Exchange Online 的新 Exchange 系統管理中心內的訊息追蹤

發行項
04/04/2024

新的 Exchange 系統管理中心 (EAC) 中的郵件追蹤會在電子郵件訊息透過您的 Microsoft 365 組織時追蹤。您可以判斷服務是否收到、拒絕、延遲或傳遞訊息。訊息追蹤也會顯示在訊息到達最終狀態之前，已對訊息採取哪些動作。

新 EAC 中的訊息追蹤可改善傳統 EAC 中可用的原始訊息追蹤。您可以使用訊息追蹤中的資訊，有效率地回答使用者對於郵件發生什麼事的問題、針對郵件流程問題進行疑難解答，以及驗證原則變更。

開始之前有哪些須知？

您必須獲得指派許可權，才能執行本文中的程式。您有下列選項：
- Exchange Online 權限：組織管理角色群組中的成員資格。
- Microsoft Entra 權限：全域管理員或 Exchange 系統管理員角色的成員資格可為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
結果中顯示的訊息數目上限取決於您選取的報表類型。如需詳細資訊，請參閱訊息追蹤結果。 Exchange Online PowerShell 中的 Get-HistoricalSearch Cmdlet 會傳回結果中的所有訊息。

開啟郵件追蹤

在的新 EAC 中 https://admin.exchange.microsoft.com，移至 [郵件流程>訊息追蹤]。或者，若要直接移至 [訊息追蹤 ] 頁面，請使用 https://admin.exchange.microsoft.com/#/messagetrace。

[訊息追蹤] 頁面

在 [訊息追蹤] 頁面上，您可以選取 [啟動追蹤]，以啟動新的默認追蹤。

在開啟的 [新增郵件追蹤 ] 飛出視窗中，默認選項會搜尋過去兩天內所有寄件人和收件者的所有郵件。或者，您可以使用可用索引標籤中的其中一個預存查詢， (原樣或作為您自己查詢的起點) ：

默認查詢：Microsoft 365 提供的內建查詢。
自訂查詢：貴組織的系統管理員所儲存的查詢，可供日後使用。
自動儲存的查詢：最近 10 次執行查詢。此清單可讓您輕鬆地從您離開的地方取出。

[ 可下載的報表] 索引標籤會顯示可下載的報表要求，以及可供下載的報表本身。

新郵件追蹤的選項

下列各節說明當您選取 [啟動追蹤] 或開啟現有追蹤時開啟的 [新增訊息追蹤] 飛出視窗中的可用設定。

寄件人和收件者

寄件人和收件者的預設值是 [全部]，但您可以輸入特定值：

寄件者：按兩下方塊並開始輸入，以輸入或選取您組織的一或多個發件者。
收件者：按兩下方塊，然後開始輸入以輸入或選取您組織中的一或多個收件者。

您可以輸入外部寄件人和收件者的電子郵件位址。例如 *@contoso.com ，) (支援通配符，但您無法在一個值中使用多個通配符。

您可以貼上多個發件者或收件者清單，並以分號分隔 () ; 、空格 (\s) 、歸位字元 (\r) ，或新行 () \n 。

時間範圍

在 [ 時間範圍] 區段中，預設值為 2 天，但您可以指定最多 90 天的日期/時間範圍。當您使用日期/時間範圍時，請考慮下列問題：

根據預設，您會使用時程表在 Slider 檢視中選取時間範圍。

在 Slider 檢視中儲存查詢會儲存相對時間範圍 (例如，從今天起的兩天) 。
您可以切換至 [自訂時間範圍] 檢視，以指定下列值：
- 時區：適用於您的查詢輸入和查詢結果。
- 開始日期：日期和時間。
- 結束日期：日期和時間。
在 [自定義時間範圍] 檢視 中儲存查詢會儲存絕對日期/時間範圍 (例如， 2023-05-06 13:00 to 2023-05-08 18:00) 。

在 10 天或更短的時間內，結果會立即以 摘要報表提供。

如果您指定的日期/時間範圍甚至稍微大於 10 天：

結果只能作為可下載的 CSV 檔案， (增強摘要報 表或 擴充報 表) 。
系統會使用封存的訊息追蹤數據來準備結果。可能需要數小時才能下載報表。根據有多少其他系統管理員同時提交報告要求，您可能也會注意到在佇列要求上開始處理之前發生延遲。

詳細的搜尋選項

在 [ 詳細搜尋選項] 區段中，有下列選項可供使用：

傳遞狀態：可用的值如下：
- 全部：這是預設值。
- 已傳遞：郵件已成功傳遞到預定目的地。
- 已展開：在傳遞到群組的個別成員之前，已展開通訊群組收件者。
- 失敗：訊息未傳遞。
- 擱置^*中：正在嘗試或重新嘗試傳遞訊息。
- 已隔離^*：郵件已隔離 (為垃圾郵件、大量郵件或網路釣魚) 。如需詳細資訊，請參閱 EOP 中隔離的電子郵件訊息。
- 篩選為垃圾郵件^*：郵件已識別為垃圾郵件， (未隔離) 遭到拒絕或封鎖。
- 取得狀態： Microsoft 365 最近收到此訊息，但尚未提供其他狀態數據。您可以在幾分鐘內再次檢查。
^* 此值僅適用於少於 10 天的搜尋。如果您需要查詢超過 10 天的數據，請使用 PowerShell Exchange Online Start-HistoricalSearch Cmdlet。

注意事項

報告和實際和回報的傳遞狀態值之間可能會有五到十分鐘的延遲。
訊息標識碼：因特網訊息標識碼 (也稱為在訊息標頭的 Message-ID 標頭字段中找到的用戶端識別碼) 。使用者可將此值提供給您，以便您調查特定郵件。

此值是郵件存留時間的常數。對於在 Microsoft 365 或 Exchange 中建立的訊息， 訊息識別 碼值會使用格式 <GUID@ServerFQDN>，包括角括號。例如，<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。其他電子郵件系統可能會使用不同的語法或值。此值應為唯一的狀態，但並非所有電子郵件系統都會嚴格遵循此要求。如果來自外部來源的內送郵件的 [郵件識別碼:] 標頭欄位不存在或空白，則會指派任意值。

當您使用 訊息識別 碼來篩選結果時，請確定您包含完整字串，包括任何角括號。
方向：選取下列其中一個值：
- 全部：這是預設值。
- 輸入：傳送給組織中收件者的郵件。
- 輸出：從組織中的用戶傳送的訊息。
原始用戶端 IP 位址：電子郵件寄件者用戶端電腦或裝置的 IP 位址。您可以使用此篩選條件來調查傳送大量垃圾郵件或惡意代碼的遭入侵計算機。雖然郵件看起來可能像是來自多個寄件者，真實的情況有可能是來自產生所有這些郵件的同一部電腦。

注意事項

用戶端 IP 位址資訊僅提供 10 天，且僅適用於 增強摘要報 表或擴充報表 (可下載的 CSV 檔案) 。

報告類型

提供下列報告類型：

摘要報告：如果時間範圍小於 10 天，且不需要其他篩選選項，則可使用。在您選取 [搜尋] 之後，幾乎會立即提供結果。報表最多會傳回 20,000 個結果。

選取 [搜尋] 以啟動訊息追蹤。系統會將您帶往 [ 訊息追蹤搜尋結果 ] 頁面，如摘要報表輸出一節中所述。

在 [訊息追蹤] 頁面的 [自動儲存查詢] 索引標籤上，可以使用最後 10 個摘要報表查詢。
增強的摘要報表：包含摘要報表中的資訊，以及其他詳細數據 (例如方向和原始用戶端IP位址) 。僅適用於可下載的 CSV 檔案。報表最多會傳回 100,000 個結果。
擴充報表：包含與延伸摘要報表相同的資訊，以及完整的路由和訊息事件詳細數據。僅適用於可下載的 CSV 檔案。報表最多會傳回 1,000 個結果。

不論時間範圍為何， 增強摘要報 表和 擴充報 表都需要下列一或多個篩選選項： 發件者、 收件者或 郵件標識符。

增強摘要報表和擴充報表是使用封存的訊息追蹤數據來準備。可能需要數小時才能下載報表。根據有多少其他系統管理員同時提交報告要求，您可能也會注意到在佇列要求上開始處理之前發生延遲。

雖然您可以針對任何日期/時間範圍選取 增強摘要報 表或 擴充報 表，但過去 24 小時的封存數據通常無法使用。

可下載 CSV 檔案的大小上限為 800 MB。如果可下載的報表超過 800 MB，您就無法在 Excel 或記事本中開啟報表。

當您選取 [下一步] 時，系統會帶您前往摘要飛出視窗，其中列出選取的篩選選項、報表的唯一 (可編輯) 標題，以及在郵件追蹤完成時接收通知的電子郵件位址 (也可編輯，而且必須位於您組織) 的其中一個可接受網域中。

選 取 [準備報表 ] 以提交訊息追蹤。您可以在 [ 可下載 的報表] 索引標籤上看到報表的狀態。如需所傳回數據的詳細資訊，請參閱增強摘要報表和擴充報表一節。

訊息追蹤結果

不同的報告類型會傳回不同程度的資訊。下列各節將說明不同報告中可用的資訊：

摘要報告輸出
增強摘要報告
[延伸] 報告

摘要報告輸出

執行訊息追蹤之後，結果會依遞減日期/時間排序， (最新的事件第一次) 。

摘 要報表 包含下列資訊：

日期：服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。
寄件者：寄件者的電子郵件地址 (別名@網域)。
收件者：收件者的電子郵件位址。如果訊息有多個收件者，則每個收件者會位於另一行。如果收件者是通訊群組、動態通訊群組或擁有郵件功能的安全組，則群組是第一個收件者，後面接著個別行上的每個群組成員。
主旨：郵件的 [主旨：] 欄位的前 256 個字元。
狀態：詳細搜尋選項一節會說明這些值。

根據預設，會載入前 250 筆結果，而且可供使用。當您向下捲動時，會在下一批結果載入時稍微暫停，最多可達 10,000 個。

您可以按下可用的數據列標頭來排序專案。

在 [Email] 索引標籤上，您可以按兩下 [變更檢視]，然後選取 [壓縮清單]，以減少清單中的垂直間距。

使用 [搜尋] 方塊和對應的值來尋找特定專案。不支援通配符

如需您稍後也可以儲存並使用的更進階篩選，請選取 [篩選]，然後選取 [新增篩選]。開啟的 [自訂篩選] 飛出視窗中，輸入下列資訊：

為您的篩選命名：輸入唯一的名稱。
輸入下列資訊以新增篩選子句：
- 欄位：從下列值中選取：
  - Sender
  - 收件者
  - 主旨
  - 狀態
- 運算符：選取以或為開頭。
- 值：輸入您要搜尋的值。
您可以選取 [新增子句 ]，並視需要重複上一個步驟多次。多個子句使用 AND 邏輯 (<Clause1> AND <Clause2>...) 。

若要移除篩選子句，請選取專案旁邊的 Remove 子句。

當您在 [自定義篩選 ] 飛出視窗中完成時，請選取 [ 儲存]。系統會自動載入新的篩選，而且篩選的結果會顯示在 [ 訊息追蹤搜尋結果 ] 頁面上。此結果與選取 [ 篩選 ]，然後從清單中的 [ 自定義篩選 ] 區段選取現有的篩選相同。

若要卸除現有的篩選，並返回 [訊息追蹤搜尋結果] 頁面上顯示的預設資訊，請選>取 [清除所有篩選]。

選取 [編輯訊息追蹤 ] 以編輯搜尋準則。

使用 [匯出結果 ] 將顯示的結果匯出至 CSV 檔案。

選取 [ 重新整理 ] 以重新整理結果。

相關的訊息記錄是共用相同訊息標識碼的記錄。請記得，甚至兩個人之間所傳送的單一郵件都會產生多筆記錄。當訊息受到通訊群組擴充、轉寄、郵件流程規則 (也稱為傳輸規則) 等影響時，記錄數目會增加。

在 [ 日期] 數據 行旁邊的空白區域中，選取專案旁邊出現的圓形複選框。下列動作會出現在 [ 訊息追蹤結果] 頁面上：

在總管中檢視：在具有適用於 Office 365 的 Microsoft Defender 方案 2 的組織中，於威脅總管中開啟訊息。如需詳細資訊，請參閱什麼是威脅總管？。
Go Hunting：在具有適用於 Office 365 的 Microsoft Defender 方案 2 的組織中，於威脅總管中尋找訊息。如需詳細資訊，請參閱威脅總管中的威脅搜捕以取得適用於 Office 365 的 Microsoft Defender
尋找相關項目：開啟新的訊息追蹤，以尋找訊息的相關記錄。

如需訊息標識碼的詳細資訊，請參閱詳細搜尋選項一節。

訊息追蹤詳細資料

在摘要報表輸出中，您可以按兩下 [ 日期 ] 值旁邊的 [四捨五入] 複選框以外的任何位置，檢視訊息的詳細數據。

開啟的詳細資料包含摘要報表中未出現的下列資訊：

訊息事件：展開本節之後，您可以看到有助於分類服務對訊息所採取之動作的分類。以下是您可能會遇到的某些更有趣的事件：
- 接收：服務收到郵件。
- 傳送：服務寄出的郵件。
- 失敗：無法傳遞郵件。
- 傳遞：郵件已傳遞到信箱。
- 展開：郵件已傳送到展開的通訊群組。
- 轉換：因為內容轉換、郵件收件者限制或代理程式的緣故，收件者已移至傳遞路徑分為兩條的郵件。
- 延遲：訊息傳遞已延後，稍後可能會重新嘗試。
- 已解析：根據 Active Directory 查閱，已將郵件重新導向至新的收件者地址。發生此事件時，原始收件者位址會列在郵件追蹤的個別數據列中，以及郵件的最終傳遞狀態。
- DLP 規則：訊息具有相符的 DLP 規則。
- 敏感度標籤： 發生伺服器端標籤事件。例如，標籤會自動新增至訊息，其中包含要加密的動作，或是透過 Web 或行動用戶端新增。此動作是由 Exchange Server 完成並記錄下來。透過 Outlook 新增的標籤不會包含在事件欄位中。
附註：
- 成功傳遞的不平均訊息會在訊息追蹤中產生多個事件專案。如需更多事件的說明，請參閱郵件追蹤記錄中事件種類。此連結是 Exchange Server (內部部署 Exchange) 主題。
詳細資訊：展開本節之後，您可以檢視下列詳細數據：
- 訊息標識碼：詳細搜尋選項一節會說明此值。 訊息識別碼值的範例為 <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。
- 訊息大小：已傳送郵件的大小，包括附件/圖片/文字。
- 來源 IP：傳送郵件的電腦 IP 位址。對於從 Exchange Online 傳送的外寄郵件，此值為空白。
- 對IP：IP位址 (服務嘗試傳遞訊息的) 。如果郵件有多個收件者，則會顯示這些位址。對於傳送至 Exchange Online 的輸入郵件，此值為空白。

增強摘要報告

[訊息追蹤] 頁面上的 [可下載的報表] 索引卷標上可以使用增強摘要報表：

可供下載的報表具有 [狀態 ] 值 [ 完成]
無法下載的報表具有 [狀態 ] 值 [未啟動] 或 [ 進行中]。

增強 型摘要報 表 CSV 檔案中提供下列資訊：

origin_timestamp^*：服務一開始接收到郵件的日期和時間 (使用設定的 UTC 時區)。
sender_address：寄件者的電子郵件地址 (別名@網域)。
Recipient_status：將郵件傳遞至收件者的狀態。如果郵件已傳送給多個收件者，則會顯示所有收件者，以及每個收件者的對應狀態，格式為： <email address>##<status>。收件者狀態的範例包括：
- ##接收、傳送表示郵件已由服務接收，而且已傳送到預定的目的地。
- ##接收、失敗表示郵件已由服務接收，但無法傳遞到預定的目的地。
- ##接收、傳遞表示郵件已由服務接收，而且已傳遞到收件者的信箱。
message_subject：郵件的 [主旨] 欄位的前 256 個字元。
total_bytes：郵件大小 (以位元組為單位)，包括附件。
message_id：詳細搜尋選項一節會說明此值。 message_id 值的範例為 <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。
network_message_id：唯一的郵件識別碼值，會持續存在於郵件可能因為複本發送或通訊群組展開等原因而產生的所有複本上。值 network_message_id 範例為 1341ac7b13fb42ab4d4408cf7f55890f。
original_client_ip：寄件者 SMTP 伺服器的IP位址。
方向性：指出訊息是從組織) 傳送輸入 (傳送至貴組織) 或輸出 (。
connector_id：來源或目的地連接器的名稱。如需 Exchange Online 中連接器的詳細資訊，請參閱使用 Office 365 中的連接器設定郵件流程。
^*delivery_priority：訊息是以高、低或一般優先順序傳送。

^* 這些屬性只能在 增強摘要報表中使用。

[延伸] 報告

您可以在 [訊息追蹤] 頁面的 [可下載的報表] 索引標籤上取得擴充報表：

可供下載的報表具有 [狀態 ] 值 [ 完成]
無法下載的報表具有 [狀態 ] 值 [未啟動] 或 [ 進行中]。

增強報表 CSV 檔案中提供下列資訊：

client_ip：已提交郵件之電子郵件伺服器或郵件用戶端的 IP 位址。
client_hostname：已提交郵件之電子郵件伺服器或郵件用戶端的主機名稱或 FQDN。
server_ip：來源或目的地伺服器的 IP 位址。
server_hostname：目的地伺服器的主機名稱或 FQDN。
source_context：與 source 欄位相關聯的額外資訊。例如：
- Protocol Filter Agent
- 3489061114359050000
source：負責事件的 Exchange Online 元件。例如：
- AGENT
- MAILBOXRULE
- SMTP
event_id：此值會對應至尋找此訊息的相關記錄中所述的 Message 事件值。
internal_message_id：由目前正在處理訊息的 Exchange Online 伺服器所指派的訊息標識碼。
recipient_address：郵件收件者的電子郵件地址。多個電子郵件地址會以分號字元 (;) 隔開。
recipient_count：郵件中的收件者總人數。
related_recipient_address：與、 REDIRECT和 RESOLVE 事件一起EXPAND顯示，以顯示與郵件相關聯的其他收件者電子郵件位址。
reference：此欄位包含特定事件類型的其他資訊。例如：
- DSN：包含報表連結，這是相關聯傳遞狀態通知的 message_id 值 (也稱為 DSN、非交付報告、NDR 或退回的訊息) 如果在此事件之後產生 DSN。如果此訊息是 DSN 訊息，此欄位會包含產生 DSN 之原始訊息的 message_id 值。
- EXPAND：包含相關郵件的 related_recipient_address 值。
- RECEIVE：如果郵件是由其他程序 (例如 [收件匣] 規則) 所產生，可能會包含相關郵件的 message_id 值。
- SEND：包含任何 DSN 訊 息的internal_message_id 值。
- TRANSFER：包含分支之郵件的 internal_message_id 值 (例如，由於內容轉換、郵件收件者限制或代理程式)。
- MAILBOXRULE：包含導致 [收件匣] 規則產生外寄郵件之內送郵件的 internal_message_id 值。
  
  對於其他類型的事件，此字段 (internal_message_id) 為空白。
return_path：傳送郵件的 MAIL FROM命令所指定的傳回電子郵件地址。雖然此欄位絕對不會是空白，但會以 <> 來表示 Null 寄件者地址值。
message_info：郵件的其他相關資訊。例如：
- DELIVER 與 SEND 事件的郵件原始日期時間 (UTC)。原始日期時間是指郵件最初進入 Exchange Online 組織的時間。以 ISO 8601 日期時間格式表示 UTC 日期時間：yyyy-MM-ddThh:mm:ss.fffZ，其中 yyyy = 年、MM = 月、dd = 日，T 表示時間元件的開頭，hh = 時、mm = 分、ss = 秒、fff = 秒的分數，以及另外一個表示 UTC 的方法 Z 代表 Zulu。
- 驗證錯誤。例如，您可能會看見值 11a，以及發生驗證錯誤時所使用的驗證類型。
tenant_id：代表 Exchange Online 組織的 GUID 值 (例如，39238e87-b5ab-4ef6-a559-af54c6b07b42)。
original_server_ip：原始伺服器的 IP 位址。
custom_data：包含特定事件類型的相關資料。如需詳細資訊，請參閱下列各節：

custom_data 值

各種 Exchange Online 代理程式會使用事件的custom_data字段AGENTINFO來記錄訊息處理詳細數據。下列各節說明某些更有趣的代理程式。

垃圾郵件篩選器代理程式
惡意程式碼篩選代理程式
傳輸規則代理程式

垃圾郵件篩選器代理程式

以 S:SFA 做為開頭的 custom_data 值是來自垃圾郵件篩選器代理程式。如需詳細資訊，請參閱 X-Forefront-Antispam-Report 訊息標頭字段。

篩選垃圾郵件之郵件的 custom_data 值範例如下所示：

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

惡意程式碼篩選代理程式

以 S:AMA 做為開頭的 custom_data 值是來自惡意程式碼篩選器代理程式。下表說明重要的詳細資料：

值	描述
`AMA=SUM\|v=1\|` 或 `AMA=EV\|v=1`	郵件已判定為包含惡意程式碼。 `SUM` 表示任何數目的引擎可能偵測到惡意代碼。 `EV` 表示特定引擎偵測到惡意程式碼。當引擎偵測到惡意代碼時，會觸發後續動作。
`Action=r`	已取代郵件。
`Action=p`	已略過郵件。
`Action=d`	已延遲郵件。
`Action=s`	已刪除郵件。
`Action=st`	已略過郵件。
`Action=sy`	已略過郵件。
`Action=ni`	已拒絕郵件。
`Action=ne`	已拒絕郵件。
`Action=b`	已封鎖郵件。
`Name=<malware>`	偵測到之惡意程式碼的名稱。
`File=<filename>`	含有惡意程式碼之檔案的名稱。

包含惡意代碼之訊息的 custom_data 值範例如下所示：

傳輸規則代理程式

以 S:TRA 作為開頭的 custom_data 值是來自郵件流程規則 (也稱為傳輸規則) 的傳輸規則代理程式。下表說明重要的詳細資料：

值	描述
`ETR\|ruleId=<guid>`	已符合的規則 ID。
`St=<datetime>`	規則相符時的日期和時間 (以 UTC 表示)。
`Action=<ActionDefinition>`	已套用的動作。如需可用動作的清單，請參閱 Exchange Online 中的郵件流程規則動作。
`Mode=<Mode>`	規則的模式。有效值為：強制執行：會強制執行規則上的所有動作。使用原則提示進行測試：傳送任何原則提示動作，但不會對其他強制動作採取動作。不含原則提示的測試：動作會列在記錄檔中，但傳送者不會以任何方式收到通知，而且不會對強制動作採取動作。</李？

符合郵件流程規則條件之郵件的 custom_data 值範例如下所示：