Office
Se connecter

Suivi des messages dans le Centre de sécurité et conformité Office 365

Le suivi des messages dans le Centre de sécurité et conformité Office 365 suit les messages e-mail lors de leur acheminement dans votre organisation Exchange Online. Vous pouvez déterminer si un message a été reçu, rejeté, différé ou remis par le service. Cela indique également les actions effectuées sur le message avant qu’il atteigne son état final.

Le suivi des messages dans le Centre de sécurité et conformité est plus performant que le suivi des messages dans le Centre d’administration Exchange. Vous pouvez utiliser les informations de suivi des messages pour répondre efficacement aux questions des utilisateurs relatives à leurs messages, résoudre les problèmes de flux de courrier et valider les modifications de stratégie.

Ouvrir le suivi des messages

  1. Connectez-vous à Office 365 à l’aide de votre compte scolaire ou professionnel.

  2. Sélectionnez l’icône du lanceur d’applications Icône du lanceur d’applications dans Office 365 dans la partie supérieure gauche, puis Administrateur.

  3. Dans le volet de navigation en bas à gauche, développez Centres d’administration, puis sélectionnez Sécurité et conformité.

  4. Sur la page Sécurité et conformité qui s’ouvre, développez Flux de courrier, puis sélectionnez Suivi des messages.

Page de suivi des messages

Cette page vous permet de lancer un nouveau suivi des messages en cliquant sur le bouton Démarrer un suivi. Vous pouvez ainsi rechercher tous les messages de tous les expéditeurs et destinataires au cours des deux derniers jours. Vous pouvez également utiliser une des requêtes stockées dans les catégories de requêtes disponibles pour les utiliser tel que ou comme point de départ pour vos propres requêtes :

  • Requêtes par défaut : requêtes intégrées fournies par Office 365.

  • Requêtes personnalisées : requêtes enregistrées par les administrateurs de votre organisation à des fins d’utilisation ultérieure.

  • Requêtes enregistrées automatiquement : dix dernières requêtes les plus récemment exécutées. Cette liste vous permet de reprendre facilement là où vous vous étiez arrêté.

Cette page contient également une section Rapports téléchargeables pour les requêtes que vous avez soumises, ainsi que les rapports proprement dits lorsqu’ils peuvent être téléchargés.

Options pour un nouveau suivi des messages

Filtrer par expéditeurs et destinataires

Les valeurs par défaut sont Tous les expéditeurs et Tous les destinataires, mais vous pouvez utiliser les champs suivants pour filtrer les résultats :

  • Par ces utilisateurs : cliquez sur ce champ pour sélectionner un ou plusieurs expéditeurs de votre organisation. Vous pouvez également commencer à entrer un nom pour trier les éléments de la liste selon ce que vous avez entré, comme vous le faites dans une page de recherche.

  • Vers ces utilisateurs : cliquez sur ce champ pour sélectionner un ou plusieurs destinataires de votre organisation.

Vous pouvez également entrer les adresses e-mail d’expéditeurs et de destinataires externes. Les caractères génériques sont pris en charge (*@contoso.com ou scot?@contoso.com), mais vous ne pouvez pas utiliser simultanément plusieurs entrées génériques dans le même champ.

Intervalle de temps

La valeur par défaut est 2 jours, mais vous pouvez spécifier des intervalles de temps pouvant aller jusqu’à 90 jours. Lorsque vous utilisez des intervalles de temps, prenez en compte les points suivants :

  • Par défaut, vous sélectionnez l’intervalle de temps en mode Curseur à l’aide d’une chronologie. Vous pouvez uniquement sélectionner les paramètres de jour et d’heure qui s’affichent. Si vous essayez de sélectionner une valeur intermédiaire, la bulle début/fin se placera sur le paramètre affiché le plus proche.

    Intervalle de temps avec curseur d’un nouveau suivi des messages dans le Centre de sécurité et conformité Office 365

    Mais vous pouvez également opter pour un affichage Personnalisé et spécifier les valeurs Date de début et Date de fin (heures comprises), et sélectionner le Fuseau horaire de l’intervalle de temps. Notez que le paramètre Fuseau horaire s’applique à vos entrées de requête, de même qu’à vos résultats de requête.

    Intervalle de temps personnalisé d’un nouveau suivi des messages dans le Centre de sécurité et conformité Office 365

    Pour 10 jours ou moins, les résultats sont disponibles instantanément sous forme de rapport récapitulatif. Si vous spécifiez un intervalle de temps même légèrement supérieur à 10 jours, les résultats seront retardés car ils seront uniquement disponibles sous forme de fichier CSV téléchargeable (Récapitulatif amélioré ou Rapports étendus).

    Pour plus d’informations sur les différents types de rapports, voir la section Types de rapports de cette rubrique.

    Remarque : les récapitulatifs améliorés et les rapports étendus sont préparés à l’aide des données de suivi des messages archivés, et plusieurs heures peuvent être nécessaires avant de pouvoir télécharger votre rapport. Selon le nombre d’administrateurs Office 365 à avoir également soumis des requêtes de rapports à la même heure, vous pourrez également remarquer un certain délai avant le traitement de votre requête mise en file d’attente.

  • Enregistrer une requête en mode Curseur permet d’enregistrer l’intervalle de temps relatif (par exemple, 3 jours à partir d’aujourd'hui). Enregistrer une requête en mode Personnalisé permet d’enregistrer l’intervalle de temps absolu (par exemple, 06-05-2018 13:00 à 08-05-2018 18:00).

Options de recherche supplémentaires

État de livraison

Vous pouvez conserver la valeur par défaut Tous ou sélectionner une des valeurs suivantes pour filtrer les résultats :

  • Remis : le message a bien été remis à la destination souhaitée.

  • En attente : la remise du message est encore en cours ou est retentée.

  • Développé : un destinataire de groupe de distribution a été développé avant remise à des membres individuels du groupe.

  • Échec : le message n’a pas été remis.

  • Quarantaine : le message a été mis en quarantaine (comme courrier indésirable, courrier en nombre ou courrier d’hameçonnage). Pour plus d’informations, voir Mise en quarantaine des messages e-mail dans Office 365.

  • Filtré comme courrier indésirable : le message a été identifié comme courrier indésirable et rejeté ou bloqué (et non mis en quarantaine).

  • Obtention de l’état : le message a été récemment reçu par Office 365, mais aucune autre donnée d’état n’est encore disponible. Vérifiez à nouveau dans quelques minutes.

Remarque : les valeurs En attente, Quarantaine et Filtrer comme courrier indésirable sont uniquement disponibles pour les recherches de moins de 10 jours. Cela étant, un délai de 5 à 10 minutes peut être nécessaire entre l’état de remise signalé et réel.

ID du message

Il s’agit de l’ID de message Internet (également appelé ID client) disponible dans le champ d’en-tête ID du message : de l’en-tête du message. Les utilisateurs peuvent vous communiquer cette valeur à des fins d’analyse de messages spécifiques.

Cette valeur est constante pour la durée de vie du message. Pour les messages créés dans Office 365 ou Exchange, la valeur est au format <GUID@ServerFQDN>, chevrons (<>) compris. Par exemple, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Les autres systèmes de messagerie peuvent utiliser différentes syntaxes ou valeurs. Cette valeur est censée être unique, mais tous les systèmes de messagerie ne suivent pas strictement cette exigence. Si le champ d’en-tête ID du message : n’existe pas ou est vierge pour les messages entrants provenant de sources externes, une valeur arbitraire est attribuée.

Lorsque vous utilisez ID du message pour filtrer les résultats, veillez à inclure la chaîne complète, chevrons compris.

Orientation

Vous pouvez conserver la valeur par défaut Tous ou sélectionner Entrant (messages envoyés à des destinataires de votre organisation) ou Sortant (messages envoyés par des utilisateurs de votre organisation) pour filtrer les résultats.

Adresse IP du client d’origine

Vous pouvez filtrer les résultats par adresse IP de client pour en savoir plus sur les ordinateurs piratés qui envoient massivement du courrier indésirable ou du courrier contenant des programmes malveillants. Même si les messages semblent provenir de plusieurs expéditeurs, il est probable qu’un même ordinateur en soit à l’origine.

Remarque : les informations d’adresse IP du client sont uniquement disponibles pour 10 jours et dans les rapports de type Récapitulatif amélioré ou Étendu (fichiers CSV téléchargeables).

Sélectionner le type de rapport

Les types de rapports disponibles sont les suivants :

  • Récapitulatif : disponible si l’intervalle de temps est inférieur à 10 jours et ne requiert aucune option de filtre supplémentaire. Les résultats sont disponibles presque immédiatement après avoir cliqué sur Rechercher.

  • Récapitulatif amélioré ou Étendu : ces rapports sont uniquement disponibles sous forme de fichiers CSV téléchargeables et requièrent une ou plusieurs options de filtre parmi les suivantes, et ce indépendamment de l’intervalle de temps : Par ces utilisateurs, Vers ces utilisateurs ou ID du message. Vous pouvez utiliser des caractères génériques pour les expéditeurs ou destinataires (par exemple, * @contoso.com).

    Remarques :

    • les récapitulatifs améliorés et les rapports étendus sont préparés à l’aide des données de suivi des messages archivés, et plusieurs heures peuvent être nécessaires avant de pouvoir télécharger votre rapport. Selon le nombre d’administrateurs Office 365 à avoir également soumis des requêtes de rapports à la même heure, vous pourrez également remarquer un certain délai avant le traitement de votre requête mise en file d’attente.

    • Bien qu’il vous soit possible de sélectionner un Récapitulatif amélioré ou un Rapport étendu pour n’importe quel intervalle de temps, en règle générale, les quatre dernières heures des données archivées ne sont pas disponibles pour ces deux types de rapports.

Lorsque vous cliquez sur Suivant, vous accédez à une page récapitulative répertoriant les options de filtre sélectionnées, un titre unique (modifiable) pour le rapport et l’adresse e-mail qui reçoit la notification au terme du suivi des messages (également modifiable, et devant figurer dans l’un des domaines acceptés de votre organisation). Cliquez sur Préparer un rapport pour soumettre le suivi des messages. Sur la page principale Suivi des messages, vous pouvez consulter l’état du rapport dans la section Rapports téléchargeables.

Pour plus d’informations sur les informations disponibles dans les différents types de rapports, voir la section suivante.

Résultats du suivi des messages

Les différents types de rapports renvoient différents niveaux d’informations. Les informations disponibles dans les différents rapports sont décrites dans les sections suivantes.

Résultats du rapport récapitulatif

Après avoir exécuté le suivi des messages, les résultats sont répertoriés et triés par intervalle de temps décroissant (les plus récents en premier).

Résultats du rapport récapitulatif de suivi des messages dans le Centre de sécurité et conformité Office 365

Le rapport récapitulatif contient les informations suivantes :

  • Date : date et heure de réception du message par le service, en temps universel coordonné (UTC).

  • Expéditeur : adresse e-mail de l’expéditeur (alias@domain).

  • Destinataire : adresse e-mail du destinataire ou des destinataires. Pour un message envoyé à plusieurs destinataires, il existe une ligne par destinataire. Si le destinataire correspond à un groupe de distribution, groupe de distribution dynamique ou groupe de sécurité à extension messagerie, le groupe sera le premier destinataire, puis chaque membre du groupe apparaîtra sur une ligne distincte.

  • Objet : 256 premiers caractères du champ Subject: du message.

  • État : ces valeurs sont décrites dans la section État de remise.

Par défaut, les 250 premiers résultats sont chargés et facilement accessibles. En cas de défilement vers le bas, vous remarquerez un léger délai avant le chargement des résultats suivants. Vous pouvez cliquer sur Charger tout pour charger tous les résultats (10 000 résultats maximum).

Vous pouvez cliquer sur les en-têtes de colonne pour trier les résultats selon les valeurs de cette colonne dans l’ordre croissant ou décroissant.

Vous pouvez cliquer sur Filtrer les résultats pour filtrer les résultats selon une ou plusieurs colonnes.

Vous pouvez exporter les résultats après avoir sélectionné une ou plusieurs lignes en cliquant sur Exporter les résultats, puis en sélectionnant Exporter tous les résultats, Exporter les résultats chargés ou Exportation sélectionnée.

Rechercher des enregistrements correspondant à ce message

Les enregistrements de messages associés sont des enregistrements partageant le même ID de message. Pour rappel, seul un même message envoyé entre deux utilisateurs peut générer plusieurs enregistrements. Le nombre d’enregistrements augmente lorsque le message est attribué par des règles d’extension du groupe de distribution, de remise et de flux de courrier (également appelées règles de transport), etc.

Après avoir sélectionné la case d’une ligne, vous pouvez rechercher les enregistrements associés au message en cliquant sur le bouton Rechercher les éléments en relation qui s’affiche, ou en sélectionnant Autres options ( Plus ) > Rechercher les enregistrements associés à ce message).

Pour plus d’informations sur l’ID du message, voir la section ID du message plus haut dans cette rubrique.

Détails de suivi des messages

Dans les résultats du rapport récapitulatif, vous pouvez consulter les détails d’un message en utilisant l’une des méthodes suivantes :

  • Sélectionnez la ligne (cliquez n’importe où dans la ligne, à l’exception de la case à cocher).

  • Sélectionnez la case à cocher de la ligne, cliquez sur Autres options ( Plus ) > Afficher les détails du message.

Détails après avoir double-cliqué sur une ligne des résultats de suivi des messages du rapport récapitulatif dans le Centre de sécurité et conformité Office 365

Les détails de suivi des messages contiennent les informations supplémentaires suivantes qui ne sont pas présentes dans le rapport récapitulatif :

  • Événements de messages : cette section contient des classifications permettant de catégoriser les actions prises par le service sur les messages. Parmi les événements les plus intéressants figurent les suivants :

    • Receive : le message a été reçu par le service.

    • Send : le message a été envoyé par le service.

    • Fail : la remise du message a échoué.

    • Deliver : le message a été remis à une boîte aux lettres.

    • Expand : le message a été envoyé à un groupe de distribution qui a été développé.

    • Transfer : les destinataires ont été déplacés vers un message réorienté en raison d’une conversion de contenu, de limites du nombre de destinataires ou d’agents.

    • Defer : la remise du message a été différée et pourrait faire l'objet d'une nouvelle tentative.

    • Resolved : le message a été redirigé vers une nouvelle adresse de destinataire à partir d’une recherche Active Directory. Lorsque cela se produit, l’adresse du destinataire d’origine est répertoriée sur une ligne distincte dans le suivi des messages avec l’état de remise final du message.

    Notez que la remise d’un message sans événement génère plusieurs entrées Événement dans le suivi des messages.

  • Informations complémentaires : cette section contient les détails suivants :

    • ID du message : cette valeur est décrite dans la section ID du message plus haut dans cette rubrique. Par exemple, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

    • Taille du message

    • IP source : adresse IP de l'ordinateur qui a envoyé le message. Pour les messages sortants envoyés à partir d'Exchange Online, ce champ est vide.

    • IP cible : adresses IP auxquelles le service a tenté de remettre le message. Si ce message présente plusieurs destinataires, ces derniers sont affichés. Pour les messages entrants envoyés à Exchange Online, ce champ est vide.

Rapports récapitulatifs améliorés

Les rapports récapitulatifs améliorés disponibles (terminés) sont accessibles dans la section Rapports téléchargeables au début du suivi des messages. Les informations suivantes sont disponibles dans le rapport :

  • origin_timestamp* : date et heure de réception initiale du message par le service, selon le fuseau horaire au format UTC configuré.

  • sender_address : adresse e-mail de l’expéditeur (alias@domain).

  • Recipient_status : état de la remise du message au destinataire. Si le message a été envoyé à plusieurs destinataires, chacun est affiché avec l’état correspondant en regard, au format suivant : <adresse e-mail>##<état. Par exemple :

    • ##Receive, Send signifie que le message a été reçu par le service et envoyé vers la destination prévue.

    • ##Receive, Fail signifie que le message a été reçu par le service, mais que sa remise vers la destination prévue a échoué.

    • ##Receive, Deliver signifie que le message a été reçu par le service et remis dans la boîte aux lettres du destinataire.

  • message_object : 256 premiers caractères du champ Objet du message.

  • total_bytes : taille du message, pièces jointes incluses, en octets.

  • message_id : cette valeur est décrite dans la section ID du message plus haut dans cette rubrique. Par exemple, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

  • network_message_id : valeur unique d'ID de message qui persiste dans les copies du message éventuellement créées suite à une bifurcation ou à une expansion du groupe de distribution. Voici un exemple de valeur : 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip : adresse IP du client de l’expéditeur.

  • directionality : indique si le message a été envoyé entrant (1) à votre organisation, ou sortant (2) de votre organisation.

  • connector_id : nom du connecteur source ou du connecteur de destination. Pour plus d’informations sur les connecteurs dans Exchange Online, voir .

  • delivery_priority : indique le niveau de priorité du message : Haute, Faible ou Normal.

* Ces propriétés sont uniquement disponibles dans les rapports récapitulatifs améliorés.

Rapports étendus

Les rapports étendus disponibles (terminés) sont accessibles dans la section Rapports téléchargeables au début du suivi des messages. Presque toutes les informations des rapports récapitulatifs améliorés sont disponibles dans les rapports étendus (sauf origin_timestamp et delivery_priority). Les informations supplémentaires suivantes sont uniquement disponibles dans les rapports étendus :

  • client_ip : adresse IPv4 ou IPv6 du serveur de courrier ou du client de messagerie ayant soumis le message.

  • client_hostname : nom d’hôte ou nom de domaine complet du serveur de courrier ou du client de messagerie ayant soumis le message.

  • server_ip : adresse IP du serveur source ou du serveur de destination.

  • server_hostname : nom d'hôte ou nom de domaine complet du serveur de destination.

  • source_context : informations supplémentaires associées au champ source. Par exemple :

    • Protocol Filter Agent

    • 3489061114359050000

  • source : composant Exchange Online responsable de l’événement. Par exemple :

    • AGENT

    • MAILBOXRULE

    • SMTP

  • event_id : ces valeurs correspondent aux valeurs Événement du message détaillées dans la section Détails de suivi des messages.

  • internal_message_id : identificateur de message affecté par le serveur Exchange Online qui traite le message.

  • recipient_address : adresse e-mail des destinataires du message. Les adresses de messagerie multiples sont séparées par des points-virgules (;).

  • recipient_count : nombre total de destinataires du message.

  • related_recipient_address : utilisé avec des événements EXPAND, REDIRECT et RESOLVE pour afficher d’autres adresses de messagerie de destinataires qui sont associées au message.

  • reference : ce champ contient des informations supplémentaires pour des types d'événements spécifiques. Par exemple :

    • DSN : contient le lien de rapport, qui est la valeur message_id de la notification d’état de remise (également appelée notification de non-remise ou notification d’échec de remise) associée éventuellement générée suite à cet événement. S’il s’agit d’un message DSN, ce champ contient la valeur message_id du message d’origine pour lequel cette notification d’état de remise a été générée.

    • EXPAND : contient la valeur related_recipient_address des messages associés.

    • RECEIVE : peut contenir la valeur message_id du message associé si ce dernier a été généré par d'autres processus tels que des règles de boîte de réception.

    • SEND : contient la valeur internal_message_id d’un message DSN.

    • TRANSFER : contient la valeur internal_message_id du message en cours de duplication (par exemple, conversion de contenu, limites du nombre de destinataires ou d’agents).

    • MAILBOXRULE : contient la valeur internal_message_id du message entrant suite auquel la règle de boîte de réception a généré le message sortant.

    Pour tous les autres types d’événements, ce champ est généralement vide.

  • return_path : adresse de messagerie de retour spécifiée par la commande MAIL FROM ayant envoyé le message. Bien que ce champ ne soit jamais vide, il peut contenir une valeur d’adresse d’expéditeur nulle, représentée par <>.

  • message_info : informations supplémentaires sur le message. Par exemple :

    • Date et heure UTC d'origine du message pour les événements DELIVER et SEND. Les date et heure d'origine indiquent le moment auquel le message est entré dans l'organisation Exchange Online. La date-heure UTC est représentée au format de date-heure ISO 8601 : yyyy-mm-ddThh:mm:ss.fffZ, où yyyy = année, mm mm = mois, dd = jour, T indique le début du composant temps, hh = heure, mm = minute, ss = seconde, fff = fractions de seconde et Z correspond à Zulu (qui est une autre manière de désigner le temps universel).

    • Erreurs d’authentification. Par exemple la valeur 11a et le type d’authentification utilisé lorsque l’erreur d’authentification s’est produite peuvent s’afficher.

  • tenant_id : valeur GUID représentant l’organisation Exchange Online (par exemple, 39238e87-b5ab-4ef6-a559-af54c6b07b42).

  • original_server_ip : adresse IP du serveur d’origine.

  • custom_data : contient des données liées à des types d’événements spécifiques. Pour plus d’informations, voir les sections suivantes.

Valeurs custom_data

Le champ custom_data d’un événement AGENTINFO est utilisé par différents agents Exchange pour consigner les détails de traitement des messages. Certains agents particulièrement intéressants sont décrits dans les sections suivantes.

Agent de filtrage du courrier indésirable

Une valeur custom_data commençant par S:SFA provient de l’agent de filtrage du courrier indésirable. Les principaux détails sont décrits dans le tableau suivant :

Valeur

Description

SFV=NSPM

Le message a été marqué comme ne relevant pas du courrier indésirable et envoyé aux destinataires prévus.

SFV=SPM

Le message a été marqué comme courrier indésirable par le filtre de contenu.

SFV=BLK

Le filtrage a été ignoré et le message a été bloqué, car il provenait d’un expéditeur bloqué.

SFV=SKS

Le message a été marqué comme courrier indésirable avant d’être traité par le filtre de contenu. Il peut s’agir de messages qui ont satisfait à une règle de transport qui les a automatiquement marqués comme courrier indésirable et a contourné tout autre filtrage.

SCL=<number>

Pour plus d’informations sur les différentes valeurs SCL et leur signification, voir Seuils de probabilité de courrier indésirable.

PCL=<number>

Valeur du seuil de probabilité de courrier d’hameçonnage (PCL) du message. Ces valeurs peuvent être interprétées de la même manière que les valeurs SCL indiquées dans la section Seuils de probabilité de courrier indésirable.

DI=SB

L’expéditeur du message a été bloqué.

DI=SQ

Le message a été mis en quarantaine.

DI=SD

Le message a été supprimé.

DI=SJ

Le message a été envoyé dans le dossier Courrier indésirable du destinataire.

DI=SN

Le message a été routé via le pool de remise à risque élevé. Pour plus d’informations, voir Pool de remise à risque élevé pour les messages sortants.

DI=SO

Le message a été routé via le pool de remise sortant normal.

SFS=[a]|SFS=[b]

Indique que les règles de courrier indésirable ont été satisfaites.

IPV=CAL

Le message est passé au travers des filtres de courrier indésirable, car l’adresse IP a été spécifiée dans une liste d’adresses IP autorisées dans le filtre de connexion.

H=<EHLOstring>

Chaîne HELO ou EHLO du serveur de courrier de connexion.

PTR=<ReverseDNS>

Enregistrement PTR de l’adresse IP d’envoi, également appelée adresse DNS inverse.

Exemple de valeur custom_data pour un message filtré en termes de courrier indésirable :

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agent de filtrage des programmes malveillants

Une valeur custom_data commençant par S:AMA provient de l’agent de filtrage des programmes malveillants. Les principaux détails sont décrits dans le tableau suivant :

Valeur

Description

AMA=SUM|v=1| ou AMA=EV|v=1

Le message a été identifié comme contenant un programme malveillant. SUM indique que le programme malveillant aurait pu être détecté par différents moteurs. EV indique que le logiciel malveillant a été détecté par un moteur spécifique. Lorsque des programmes malveillants sont détectés par un moteur, les actions suivantes sont déclenchées.

Action=r

Le message a été remplacé.

Action=p

Le message a été ignoré.

Action=d

Le message a été différé.

Action=s

Le message a été supprimé.

Action=st

Le message a été ignoré.

Action=sy

Le message a été ignoré.

Action=ni

Le message a été rejeté.

Action=ne

Le message a été rejeté.

Action=b

Le message a été bloqué.

Name=<malware>

Nom du programme malveillant qui a été détecté.

File=<filename>

Nom du fichier contenant le programme malveillant.

Exemple de valeur custom_data pour un message contenant un programme malveillant :

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agent de règles de transport

Une valeur custom_data commençant par S:TRA provient de l’agent de règles de transport pour les règles de flux de courrier (également appelées règles de transport). Les principaux détails sont décrits dans le tableau suivant :

Valeur

Description

ETR|ruleId=<guid>

ID de la règle qui a été satisfaite.

St=<datetime>

Date et heure (UTC) auxquelles la règle a été satisfaite.

Action=<ActionDefinition>

Action qui a été appliquée. Pour obtenir la liste des actions disponibles, voir Actions des règles de flux de courrier dans Exchange Online.

Mode=<Mode>

Mode de la règle. Les valeurs valides sont les suivantes :

  • Enforce : toutes les actions de la règle seront appliquées.

  • Test with Policy Tips : toute action de conseil de stratégie sera envoyée, mais toutes les autres actions d’application ne seront pas exécutées.

  • Test without Policy Tips : les actions seront recensées dans un fichier journal, mais les expéditeurs ne seront informés d’aucune manière, et les actions d’application ne seront pas exécutées.

Exemple de valeur custom_data pour un message satisfaisant les conditions d’une règle de flux de courrier :

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×