Nachrichtenablaufverfolgung im Office 365 Security & Compliance Center

Die Nachrichtenablaufverfolgung im Office 365 Security & Compliance Center ermöglicht das Nachverfolgen von E-Mails auf dem Weg durch Ihre Exchange Online-Organisation. Sie können ermitteln, ob eine Nachricht vom Dienst empfangen, abgelehnt, zurückgestellt oder zugestellt wurde. Außerdem werden die Aktionen der Nachricht gezeigt, bevor diese ihren finalen Status erreicht hat.

Die Nachrichtenablaufverfolgung im Security & Compliance Center verbessert die Nachrichtenablaufverfolgung, die im Exchange Admin Center (EAC) verfügbar war. Mithilfe der Informationen aus der Nachrichtenablaufverfolgung können Sie Benutzerfragen zu den Vorgängen mit ihren Nachrichten effizient beantworten, Problemen bei der Nachrichtenübermittlung behandeln und Richtlinienänderungen überprüfen.

Öffnen der Nachrichtenablaufverfolgung

  1. Melden Sie sich bei Office 365 mit Ihrem Geschäfts-, Schul- oder Unikonto an.

  2. Wählen Sie das Symbol für das App-Startfeld Symbol für Office 365-App-Startfeld in der oberen linken Ecke und dann Administrator aus.

  3. Erweitern Sie im unteren linken Navigationsbereich Admin Center, und wählen Sie Sicherheit und Compliance aus.

  4. Erweitern Sie auf der angezeigten Seite Sicherheit und Compliance die Option E-Mail-Fluss, und wählen Sie Nachrichtenablaufverfolgung aus.

Seite der Nachrichtenablaufverfolgung

Von hier aus können Sie einen neue standardmäßige Ablaufverfolgung starten, indem Sie auf die Schaltfläche Ablaufverfolgung starten klicken. Dadurch werden alle Nachrichten für alle Absender und Empfänger der letzten zwei Tage gesucht. Alternativ können Sie eine der gespeicherten Abfragen aus den verfügbaren Abfragekategorien auswählen und diese entweder in der vorliegenden Form ausführen oder als Ausgangspunkt für Ihre eigenen Abfragen verwenden:

  • Standardabfragen: Von Office 365 bereitgestellte integrierte Abfragen.

  • Benutzerdefinierte Abfragen: Abfragen, die von Administratoren in Ihrer Organisation für die zukünftige Verwendung gespeichert wurden.

  • Automatisch gespeicherte Abfragen: Die zehn zuletzt ausgeführten Abfragen. Mit dieser Liste können sie ganz einfach dort weitermachen, wo Sie aufgehört haben.

Auf dieser Seite befindet sich außerdem ein Abschnitt Herunterladbare Berichte mit den gesendeten Anforderungen sowie den eigentlichen Berichten, wenn sie zum Download zur Verfügung stehen.

Optionen für eine neue Nachrichtenablaufverfolgung

Filtern nach Absendern und Empfängern

Die Standardwerte sind Alle Absender und Alle Empfänger, aber Sie können die folgenden Felder zum Filtern der Ergebnisse verwenden:

  • Von diesen Personen: Klicken Sie in dieses Feld, um einen oder mehrere Absender aus Ihrer Organisation auszuwählen. Sie können auch mit der Eingabe eines Namens beginnen, und die Elemente in der Liste werden nach Ihrer Eingabe gefiltert, ähnlich dem Verhalten einer Suchseite.

  • An diese Personen: Klicken Sie in dieses Feld, um einen oder mehrere Empfänger in Ihrer Organisation auszuwählen.

Sie können auch die E-Mail-Adressen externer Absender und Empfänger eingeben. Platzhalter werden unterstützt (*@contoso.com oder scot?@contoso.com), aber Sie können nicht mehrere Einträge mit Platzhaltern gleichzeitig im selben Feld verwenden.

Zeitraum

Der Standardwert ist 2 Tage, aber Sie können Datum/Uhrzeit-Bereiche von bis zu 90 Tagen angeben. Wenn Sie Datum/Uhrzeit-Bereiche verwenden, beachten Sie Folgendes:

  • Standardmäßig wählen Sie den Zeitraum in der Schieberegler-Ansicht mithilfe einer Zeitachse. Sie können nur die Datums- oder Uhrzeiteinstellungen auswählen, die angezeigt werden. Wenn Sie versuchen, dazwischen liegende Werte auszuwählen, springt die Blase für Anfang/Ende auf die nächstliegende angezeigte Einstellung.

    Schieberegler-Zeitspanne in einer neuen Nachrichtenablaufverfolgung im Office 365 Security & Compliance Center

    Sie können jedoch auch zur Ansicht Benutzerdefiniert wechseln, in der Sie Werte für Startdatum und Enddatum (einschließlich Uhrzeiten) festlegen und außerdem die Zeitzone für den Datum/Uhrzeit-Bereich auswählen können. Beachten Sie, dass die Einstellung Zeitzone sowohl für Ihre Abfrageeingaben als auch Ihre Abfrageergebnisse gilt.

    Benutzerdefinierte Zeitspanne in einer neuen Nachrichtenablaufverfolgung im Office 365 Security & Compliance Center

    Die Ergebnisse stehen für maximal 10 Tage Sofortbericht Zusammenfassung zur Verfügung. Wenn Sie einen Zeitraum angeben, der noch etwas größer als 10 Tage ist, werden die Ergebnisse verzögert, da sie nur als herunterladbare CSV-Datei verfügbar sind (die Berichte Erweiterte Zusammenfassung oder Erweitert).

    Weitere Informationen zu den verschiedenen Berichtstypen finden Sie in diesem Thema im Abschnitt Berichtstypen

    Hinweis: Die Berichte "Erweiterte Zusammenfassung" und "Erweitert" werden anhand der archivierten Daten der Nachrichtenablaufverfolgung erstellt, und es kann mehrere Stunden dauern, bis der Bericht zum Download verfügbar ist. Je nachdem, wie viele weitere Office 365-Administratoren etwa zur gleichen Zeit Berichtsanforderungen übermittelt haben, stellen Sie möglicherweise auch fest, dass sich die Verarbeitung Ihrer in der Warteschlange befindlichen Anforderung verzögert.

  • Wenn Sie eine Abfrage in der Schieberegler-Ansicht speichern, wird der relative Zeitraum gespeichert (z. B. 3 Tage ab heute). Wenn Sie eine Abfrage in der Ansicht Benutzerdefiniert speichern, wird der absolute Datum/Uhrzeit-Bereich gespeichert (z. B. 2018-05-06 13:00 bis 2018-05-08 18:00).

Weitere Suchoptionen

Übermittlungsstatus

Sie können den Standardwert Alle ausgewählt lassen, oder Sie können einen der folgenden Werte zum Filtern der Ergebnisse verwenden:

  • Zugestellt: Die Nachricht wurde erfolgreich an die vorgesehene Zieladresse zugestellt.

  • Ausstehend: Die Zustellung der Nachricht ist noch in Arbeit oder wird erneut versucht.

  • Erweitert: Ein Verteilungsgruppenempfänger wurde vor der Zustellung an die einzelnen Mitglieder der Gruppe erweitert.

  • Fehler: Die Nachricht wurde nicht übermittelt.

  • Unter Quarantäne gestellt: Die Nachricht wurde unter Quarantäne gestellt (als Spam, Massenmail oder Phishing). Weitere Informationen finden Sie unter In Quarantäne befindliche E-Mail-Nachrichten in Office 365.

  • Als Spam gefiltert: Die Nachricht wurde Spam identifiziert und abgelehnt oder blockiert (nicht unter Quarantäne gestellt).

  • Status wird abgerufen : Die Nachricht wurde vor kurzem von Office 365 empfangen, aber es sind noch keine weiteren Statusdaten verfügbar. Überprüfen Sie es in wenigen Minuten noch einmal.

Hinweis: Die Werte Ausstehend,Unter Quarantäne gestellt und Als Spam gefiltert sind nur für Suchvorgänge, die weniger als 10 Tage umfassen, verfügbar. Darüber hinaus kann es zu einer Verzögerung von 5 bis 10 Minuten zwischen dem tatsächlichen und dem gemeldeten Übermittlungsstatus kommen.

Nachrichten-ID

Dabei handelt es sich um die Internetnachrichten-ID (auch bekannt als Client-ID), die sich im Kopfzeilenfeld Nachrichten-ID: im Nachrichtenkopf befindet. Benutzer können Ihnen diesen Wert mitteilen, um bestimmte Nachrichten untersuchen zu lassen.

Dieser Wert ist über die Lebensdauer der Nachricht konstant. Bei Nachrichten, die in Office 365 oder Exchange erstellt wurden, weist der Wert das Format <GUID@ServerFQDN> auf, einschließlich der spitzen Klammern (< >). z. B. "<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>". Andere Messagingsysteme verwenden möglicherweise eine andere Syntax oder andere Werte. Dieser Wert sollte eindeutig sein, aber nicht alle E-Mail-Systeme halten sich streng an diese Voraussetzung. Wenn das Kopfzeilenfeld Nachrichten-ID: für eingehende Nachrichten aus externen Quellen nicht vorhanden oder leer ist, wird ein beliebiger Wert zugewiesen.

Bei Verwendung der Nachrichten-ID zum Filtern der Ergebnisse müssen Sie unbedingt die vollständige Zeichenfolge, einschließlich aller spitzen Klammern, angeben.

Richtung

Sie können den Standardwert Alle ausgewählt lassen oder Eingehend (an Empfänger in Ihrer Organisation gesendete Nachrichten) bzw. Ausgehend (von Benutzern in Ihrer Organisation gesendete Nachrichten) auswählen, um die Ergebnisse zu filtern.

Ursprüngliche Client-IP-Adresse

Sie können die Ergebnisse nach der Client-IP-Adresse filtern, um gehackte Computern zu untersuchen, von denen große Mengen von Spam oder Schadsoftware gesendet werden. Obwohl die Nachrichten möglicherweise von mehreren Absendern zu stammen scheinen, ist es wahrscheinlich, dass alle Nachrichten auf demselben Computer generiert werden.

Hinweis: Die Client-IP-Adressinformationen sind nur 10 Tage lang und nur in den Berichten Erweiterte Zusammenfassung oder Erweitert (herunterladbare CSV-Dateien) verfügbar.

Auswählen des Berichtstyps

Die folgenden Berichtstypen sind verfügbar:

  • Zusammenfassung: Verfügbar, wenn der Zeitraum weniger als 10 Tage umfasst und keine zusätzlichen Filteroptionen erfordert. Die Ergebnisse stehen fast umgehend nach dem Klicken auf Suche zur Verfügung.

  • Erweiterte Zusammenfassung oder Erweitert: Diese Berichte stehen nur als herunterladbare CSV-Dateien zur Verfügung, und erfordern mindesten eine der folgenden Filteroptionen, unabhängig vom Zeitraum: Von diesen Personen, An diese Personen, oder Nachrichten-ID. Sie können Platzhalter für Absender oder Empfänger verwenden (z. B. *@contoso.com).

    Hinweise:

    • Die Berichte "Erweiterte Zusammenfassung" und "Erweitert" werden anhand der archivierten Daten der Nachrichtenablaufverfolgung erstellt, und es kann mehrere Stunden dauern, bis der Bericht zum Download verfügbar ist. Je nachdem, wie viele weitere Office 365-Administratoren etwa zur gleichen Zeit Berichtsanforderungen übermittelt haben, stellen Sie möglicherweise auch fest, dass sich die Verarbeitung Ihrer in der Warteschlange befindlichen Anforderung verzögert.

    • Sie können die Berichte "Erweiterte Zusammenfassung" oder "Erweitert" zwar für jedem beliebigen Datum/Uhrzeit-Bereich auswählen, meist sind die archivierten Daten der letzten vier Stunden aber für diese beiden Berichtstypen noch nicht verfügbar.

Wenn Sie auf Weiter klicken, wird eine Zusammenfassungsseite angezeigt mit den ausgewählten Filteroptionen, einem eindeutigen (bearbeitbaren) Titel für den Bericht und der E-Mail-Adresse, an die die Benachrichtigung gesendet wird, wenn die Nachrichtenablaufverfolgung abgeschlossen ist (kann ebenfalls bearbeitet werden und muss sich innerhalb einer der akzeptierten Domänen Ihrer Organisation befinden). Klicken Sie auf Bericht vorbereiten, um die Nachrichtenablaufverfolgung zu senden. Auf der Hauptseite der Nachrichtenablaufverfolgung wird der Status des Berichts im Abschnitt Herunterladbare Berichte angezeigt.

Weitere Informationen zu den Informationen, die von den verschiedenen Berichtstypen zurückgegeben werden, finden Sie im nächsten Abschnitt.

Ergebnissee der Nachrichtenablaufverfolgung

Die verschiedenen Berichtstypen geben unterschiedliche Informationsebenen zurück. Welche Informationen in den verschiedenen Berichten verfügbar sind, wird in den folgenden Abschnitten beschrieben.

Ausgabe des Berichts "Zusammenfassung"

Nach dem Ausführen der Nachrichtenablaufverfolgung werden die Ergebnisse, absteigend nach Datum/Uhrzeit (neueste zuerst), aufgeführt.

Ergebnisse des Zusammenfassungsberichts für die Nachrichtenablaufverfolgung im Office 365 Security & Compliance Center

Der Bericht "Zusammenfassung" enthält die folgenden Informationen:

  • Datum: Das Datum und die Uhrzeit, zu der die Nachricht beim Dienst einging; die Angabe erfolgt in der konfigurierten UTC-Zeitzone.

  • Absender: Die E-Mail-Adresse des Absenders (Alias@Domäne).

  • Empfänger: Die E-Mail-Adresse/n des/der Empfänger. Für eine an mehrere Empfänger gesendete Nachricht wird eine Zeile pro Empfänger angezeigt. Wenn der Empfänger einer Verteilergruppe, eine dynamische Verteilergruppe oder eine E-Mail-aktivierte Sicherheitsgruppe ist, wird die Gruppe als erster Empfänger und jedes Mitglied der Gruppe in einer separaten Zeile angegeben.

  • Betreff: Die ersten 256 Zeichen des Subject:-Felds der Nachricht.

  • Status: Diese Werte werden im Abschnitt Übermittlungsstatus beschrieben.

Standardmäßig werden die ersten 250 Ergebnisse geladen und sofort zur Verfügung gestellt. Wenn Sie nach unten scrollen, kommt es zu einer kurzen Pause, wenn der nächste Batch an Ergebnissen geladen wird. Statt zu scrollen, können Sie auf Alle laden klicken, um alle Ergebnisse (maximal 10.000) zu laden.

Sie können auf die Spaltenüberschriften klicken, um die Ergebnisse nach den Werten in dieser Spalte in aufsteigender oder absteigender Reihenfolge zu sortieren.

Sie können auf Ergebnisse filtern klicken, um die Ergebnisse nach einer oder mehreren Spalten zu filtern.

Sie können die Ergebnisse exportieren, nachdem Sie eine oder mehrere Zeilen ausgewählt haben, indem Sie auf Ergebnisse exportieren klicken und dann Alle Ergebnisse exportieren, Geladene Ergebnisse exportieren oder Auswahl exportieren auswählen.

Suchen verwandter Datensätze für diese Nachricht

Verwandte Nachrichtendatensätze sind Datensätze mit der gleichen Nachrichten-ID. Beachten Sie, dass selbst eine einzelne Nachricht, die zwischen zwei Personen gesendet wird, mehrere Einträge generieren kann. Die Anzahl der Datensätze steigt, wenn sich Verteilergruppenerweiterung, Weiterleitung, Nachrichtenflussregeln (auch als Transportregeln bezeichnet) usw. auf die Nachricht auswirken.

Nachdem Sie das Kontrollkästchen einer Zeile aktiviert haben, können Sie verwandte Datensätze für die Nachricht suchen, indem Sie auf die angezeigte Schaltfläche Verwandtes suchen klicken, oder indem Sie Weitere Optionen ( Weitere ) > Verwandte Datensätze für diese Nachricht suchen auswählen.

Weitere Informationen zur Nachrichten-ID finden Sie im Abschnitt "Nachrichten-ID" weiter oben in diesem Thema.

Details der Nachrichtenablaufverfolgung

In der Ausgabe des Zusammenfassungsberichts werden mit einer der folgenden Methoden Details zu einer Nachricht angezeigt:

  • Wählen Sie die Zeile aus (klicken Sie in der Zeile an eine beliebige Stelle, mit Ausnahme des Kontrollkästchens).

  • Aktivieren Sie das Kontrollkästchen der Zeile, und klicken Sie auf Weitere Optionen ( Weitere ) > Nachrichtendetails anzeigen.

Details, die nach dem Doppelklicken auf eine Zeile in den Ergebnissen der Nachrichtenablaufverfolgung im Zusammenfassungsberichts im Office 365 Security & Compliance Center angezeigt werden

Die Details der Nachrichtenablaufverfolgung enthalten zusätzlich die folgenden, im Zusammenfassungsbericht nicht vorhandenen Informationen:

  • Nachrichtenereignisse: Dieser Abschnitt enthält Klassifizierungen, mit denen die Aktionen, die der Dienst für Nachrichten ausführt, kategorisiert werden können. Einige der interessanteren Ereignisse, die möglicherweise auftreten, sind:

    • Receive: Die Nachricht wurde vom Dienst erhalten.

    • Send: Die Nachricht wurde vom Dienst gesendet.

    • Fehler: Die Nachricht konnte nicht zugestellt werden.

    • Deliver: Die Nachricht wurde an ein Postfach übermittelt.

    • Expand: Die Nachricht wurde an eine Verteilergruppe übermittelt, die erweitert wurde.

    • Transfer: Die Empfänger wurden aufgrund Inhaltsumwandlung, Einschränkungen der Nachrichtenempfänger oder von Agents auf eine gesplittete Nachricht verteilt.

    • Defer: Die Nachrichtenzustellung wurde verschoben und wird unter Umständen zu einem späteren Zeitpunkt erneut versucht.

    • Behoben: Die Nachricht wurde basierend auf einer Active Directory-Suche an eine neue Empfängeradresse umgeleitet. Wenn dies geschieht, wird die ursprüngliche Empfängeradresse zusammen mit dem abschließenden Zustellungsstatus in der Nachrichtenablaufverfolgung einer separaten Zeile aufgeführt.

    Beachten Sie, dass sogar eine erfolgreich und ohne besondere Vorkommnisse gesendete Nachricht mehrere Ereignis-Einträge in der Nachrichtenablaufverfolgung generiert.

  • Weitere Informationen: Dieser Abschnitt enthält die folgenden Details:

    • Nachrichten-ID: Dieser Wert wird im Abschnitt Nachrichten-ID weiter oben in diesem Thema beschrieben. z. B. "<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>".

    • Nachrichtengröße

    • Absender-IP: Die IP-Adresse des Computers, von dem die Nachricht gesendet wurde. Für ausgehende Nachrichten, die von Exchange Online gesendet wurden, wird kein Wert angegeben.

    • Empfänger-IP: Die IP-Adressen, an die der Dienst die Nachricht zuzustellen versuchte. Wenn die Nachricht mehrere Empfänger enthält, werden diese angezeigt. Für eingehende Nachrichten, die an Exchange Online gesendet wurden, wird kein Wert angegeben.

Erweiterte Zusammenfassungsberichte

Verfügbare (abgeschlossene) erweiterte Zusammenfassungsberichte stehen im Abschnitt Herunterladbare Berichte am Anfang der Nachrichtenablaufverfolgung zur Verfügung. Der Bericht enthält die folgenden Informationen:

  • origin-timestamp: Das Datum und die Uhrzeit, zu dem die Nachricht beim Dienst erstmals eingegangen ist, und zwar unter Verwendung der konfigurierten UTC-Zeitzone (Coordinated Universal Time, koordinierte Weltzeit).

  • sender_address: Die E-Mail-Adresse des Absenders (Alias@Domäne).

  • Recipient_status: Der Status der Übermittlung der Nachricht an den Empfänger. Wenn die Nachricht an mehrere Empfänger gesendet wurde, werden alle Empfänger und deren jeweiliger Status im Format <E-Mail-Adresse>##<Status> angezeigt. Beispiel:

    • ##Receive, Send bedeutet, dass die Nachricht vom Dienst empfangen und an das gewünschte Ziel gesendet wurde.

    • ##Receive, Fail bedeutet, dass die Nachricht vom Dienst empfangen wurde, die Zustellung an das gewünschte Ziel aber fehlgeschlagen ist.

    • ##Receive, Deliver bedeutet, dass die Nachricht vom Dienst empfangen und an das Postfach des Empfängers übermittelt wurde.

  • message_subject: Die ersten 256 Zeichen des Betreff-Felds der Nachricht.

  • total_bytes: Die Größe der Nachricht in Byte, einschließlich Anlagen.

  • message_id: Dieser Wert wird im Abschnitt Nachrichten-ID weiter oben in diesem Thema beschrieben. z. B. "<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>".

  • network_message_id: Ein eindeutiger Nachrichten-ID-Wert, der bei allen Kopien der Nachricht erhalten bleibt, die ggf. durch eine Verzweigung oder Aufgliederung der Verteilergruppe erstellt wurden. Ein Beispielwert ist 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip: Die IP-Adresse des Clients des Absenders.

  • directionality: Gibt an, ob es sich um eine in der Organisation eingehende (1) oder aus der Organisation ausgehende (2) Nachricht gehandelt hat.

  • connector_id: Der Name des Quell- oder Zielconnectors. Weitere Informationen zu Connectors in Exchange Online finden Sie unter .

  • delivery_priority: Zeigt an, ob die Nachricht mit Hoher, Niedriger oder Normaler Priorität gesendet wurde.

* Diese Eigenschaften sind nur in erweiterten Zusammenfassungsberichten verfügbar.

Erweiterte Berichte

Verfügbare (abgeschlossene) "Erweitert"-Berichte stehen im Abschnitt Herunterladbare Berichte am Anfang der Nachrichtenablaufverfolgung zur Verfügung. Praktisch alle Informationen aus einem erweiterten Zusammenfassungsbericht stehen auch in einem "Erweitert"-Bericht zur Verfügung (mit Ausnahme von origin_timestamp und delivery_priority). Zusätzlich sind die folgenden Informationen nur im Bericht "Erweitert" vorhanden:

  • client_ip: Die IP-Adresse des E-Mail-Servers oder -Clients, der die Nachricht übermittelt hat.

  • client_hostname: Der Hostname oder FQDN des E-Mail-Servers oder -Clients, der die Nachricht übermittelt hat.

  • server_ip: Die IP-Adresse des Quell- oder Zielservers.

  • server_hostname: Der Hostname oder FQDN des Zielservers.

  • source_context: Zusätzliche Informationen, die zum Feld source gehören. Beispiel:

    • Protocol Filter Agent

    • 3489061114359050000

  • source: Die Exchange Online-Komponente, die für das Ereignis zuständig ist. Beispiel:

    • AGENT

    • MAILBOXRULE

    • SMTP

  • event_id: Diese entsprechen den Werten der Nachrichtenereignisse, die im Abschnitt Details der Nachrichtenablaufverfolgung beschrieben werden.

  • internal_message_id: Eine Nachrichten-ID, die von dem Exchange Online-Server zugewiesen wird, der die Nachricht aktuell verarbeitet.

  • recipient_address: Die E-Mail-Adresse des Empfängers der Nachricht. Mehrere E-Mail-Adressen sind durch ein Semikolon (;) getrennt.

  • recipient_count: Gesamtzahl der Empfänger für die Nachricht.

  • related_recipient_address: Wird mit den Ereignissen vom Typ EXPAND, REDIRECT und RESOLVE verwendet, um die E-Mail-Adressen weiterer Empfänger anzuzeigen, die dieser Nachricht zugeordnet sind.

  • reference: Das Feld enthält zusätzliche Informationen für bestimmte Ereignistypen. Beispiel:

    • DSN: Enthält den Berichtslink, bei dem es sich um den message_id-Wert der dazugehörigen Benachrichtigung über den Zustellungsstatus handelt (auch als DNS, NDR oder Unzustellbarkeitsnachricht bezeichnet), falls eine solche im Anschluss an dieses Ereignis generiert wird. Wenn es sich um eine Benachrichtigung über den Zustellungsstatus handelt, enthält dieses Feld den message_id-Wert der ursprünglichen Nachricht, für die diese Benachrichtigung über den Zustellungsstatus generiert wurde.

    • EXPAND: Enthält den related_recipient_address-Wert der dazugehörigen Nachrichten.

    • RECEIVE: Kann den message_id-Wert der dazugehörigen Nachricht enthalten, wenn die Nachricht durch andere Prozesse (z. B. Posteingangsregeln) generiert wird.

    • SEND: Enthält den internal_message_id-Wert beliebiger Benachrichtigungen über den Zustellungsstatus.

    • TRANSFER: Enthält den internal_message_id-Wert der Nachricht, die aufgespalten wird (z. B. durch Konvertierung von Inhalten, Begrenzungen der Anzahl der Nachrichtenempfänger oder Agents).

    • MAILBOXRULE: Enthält den internal_message_id-Wert der eingehenden Nachricht, die bewirkt hat, dass die Posteingangsregel die ausgehende Nachricht generiert hat.

    Für andere Ereignistypen ist dieses Feld zumeist leer.

  • return_path: Die E-Mail-Adresse des Absenders, die vom Befehl MAIL FROM angegeben wurde, der die Nachricht gesendet hat. Zwar ist dieses Feld niemals leer, es kann jedoch den Absenderadresswert Null enthalten, der durch <> dargestellt wird.

  • message_info: Weitere Informationen zur Nachricht. Beispiel:

    • Datum und Uhrzeit des Nachrichtenursprungs in UTC für die Ereignisse DELIVER und SEND. Hierbei handelt es sich um den Zeitpunkt, zu dem die Nachricht erstmals in die Exchange Online-Organisation eingetreten ist. UTC-Datum/Uhrzeit werden im ISO-8601-Datums-/Uhrzeitformat dargestellt: yyyy-mm-ddThh:mm:ss.fffZ, wobei yyyy = Jahr, mm = Monat, dd = Tag. T gibt an, dass eine Zeitangabe folgt. hh = Stunde, mm = Minute, ss = Sekunde, fff = Bruchteile einer Sekunde. Und Z steht für Zulu, eine weitere Möglichkeit zur Angabe von UTC.

    • Authentifizierungsfehler. Bei Auftreten von Authentifizierungsfehlern werden ggf. der Wert 11a und der Typ der verwendeten Authentifizierung angezeigt, als der Authentifizierungsfehler auftrat.

  • tenant_id: Ein GUID-Wert, der die Exchange Online-Organisation darstellt (z. B. 39238e87-b5ab-4ef6-a559-af54c6b07b42).

  • original_server_ip: Die IP-Adresse des ursprünglichen Servers.

  • custom_data: Enthält Daten im Zusammenhang mit bestimmten Ereignistypen. Weitere Informationen finden Sie in den folgenden Abschnitten:

custom_data values

Das Feld custom_data für ein AGENTINFO-Ereignis wird von einer Vielzahl von Exchange Online-Agents verwendet, um Nachrichtenverarbeitungsdetails zu protokollieren. Einige der interessanteren Agents werden in den folgenden Abschnitten beschrieben.

Spamfilter-Agent

Eincustom_data-Wert, der mit S:SFA beginnt, stammt vom Spamfilter-Agent. Die wichtigsten Details werden in der folgenden Tabelle beschrieben:

Wert

Beschreibung

SFV=NSPM

Die Nachricht wurde als kein Spam gekennzeichnet und an die gewünschten Empfänger gesendet.

SFV=SPM

Die Nachricht wurde vom Inhaltsfilter als Spam gekennzeichnet.

SFV=BLK

Die Filterung wurde übersprungen, und die Nachricht wurde blockiert, da sie von einem blockierten Absender stammte.

SFV=SKS

Die Nachricht wurde als Spam gekennzeichnet, bevor sie vom Inhaltsfilter verarbeitet wurde. Hier gehören Nachrichten, die einer Transportregel entsprechen, von der sie automatisch als Spam markiert werden und damit alle weiteren Filter umgehen.

SCL=<number>

Weitere Informationen zu den unterschiedlichen SCL-Werten (Spam Confidence Level) und deren Bedeutung finden Sie unter SCL-Bewertungen (Spam Confidence Level).

PCL=<number>

Der Wert der PCL-Bewertung (Phishing Confidence Level) der Nachricht. Diese können auf die gleiche Weise interpretiert werden wie die SCL-Werte, die in SCL-Bewertungen (Spam Confidence Level) dokumentiert sind.

DI=SB

Der Absender der Nachricht war blockiert.

DI=SQ

Die Nachricht wurde unter Quarantäne gestellt.

DI=SD

Die Nachricht wurde gelöscht.

DI=SJ

Die Nachricht wurde in den Junk-E-Mail-Ordner des Empfängers gesetzt.

DI=SN

Die Nachricht wurde durch den Zustellungspool mit höherem Risiko geleitet. Weitere Informationen finden Sie unter Zustellungspool mit höherem Risiko für ausgehende Nachrichten.

DI=SO

Die Nachricht wurde durch den normalen Zustellungspool für ausgehende Nachrichten geleitet.

SFS=[a]|SFS=[b]

Dies weist darauf hin, dass übereinstimmende Spamregeln angewendet wurden.

IPV=CAL

Die Nachricht wurde von den Spamfiltern durchgelassen, da die IP-Adresse in einer Liste der zugelassenen IP-Adressen im Verbindungsfilter angegeben wurde.

H=<EHLOstring>

Die HELO- oder EHLO-Zeichenfolge des verbindenden E-Mail-Servers.

PTR=<ReverseDNS>

Der PTR-Eintrag der sendenden IP-Adresse, auch als Reverse-DNS-Adresse bezeichnet.

Ein custom_data-Beispielwert für eine Nachricht, die auf Spam wie folgt gefiltert wird:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agent zum Filtern von Schadsoftware

Eincustom_data-Wert, der mit S:AMA beginnt, stammt vom Schadsoftwarefilter-Agent. Die wichtigsten Details werden in der folgenden Tabelle beschrieben:

Wert

Beschreibung

AMA=SUM|v=1| oder AMA=EV|v=1

Es wurde festgestellt, dass in der Nachricht Schadsoftware enthalten war. SUM gibt an, dass die Schadsoftware von einer beliebigen Anzahl Module hätte erkannt werden können. EV gibt an, dass die Schadsoftware von einem bestimmten Modul erkannt wurde. Wenn von einem Modul Schadsoftware erkannt wird, werden hierdurch nachfolgende Aktionen ausgelöst.

Action=r

Die Nachricht wurde ersetzt.

Action=p

Die Nachricht wurde umgangen.

Action=d

Die Nachricht wurde zurückgestellt.

Action=s

Die Nachricht wurde gelöscht.

Action=st

Die Nachricht wurde umgangen.

Action=sy

Die Nachricht wurde umgangen.

Action=ni

Die Nachricht wurde abgelehnt.

Action=ne

Die Nachricht wurde abgelehnt.

Action=b

Die Nachricht wurde blockiert.

Name=<malware>

Der Name der erkannten Schadsoftware.

File=<filename>

Der Name der Datei, die die Schadsoftware enthielt.

Ein custom_data-Beispielwert für eine Nachricht, die Schadsoftware enthält, sieht wie folgt aus:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Transportregel-Agent

Ein custom_data-Wert, der mit S:TRA beginnt, stammt vom Transportregel-Agent für Nachrichtenflussregeln (auch als Transportregeln bezeichnet). Die wichtigsten Details werden in der folgenden Tabelle beschrieben:

Wert

Beschreibung

ETR|ruleId=<guid>

Die Regel-ID, für die eine Übereinstellung gefunden wurde.

St=<datetime>

Das Datum und die Uhrzeit in UTC, zu dem die Regelübereinstimmung aufgetreten ist.

Action=<ActionDefinition>

Die Aktion, die angewendet wurde. Eine Liste mit verfügbaren Aktionen finden Sie unter Aktionen für Nachrichtenflussregeln in Exchange Online.

Mode=<Mode>

Der Modus der Regel. Gültige Werte sind:

  • Enforce: Alle Aktionen der Regel werden erzwungen.

  • Test with Policy Tips: Alle Aktionen zu Richtlinientipps werden gesendet, andere Erzwingungsaktionen werden jedoch nicht durchgeführt.

  • Test without Policy Tips: Die Aktionen werden in einer Protokolldatei aufgeführt, die Absender werden jedoch in keiner Weise benachrichtigt, und es werden keine Erzwingungsaktionen durchgeführt.

Ein custom_data-Beispielwert für eine Nachricht, die den Kriterien einer Nachrichtenflussregel entspricht, sieht wie folgt aus:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×