Seguimiento de mensajes en el Centro de seguridad y cumplimiento de Office 365

El seguimiento de mensajes en el Centro de seguridad y cumplimiento de Office 365 rastrea mensajes de correo electrónico durante su recorrido por la organización de Exchange Online. Puede determinar si un mensaje se ha recibido, rechazado, aplazado o entregado por el servicio. También se muestran las acciones realizadas en el mensaje antes de alcanzar el estado final.

El seguimiento de mensajes en el Centro de seguridad y cumplimiento mejora el seguimiento de mensajes que estaba disponible en el Centro de administración de Exchange (CAE). Puede usar la información de seguimiento de mensajes para responder de forma eficaz a preguntas de los usuarios sobre qué ha sucedido con sus mensajes, solucionar problemas de flujo de correo y validar los cambios en la directiva.

Seguimiento de mensajes abiertos

  1. Inicie sesión en Office 365 con su cuenta profesional o educativa.

  2. Seleccione el icono del iniciador de aplicaciones Icono del iniciador de aplicaciones de Office 365 de la esquina superior izquierda y elija Administrador.

  3. En el panel de navegación inferior izquierdo, expanda Administración y elija Seguridad y cumplimiento.

  4. En la página Seguridad y cumplimiento que se abre, expanda Flujo de correo y seleccione Seguimiento de mensajes.

Página de seguimiento de mensajes

Desde aquí puede iniciar un nuevo seguimiento predeterminado haciendo clic en el botón Iniciar un seguimiento. Esto realiza una búsqueda de todos los mensajes de todos los remitentes y destinatarios de los últimos dos días. Puede usar una de las consultas almacenadas de las categorías de consulta disponibles y ejecutarla tal cual o usarla como punto de partida para sus propias consultas:

  • consultas predeterminadas: Consultas integradas proporcionadas por Office 365.

  • Consultas personalizadas: Consultas guardadas por los administradores de la organización para un uso futuro.

  • Consultas autoguardadas: Las diez últimas consultas ejecutadas más recientemente. Esta lista facilita retomar el trabajo donde lo dejó.

En esta página también hay una sección de Informes descargables para las solicitudes que haya enviado, así como los informes mismos cuando estén disponibles para su descarga.

Opciones para un seguimiento de mensajes nuevo

Filtrar por los remitentes y destinatarios

Los valores predeterminados son Todos los remitentes y Todos los destinatarios, pero puede usar los siguientes campos para filtrar los resultados:

  • Estos usuarios: Haga clic en este campo para seleccionar uno o más remitentes de su organización. También puede empezar a escribir un nombre y los elementos de la lista se filtrarán por lo que ha escrito, de forma similar a como se comporta una página de búsqueda.

  • Para estas personas: Haga clic en este campo para seleccionar a uno o varios destinatarios de la organización.

También puede escribir las direcciones de correo de los remitentes y destinatarios externos. Se admite los caracteres comodín (*@contoso.com o scot?@contoso.com), pero no puede usar varias entradas de caracteres comodín en el mismo campo al mismo tiempo.

Intervalo de tiempo

El valor predeterminado es 2 días, pero puede especificar rangos de fecha y hora de hasta 90 días. Al usar intervalos de fecha y hora, tenga en cuenta estos problemas:

  • De forma predeterminada, seleccione el intervalo de tiempo en la vista Control deslizante con una línea de tiempo. Solo puede seleccionar la configuración de día y hora que se muestra. Intente seleccionar un valor intermedio ajustará la burbuja de inicio o finalización a la configuración mostrada más próxima.

    Un Intervalo de tiempo de control deslizante en un seguimiento de mensajes nuevo en el Centro de seguridad y cumplimiento de Office 365

    Sin embargo, también puede cambiar a la vista Personalizada donde puede especificar los valores de Fecha de inicio y Fecha de finalización (incluida la hora) y también puede seleccionar la Zona horaria para el intervalo de fecha y hora. Tenga en cuenta que la configuración de Zona horaria se aplica a las entradas de la consulta y los resultados de la consulta.

    Un intervalo de tiempo personalizado en un seguimiento de mensajes nuevo en el Centro de seguridad y cumplimiento de Office 365

    Para 10 días o menos, los resultados están disponibles al instante como un informe Resumen. Si especifica un intervalo de tiempo que sea un mayor de 10 días, los resultados se demoran ya que solo están disponibles como un archivo .csv descargable (Resumen mejorado o informes Extendidos).

    Para más información sobre los distintos tipos de informes, consulte la sección Tipos de informes de este tema.

    Nota: Los informes de resumen Mejorados y Extendidos están preparados para usarse con datos de seguimiento de mensajes archivados y pueden tardar varias horas antes de que el informe esté disponible para su descarga. Dependiendo de cuántos administradores de Office 365 también hayan enviado solicitudes de informe al mismo tiempo aproximadamente, es posible que también observe un retraso antes de que se empiece a procesar su solicitud en cola.

  • Guardar una consulta en la vista Control deslizante guarda el intervalo de tiempo relativo (por ejemplo, 3 días desde la fecha actual). Guardar una consulta en la vista Personalizada guarda el intervalo de fecha y hora absoluto (por ejemplo, 06-05-2018 13:00 y 08-05-2018 18:00).

Más opciones de búsqueda

Estado de entrega

Puede dejar el valor predeterminado Todos seleccionado, o puede seleccionar uno de los siguientes valores para filtrar los resultados:

  • Entregado: el mensaje se entregó correctamente al destino previsto.

  • Pendiente: aún se está intentando o se está volviendo a intentar entregar los mensajes.

  • Expandido: Un destinatario del grupo de distribución se ha expandido antes de la entrega a los miembros del grupo individuales.

  • Con errores: No se entregó el mensaje.

  • Puesto en cuarentena: El mensaje se ha puesto en cuarentena (como correo no deseado, correo masivo o suplantación de identidad). Para obtener más información, consulte Mensajes de correo electrónico de cuarentena en Office 365.

  • Filtrado como correo no deseado: El mensaje fue identificado como correo no deseado y fue rechazado o bloqueado (no puesto en cuarentena).

  • Obtener el estado: Office 365 ha recibido recientemente el mensaje, pero no están disponibles otros datos de estado. Inténtelo de nuevo en unos minutos.

Nota: Los valores Pendiente,En cuarentena, y Filtrado como correo no deseado solo están disponibles para las búsquedas de menos de 10 días. Además, puede haber un retraso de entre 5 y 10 minutos entre el estado de entrega notificado y real.

Id. del mensaje

Este es el id. de mensaje de internet (también conocido como Id. de cliente) que se encuentra en el campo de encabezado Id. de mensaje: en el encabezado del mensaje. Los usuarios pueden proporcionarle este valor para investigar mensajes específicos.

Este valor es constante durante toda la duración del mensaje. Para los mensajes creados en Office 365 o Exchange, el valor está en el formato <GUID@ServerFQDN>, incluidos los corchetes angulares (<>). Por ejemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Otros sistemas de mensajería pueden usar sintaxis o valores diferentes. Este valor debe ser único, pero no todos los sistemas de correo electrónico siguen este requisito estrictamente. Si el campo de encabezado Id. de mensaje: no existe o está en blanco para los mensajes entrantes de orígenes externos, se asigna un valor arbitrario.

Al usar Id. de mensaje para filtrar los resultados, asegúrese de incluir la cadena completa, incluidos los corchetes angulares.

Dirección

Puede dejar el valor predeterminado Todos seleccionado, o puede seleccionar Entrantes (mensajes enviados a los destinatarios de la organización) o Salientes (mensajes enviados desde los usuarios de su organización) para filtrar los resultados.

Dirección IP del cliente original

Puede filtrar los resultados por la dirección IP del cliente para investigar equipos pirateados que envían grandes cantidades de correo no deseado o software malintencionado. Aunque los mensajes parezcan proceder de varios remitentes, es probable que el mismo equipo esté generando todos los mensajes.

Nota: La información de direcciones IP del cliente solo está disponible durante 10 días y solo está disponible en los informes de Resumen mejorado o Extendido (archivos CSV descargables).

Elija el tipo de informe

Los tipos de informes disponibles son:

  • Resumen: Está disponible si el intervalo de tiempo es inferior a 10 días y no requiere ninguna opción de filtrado adicional. Los resultados estarán disponibles casi inmediatamente tras hacer clic en Buscar.

  • Resumen mejorado o Extendido: Estos informes solo están disponibles como archivos CSV descargables y requieren una o varias de las siguientes opciones de filtrado, independientemente del intervalo de tiempo: Por estos usuarios, A estos usuarios, o Id. de mensaje. Puede usar caracteres comodín para los remitentes o los destinatarios (por ejemplo, * @contoso.com).

    Notas:

    • Los informes de resumen Mejorados y Extendidos están preparados para usarse con datos de seguimiento de mensajes archivados y pueden tardar varias horas antes de que el informe esté disponible para descargar. Dependiendo de cuántos administradores de Office 365 también hayan enviado solicitudes de informe al mismo tiempo aproximadamente, es posible que también observe un retraso antes de que su solicitud en cola se empiece a procesar.

    • Aunque puede seleccionar un informe de resumen mejorado o extendido para cualquier intervalo de fecha y hora, habitualmente las cuatro últimas horas de datos archivados no estarán todavía disponibles para estos dos tipos de informes.

Al hacer clic en Siguiente, se abre una página de resumen que muestra las opciones de filtrado que ha seleccionado, un título único (editable) para el informe, y la dirección de correo electrónico que recibe la notificación cuando el seguimiento de mensajes se completa (también se puede editar y debe estar en uno de los dominios aceptados de su organización). Haga clic en Preparar informe para enviar el seguimiento de mensajes. En la página principal de Seguimiento de mensajes, puede ver el estado del informe en la sección Informes descargables.

Para obtener más información sobre la información que se devuelve en los distintos tipos de informes, vea la sección siguiente.

Resultados del seguimiento de mensajes

Los diferentes tipos de informes devuelven distintos niveles de información. La información que está disponible en los distintos informes se describe en las secciones siguientes.

Informe de resumen de salida

Después de ejecutar el seguimiento de mensajes, se mostrarán los resultados, ordenados por orden descendente de fecha y hora (más recientes primero).

Resultados del informe de resumen de seguimiento de mensajes en el Centro de seguridad y cumplimiento de Office 365

El informe de resumen contiene la siguiente información:

  • Fecha: la fecha y la hora en la que se recibió el mensaje, con el formato de la zona horaria UTC configurada.

  • Remitente: La dirección de correo electrónico del remitente (alias@dominio).

  • Destinatario: La dirección de correo electrónico del destinatario o destinatarios. Para mensajes enviados a varios destinatarios, hay una línea por destinatario. Si el destinatario es un grupo de distribución, un grupo de distribución dinámico o un grupo de seguridad habilitado para correo, el grupo será el primer destinatario y, a continuación, todos los miembros del grupo se encuentran en una línea independiente.

  • Asunto: Los primeros 256 caracteres del campo Subject: del mensaje.

  • Estado: Estos valores se describen en la sección Estado de entrega.

De forma predeterminada, los 250 primeros resultados se cargan y están disponibles. Cuando se desplaza hacia abajo, hay una ligera pausa mientras se carga el siguiente lote de resultados. En lugar de desplazarse, puede hacer clic en Cargar todos para cargar todos los resultados hasta un máximo de 10 000.

Puede hacer clic en los encabezados de columna para ordenar los resultados por los valores de esa columna en orden ascendente o descendente.

Puede hacer clic en Filtrar resultados para filtrar los resultados de una o más columnas.

Puede exportar los resultados después de seleccionar una o varias filas, haga clic en Exportar los resultados y seleccione Exportar todos los resultados, Exportar resultados cargados, o Exportar selección.

Buscar los registros relacionados con este mensaje

Los registros de mensajes relacionados son los registros que comparten el mismo Id. del mensaje. Recuerde, incluso un único mensaje enviado entre dos personas puede generar varios registros. El número de registros aumenta cuando el mensaje se ve afectado por la expansión del grupo de distribución, reenvío, reglas de flujo de correo (también conocidas como reglas de transporte), etcétera.

Después de seleccionar la casilla de verificación de una fila, puede encontrar los registros relacionados para el mensaje haciendo clic en el botón Buscar relacionados que aparece, o bien, seleccionando Más opciones ( Más ) > Buscar los registros relacionados con este mensaje).

Para obtener más información sobre el Id. de mensaje, vea la sección de Id. de mensaje anteriormente en este tema.

Detalles de seguimiento de mensajes

En el resultado del informe de resumen, puede ver los detalles de un mensaje mediante cualquiera de los métodos siguientes:

  • Seleccione la fila (haga clic en cualquier parte de la fila, excepto en la casilla de verificación).

  • Seleccione la casilla de verificación de la fila y haga clic en Más opciones ( Más ) > Ver los detalles del mensaje.

Detalles después de hacer doble clic en una fila del informe de resumen del seguimiento de mensajes en el Centro de seguridad y cumplimiento de Office 365

Los detalles del seguimiento de mensajes contienen la siguiente información adicional que no está presente en el informe de resumen:

  • Eventos de mensaje: Esta sección contiene clasificaciones que ayudan a clasificar las acciones que realiza el servicio de mensajes. Algunos de los eventos más interesantes que pueden aparecer son:

    • Recibir: el servicio ha recibido el mensaje.

    • Enviar: el servicio ha enviado el mensaje.

    • Error: el mensaje no pudo entregarse.

    • Entregar: el mensaje se ha entregado al buzón.

    • Expandir: el mensaje se ha entregado al grupo de distribución que se ha expandido.

    • Transferir: se movieron destinatarios a un mensaje de bifurcación debido a la conversión de contenido bifurcado, a los límites de destinatario del mensaje o a agentes.

    • Aplazar: la entrega del mensaje se pospuso y puede volver a intentarse más adelante.

    • Resuelto: el mensaje se redirigió a una dirección de destinatario nueva basada en una búsqueda de Active Directory. Cuando esto ocurre, la dirección del destinatario original aparece en una fila diferente en la información de seguimiento del mensaje junto con el estado de entrega final del mensaje.

    Tenga en cuenta que incluso un mensaje sin incidentes entregado correctamente genera varias entradas de Evento en el seguimiento de mensajes.

  • Más información: Esta sección contiene los siguientes detalles:

    • Id. del mensaje: Este valor se describe en la sección Id. de mensaje anteriormente en este tema. Por ejemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

    • Tamaño del mensaje

    • De IP: la dirección IP del equipo que envió el mensaje. Para los mensajes salientes enviados desde Exchange Online, este valor está en blanco.

    • Para IP: la dirección o las direcciones IP a las cuales el servicio intenta entregar el mensaje. Si el mensaje tiene varios destinatarios, se muestran los mismos. Para los mensajes entrantes enviados a Exchange Online, este valor está en blanco.

Informes de resumen mejorados

Los Informes de resumen mejorado (completados) disponibles se encuentran en la sección Informes descargables al principio del seguimiento de mensajes. La siguiente información está disponible en el informe:

  • origin_timestamp*: la fecha y hora en que el servicio ha recibido el mensaje inicialmente usando UTC como estándar horario.

  • sender_address: La dirección de correo electrónico del remitente (alias@dominio).

  • Recipient_status: el estado de entrega del mensaje al destinatario. Si el mensaje se envió a varios destinatarios, se mostrarán todos los destinatarios y el estado correspondiente para cada uno de ellos, en el formato: <dirección de correo electrónico>##<estado>. Por ejemplo:

    • ##Recibir, Enviar significa que el mensaje se ha recibido en el servicio y se ha enviado al destino previsto.

    • ##Recibir, Error significa que el mensaje se ha recibido en el servicio, pero no se ha entregado en el destino previsto.

    • ##Recibir, Entregar significa que el mensaje se ha recibido en el servicio y se ha enviado al buzón del destinatario.

  • message_subject: Los primeros 256 caracteres del campo Asunto del mensaje.

  • total_bytes: el tamaño del mensaje en bytes, incluidos los archivos adjuntos.

  • message_id: Este valor se describe en la sección Id. de mensaje anteriormente en este tema. Por ejemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

  • network_message_id: un valor de identificador de mensaje único que persiste en todas las copias del mensaje que se pueden crear debido a la bifurcación o ampliación de los grupos de distribución. Un valor de ejemplo es 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip: la dirección IP del cliente del remitente.

  • Direccionalidad: indica si se envió el mensaje como entrante (1) a la organización, o si se envió como saliente (2) desde la organización.

  • connector_id: el nombre del conector de origen o destino. Para obtener más información acerca de los conectores en Exchange Online, consulte.

  • delivery_priority: si el mensaje se envió con prioridad Alta, Baja o Normal.

* Estas propiedades solo están disponibles en los informes de resumen Mejorados.

Informes extendidos

Los Informes extendidos (completados) disponibles se encuentran en la sección Informes descargables al principio del seguimiento de mensajes. Prácticamente toda la información de un Informe de resumen mejorado está disponible en un Informe extendido (a excepción de origin_timestamp y delivery_priority). La siguiente información adicional solo está disponible en un Informe extendido:

  • client_ip: la dirección IP del servidor de correo electrónico o cliente de mensajería que envió el mensaje.

  • client_hostname: nombre de host o FQDN del servidor o el cliente de mensajería que ha enviado el mensaje.

  • server_ip: la dirección IP del servidor de origen o destino.

  • server_hostname: nombre de host o FQDN del servidor de destino.

  • source_context: información adicional asociada al campo source. Por ejemplo:

    • Protocol Filter Agent

    • 3489061114359050000

  • origen: El componente de Exchange Online que es responsable del evento. Por ejemplo:

    • AGENT

    • MAILBOXRULE

    • SMTP

  • event_id: Se corresponden con los valores de Evento de mensaje que se describen en la sección Detalles del seguimiento de mensajes.

  • internal_message_id: identificador de mensaje asignado por el servidor de Exchange Online que procesa el mensaje.

  • recipient_address: direcciones de correo electrónico de los destinatarios del mensaje. Si hay varias direcciones de correo electrónico, se separan por punto y coma (;).

  • recipient_count: número total de destinatarios del mensaje.

  • related_recipient_address: se usa con los eventos EXPAND, REDIRECT, y RESOLVE para mostrar otras direcciones de correo electrónico de destinatarios asociadas con el mensaje.

  • reference: este campo contiene información extra para tipos de evento específicos. Por ejemplo:

    • DSN: contiene el vínculo al informe, que es el valor message_id de la notificación de estado de entrega asociado (también llamada DSN, mensaje de devolución, informe de no entrega, NDR o mensaje de devolución) si se genera una DSN después de este evento. Si es un mensaje de DSN, este campo contiene el valor message_id del mensaje original para el que se generó la DNS.

    • EXPAND: contiene el valor related_recipient_address de los mensajes relacionados.

    • RECEIVE: el campo de referencia puede contener el valormessage_id del mensaje relacionado si el mensaje fue generado por otros procesos (por ejemplo, reglas de buzón).

    • SEND: contiene el valorinternal_message_id de cualquier mensaje de DSN.

    • TRANSFERIR: Contiene el valor internal_message_id del mensaje que se bifurcará (por ejemplo, por conversión de contenido, límites de destinatario del mensaje o agentes).

    • MAILBOXRULE: contiene el valor internal_message_id del mensaje entrante que hizo que la regla de la bandeja de entrada generara el mensaje saliente.

    Para el resto de los tipos de eventos, este campo suele estar en blanco.

  • return_path: dirección de correo electrónico de devolución especificada por el comando MAIL FROM que envió el mensaje. Aunque este campo nunca está en blanco, puede contener el valor de dirección de remitente nulo representado como <>.

  • message_info: información extra sobre el mensaje. Por ejemplo:

    • Fecha y hora UTC de creación del mensaje de los eventos DELIVER y SEND. La fecha y hora de creación es el momento en que se especifica el mensaje por primera vez en la organización de Exchange Online. La fecha y hora UTC se representa mediante el formato de fecha y hora conforme a ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, donde yyyy = año, mm = mes, dd = día, T indica el comienzo del componente tiempo, hh = hora, mm = minuto, ss = segundo, fff = fracciones de un segundo, y Z significa Zulu, que es otra forma de denominar UTC.

    • Errores de autenticación. Por ejemplo, puede que vea el valor 11a y el tipo de autenticación usado en el momento en que se produjo el error de autenticación.

  • tenant_id: Un valor GUID que representa a la organización de Exchange Online (por ejemplo, 39238e87-b5ab-4ef6-a559-af54c6b07b42).

  • original_server_ip: La dirección IP del servidor original.

  • custom_data: Contiene datos relacionados con determinados tipos de eventos. Para obtener más información, vea las siguientes secciones:

valores custom_data

El campo custom_data para un evento AGENTINFO lo usan diversos agentes de Exchange Online para registrar los detalles de procesamiento del mensaje. En las secciones siguientes se describen algunos de los agentes más interesantes.

Agente de filtro de correo no deseado

Un valor custom_data que comienza con S:SFA desde el agente de filtro de correo no deseado. En la tabla siguiente se describen los detalles:

Valor

Descripción

SFV=NSPM

El mensaje se marcó como correo deseado y se envió a los destinatarios previstos.

SFV=SPM

El mensaje se marcó como correo no deseado por el filtro de contenido.

SFV=BLK

Se omitió el filtrado y el mensaje se bloqueó porque provenía de un remitente bloqueado.

SFV=SKS

El mensaje se marcó como correo no deseado antes de ser procesado por el filtro de contenido. Esto incluye los mensajes donde el mensaje coincide con una regla de transporte para marcarlo automáticamente como correo no deseado y omitir así todo filtrado adicional.

SCL=<number>

Para obtener más información acerca de los diferentes valores de SCL y lo que significan, consulte Niveles de confianza del correo no deseado.

PCL=<number>

El valor del nivel de confianza de suplantación (PCL) del mensaje. Esto se puede interpretar del mismo modo que los valores SCL documentados en Niveles de confianza del correo no deseado.

DI=SB

El remitente del mensaje se ha bloqueado.

DI=SQ

El mensaje se ha puesto en cuarentena.

DI=SD

El mensaje se eliminó.

DI=SJ

El mensaje se envió a la carpeta Correo no deseado del destinatario.

DI=SN

El mensaje se enrutó a través del grupo de entrega de alto riesgo. Para obtener más información, consulte Grupo de entrega de alto riesgo para mensajes salientes.

DI=SO

El mensaje se enrutó a través del grupo de entrega saliente normal.

SFS=[a]|SFS=[b]

Esto indica que hubo una coincidencia con las reglas de correo no deseado.

IPV=CAL

El mensaje fue aceptado al pasar por el filtro de correo no deseado porque la dirección IP se especificó en una lista de direcciones IP permitidas en el filtro de conexión.

H=<EHLOstring>

Cadenas HELO o EHLO del servidor de correo de conexión.

PTR=<ReverseDNS>

El registro PTR de la dirección IP de envío, también conocida como la dirección DNS inversa.

Un ejemplo del valor custom_data de un mensaje que se filtra como correo no deseado tiene este aspecto:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente de filtrado de malware

Un valor custom_data que comienza con S:AMA desde el agente de filtro de malware. En la tabla siguiente se describen los detalles:

Valor

Descripción

AMA=SUM|v=1| o AMA=EV|v=1

Se determinó que el mensaje contiene malware. SUM indica que el malware podría haber sido detectado por cualquier número de motores. EV indica que el malware fue detectado por un motor específico. Cuando un motor detecta malware se desencadenan las acciones posteriores.

Action=r

El mensaje se reemplazó.

Action=p

El mensaje se omitió.

Action=d

El mensaje se aplazó.

Action=s

El mensaje se eliminó.

Action=st

El mensaje se omitió.

Action=sy

El mensaje se omitió.

Action=ni

El mensaje se rechazó.

Action=ne

El mensaje se rechazó.

Action=b

El mensaje se bloqueó.

Name=<malware>

El nombre del malware que se ha detectado.

File=<filename>

El nombre del archivo que contenía el malware.

Un ejemplo del valor custom_data de un mensaje contiene malware tiene este aspecto:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agente de regla de transporte

Un valor custom_data que comienza con S:TRA desde el agente de reglas de transporte para las reglas de flujo de correo (también conocidas como reglas de transporte). En la tabla siguiente se describen los detalles:

Valor

Descripción

ETR|ruleId=<guid>

El Id. de la regla con la que se encontraron coincidencias.

St=<datetime>

La fecha y hora en UTC cuando se produjo la coincidencia con la regla.

Action=<ActionDefinition>

La acción que se aplicó. Para obtener una lista de las acciones disponibles, consulte Acciones de reglas de flujo de correo en Exchange Online.

Mode=<Mode>

El modo de la regla. Los valores válidos son:

  • Exigir: se impondrán todas las acciones de la regla.

  • Probar con sugerencias de directivas: cualquier acción de sugerencia de directiva se enviará, pero otras acciones de aplicación no se verán afectadas.

  • Probar sin sugerencias de directivas: las acciones se mostrarán en un archivo de registro, pero los remitentes no recibirán una notificación de ninguna forma y las acciones de obligatoriedad no se tendrán en cuenta.

Un ejemplo del valor custom_data de un mensaje que coincide con las condiciones de una regla de flujo de correo tiene este aspecto:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Ampliar sus conocimientos de Office
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×