在 Exchange Online 的经典 EAC 中运行邮件跟踪

注意

新式 Exchange 管理中心提供邮件跟踪。 有关详细信息，请参阅 新式 Exchange 管理中心中的邮件跟踪。 Microsoft Defender 门户中的 Exchange 邮件跟踪 链接可在新式 EAC 中打开邮件跟踪。

作为管理员，你可以通过在 Exchange 管理中心 (EAC) 中运行邮件跟踪来查看电子邮件所发生的情况。 运行邮件跟踪后，可以在列表中查看结果，然后查看特定邮件的详细信息。 提供了过去 90 天内的邮件跟踪数据。 如果消息超过 7 天，则只能在可下载的 .CSV 文件中查看结果。

有关邮件跟踪和其他邮件流故障排除工具的视频演练，请参阅 以 Microsoft 365 或 Office 365 商业版管理员身份查找并修复电子邮件传递问题。

开始前，有必要了解什么？

• 若要查找并打开经典 EAC，请参阅 Exchange Online 中的 Exchange 管理中心。

• 你必须先获得权限，然后才能执行此过程或多个过程。 若要查看所需的权限，请参阅 Exchange Online 中的功能权限 一文中的“邮件跟踪”条目。

• 有关可能适用于本文中的过程的键盘快捷方式的信息，请参阅 Exchange 管理中心的键盘快捷方式。

提示

是否有任何疑问？ 在 Exchange 论坛中寻求帮助。 请访问 Exchange Online 或 ExchangeOnline Protection 中的论坛。 如果你是 Microsoft 365 或 Office 365 商业版管理员，请参阅 联系商业产品支持人员 - 管理员帮助。

运行邮件跟踪

1. 在 EAC 中，转到 “邮件流>邮件跟踪”。

   

2. 根据要搜索的内容，可以在以下字段中输入值。 对于少于 7 天的邮件，这些字段都不是必需的。 可以选择“ 搜索 ”以检索默认时间段（即过去 48 小时）的所有邮件跟踪数据。

   1. 日期范围：使用下拉列表，选择搜索在过去 24 小时、48 小时或 7 天内发送或接收的邮件。 您也可以选择包括过去 90 天内的任何范围的自定义时间范围。 对于自定义搜索，还可以在协调世界时 (UTC) 中更改时区。

   2. 传递状态：使用下拉列表选择要查看相关信息的邮件的状态。 保留默认值“ 全部 ”以涵盖所有状态。 其他可能的值是：

      • 已传递：消息已成功传递到预期目标。
      • 失败：消息未传递。 尝试并失败，或者由于筛选服务执行的操作而未交付。 例如，如果该邮件被确认包含恶意软件。
      • 挂起^*：正在尝试或重新尝试传递消息。
      • 展开：邮件已发送到通讯组列表，并且已展开，以便可以单独查看列表的成员。
      • 筛选为垃圾邮件：邮件已传递到“垃圾邮件”文件夹。
      • 未知^*：消息传递状态目前未知。 列出查询结果时，传递详细信息字段不包含任何信息。

      ^*如果要搜索超过 7 天的邮件，则不能选择 “挂起” 或“ 未知”。

   3. 消息 ID：这是 Internet 消息 ID (也称为“客户端 ID”) 在 “消息 ID： 标头”字段中找到的消息标头。 用户可为您提供该信息以调查特定邮件。

      此 ID 的形式取决于发送邮件系统。 以下示例： <08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

      此 ID 应是唯一的;但是，并非所有发送邮件系统的行为方式相同。 因此，在查询单个消息 ID 时，可能会获得多个消息的结果。

      注意：请务必包含完整的消息 ID 字符串。 这可能包括尖括号 (<>)。

   4. 发件人：可以通过选择“发件人”字段旁边的“ 添加发件人 ”按钮来缩小对特定 发件人 的搜索范围。 在后续对话框中，从用户选取器列表中选择公司中的一个或多个发件人，然后选择“ 添加”。 若要添加不在列表中的发件人，请键入其电子邮件地址，然后选择“ 检查姓名”。 在此框中，电子邮件地址支持采用以下格式的通配符：*@contoso.com。 指定通配符时，无法使用其他地址。 完成选择后，选择“ 确定”。

   5. 收件人：可以通过单击“收件人”字段旁边的“添加收件人”按钮来缩小对特定收件人的搜索范围。 在后续对话框中，从用户选取器列表中选择公司中的一个或多个收件人，然后选择“ 添加”。 若要添加不在列表中的收件人，请键入其电子邮件地址，然后选择“ 检查姓名”。 在此框中，电子邮件地址支持采用以下格式的通配符：*@contoso.com。 指定通配符时，无法使用其他地址。 完成选择后，选择“ 确定”。

3. 如果要搜索超过 7 天的邮件，请配置以下设置： (否则可以跳过此步骤) ：

   1. 将邮件事件和路由详细信息包含在报表中：建议仅在查找一些邮件时才选中此复选框。 否则，返回结果需要更长的时间。

   2. 方向：对于发送到组织的邮件，请保留默认值“ 全部 ”或选择“ 入站 ”;对于从组织发送的邮件，请选择 “出站 ”。

   3. 原始客户端 IP 地址：指定发件人客户端的 IP 地址。

   4. 报表标题：指定此报表的唯一标识符。 这还将用作电子邮件通知的主题行文本。 默认值为“邮件跟踪报告<日，<>当前日期><当前时间>”。 例如，“消息跟踪报告，星期四，2018 年 10 月 17 日上午 7：21：09”。

   5. 通知电子邮件地址：指定要在邮件跟踪完成时接收通知的电子邮件地址。 此地址必须驻留在您的接受域的列表中。

4. 单击“ 搜索：”运行邮件跟踪。 如果接近允许在 24 小时内运行的跟踪数的阈值，则会发出警告。

运行消息跟踪后，转到以下部分之一，阅读有关如何查看结果的信息。

注意：若要搜索其他邮件，可以单击“ 清除 ”按钮，然后指定新的搜索条件。

查看小于 7 天的邮件的邮件跟踪结果

在 EAC 中运行消息跟踪后，将列出结果，并按日期排序，并首先显示最新的消息。 您可以通过单击标题来对任何列出字段排序。 第二次单击列标题将反转排序顺序。 在查看邮件跟踪结果时，会提供关于每封邮件的以下信息：

• 日期：服务使用配置的 UTC 时区接收消息的日期和时间。
• 发件人：表单 alias@domain中的发件人的电子邮件地址。
• 收件人：收件人的电子邮件地址。 对于发送给多个收件人的邮件，每个收件人占用一行。 如果收件人是通讯组列表，通讯组列表将为第一个收件人，然后通讯组列表的每个成员将包括在单独一行中，以便您可以检查所有收件人的状态。
• 主题：邮件的主题行文本。 如有必要，会在首串 256 个字符处截断。
• 状态：此字段指定邮件是 已传递到 收件人还是预期目标、 未能 传递到收件人 (因为无法到达其目标或已) 筛选邮件 ， (邮件 正在传递或延迟送达，但正在重新尝试) ， 已 展开 (没有传递，因为邮件已发送到通讯组列表 (DL) ，该通讯组已扩展到 DL) 的收件人，或者其状态为 “无 ” (邮件没有传递到收件人的状态，因为邮件已拒绝或重定向到其他收件人) 。

注意

邮件跟踪最多可以显示 500 个条目。 默认情况下，用户界面每页显示 50 个条目，并且您可以浏览这些页面。 您还可以更改每页显示的条目数，最多为 500 个。

查看有关小于 7 天的特定邮件的详细信息

通过在 EAC 中运行邮件跟踪工具检查返回项目列表后，您可以双击单个邮件，以查看该邮件的以下其他详细信息：

• 邮件大小：邮件大小（包括附件）以 kb (KB) 为单位;如果邮件大小大于 999 KB，则) (MB。

• 消息 ID：这是 Internet 消息 ID (也称为客户端 ID) 使用“Message-ID：”标记在消息标头中找到。 此 ID 的形式取决于发送邮件系统。 下面是一个示例： <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>。

  此 ID 应是唯一的，但是，它依赖于用于生成的发送邮件系统，并非所有发送邮件系统的行为方式都相同。 所以，在查询单个邮件 ID 时，有可能获得多个邮件的结果。

  该 ID 以输出形式给出，这样跟踪条目与问题邮件可以关联到一起。

• 到 IP：服务尝试向其传递消息的 IP 地址。 如果有多个收件人，会显示这些。 对于发送到 Exchange Online 的入站邮件，该值是空值。

• 来自 IP：发送消息的计算机的 IP 地址。 对于从 Exchange Online 发送的出站邮件，该值是空值。

在"事件"一节中，以下字段提供了邮件经过邮件管道时所发生事件的消息：

• 日期：事件发生的日期和时间。

• 事件：此字段简要通知你所发生的情况，例如，如果服务收到了邮件、邮件是否已送达或未能传递到目标收件人，等等。 下面是可能列出的事件的示例：

  • RECEIVE：服务已收到消息。

  • SEND：消息由服务发送。

  • 失败：无法传递消息。

  • DELIVER：邮件已传递到邮箱。

  • EXPAND：消息已发送到已展开的通讯组。

  • 传输：由于内容转换、邮件收件人限制或代理，收件人被移动到了分位邮件。

  • DEFER：消息传递已推迟，以后可能会重新尝试。

  • RESOLVED：邮件已根据 Active Directory 查找重定向到新的收件人地址。 当发生这种情况时，原始收件人地址会被列在邮件跟踪中的单独一行，包括邮件的最终传递状态。

  • DLP 规则：邮件在此邮件中具有 DLP 规则匹配项。

  • 敏感度标签： 发生了服务器端标记事件。 例如，标签会自动添加到包含加密操作的邮件中，或通过 Web 或移动客户端添加标签。 此操作由 Exchange 服务器完成并记录。 通过 Outlook 添加的标签不会包含在事件字段中。

    提示

    可能会出现其他事件。 有关这些事件的详细信息，请参阅 消息跟踪日志中的事件类型。

• 操作：此字段显示由于恶意软件、垃圾邮件检测或规则匹配而筛选邮件时执行的操作。 例如，在邮件被删除或发送到隔离时，均会通知您。

• 详细信息：此字段提供详细说明所发生情况的详细信息。 例如，它可能会通知你匹配了哪些特定邮件流规则 (也称为传输规则) ，以及该匹配导致邮件发生了什么情况。 该字段也可通知您在哪个附件中检测到了哪个特定恶意软件，或者为什么邮件被检测为垃圾邮件。 如果成功传递了邮件，该字段会告诉您邮件传递到的那个 IP 地址。

查看超过 7 天的邮件的邮件跟踪结果

如果对超过 7 天的项目运行邮件跟踪，则单击“ 搜索 ”时，应会显示一条消息，告知邮件已成功提交，并在跟踪完成后将电子邮件通知发送到提供的电子邮件地址。 (如果邮件跟踪已处理并成功检索与搜索条件匹配的数据，则此通知消息将包含有关跟踪的信息以及指向可下载 .CSV 文件的链接。如果未找到与指定的搜索条件匹配的数据，系统将要求你提交具有更改条件的新请求，以获取有效的结果。)

在 EAC 中，可以单击“ 查看挂起的或已完成的跟踪 ”，以查看针对 7 天前的项目运行的跟踪列表。 在产生的 UI 中，跟踪列表基于提交的日期和时间进行排序，最近的提交排在最前。 除报告标题、提交跟踪的日期和时间以及邮件数量外，报告中还会列出以下状态值：

• 未启动：跟踪已提交，但尚未运行。 在这种情况下，您可以选择取消跟踪。
• 已取消：跟踪已提交，但已取消。
• 正在进行：跟踪正在运行，无法取消跟踪或下载结果。
• 已完成：跟踪已完成，可以单击“ 下载此报表 ”以检索 .CSV 文件中的结果。 请注意，如果摘要报表的邮件跟踪结果超过 100000 条消息，则会将其截断为前 100000 封邮件。 如果详细报告的邮件跟踪结果超过 1000 条消息，则会将其截断为前 1000 条消息。 如果看不到所需的所有结果，建议将搜索分解为多个查询。

选择特定的邮件跟踪时，其他信息将显示在右窗格中。 根据您指定的搜索条件，其中可能包括各种详细信息，例如跟踪运行的日期范围，以及邮件的发件人和预期收件人。

注意

• 包含超过 7 天的数据的邮件跟踪将在 10 天后自动从 EAC 中删除。 无法手动删除。

• 可下载 CSV 文件的最大大小为 800 MB。 如果可下载的报表超过 800 MB，则无法在 Excel 或记事本中打开报表。

查看有关超过 7 天的特定邮件的报告详细信息

下载和查看邮件跟踪报告时，无论是从 EAC 中 查看挂起或已完成的跟踪 还是从通知电子邮件，其内容取决于你是否选择了“ 包含邮件事件和路由详细信息与报告 ”选项。

重要

为了查看下载的邮件跟踪报告，您必须将"仅查看收件人"RBAC 角色分配给您的角色组。 默认情况下，下列角色组都分配了此角色：合规性管理、技术支持、安全机制管理、组织管理、仅限查看组织管理。

查看不包括路由详细信息的邮件跟踪报告

如果在运行邮件跟踪时未包括路由详细信息，.CSV 文件中将包含以下信息（可以在 Microsoft Excel 等应用程序中打开）：

• origin_timestamp：服务使用配置的 UTC 时区接收消息的日期和时间。

• sender_address： 别名@域表单中发件人的电子邮件地址。

• Recipient_status：邮件传递到收件人的状态。 如果邮件已发送给多个收件人，则会显示所有收件人以及每个收件人的相应状态，格式为： <电子邮件地址>##<status>。 例如，状态为：

  • ##Receive， Send： 表示服务已接收消息并发送到预期目标。
  • ##Receive，失败：表示消息已由服务接收，但未能传递到预期目标。
  • ##Receive，传递：表示邮件已由服务接收并传递到收件人邮箱。

• message_subject：邮件的主题行文本。 如有必要，会在首串 256 个字符处截断。

• total_bytes：邮件（包括附件）的大小（以字节为单位）。

• message_id：这是 Internet 消息 ID (也称为“客户端 ID”) 在消息标头中找到并带有“Message-ID：”标记。 此 ID 的形式取决于发送邮件系统。 下面是一个示例： <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>。

  此 ID 应是唯一的，但是，它依赖于用于生成的发送邮件系统，并非所有发送邮件系统的行为方式都相同。 所以，在查询单个邮件 ID 时，有可能获得多个邮件的结果。

  该 ID 以输出形式给出，这样跟踪条目与问题邮件可以关联到一起。

• network_message_id：这是唯一的消息 ID 值，在可能因分叉或通讯组扩展而创建的消息副本之间保留。 示例值为 1341ac7b13fb42ab4d4408cf7f55890f。

• original_client_ip：发件人客户端的 IP 地址。

• 方向性：此字段表示邮件是发送到组织的入站 (1) ，还是从组织发送出站 (2) 。

• connector_id：源或目标发送连接器或接收连接器的名称。 例如 ，ServerName\ConnectorName 或 ConnectorName。

• delivery_priority：表示消息的发送优先级为 “高”、“ 低”或“ 正常 ”。

查看包含路由详细信息的邮件跟踪报告

如果在运行邮件跟踪时包括了路由详细信息，.CSV 文件中将包含邮件跟踪日志中的所有信息（可以在 Microsoft Excel 等应用程序中打开）。 此报表中包含的一些值在上一部分中进行了介绍，而 邮件跟踪日志文件中的字段中介绍了可用于调查的其他值。

custom_data 字段

此外，“custom_data”字段可能包含特定于筛选服务的值。 多个不同的代理使用 AGENTINFO 事件中的 custom_data 字段记录代理的邮件处理过程的详细信息。 邮件数据保护的某些相关代理如下所述。

垃圾邮件筛选器代理 (S:SFA)

以 S:SFA 开头的字符串是垃圾邮件筛选器代理的一个条目，提供以下关键详细信息：

日志信息	说明
SFV=NSPM	邮件被标记为非垃圾邮件并发送给预期发件人。
SFV=SPM	邮件由内容筛选器标记为垃圾邮件。
SFV=BLK	跳过筛选但阻止邮件，因为它是由已阻止发件人发送。
SFV=SKS	邮件在内容筛选器处理之前被标记为垃圾邮件。 这包括邮件与邮件流规则匹配的邮件，以自动将其标记为垃圾邮件并绕过所有其他筛选。
SCL=<number>	有关不同 SCL 值及其含义的详细信息，请参阅 垃圾邮件置信度。
PCL=<number>	邮件的仿冒可能性等级 (PCL) 值。 这些值的解释方式与 垃圾邮件置信度中记录的 SCL 值相同。
DI=SB	已阻止邮件发件人。
DI=SQ	邮件已隔离。
DI=SD	邮件已删除。
DI=SJ	邮件已发送至收件人的"垃圾邮件"文件夹。
DI=SN	邮件已通过高风险传送池路由。 有关详细信息，请参阅出站邮件的高风险传递池。
DI=SO	邮件已通过正常出站传送池路由。
SFS=[a] SFS=[b]	说明匹配此垃圾邮件规则。
IPV=CAL	允许邮件通过垃圾邮件筛选器，因为 IP 地址是在连接筛选器的 IP 允许列表中指定的。
H=[helostring]	连接邮件服务器的 HELO 或 EHLO 字符串。
PTR=[ReverseDNS]	发送 IP 地址的 PTR 记录，也被称为反向 DNS 地址。

如果邮件被过滤为垃圾邮件，custom_data 条目示例将如下所示：

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

恶意软件筛选器代理 (S:AMA)

以 S:AMA 开头的字符串是反恶意软件代理的一个条目，提供以下关键详细信息：

日志信息	说明
AMA=SUM|v=1| 或 AMA=EV|v=1|	已确定此邮件包含恶意软件。 SUM 表示恶意软件可能已被任意数量的引擎检测到。 EV 表示恶意软件已由特定引擎检测到。 引擎检测到恶意软件后，将触发后续操作。
Action=r	邮件已被替换。
Action=p	邮件已被忽略。
Action=d	邮件已被延迟。
Action=s	邮件已删除。
Action=st	邮件已被忽略。
Action=sy	邮件已被忽略。
Action=ni	邮件已被拒绝。
Action=ne	邮件已被拒绝。
Action=b	邮件已被阻止。
Name=<malware>	已检测到的恶意软件的名称。
File=<filename>	恶意软件中包含的文件名称。

如果邮件邮件包含恶意软件，custom_data 条目示例将如下所示：

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

传输规则代理 (S:TRA)

以 S：TRA 开头的字符串是传输规则代理的条目，提供以下关键详细信息：

日志信息	说明
ETR|ruleId=[guid]	匹配的规则 ID。
St=[datetime]	规则匹配时的日期和时间（采用 UTC 时间）。
Action=[ActionDefinition]	应用的操作。 有关可用操作的列表，请参阅 Exchange Online 中的邮件流规则操作。
Mode=Enforce	规则模式。 可能的值是： 强制：将强制实施对规则执行的所有操作。 使用策略提示进行测试：将发送任何策略提示操作，但不会执行其他强制操作。 在没有策略提示的情况下进行测试：将在日志文件中列出操作，但不会以任何方式通知发件人，并且不会执行强制操作。

当邮件与邮件流规则匹配时，示例custom_data条目将如下所示：

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

详细信息

邮件跟踪 FAQ 显示用户可能遇到的邮件问题以及可能的答案。 还介绍了如何使用邮件跟踪工具，以获取答案并解决具体的邮件传递问题。

是否可以通过 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 运行邮件跟踪？ 要使用哪些 cmdlet？ 提供有关可用于运行消息跟踪的 PowerShell cmdlet 的信息。