在 Exchange Online 中的傳統 EAC 中執行郵件追蹤

注意事項

新式 Exchange 系統管理中心提供訊息追蹤。 如需詳細資訊，請參閱 新式 Exchange 系統管理中心的訊息追蹤。 Microsoft 365 Defender入口網站中的Exchange 訊息追蹤連結會在新式 EAC 中開啟訊息追蹤。

身為系統管理員，您可以在 Exchange 系統管理中心 (EAC) 中執行郵件追蹤，以了解電子郵件發生了什麼事。 執行郵件追蹤之後，您能以清單方式檢視結果，然後檢視特定郵件的詳細資料。 提供過去 90 天的郵件追蹤資料。 如果訊息超過 7 天，您只能在可下載的.CSV檔案中檢視結果。

如需訊息追蹤和其他郵件流程疑難排解工具的影片逐步解說，請參閱尋找並修正 Microsoft 365 或商務用Office 365的電子郵件傳遞問題。

開始之前有哪些須知？

• 若要尋找並開啟傳統 EAC，請參閱Exchange Online 中的 Exchange 系統管理中心。

• 您必須已獲指派權限，才能執行此程序或這些程序。 若要查看您需要的權限，請參閱 Exchange Online 中的功能權限主題中的「郵件追蹤」項目。

• 如需適用於此主題中程序的快速鍵相關資訊，請參閱 Exchange 系統管理中心的鍵盤快速鍵。

提示

有問題嗎？ 在 Exchange 論壇中尋求協助。 請造訪論壇：Exchange Online 或 Exchange Online Protection。 如果您是商務用 Microsoft 365 或Office 365，請參閱連絡商務產品的支援 - 管理員說明。

執行郵件追蹤

1. 在 EAC 中，移至[郵件流程>] 訊息追蹤。

   

2. 根據您要搜尋的內容，您可以在下欄欄位中輸入值。 針對低於 7 天的郵件，則不需要這些欄位。 只要按一下 [搜尋]，即可擷取預設期間 (過去 48 小時) 的所有郵件追蹤資料。

   1. 日期範圍：使用下拉式清單，選取以搜尋過去 24 小時、48 小時或 7 天內傳送或接收的訊息。 您也可以選取過去 90 天內任何範圍的自訂時間範圍。 您也可以變更自訂搜尋的時區 (國際標準時間 (UTC))。

   2. 傳遞狀態：使用下拉式清單，選取您要檢視相關資訊的訊息狀態。 保留預設值 [全部]，以涵蓋所有狀態。 其他可能的值為：

      • 已傳遞：郵件已成功傳遞到預定目的地。
      • 失敗：未傳遞郵件。 已嘗試並且失敗，或因為篩選服務所採取的動作而未傳遞。 例如，若郵件經判定確實包含惡意程式碼。
      • 暫止^* ：正在嘗試或重新嘗試傳遞訊息。
      • 展開：訊息已傳送至通訊群組清單，並已展開，因此可以個別檢視清單的成員。
      • 篩選為垃圾郵件：郵件已傳遞至垃圾郵件Email資料夾。
      • 未知^* ：目前訊息傳遞狀態不明。 列出查詢的結果後，傳遞詳細資料欄位不包含任何資訊。

      ^*如果您要搜尋超過 7 天的訊息，則無法選取 [擱置 中] 或 [ 未知]。

   3. 訊息標識符：這是網際網路訊息識別碼 (也稱為用戶端識別碼) 在 Message-ID： 標頭欄位的訊息標頭中找到。 使用者可為您提供此資訊，以便調查特定郵件。

      此 ID 的形式會視傳送郵件系統而有所不同。 以下是範例： <08f1e0f6806a47b4ac103961109ae6ef@server.domain> 。

      此識別碼應是唯一的;不過，並非所有傳送郵件系統的行為都相同。 因此，查詢單一郵件 ID 時，可能會取得多封郵件的結果。

      注意：請務必包含完整的訊息識別碼字串。 此可能包含角括弧 (<>)。

   4. 寄件者：您可以按一下 [寄件者] 欄位旁的 [ 新增發件 人] 按鈕，以縮小搜尋特定發件 人的 範圍。 在後續的對話方塊中，從使用者選擇器清單中選取您公司的一或多位寄件者，然後按一下 [新增]。 若要新增不在清單上的寄件者，請輸入其電子郵件地址並按一下 [檢查名稱]。 在此方塊中，電子郵件地址支援以下格式的萬用字元：*@contoso.com。 指定萬用字元時，無法使用其他地址。 當您完成選取時，請按一下 [確定]。

   5. 收件者：您可以按一下 [收件者] 欄位旁的 [ 新增收件者 ] 按鈕，以縮小搜尋特定收 件者 的範圍。 在後續的對話方塊中，從使用者選擇器清單中選取您公司的一或多位收件者，然後按一下 [新增]。 若要新增不在清單上的收件者，輸入他們的電子郵件，然後按一下 [檢查名稱]。 在此方塊中，電子郵件地址支援以下格式的萬用字元：*@contoso.com。 指定萬用字元時，無法使用其他地址。 當您完成選取時，請按一下 [確定]。

3. 如果您要搜尋超過 7 天的訊息，請設定下列設定： (否則您可以略過此步驟) ：

   1. 在報表中包含訊息事件和路由詳細資料：建議您只有在尋找少量訊息時，才選取此核取方塊。 否則，結果將需要較長的時間才能傳回。

   2. 方向：保留預設 [ 全部 ]， 或針對傳 送至您組織的郵件選取 [輸入]，或針對從組織傳送的訊息選取 [ 輸出 ]。

   3. 原始用戶端 IP 位址：指定寄件者用戶端的 IP 位址。

   4. 報表標題：指定此報表的唯一識別碼。 這也會用作電子郵件通知的主旨行文字。 預設值為「訊息追蹤報告 < 星期幾， < 目前日期 >< 目前時間 > 」。 > 例如，「訊息追蹤報告星期四，2018 年 10 月 17 日上午 7：21：09」。

   5. 通知電子郵件地址：指定您想要在郵件追蹤完成時收到通知的電子郵件地址。 此地址必須位於公認的網域清單內。

4. 按一下 [搜尋：] 以執行訊息追蹤。 如果您快到在 24 小時的期間內可以執行的追蹤數量閾值，則會收到警告。

執行訊息追蹤之後，請繼續進行下一節，以瞭解如何檢視結果。

注意：若要搜尋不同的訊息，您可以按一下 [清除 ] 按鈕，然後指定新的搜尋準則。

檢視 7 天以下訊息的訊息追蹤結果

在 EAC 中執行訊息追蹤之後，會列出結果，並依日期排序，並先顯示最新的訊息。 您可以按一下欄標頭，依照所列的任何欄位排序。 再按一下欄標頭，就會反轉排序順序。 檢視郵件追蹤結果時，系統會提供每封郵件的下列資訊：

• 日期：服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。
• 寄件者：寄件者的電子郵件地址，格式 alias@domain 為 。
• 收件者：收件者的電子郵件地址。 若為傳送給一個以上收件者的郵件，每一個收件者有一行地址。 如果收件者為一份通訊群組清單，此通訊群組清單會是第一個收件者，而通訊群組清單的每位成員會顯示於個別行上，以便您檢查所有收件者的狀態。
• 主旨：郵件的主旨行文字。 必要時，此主旨行會截短為前 256 個字元。
• 狀態：此欄位會指定郵件是否已 傳遞 至收件者或預定的 目的地，無法 傳遞至收件者 (因為無法連線到其目的地，或是因為已篩選) ，是 擱置 傳遞 (它正在傳遞或傳遞已延遲，但正在重新嘗試) 已 展開 (沒有傳遞，因為郵件已傳送至通訊群組清單， (DL) 已擴充至 DL) 的收件者，或狀態為 [無 (因為郵件遭到拒絕或重新導向至不同的收件者) ，所以郵件沒有傳遞狀態。

注意事項

郵件追蹤的顯示上限為 500 個項目。 依預設，使用者介面每頁會顯示 50 個項目，而且您可以瀏覽這些頁面。 您也可以變更每頁的項目數多寡，最多可到 500 個。

檢視不到 7 天之特定訊息的詳細資料

檢閱在 EAC 中執行郵件追蹤所傳回的項目清單之後，按兩下個別郵件，即可檢視有關郵件的下列詳細資料：

• 訊息大小：訊息大小，包括附件 (KB) ，或如果訊息大小大於 999 KB，則為 MB (MB) 。

• 訊息標識符：這是網際網路訊息識別碼 (也稱為用戶端識別碼) 在具有 「Message-ID：」 權杖的訊息標頭中找到。 此 ID 的形式會視傳送郵件系統而有所不同。 以下是範例： <08f1e0f6806a47b4ac103961109ae6ef@contoso.com> 。

  此 ID 必須是唯一的；但是，它的產生依存於傳送郵件系統，而且並非所有傳送郵件系統的行為都相同。 因此，查詢單一郵件 ID 時，可能會取得多封郵件的結果。

  這會以輸出形式提供，以便追蹤項目和有問題的郵件可以產生關聯。

• 對 IP：服務嘗試傳遞訊息的 IP 位址。 如有多位收件者，則會顯示這些位址。 對於傳送至 Exchange Online 的輸入郵件，此值為空白。

• 來源 IP：傳送郵件的電腦 IP 位址。 對於從 Exchange Online 傳送的外寄郵件，此值為空白。

在事件區段中，下列欄位提供當郵件通過訊息管線時所發生事件的相關資訊：

• 日期：事件發生的日期和時間。

• 事件：此欄位會簡短通知您發生什麼事，例如，如果服務已收到訊息，如果郵件已傳遞或無法傳遞給預定的收件者，依此類推。 以下是可列出的事件範例：

  • RECEIVE：服務已收到訊息。

  • SEND：訊息是由服務傳送。

  • FAIL：無法傳遞訊息。

  • DELIVER：郵件已傳遞至信箱。

  • EXPAND：訊息已傳送至已展開的通訊群組。

  • TRANSFER：由於內容轉換、郵件收件者限制或代理程式，收件者已移至交集郵件。

  • DEFER：訊息傳遞已延後，稍後可能會重新嘗試。

  • 已解決：郵件已根據 Active Directory 查閱重新導向至新的收件者位址。 發生此情況時，原始收件者地址會伴隨著郵件的最終傳遞狀態，出現在郵件追蹤裡的另一列。

  • DLP 規則：此訊息中的 DLP 規則相符。

  • 敏感度標籤： 發生伺服器端標籤事件。 例如，標籤會自動新增至訊息，其中包含要加密的動作，或是透過 Web 或行動用戶端新增。 此動作是由 Exchange Server 完成並記錄。 透過 Outlook 新增的標籤將不會包含在事件欄位中。

    提示

    可能會出現其他事件。 如需這些事件的詳細資訊，請參閱 訊息追蹤記錄檔中的事件種類。

• 動作：此欄位會顯示因惡意程式碼或垃圾郵件偵測或規則相符而篩選郵件時所執行的動作。 例如，它會讓您知道郵件是否已遭刪除，或已傳送至隔離區。

• 詳細資料：此欄位提供詳細說明發生情況的詳細資訊。 例如，它可能會通知您哪些特定郵件流程規則 (也稱為傳輸規則) 相符，以及該相符專案導致郵件發生什麼情形。 它也會通知您在哪一個特定附件中偵測到哪一種特定惡意程式碼，或郵件為何被偵測為垃圾郵件。 如果已成功傳遞郵件，即可告訴您郵件傳遞至的 IP 位址。

檢視超過 7 天之訊息的訊息追蹤結果

如果您針對超過 7 天的專案執行郵件追蹤，當您按一下 [ 搜尋 ] 時，應該會出現訊息，讓您知道郵件已成功提交，而且當追蹤完成時，電子郵件通知會傳送至所提供的電子郵件地址。 (如果已處理訊息追蹤，並成功擷取符合您搜尋準則的資料，則此通知訊息會包含追蹤的相關資訊，以及可下載.CSV檔案的連結。如果找不到符合您指定之搜尋準則的資料，系統會要求您提交具有已變更準則的新要求，以取得有效的結果。)

在 EAC 中，您可以按一下 [ 檢視擱置中或已完成的追蹤 ]，以檢視針對超過 7 天的專案執行的追蹤清單。 在產生的 UI 中，追蹤清單是依照提交的日期和時間排序，第一個顯示的是最近提交的資料。 除了報告標題、追蹤提交日期和時間以及報告中的郵件數目之外，還會列出下列狀態值：

• 未啟動：已提交追蹤，但尚未執行。 此時，您可以選擇取消追蹤。
• 已取消：已提交追蹤，但已取消。
• 進行中：追蹤正在執行，您無法取消追蹤或下載結果。
• 已完成：追蹤已完成，您可以按一下 [下載此報告 ] 以擷取.CSV檔案中的結果。 請注意，如果您的訊息追蹤結果超過摘要報表的 100000 則訊息，則會截斷為前 100000 則訊息。 如果詳細報表的訊息追蹤結果超過 1000 則訊息，則會截斷為前 1000 則訊息。 如果您看不到所有需要的結果，則建議您將搜尋分成多個查詢。

當您選取特定郵件追蹤時，其他資訊會顯示在右窗格中。 根據您指定的搜尋準則，這可能會包含如追蹤執行的日期範圍，以及郵件寄件者和預定收件者等詳細資料。

注意事項

• 包含超過 7 天之資料的訊息追蹤會在 10 天后自動在 EAC 中刪除。 無法手動刪除報告。

• 可下載報表的大小上限為 500 MB。 如果可下載的報表超過 500 MB，您就無法在 Excel 或記事本中開啟報表。

檢視超過 7 天之特定訊息的報表詳細資料

當您從 EAC 中的 [檢視擱置中或已完成的追蹤] 或從通知電子郵件下載並檢視訊息追蹤報表時，其內容取決於您是否已選取 [包含 訊息事件和路由詳細資料與報告 ] 選項。

重要事項

若要檢視下載的郵件追蹤報告，您必須將 [僅檢視收件者] RBAC 角色指派給角色群組。 預設會將此角色指派給下列角色群組：[規範管理]、[服務台]、[檢疫管理]、[組織管理]、[僅限檢視組織管理]。

檢視沒有路由詳細資料的訊息追蹤報表

如果您在執行郵件追蹤時未包括路由詳細資料，下列資訊會包括在 .CSV 檔案中，此 .CSV 檔案可以在 Microsoft Excel 這類應用程式中開啟：

• origin_timestamp：服務使用設定的 UTC 時區接收訊息的日期和時間。

• sender_address：寄件者的電子郵件地址，格式為別名網@域。

• Recipient_status：將郵件傳遞至收件者的狀態。 如果郵件已傳送給多個收件者，則會顯示所有收件者和對應的每個收件者狀態，格式為： <email address> ## <status> 。 例如，狀態：

  • ##Receive，傳送：表示訊息已由服務接收並傳送至預定的目的地。
  • ##Receive，失敗：表示服務已收到訊息，但無法傳遞至預定的目的地。
  • ##Receive，傳遞：表示郵件已由服務接收並傳遞至收件者的信箱。

• message_subject：訊息的主旨行文字。 必要時，此主旨行會截短為前 256 個字元。

• total_bytes：訊息的大小，包括附件，以位元組為單位。

• message_id：這是網際網路訊息識別碼 (也稱為用戶端識別碼) 在具有 「Message-ID：」 權杖的訊息標頭中找到。 此 ID 的形式會視傳送郵件系統而有所不同。 以下是範例： <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*> 。

  此 ID 必須是唯一的；但是，它的產生依存於傳送郵件系統，而且並非所有傳送郵件系統的行為都相同。 因此，查詢單一郵件 ID 時，可能會取得多封郵件的結果。

  這會以輸出形式提供，以便追蹤項目和有問題的郵件可以產生關聯。

• network_message_id：這是唯一的訊息識別碼值，會保存在因展開或通訊群組展開而可能建立的訊息複本之間。 範例值是 1341ac7b13fb42ab4d4408cf7f55890f。

• original_client_ip：寄件者的用戶端 IP 位址。

• 方向性：此欄位表示訊息是否 (1) 傳送至您的組織，或是從您的組織傳送輸出 (2) 。

• connector_id：來源或目的地傳送連接器或接收連接器的名稱。 例如，ServerName\ConnectorName或ConnectorName。

• delivery_priority：表示訊息是以 高、 低或 一般 優先順序傳送。

檢視含路由詳細資料的郵件追蹤報告

如果您在執行郵件追蹤時包括路由詳細資料，則郵件追蹤記錄的所有資訊會包括在 .CSV 檔案中，此 .CSV 檔案可以在 Microsoft Excel 這類應用程式中開啟。 此報表中包含的部分值會在上一節中說明，而其他可能適合調查用途的值則會在 訊息追蹤記錄檔的 [欄位] 中說明。

custom_data 欄位

此外， custom_data 欄位可能包含篩選服務特有的值。 各種不同的代理程式使用 AGENTINFO 事件中的 custom_data 欄位來記錄代理程式郵件處理的詳細資料。 下面說明一些郵件資料保護相關代理程式。

垃圾郵件篩選代理程式 (S:SFA)

開頭為 S:SFA 的字串是來自垃圾郵件篩選代理程式的項目，以及提供下列重要詳細資料：

記錄資訊	描述
SFV=NSPM	郵件標記為非垃圾郵件，並傳送給預定的收件者。
SFV=SPM	內容篩選已將郵件標記為垃圾郵件。
SFV=BLK	已略過篩選，且郵件來自封鎖的寄件者，所以封鎖郵件。
SFV=SKS	內容篩選在處理郵件前，已將郵件標記為垃圾郵件。 這包括訊息與郵件流程規則相符的訊息，可自動將其標示為垃圾郵件，並略過所有其他篩選。
SCL= <number>	如需不同 SCL 值及其意義的詳細資訊，請參閱 垃圾郵件信賴等級。
PCL= <number>	郵件的網路釣魚信賴等級 (PCL) 值。 這些值的解譯方式與 垃圾郵件信賴等級中記載的 SCL 值相同。
DI=SB	已封鎖郵件的寄件者。
DI=SQ	已隔離郵件。
DI=SD	已刪除郵件。
DI=SJ	郵件被傳送到收件者的 [垃圾郵件] 資料夾。
DI=SN	已透過較高風險傳遞集區路由傳送郵件。 如需詳細資訊，請參閱外寄郵件的較高風險傳遞集區。
DI=SO	已透過標準輸出傳遞集區路由傳送郵件。
SFS=[a] SFS=[b]	這表示已符合垃圾郵件規則。
IPV=CAL	因為 IP 位址指定於連線篩選的 [IP 允許] 清單中，所以已透過垃圾郵件篩選允許郵件。
H=[helostring]	連線郵件伺服器的 HELO 或 EHLO 字串。
PTR=[ReverseDNS]	傳送 IP 位址 (也稱為反向 DNS 位址) 的 PTR 記錄。

篩選郵件是否為垃圾郵件時，範例 custom_data 項目會與下面類似：

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

惡意程式碼篩選代理程式 (S:AMA)

開頭為 S:AMA 的字串是來自反惡意程式碼代理程式的項目，以及提供下列重要詳細資料：

記錄資訊	描述
AMA=SUM|v=1| 或 AMA=EV|v=1|	郵件已判定為包含惡意程式碼。 SUM 表示任何數目的引擎可能偵測到惡意程式碼。 EV 表示特定引擎偵測到惡意程式碼。 引擎偵測到惡意程式碼時，這會觸發後續動作。
Action=r	已取代郵件。
Action=p	已略過郵件。
Action=d	已延遲郵件。
Action=s	已刪除郵件。
Action=st	已略過郵件。
Action=sy	已略過郵件。
Action=ni	已拒絕郵件。
Action=ne	已拒絕郵件。
Action=b	已封鎖郵件。
Name= <malware>	偵測到之惡意程式碼的名稱。
File= <filename>	含有惡意程式碼之檔案的名稱。

郵件包含惡意程式碼時，範例 custom_data 項目會類似下面的內容：

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

傳輸規則代理程式 (S:TRA)

以 S：TRA 開頭的字串是來自傳輸規則代理程式的專案，並提供下列重要詳細資料：

記錄資訊	描述
ETR|ruleId=[guid]	已符合的規則 ID。
St=[datetime]	規則比對時的日期和時間 (UTC)。
Action=[ActionDefinition]	已套用的動作。 如需可用動作的清單，請參閱 Exchange Online 中的郵件流程規則動作。
Mode=Enforce	規則的模式。 可能的值為： 強制：將強制執行規則上的所有動作。 使用原則提示進行測試：將會傳送任何原則提示動作，但不會對其他強制動作採取動作。 沒有原則提示的測試：動作會列在記錄檔中，但傳送者不會以任何方式收到通知，而且不會對強制動作採取動作。

當郵件符合郵件流程規則時，範例custom_data專案看起來會如下所示：

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

相關資訊

郵件追蹤常見問題集 中顯示使用者可能遇到的郵件傳遞問題及可能的解答。 其中也說明如何使用郵件追蹤工具來取得解答，以及對特定的郵件傳遞問題進行疑難排解。

我可以透過 Exchange Online PowerShell 或 Exchange Online Protection PowerShell 執行訊息追蹤嗎？ 要使用哪些 Cmdlet？ 提供可用來執行訊息追蹤之 PowerShell Cmdlet 的相關資訊。