开始处理之前存在延迟。

虽然你可以针对任何日期/时间范围选择 “增强摘要报告 ”或“ 扩展报表 ”，但过去 24 小时的存档数据通常不可用。

可下载 CSV 文件的最大大小为 800 MB。如果可下载的报表超过 800 MB，则无法在 Excel 或记事本中打开报表。

选择“ 下一步”时，你将看到一个摘要浮出控件，其中列出了所选筛选选项、报表的唯一 (可编辑) 标题，以及邮件跟踪完成时接收通知的电子邮件地址 (也可以编辑，并且必须位于组织) 接受的域中之一。

选择“ 准备报告” 以提交邮件跟踪。可以在“ 可下载 报表”选项卡上查看报表的状态。有关返回的数据的详细信息，请参阅增强的摘要报表和扩展报表部分。

消息跟踪结果

不同的报表类型返回不同级别的信息。以下各节介绍了不同报表中提供的信息：

摘要报告输出
增强的摘要报告
扩展报表

摘要报告输出

运行消息跟踪后，将首先) 按日期/时间降序 (最近事件对结果进行排序。

摘要报告包含以下信息：

日期：服务使用配置的 UTC 时区接收消息的日期和时间。
发件人：发件人的电子邮件地址 (别名@域) 。
收件人：收件人的电子邮件地址。如果邮件有多个收件人，则每个收件人位于单独的行中。如果收件人是通讯组、动态通讯组或已启用邮件的安全组，则组是第一个收件人，然后是单独行中的每个组成员。
主题：邮件的 “主题： ”字段的前 256 个字符。
状态：详细搜索选项部分介绍了这些值。

默认情况下，前 250 个结果已加载并随时可用。向下滚动时，加载下一批结果时会稍作暂停，最多为 10,000 个。

可以通过单击可用的列标题对条目进行排序。

在“Email”选项卡上，可以通过单击“更改视图”，然后选择“压缩列表”来减小列表中的垂直间距。

使用“搜索”框和相应的值查找特定条目。不支持通配符

对于以后还可以保存和使用的更多高级筛选器，请选择“筛选器”，然后选择“新建筛选器”。在打开的 “自定义筛选器 ”浮出控件中，输入以下信息：

为筛选器命名：输入唯一名称。
通过输入以下信息添加 filter 子句：
- 字段：从以下值中进行选择：
  - Sender
  - 收件人
  - 主题
  - 状态
- 运算符：选择以或为开头。
- 值：输入要搜索的值。
可以选择“ 添加新子句 ”，并根据需要多次重复上一步。多个子句使用 AND 逻辑 (<Clause1> AND <Clause2>...) 。

若要删除筛选器子句，请选择条目旁边的“ 删除子句 ”。

完成 自定义筛选器 浮出控件后，选择“ 保存”。新筛选器将自动加载，筛选的结果显示在 “邮件跟踪搜索结果 ”页上。此结果与选择“筛选器”，然后从列表中的“自定义筛选器”部分选择现有筛选器相同。

若要卸载现有筛选器并返回到 “邮件跟踪搜索结果 ”页上显示的默认信息，请选择“ >清除所有筛选器”。

选择“编辑邮件跟踪”以编辑搜索条件。

使用 “导出结果 ”将显示的结果导出到 CSV 文件。

选择“刷新”以刷新结果。

相关消息记录是共享同一消息 ID 的记录。请记住，即使是在两个人之间发送的单个消息也可以生成多个记录。当邮件受到通讯组扩展、转发、邮件流规则 (也称为传输规则) 等影响时，记录数会增加。

在“日期”列旁边的空白区域中，选择条目旁边的圆形检查框。以下操作显示在 “消息跟踪结果 ”页上：

在资源管理器中查看：在计划 2 Microsoft Defender for Office 365组织中打开威胁资源管理器中的消息。有关详细信息，请参阅什么是威胁资源管理器？。
转到搜寻：在计划 2 Microsoft Defender for Office 365组织中的威胁资源管理器中查找消息。有关详细信息，请参阅用于Microsoft Defender for Office 365的威胁资源管理器中的威胁搜寻
查找相关消息：打开一个新的邮件跟踪，以查找消息的相关记录。

有关消息 ID 的详细信息，请参阅详细搜索选项部分。

消息跟踪详细信息

在摘要报告输出中，可以通过单击“日期”值旁边的圆形检查框以外的任意位置来查看有关邮件的详细信息。

打开的详细信息外挂包含摘要报表中不存在的以下信息：

消息事件：展开此部分后，可以看到有助于对服务对邮件执行的操作进行分类的分类。可能会遇到的一些更有趣的事件包括：
- 接收：服务已收到消息。
- 发送：消息由服务发送。
- 失败：无法传递消息。
- 传递：邮件已传递到邮箱。
- 展开：邮件已发送到已展开的通讯组。
- 传输：由于内容转换、邮件收件人限制或代理，收件人已移动到分体邮件。
- 延迟：消息传递已推迟，以后可能会重新尝试。
- 已解决：邮件已根据 Active Directory 查找重定向到新的收件人地址。发生此事件时，原始收件人地址将在邮件跟踪中的单独行中列出，以及邮件的最终传递状态。
- DLP 规则：邮件具有 DLP 规则匹配项。
- 敏感度标签： 发生了服务器端标记事件。例如，标签会自动添加到包含加密操作的邮件中，或通过 Web 或移动客户端添加标签。此操作由 Exchange 服务器完成并记录。事件字段中不包括通过 Outlook 添加的标签。
注意：
- 成功传递的不平整消息会在消息跟踪中生成多个事件条目。有关更多事件的说明，请参阅消息跟踪日志中的事件类型。此链接是Exchange Server (本地 Exchange) 主题。
详细信息：展开此部分后，可以查看以下详细信息：
- 邮件 ID：详细搜索选项部分介绍了此值。 消息 ID 值的一个示例是 <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。
- 邮件大小：已发送邮件的大小，包括附件/图片/文本。
- 来自 IP：发送消息的计算机的 IP 地址。对于从 Exchange Online 发送的出站邮件，该值是空值。
- 到 IP：服务尝试向其传递消息的 IP 地址 (es) 。如果邮件有多个收件人，则会显示这些地址。对于发送到 Exchange Online 的入站邮件，该值是空值。

增强的摘要报告

邮件跟踪页上的“可下载报表”选项卡上提供了增强的摘要报告：

可供下载的报表具有“状态”值“完成”
无法下载的报表具有“状态”值“未启动”或“正在进行”。

增强的摘要报告 CSV 文件中提供了以下信息：

^*origin_timestamp：使用配置的 UTC 时区，服务最初接收消息的日期和时间。
sender_address：发件人的电子邮件地址 (别名@域) 。
Recipient_status：邮件传递到收件人的状态。如果邮件已发送给多个收件人，则会显示所有收件人以及每个收件人的相应状态，格式为：<电子邮件地址>##status><。收件人状态的示例包括：
- ##Receive， Send 表示消息已由服务接收，并已发送到预期目标。
- ##Receive，失败 表示服务已收到消息，但传递到预期目标失败。
- ##Receive， Deliver 表示邮件已由服务接收，并已传递到收件人的邮箱。
message_subject：邮件的 “主题 ”字段的前 256 个字符。
total_bytes：邮件的大小（以字节为单位），包括附件。
message_id：详细搜索选项部分介绍了此值。 message_id值的一个示例是 <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。
network_message_id：唯一的消息 ID 值，在可能由于分叉或通讯组扩展而创建的邮件的所有副本中保留。 network_message_id值的一个示例是 1341ac7b13fb42ab4d4408cf7f55890f。
original_client_ip：发件人 SMTP 服务器的 IP 地址。
方向性：指示邮件是发送到组织的入站 () 还是从组织) 出站 (。
connector_id：源或目标连接器的名称。有关 Exchange Online 中的连接器的详细信息，请参阅在 Office 365 中使用连接器配置邮件流。
^*delivery_priority：消息的发送优先级为“高”、“低”或“正常”。

^* 这些属性仅在 增强摘要报表中可用。

扩展报表

“邮件跟踪”页上的“可下载报表”选项卡上提供了扩展报表：

可供下载的报表具有“状态”值“完成”
无法下载的报表具有“状态”值“未启动”或“正在进行”。

增强型报表 CSV 文件中提供了以下信息：

client_ip：提交邮件的电子邮件服务器或消息客户端的 IP 地址。
client_hostname：提交邮件的电子邮件服务器或消息客户端的主机名或 FQDN。
server_ip：源或目标服务器的 IP 地址。
server_hostname：目标服务器的主机名或 FQDN。
source_context：与源字段关联的额外信息。例如：
- Protocol Filter Agent
- 3489061114359050000
source：负责事件的Exchange Online组件。例如：
- AGENT
- MAILBOXRULE
- SMTP
event_id：此值对应于“查找此消息的相关记录”中介绍的消息事件值。
internal_message_id：当前正在处理消息的Exchange Online服务器分配的消息标识符。
recipient_address：邮件收件人的电子邮件地址。多个电子邮件地址通过分号字符 (;) 分隔。
recipient_count：邮件中的收件人总数。
related_recipient_address：显示 EXPAND、 REDIRECT和 RESOLVE 事件，以显示与邮件关联的其他收件人的电子邮件地址。
参考：此字段包含特定类型的事件的其他信息。例如：
- DSN：包含报告链接，这是关联传递状态通知 message_id 值， (也称为 DSN、未送达报告、NDR 或退回消息) （如果在此事件之后生成 DSN）。如果此消息是 DSN 消息，则此字段包含为其生成 DSN 的原始消息 的 message_id 值。
- EXPAND：包含相关消息 的related_recipient_address 值。
- RECEIVE：如果邮件是由其他进程 (生成的，则可能包含相关邮件的 message_id值， 例如收件箱规则) 。
- SEND：包含任何 DSN 消息的 internal_message_id 值。
- TRANSFER：包含 (分叉的邮件的 internal_message_id 值，例如，通过内容转换、邮件收件人限制或代理) 。
- MAILBOXRULE：包含导致收件箱规则生成出站邮件的入站邮件 的internal_message_id 值。
  
  对于其他类型的事件，此字段 (internal_message_id) 为 空。
return_path：由发送邮件的 MAIL FROM 命令指定的返回电子邮件地址。虽然此字段从不为空，但它可以将 null 发件人地址值表示为 <>。
message_info：有关消息的其他信息。例如：
- 和 SEND 事件的消息发起日期时间（UTCDELIVER）。发起日期时间是邮件首次进入组织Exchange Online的时间。 UTC 日期时间以 ISO 8601 日期时间格式表示： yyyy-MM-ddThh:mm:ss.fffZ，其中 yyyy = year， MM = month， dd = day， T 指示时间分量开始， hh = 小时， mm = 分钟， ss = 秒， fff = 秒的小数部分，并 Z 表示 Zulu，这是表示 UTC 的另一种方法。
- 身份验证错误。例如，你可能会看到发生身份验证错误时使用的身份验证的值 11a 和类型。
tenant_id：表示Exchange Online组织 (的 GUID 值， 39238e87-b5ab-4ef6-a559-af54c6b07b42 例如，) 。
original_server_ip：原始服务器的 IP 地址。
custom_data：包含与特定事件类型相关的数据。有关详细信息，请参阅以下各部分：

custom_data值

各种Exchange Online代理使用事件的custom_data字段AGENTINFO来记录消息处理详细信息。以下部分介绍了一些更有趣的代理。

垃圾邮件筛选器代理
恶意软件筛选器代理
传输规则代理

垃圾邮件筛选器代理

以开头S:SFA的custom_data值来自垃圾邮件筛选器代理。有关详细信息，请参阅 X-Forefront-Antispam-Report 消息标头字段。

已筛选垃圾邮件的邮件 custom_data 值示例如下所示：

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

恶意软件筛选器代理

以开头S:AMA的custom_data值来自恶意软件筛选器代理。下表介绍了关键详细信息：

值	说明
`AMA=SUM\|v=1\|` 或 `AMA=EV\|v=1`	已确定此邮件包含恶意软件。 `SUM` 指示恶意软件可能已被任意数量的引擎检测到。 `EV` 指示特定引擎检测到恶意软件。当引擎检测到恶意软件时，会触发后续操作。
`Action=r`	邮件已被替换。
`Action=p`	邮件已被忽略。
`Action=d`	邮件已被延迟。
`Action=s`	邮件已删除。
`Action=st`	邮件已被忽略。
`Action=sy`	邮件已被忽略。
`Action=ni`	邮件已被拒绝。
`Action=ne`	邮件已被拒绝。
`Action=b`	邮件已被阻止。
`Name=<malware>`	已检测到的恶意软件的名称。
`File=<filename>`	恶意软件中包含的文件名称。

包含恶意软件的邮件 的custom_data 值示例如下所示：

传输规则代理

以开头S:TRA的custom_data值来自邮件流规则的传输规则代理， (也称为传输规则) 。下表介绍了关键详细信息：

值	说明
`ETR\|ruleId=<guid>`	匹配的规则 ID。
`St=<datetime>`	规则匹配发生时的 UTC 日期和时间。
`Action=<ActionDefinition>`	应用的操作。有关可用操作的列表，请参阅 Exchange Online 中的邮件流规则操作。
`Mode=<Mode>`	规则模式。有效值包含: 强制：强制实施对规则的所有操作。使用策略提示进行测试：发送任何策略提示操作，但不会执行其他强制操作。测试时没有策略提示：操作在日志文件中列出，但不会以任何方式通知发件人，并且不会执行强制操作。</李？

与邮件流规则的条件匹配的邮件 custom_data 值示例如下所示：