Share via


在 Exchange Online 中的傳統 EAC 中執行郵件追蹤

注意事項

新式 Exchange 系統管理中心提供訊息追蹤。 如需詳細資訊,請參閱 新式 Exchange 系統管理中心的訊息追蹤。 Microsoft Defender 入口網站中的 Exchange 訊息追蹤連結會在新式 EAC 中開啟訊息追蹤。

身為系統管理員,您可以在 Exchange 系統管理中心 (EAC) 中執行郵件追蹤,以了解電子郵件發生了什麼事。 執行郵件追蹤之後,您能以清單方式檢視結果,然後檢視特定郵件的詳細資料。 提供過去 90 天的郵件追蹤資料。 如果訊息超過七天,您只能在可下載的 .CSV 檔案中檢視結果。

如需訊息追蹤和其他郵件流程疑難解答工具的影片逐步解說,請參閱尋找並修正 Microsoft 365 或商務用 Office 365 的電子郵件傳遞問題

開始之前有哪些須知?

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪論壇:Exchange OnlineExchange Online Protection。 如果您是商務用 Microsoft 365 或 Office 365,請參閱連絡商務產品的支援 - 管理員 說明。

執行郵件追蹤

  1. 在 EAC 中,移至 [郵件流程>] 訊息追蹤

    Exchange 系統管理中心的螢幕擷取畫面顯示從郵件流程瀏覽功能表中選取了訊息追蹤。

  2. 根據您要搜尋的內容,您可以在下列欄位中輸入值。 這些欄位都不適用於少於七天的訊息。 您可以選取 搜尋,以擷取默認期間內的所有訊息追蹤數據,也就是過去 48 小時。

    1. 日期範圍:使用下拉式清單,選取以搜尋過去 24 小時、48 小時或 7 天內傳送或接收的訊息。 您也可以選取過去 90 天內任何範圍的自訂時間範圍。 針對自定義搜尋,您也可以在國際標準時間 (UTC) 中變更時區。

    2. 傳遞狀態:使用下拉式清單,選取您要檢視相關信息的訊息狀態。 保留預設值 [全部],以涵蓋所有狀態。 其他可能的值為:

      • 已傳遞:郵件已成功傳遞到預定目的地。
      • 失敗:訊息未傳遞。 可能是嘗試失敗,或因為篩選服務所採取的動作而未傳遞。 例如,若郵件經判定確實包含惡意程式碼。
      • 擱置*中:正在嘗試或重新嘗試傳遞訊息。
      • 展開:訊息已傳送至通訊組清單,並已展開,因此可以個別檢視清單的成員。
      • 篩選為垃圾郵件:郵件已傳遞至垃圾郵件 Email資料夾。
      • 未知*:目前訊息傳遞狀態不明。 當查詢結果列出時,傳遞詳細數據欄位不會包含任何資訊。

      *如果您要搜尋超過 7 天的訊息,則無法選取 [擱置 中] 或 [ 未知]

    3. 訊息標識碼:這是因特網訊息標識碼 (也稱為用戶端標識碼) 在 Message-ID: 標頭字段的訊息標頭中找到。 使用者可為您提供此資訊,以便調查特定郵件。

      此 ID 的形式會視傳送郵件系統而有所不同。 下列範例: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>

      此標識碼應是唯一的;不過,並非所有傳送郵件系統的行為都相同。 因此,您可能會在查詢單一訊息標識碼時,取得多個訊息的結果。

      注意:請務必包含完整的訊息標識符字串。 此可能包含角括弧 (<>)。

    4. 寄件者:您可以選取 [寄件者] 欄位旁的 [ 新增發件 者] 按鈕,以縮小搜尋特定寄件 人的 範圍。 在後續的對話框中,從用戶選擇器清單中選取您公司的一或多個發件者,然後選取 [ 新增]。 若要新增不在清單上的寄件者,請輸入其電子郵件地址,然後選取 [檢查名稱]。 在此方塊中,電子郵件地址支援以下格式的通配符:*@contoso.com。 指定通配符時,無法使用其他位址。 當您完成選取專案時,請選取 [ 確定]

    5. 收件者:您可以按兩下 [收件者] 欄位旁的 [ 新增收件者 ] 按鈕,以縮小搜尋特定收 件者 的範圍。 在後續的對話框中,從使用者選擇器清單中選取您公司的一或多個收件者,然後選取 [ 新增]。 若要新增不在清單上的收件者,請輸入其電子郵件地址,然後選取 [檢查名稱]。 在此方塊中,電子郵件地址支援以下格式的通配符:*@contoso.com。 指定通配符時,無法使用其他位址。 當您完成選取專案時,請選取 [ 確定]

  3. 如果您要搜尋超過七天的訊息,請設定下列設定: (否則您可以略過此步驟) :

    1. 在報表中包含訊息事件和路由詳細數據:建議您只在尋找一些訊息時選取此複選框。 否則,結果需要較長的時間才能傳回。

    2. 方向:保留預設 [ 全部 ], 或針對傳 送至您組織的郵件選取 [輸入],或針對從組織傳送的訊息選取 [ 輸出 ]。

    3. 原始用戶端 IP 位址:指定寄件者用戶端的 IP 位址。

    4. 報表標題:指定此報表的唯一標識符。 這也會用作電子郵件通知的主旨行文字。 默認值為「訊息追蹤報告<星期幾,<目前日期><目前時間>」。> 例如,「訊息追蹤報告星期四,2018 年 10 月 17 日上午 7:21:09」。

    5. 通知電子郵件位址:指定您想要在郵件追蹤完成時收到通知的電子郵件位址。 此地址必須位於公認的網域清單內。

  4. 按兩下 [搜尋:] 以執行訊息追蹤。 如果您已接近在 24 小時內允許執行的追蹤數目閾值,系統會警告您。

執行訊息追蹤之後,請繼續進行下一節,以瞭解如何檢視結果。

注意:若要搜尋不同的訊息,您可以按兩下 [清除 ] 按鈕,然後指定新的搜尋準則。

檢視 7 天以下訊息的訊息追蹤結果

在EAC中執行訊息追蹤之後,會列出結果,並依日期排序,並先顯示最新的訊息。 您可以按一下欄標頭,依照所列的任何欄位排序。 再按一下欄標頭,就會反轉排序順序。 檢視郵件追蹤結果時,系統會提供每封郵件的下列資訊:

  • 日期:服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。
  • 寄件者:寄件者的電子郵件位址,格式 alias@domain為 。
  • 收件者:收件者的電子郵件地址。 若為傳送給一個以上收件者的郵件,每一個收件者有一行地址。 如果收件者為一份通訊群組清單,此通訊群組清單會是第一個收件者,而通訊群組清單的每位成員會顯示於個別行上,以便您檢查所有收件者的狀態。
  • 主旨:郵件的主旨行文字。 必要時,此主旨行會截短為前 256 個字元。
  • 狀態:此欄位會指定郵件是否已 傳遞 至收件者或預定的 目的地,無法 傳遞至收件者 (因為無法連線到其目的地,或是因為已篩選) ,是 擱置 傳遞 (它正在傳遞過程中,或是傳遞已延遲,但正在重新嘗試) 已 展開 (沒有傳遞,因為郵件已傳送至通訊組清單, (DL) 已擴充至 DL) 的收件者,或狀態為 [無 (因為郵件遭到拒絕或重新導向至不同的收件者) ,所以郵件沒有傳遞狀態。

注意事項

郵件追蹤的顯示上限為 500 個項目。 依預設,使用者介面每頁會顯示 50 個項目,而且您可以瀏覽這些頁面。 您也可以變更每頁的項目數多寡,最多可到 500 個。

檢視不到 7 天之特定訊息的詳細數據

檢閱在 EAC 中執行郵件追蹤所傳回的項目清單之後,按兩下個別郵件,即可檢視有關郵件的下列詳細資料:

  • 訊息大小:訊息大小,包括附件 (KB) ,或如果訊息大小大於 999 KB,則為 MB (MB) 。

  • 訊息標識碼:這是因特網訊息標識碼 (也稱為用戶端標識碼) 在具有 “Message-ID:” 令牌的訊息標頭中找到。 此 ID 的形式會視傳送郵件系統而有所不同。 以下是範例: <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>

    此標識碼應該是唯一的,不過,它相依於傳送郵件系統來產生,並非所有傳送郵件系統的行為都相同。 因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    這會以輸出形式提供,以便追蹤項目和有問題的郵件可以產生關聯。

  • 對IP:服務嘗試傳遞訊息的IP位址。 如有多位收件者,則會顯示這些位址。 對於傳送至 Exchange Online 的輸入郵件,此值為空白。

  • 來源 IP:傳送郵件的電腦 IP 位址。 對於從 Exchange Online 傳送的外寄郵件,此值為空白。

在事件區段中,下列欄位提供當郵件通過訊息管線時所發生事件的相關資訊:

  • 日期:事件發生的日期和時間。

  • 事件:此欄位會簡短通知您發生什麼事,例如,如果服務已收到訊息,如果郵件已傳遞或無法傳遞給預定的收件者,依此類推。 以下是可列出的事件範例:

    • RECEIVE:服務已收到訊息。

    • SEND:訊息是由服務傳送。

    • FAIL:無法傳遞訊息。

    • DELIVER:郵件已傳遞至信箱。

    • EXPAND:訊息已傳送至已展開的通訊群組。

    • TRANSFER:由於內容轉換、郵件收件者限制或代理程式,收件者已移至交集郵件。

    • DEFER:訊息傳遞已延後,稍後可能會重新嘗試。

    • 已解決:郵件已根據 Active Directory 查閱重新導向至新的收件者位址。 發生此情況時,原始收件者地址會伴隨著郵件的最終傳遞狀態,出現在郵件追蹤裡的另一列。

    • DLP 規則:此訊息中的 DLP 規則相符。

    • 敏感度標籤: 發生伺服器端標籤事件。 例如,標籤會自動新增至訊息,其中包含要加密的動作,或是透過 Web 或行動用戶端新增。 此動作是由 Exchange Server 完成並記錄。 透過 Outlook 新增的標籤不會包含在事件欄位中。

      提示

      可能會出現其他事件。 如需這些事件的詳細資訊,請參閱 訊息追蹤記錄檔中的事件類型

  • 動作:此欄位會顯示因惡意代碼或垃圾郵件偵測或規則相符而篩選郵件時所執行的動作。 例如,它會讓您知道郵件是否已遭刪除,或已傳送至隔離區。

  • 詳細數據:此欄位提供詳細說明發生情況的詳細資訊。 例如,它可能會通知您哪些特定郵件流程規則 (也稱為傳輸規則) 相符,以及該相符專案導致郵件發生什麼情形。 它也會通知您在哪一個特定附件中偵測到哪一種特定惡意程式碼,或郵件為何被偵測為垃圾郵件。 如果已成功傳遞郵件,即可告訴您郵件傳遞至的 IP 位址。

檢視超過 7 天之訊息的訊息追蹤結果

如果您針對超過 7 天的專案執行郵件追蹤,當您按兩下 [搜尋 應該會出現一則訊息,讓您知道郵件已成功提交,而且當追蹤完成時,會將電子郵件通知傳送至所提供的電子郵件位址。 (如果已處理訊息追蹤,並成功擷取符合您搜尋準則的數據,則此通知訊息會包含追蹤的相關信息,以及可下載 .CSV 檔案的連結。如果找不到符合您指定之搜尋準則的數據,系統會要求您提交具有已變更準則的新要求,以取得有效的結果。)

在 EAC 中,您可以按兩下 [ 檢視擱置中或已完成的追蹤 ],以檢視針對超過 7 天的專案執行的追蹤清單。 在產生的 UI 中,追蹤清單是依照提交的日期和時間排序,第一個顯示的是最近提交的資料。 除了報告標題、追蹤提交日期和時間以及報告中的郵件數目之外,還會列出下列狀態值:

  • 未啟動:已提交追蹤,但尚未執行。 此時,您可以選擇取消追蹤。
  • 已取消:已提交追蹤,但已取消。
  • 進行中:追蹤正在執行,您無法取消追蹤或下載結果。
  • 完成:追蹤已完成,您可以按兩下 [下載此報告 ] 以擷取 .CSV 檔案中的結果。 請注意,如果您的訊息追蹤結果超過摘要報表的 100000 則訊息,則會截斷為前 100000 則訊息。 如果詳細報表的訊息追蹤結果超過 1000 則訊息,則會截斷為前 1000 則訊息。 如果您沒有看到所需的所有結果,建議您將搜尋分成多個查詢。

當您選取特定的郵件追蹤,右窗格中會顯示其他資訊。 根據您指定的搜尋準則,這可能會包含如追蹤執行的日期範圍,以及郵件寄件者和預定收件者等詳細資料。

注意事項

  • 包含超過 7 天之資料的訊息追蹤會在 10 天后自動在 EAC 中刪除。 無法手動刪除報告。

  • 可下載 CSV 檔案的大小上限為 800 MB。 如果可下載的報表超過 800 MB,您就無法在 Excel 或記事本中開啟報表。

檢視超過 7 天之特定訊息的報表詳細數據

當您從EAC 中的 [檢視擱置中或已完成的追蹤] 或從通知電子郵件下載並檢視訊息追蹤報表時,其內容取決於您是否已選取 [包含 訊息事件和具有報告的路由詳細 數據] 選項。

重要事項

若要檢視下載的郵件追蹤報告,您必須將 [僅檢視收件者] RBAC 角色指派給角色群組。 預設會將此角色指派給下列角色群組:[規範管理]、[服務台]、[檢疫管理]、[組織管理]、[僅限檢視組織管理]。

檢視沒有路由詳細數據的訊息追蹤報表

如果您在執行郵件追蹤時未包括路由詳細資料,下列資訊會包括在 .CSV 檔案中,此 .CSV 檔案可以在 Microsoft Excel 這類應用程式中開啟:

  • origin_timestamp:服務使用設定的UTC時區接收訊息的日期和時間。

  • sender_address:寄件者的電子郵件位址,格式為 別名網@

  • Recipient_status:將郵件傳遞至收件者的狀態。 如果郵件已傳送給多個收件者,則會以電子郵件位址>##<status 格式<顯示所有收件者和對應的每個收件者狀態>。 例如,狀態:

    • ##Receive,傳送:表示訊息已由服務接收並傳送至預定的目的地。
    • ##Receive,失敗:表示服務已收到訊息,但無法傳遞至預定的目的地。
    • ##Receive,傳遞:表示郵件已由服務接收並傳遞至收件者的信箱。
  • message_subject:訊息的主旨行文字。 必要時,此主旨行會截短為前 256 個字元。

  • total_bytes:訊息的大小,包括附件,以位元組為單位。

  • message_id:這是因特網訊息標識碼 (也稱為用戶端標識碼) 在具有 “Message-ID:” 令牌的訊息標頭中找到。 此 ID 的形式會視傳送郵件系統而有所不同。 以下是範例: <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>

    此標識碼應該是唯一的,不過,它相依於傳送郵件系統來產生,並非所有傳送郵件系統的行為都相同。 因此,查詢單一郵件 ID 時,可能會取得多封郵件的結果。

    這會以輸出形式提供,以便追蹤項目和有問題的郵件可以產生關聯。

  • network_message_id:這是唯一的訊息標識符值,會保存在因展開或通訊群組展開而可能建立的訊息複本之間。 範例值是 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip:寄件者的用戶端 IP 位址。

  • 方向性:此欄位表示訊息是否 (1) 傳送至您的組織,或是從您的組織傳送輸出 (2) 。

  • connector_id:來源或目的地傳送連接器或接收連接器的名稱。 例如, ServerName\ConnectorNameConnectorName

  • delivery_priority:表示訊息是以 一般 優先順序傳送。

檢視含路由詳細資料的郵件追蹤報告

如果您在執行郵件追蹤時包括路由詳細資料,則郵件追蹤記錄的所有資訊會包括在 .CSV 檔案中,此 .CSV 檔案可以在 Microsoft Excel 這類應用程式中開啟。 此報表中包含的部分值會在上一節中說明,而其他可能適合調查用途的值則會在 訊息追蹤記錄檔的 [位元段] 中說明。

custom_data 欄位

此外, custom_data 欄位可能包含篩選服務特有的值。 各種不同的代理程式使用 AGENTINFO 事件中的 custom_data 欄位來記錄代理程式郵件處理的詳細資料。 下面說明一些郵件資料保護相關代理程式。

垃圾郵件篩選代理程式 (S:SFA)

開頭為 S:SFA 的字串是來自垃圾郵件篩選代理程式的項目,以及提供下列重要詳細資料:

記錄資訊 描述
SFV=NSPM 郵件標記為非垃圾郵件,並傳送給預定的收件者。
SFV=SPM 內容篩選已將郵件標記為垃圾郵件。
SFV=BLK 已略過篩選,且郵件來自封鎖的寄件者,所以封鎖郵件。
SFV=SKS 內容篩選在處理郵件前,已將郵件標記為垃圾郵件。 這包括訊息與郵件流程規則相符的訊息,可自動將其標示為垃圾郵件,並略過所有其他篩選。
SCL=<number> 如需不同 SCL 值及其意義的詳細資訊,請參閱 垃圾郵件信賴等級
PCL=<number> 郵件的網路釣魚信賴等級 (PCL) 值。 這些值的解譯方式與 垃圾郵件信賴等級中記載的 SCL 值相同。
DI=SB 已封鎖郵件的寄件者。
DI=SQ 已隔離郵件。
DI=SD 已刪除郵件。
DI=SJ 郵件被傳送到收件者的 [垃圾郵件] 資料夾。
DI=SN 已透過較高風險傳遞集區路由傳送郵件。 如需詳細資訊,請參閱外寄郵件的較高風險傳遞集區
DI=SO 已透過標準輸出傳遞集區路由傳送郵件。
SFS=[a]
SFS=[b]
這表示已符合垃圾郵件規則。
IPV=CAL 因為 IP 位址是在連線篩選器中的 IP 允許清單中指定,所以允許透過垃圾郵件篩選器傳遞訊息。
H=[helostring] 連線郵件伺服器的 HELO 或 EHLO 字串。
PTR=[ReverseDNS] 傳送 IP 位址 (也稱為反向 DNS 位址) 的 PTR 記錄。

篩選郵件是否為垃圾郵件時,範例 custom_data 項目會與下面類似:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

惡意程式碼篩選代理程式 (S:AMA)

開頭為 S:AMA 的字串是來自反惡意程式碼代理程式的項目,以及提供下列重要詳細資料:

記錄資訊 描述
AMA=SUM|v=1|

AMA=EV|v=1|

郵件已判定為包含惡意程式碼。 SUM 表示任何數目的引擎可能偵測到惡意代碼。 EV 表示特定引擎偵測到惡意程式碼。 引擎偵測到惡意程式碼時,這會觸發後續動作。
Action=r 已取代郵件。
Action=p 已略過郵件。
Action=d 已延遲郵件。
Action=s 已刪除郵件。
Action=st 已略過郵件。
Action=sy 已略過郵件。
Action=ni 已拒絕郵件。
Action=ne 已拒絕郵件。
Action=b 已封鎖郵件。
Name=<malware> 偵測到之惡意程式碼的名稱。
File=<filename> 含有惡意程式碼之檔案的名稱。

郵件包含惡意程式碼時,範例 custom_data 項目會類似下面的內容:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

傳輸規則代理程式 (S:TRA)

以 S:TRA 開頭的字串是來自傳輸規則代理程式的專案,並提供下列重要詳細資料:

記錄資訊 描述
ETR|ruleId=[guid] 已符合的規則 ID。
St=[datetime] 規則比對時的日期和時間 (UTC)。
Action=[ActionDefinition] 已套用的動作。 如需可用動作的清單,請參閱 Exchange Online 中的郵件流程規則動作
Mode=Enforce 規則的模式。 可能的值為:
  • 強制:將強制執行規則上的所有動作。
  • 使用原則提示進行測試:將會傳送任何原則提示動作,但不會對其他強制動作採取動作。
  • 沒有原則提示的測試:動作會列在記錄檔中,但傳送者不會以任何方式收到通知,而且不會對強制動作採取動作。

當郵件符合郵件流程規則時,範例custom_data項目看起來會如下所示:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

相關資訊

郵件追蹤常見問題集 中顯示使用者可能遇到的郵件傳遞問題及可能的解答。 其中也說明如何使用郵件追蹤工具來取得解答,以及對特定的郵件傳遞問題進行疑難排解。

我可以透過 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 執行訊息追蹤嗎? 要使用哪些 Cmdlet? 提供可用來執行訊息追蹤之 PowerShell Cmdlet 的相關信息。