Traccia messaggio viene eseguito nel Centro sicurezza e conformità di Office 365

Traccia messaggio in Centro sicurezza e conformità di Office 365 segue il percorso dei messaggi di posta elettronica all'interno dell'organizzazione di Exchange Online. È possibile stabilire se un messaggio di posta elettronica è stato ricevuto, rifiutato, ritardato o recapitato dal servizio. Mostra inoltre quali azioni sono state eseguite sul messaggio prima del raggiungimento dello stato finale.

Traccia messaggio in Centro sicurezza e conformità è una funzionalità migliorata rispetto alla precedente disponibile nell'interfaccia di amministrazione di Exchange (EAC). Si possono usare le informazioni di Traccia messaggio per rispondere in modo efficace alle domande degli utenti relative a cosa sia successo ai loro messaggi, per risolvere i problemi del flusso di posta elettronica e per convalidare le modifiche dei criteri.

Aprire Traccia messaggio

  1. Accedere a Office 365 con l'account aziendale o dell'istituto di istruzione.

  2. Selezionare l'icona di avvio delle app Icona di avvio delle app di Office 365 nell'angolo in alto a sinistra e scegliere Amministratore.

  3. Nel riquadro di spostamento in basso a sinistra espandere Interfacce di amministrazione e scegliere Sicurezza e conformità.

  4. Nella pagina Sicurezza e conformità visualizzata espandere Flusso di posta, quindi Traccia messaggio.

Pagina Traccia messaggio

Da qui è possibile iniziare una nuova traccia predefinita facendo clic sul pulsante Avvia una traccia. Vengono cercati tutti i messaggi di tutti i mittenti e i destinatari degli ultimi due giorni. Oppure si può usare una delle query archiviate dalle categorie di query disponibili ed eseguirla così com'è oppure usarla come punto di partenza per query personalizzate:

  • Query predefinite: Query predefinite fornite da Office 365.

  • Query personalizzate: Query salvate dagli amministratori dell'organizzazione per un uso futuro.

  • Query salvate automaticamente: Le ultime dieci query eseguite più di recente. Questo elenco consente di riprendere a lavorare da dove si era interrotto.

In questa pagina è presente anche una sezione Report scaricabili per le richieste inviate, nonché i report stessi quando sono disponibili per il download.

Opzioni per una nuova istanza di Traccia messaggio

Filtro per mittenti e destinatari

I valori predefiniti sono Tutti i mittenti e Tutti i destinatari, ma è possibile usare i campi seguenti per filtrare i risultati:

  • Da queste persone: Fare clic su questo campo per selezionare uno o più mittenti dell'organizzazione. È anche possibile iniziare a digitare un nome e gli elementi nell'elenco verranno filtrati in base al testo digitato, come accade in una pagina di ricerca.

  • A queste persone: Fare clic su questo campo per selezionare uno o più destinatari nell'organizzazione.

È anche possibile digitare gli indirizzi di posta elettronica di mittenti e destinatari esterni. I caratteri jolly sono supportati (*@contoso.com o scot?@contoso.com), ma non si possono usare più caratteri jolly nello stesso campo contemporaneamente.

Intervallo di tempo

Il valore predefinito è di 2 giorni, ma è possibile specificare intervalli di data/ora fino a un massimo di 90 giorni. Quando si usano gli intervalli di data/ora, tenere presenti questi problemi:

  • Per impostazione predefinita, l'intervallo di tempo viene selezionato nella visualizzazione Dispositivo di scorrimento quando si usa una sequenza temporale. Si possono selezionare solo le impostazioni di giorno o ora visualizzate. Se si prova a selezionare un valore intermedio, la bolla di inizio/fine scatterà verso l'impostazione visualizzata più vicina.

    Intervallo di tempo del dispositivo di scorrimento in una nuova istanza di Traccia messaggio nel Centro sicurezza e conformità di Office 365

    Tuttavia, è anche possibile passare alla visualizzazione Personalizzato in cui è possibile specificare i valori Data di inizio e Data di fine (incluse le ore) ed selezionare il Fuso orario per l'intervallo di data/ora. L'impostazione Fuso orario è valida sia per gli input della query che per i risultati.

    Intervallo di tempo personalizzato in una nuova istanza di Traccia messaggio nel Centro sicurezza e conformità di Office 365

    Per una durata fino a 10 giorni, i risultati restano immediatamente disponibili in un report Riepilogo. Se si specifica un intervallo di tempo leggermente maggiore di 10 giorni, i risultati verranno ritardati perché sono disponibili solo come file CSV scaricabili (Riepilogo avanzato o Report esteso).

    Per altre informazioni sui diversi tipi di report, vedere la sezione Tipi di report in questo argomento.

    Nota: I report Riepilogo avanzato e Report esteso vengono preparati con i dati di Traccia messaggio archiviati e possono richiedere fino a diverse ore prima siano pronti per il download. A seconda del numero di altri amministratori di Office 365 che ha inviato richieste di report alla stessa ora, potrebbe verificarsi un ritardo nell'avvio dell'elaborazione della richiesta in coda.

  • Il salvataggio di una query nella visualizzazione Dispositivo di scorrimento consente di salvare l'intervallo di tempo relativo, ad esempio 3 giorni dalla data odierna. Il salvataggio di una query nella visualizzazione Personalizzato consente di salvare l'intervallo di data/ora assoluto, ad esempio da 2018-05-06 13:00 a 2018-05-08 18:00.

Altre opzioni di ricerca

Stato recapito

È possibile lasciare il valore predefinito Tutti selezionati oppure scegliere uno dei valori seguenti per filtrare i risultati:

  • Recapitato: il messaggio è stato recapitato correttamente al destinatario previsto.

  • In sospeso: vengono effettuati tentativi o nuovi tentativi di recapito del messaggio.

  • Espanso: un destinatario del gruppo di distribuzione è stato espanso prima del recapito ai singoli membri del gruppo.

  • Non riuscito: il messaggio non è stato recapitato.

  • In quarantena: il messaggio è stato messo in quarantena, come posta indesiderata, posta inviata in blocco o phishing. Per altre informazioni, vedere Messaggi di posta elettronica in quarantena in Office 365.

  • Filtrato come posta indesiderata: Il messaggio è stato identificato come posta indesiderata ed è stato rifiutato o bloccato (non messi in quarantena).

  • Recupero dello stato: il messaggio è stato ricevuto di recente da Office 365, ma non sono ancora disponibili altri dati di stato. Controllare di nuovo tra qualche minuto.

Nota: I valori In sospeso, In quarantena e Filtrato come posta indesiderata sono disponibili solo per le ricerche in meno di 10 giorni. Inoltre, potrebbe esserci un ritardo di 5-10 minuti tra lo stato di recapito effettivo e quello specificato.

ID messaggio

ID messaggio di Internet, noto anche come ID client, disponibile nel campo Message-ID: dell'intestazione del messaggio. Gli utenti possono fornire questo valore per esaminare messaggi specifici.

Questo valore è costante per tutta la durata del messaggio. Per i messaggi creati in Office 365 o Exchange, il valore è nel formato <GUID@ServerFQDN>, incluse le parentesi angolari (< >). Ad esempio, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Altri sistemi di messaggistica potrebbero usare una sintassi o valori diversi. Questo valore dovrebbe essere univoco, ma non tutti i sistemi di posta elettronica seguono rigidamente questo requisito. Se il campo dell'intestazione Message-ID: non esiste o è vuoto per i messaggi in arrivo provenienti da origini esterne, viene assegnato un valore arbitrario.

Quando si usa ID messaggio per filtrare i risultati, assicurarsi di includere la stringa completa, comprese le parentesi angolari.

Direzione

È possibile lasciare il valore predefinito Tutti selezionata oppure selezionare In ingresso (messaggi inviati a destinatari interni dell'organizzazione) o In uscita (messaggi inviati dagli utenti dell'organizzazione) per filtrare i risultati.

Indirizzo IP client originale

È possibile filtrare i risultati in base all'indirizzo IP client per determinare i computer violati che stanno inviando grandi quantità di posta indesiderata o malware. Anche se può sembrare che i messaggi provengano da più mittenti, è probabile che siano generati dallo stesso computer.

Nota: Le informazioni sull'indirizzo IP client sono disponibili solo per 10 giorni e solo nei report Riepilogo avanzato o Report esteso (file CSV scaricabili).

Scegliere il tipo di report

I tipi di report disponibili sono:

  • Riepilogo: Disponibile se l'intervallo di tempo è minore di 10 giorni e non richiede altre opzioni di filtro. I risultati sono disponibili quasi immediatamente dopo aver selezionato Cerca.

  • Riepilogo avanzato o Report esteso: Questi report sono disponibili solo come file CSV scaricabili e richiedono una o più delle seguenti opzioni di filtro, indipendentemente dall'intervallo di tempo: Da queste persone, A queste persone o ID messaggio. È anche possibile usare caratteri jolly per i mittenti o i destinatari, ad esempio *@contoso.com.

    Note:

    • I report Riepilogo avanzato e Report esteso vengono preparati con i dati di Traccia messaggio archiviati e possono richiedere fino a diverse ore prima siano pronti per il download. A seconda del numero di altri amministratori di Office 365 che ha inviato richieste di report alla stessa ora, potrebbe verificarsi anche un ritardo nell'avvio dell'elaborazione della richiesta in coda.

    • Anche se è possibile selezionare un report Riepilogo avanzato e Report esteso per qualsiasi intervallo di data/ora, in genere le ultime quattro ore di dati archiviati non saranno ancora disponibili per questi due tipi di report.

Quando si fa clic su Avanti viene visualizzata una pagina di riepilogo che elenca le opzioni di filtro selezionate, un titolo univoco (modificabile) per il report e l'indirizzo di posta elettronica che riceve la notifica al completamento di Traccia messaggio (anch'esso modificabile e deve essere in uno dei domini accettati dell'organizzazione). Fare clic su Prepara report per inviare la traccia messaggio. Nella pagina principale Traccia messaggio è possibile visualizzare lo stato del report nella sezione Report scaricabili.

Per altre informazioni sui dati restituiti dai vari tipi di report, vedere la sezione seguente.

Risultati traccia messaggio

I diversi tipi di report restituiscono diversi livelli di informazioni. Le informazioni disponibili nei diversi report sono descritte nelle sezioni seguenti.

Output report Riepilogo

Dopo avere eseguito Traccia messaggio, i risultati vengono elencati in ordine decrescente di data/ora (i più recenti all'inizio).

Risultati del report Riepilogo per Traccia messaggio nel Centro sicurezza e conformità di Office 365

Il report Riepilogo contiene le informazioni seguenti:

  • Data: la data e l'ora in cui il messaggio è stato ricevuto dal servizio, con il formato UTC (Coordinated Universal Time) configurato.

  • Mittente: l'indirizzo di posta elettronica del mittente (alias@dominio).

  • Destinatario: l'indirizzo di posta elettronica di uno o più destinatari. In un messaggio inviato a più destinatari c'è una riga per ogni destinatario. Se il destinatario è un gruppo di distribuzione, un gruppo di distribuzione dinamico o un gruppo di sicurezza abilitato per la posta elettronica, il gruppo sarà il primo destinatario e i singoli membri del gruppo saranno in una riga separata.

  • Oggetto: I primi 256 caratteri del campo Subject: del messaggio.

  • Stato: Questi valori sono descritti nella sezione Stato recapito.

Per impostazione predefinita. i primi 250 risultati vengono caricati e sono subito disponibili. Quando si scorre verso il basso, si verifica una piccola pausa mentre viene caricato il gruppo di risultati successivo. Invece di usare lo scorrimento, è possibile fare clic su Carica tutto per caricare tutti i risultati fino a un massimo di 10.000.

È possibile fare clic sulle intestazioni di colonna per ordinare i risultati per i valori della colonna in ordine crescente o decrescente.

È possibile fare clic su Filtra risultati per filtrare i risultati in base a una o più colonne.

È possibile esportare i risultati dopo aver selezionato una o più righe facendo clic su Esporta risultati e quindi scegliendo Esporta tutti i risultati, Esporta risultati caricati o Esporta selezionati.

Trovare i record correlati per questo messaggio

I record correlati al messaggio condividono lo stesso ID messaggio. Tenere presente che anche un solo messaggio inviato tra due persone può generare più record. Il numero di record aumenta quando il messaggio è interessato dall'espansione del gruppo di distribuzione, dall'inoltro, da regole del flusso di posta (dette anche regole di trasporto) e così via.

Dopo aver selezionato la casella di controllo di una riga, trovare i record correlati del messaggio facendo clic sul pulsante Trova correlati oppure selezionando Altre opzioni ( Altro ) > Trova i record correlati a questo messaggio).

Per altre informazioni sull'ID messaggio, vedere la sezione ID messaggio in questo argomento.

Dettagli traccia messaggio

Nell'output del report Riepilogo è possibile visualizzare i dettagli su un messaggio usando uno dei metodi seguenti:

  • Selezionare la riga, facendo clic in un punto qualsiasi della riga tranne che nella casella di controllo.

  • Selezionare la casella di controllo della riga e fare clic su Altre opzioni ( Altro ) > Visualizza dettagli messaggio.

Dettagli visualizzati dopo aver fatto doppio clic su una riga nei risultati di Traccia messaggio del report Riepilogo nel Centro sicurezza e conformità di Office 365

I dettagli di Traccia messaggio contengono le seguenti informazioni aggiuntive che non sono presenti nel report Riepilogo:

  • Eventi messaggio: Questa sezione contiene le classificazioni che consentono di suddividere in categorie le azioni eseguite dal servizio nei messaggi. Alcuni degli eventi più interessanti che possono verificarsi sono:

    • Ricevi: il messaggio è stato ricevuto dal servizio.

    • Invia: il messaggio è stato inviato dal servizio.

    • Errore: non è stato possibile recapitare il messaggio.

    • Recapita: il messaggio è stato recapitato in una cassetta postale.

    • Espandi: il messaggio è stato inviato a un gruppo di distribuzione espanso.

    • Trasferisci: i destinatari sono stati spostati in un messaggio biforcato a causa di una conversione del contenuto, di limiti al numero di destinatari del messaggio o di agenti.

    • Rinvia: la consegna del messaggio è stata posticipata e verrà ritentata in seguito.

    • Risolto: il messaggio è stato reindirizzato al nuovo indirizzo del destinatario in base alla ricerca di Active Directory. In questo caso, l'indirizzo originale del destinatario verrà visualizzato in una riga separata in Traccia messaggio insieme allo stato di consegna finale per il messaggio.

    Tenere presente che anche un messaggio senza eventi recapitato correttamente può generare più voci evento in Traccia messaggio.

  • Altre informazioni: Questa sezione contiene i dettagli seguenti:

    • ID messaggio: Questo valore è descritto nella sezione ID messaggio in questo argomento. Ad esempio, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

    • Dimensione messaggio

    • Da IP: l'indirizzo IP del computer che ha inviato il messaggio. Per i messaggi in uscita inviati da Exchange Online, il valore è vuoto.

    • A IP: l'indirizzo o gli indirizzi IP cui il servizio ha effettuato tentativi di recapito del messaggio. In caso di più destinatari, questi vengono visualizzati. Per i messaggi in ingresso inviati a Exchange Online, il valore è vuoto.

Report Riepilogo avanzato

I report Riepilogo avanzato (completati) sono disponibili nella sezione Report scaricabili all'inizio della traccia messaggio. Le informazioni seguenti sono disponibili nel report:

  • origin_timestamp*: data e ora, nel fuso orario UTC configurato, in cui il servizio ha ricevuto per la prima volta il messaggio.

  • sender_address: l'indirizzo di posta elettronica del mittente (alias@dominio).

  • Recipient_status: stato di recapito del messaggio al destinatario. Se il messaggio è stato inviato a più destinatari, mostrerà tutti i destinatari e lo stato di ciascuno, nel formato <indirizzo di posta elettronica>##<stato>. Ad esempio:

    • ##Ricevi, Invia indica che il messaggio è stato ricevuto dal servizio e inviato alla destinazione corretta.

    • ##Ricevi, Errore indica che il messaggio è stato ricevuto dal servizio e non è stato inviato alla destinazione corretta a causa di un errore.

    • ##Ricevi, Recapita indica che il messaggio è stato ricevuto dal servizio e recapitato alla cassetta postale del destinatario.

  • message_subject: i primi 256 caratteri del campo Oggetto del messaggio.

  • total_bytes: dimensioni del messaggio, inclusi gli allegati, in byte.

  • message_id: Questo valore è descritto nella sezione ID messaggio in questo argomento. Ad esempio, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.

  • network_message_id: un ID messaggio univoco che persiste tra le copie del messaggio che si possono creare a causa della biforcazione o dell'espansione del gruppo di distribuzione. Un valore di esempio è 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip: l'indirizzo IP del client del mittente.

  • directionality: indica se il messaggio è stato inviato in ingresso (1) all'organizzazione o in uscita (2) dall'organizzazione.

  • connector_id: Il nome del connettore di origine o di destinazione. Per altre informazioni sui connettori di Exchange Online, vedere .

  • delivery_priority: indica se il messaggio è stato inviato con un livello di priorità elevato, basso o normale.

* Queste proprietà sono disponibili nei report Riepilogo avanzato.

Report estesi

I report estesi (completati) sono disponibili nella sezione Report scaricabili all'inizio della traccia messaggio. Quasi tutte le informazioni di un report Riepilogo avanzato sono disponibili in un Report esteso, ad eccezione di origin_timestamp e delivery_priority. Le informazioni aggiuntive seguenti sono disponibili solo in un Report esteso:

  • client_ip: l'indirizzo IP del server di posta elettronica o del client di messaggistica che ha inviato il messaggio.

  • client_hostname: il nome host o il nome di dominio completo del server di posta elettronica o del client di messaggistica che ha inviato il messaggio.

  • server_ip: l'indirizzo IP del server di origine o di destinazione.

  • server_hostname: il nome host o il nome di dominio completo del server di destinazione.

  • source_context: informazioni aggiuntive associate al campo source. Ad esempio:

    • Protocol Filter Agent

    • 3489061114359050000

  • source: il componente di Exchange Online responsabile dell'evento. Ad esempio:

    • AGENT

    • MAILBOXRULE

    • SMTP

  • event_id: Questi corrispondono ai valori Evento messaggio spiegati nella sezione Dettagli traccia messaggio.

  • internal_message_id: un identificatore di messaggio assegnato dal server di Exchange Online che sta elaborando il messaggio.

  • recipient_address: gli indirizzi di posta elettronica dei destinatari del messaggio. Gli indirizzi di posta elettronica multipli sono separati dal carattere punto e virgola (;).

  • recipient_count: il numero totale di destinatari nel messaggio.

  • related_recipient_address: usato con gli eventi EXPAND, REDIRECT e RESOLVE per visualizzare gli altri indirizzi di posta elettronica dei destinatari associati al messaggio.

  • reference: questo campo contiene informazioni aggiuntive per tipi specifici di eventi. Ad esempio:

    • DSN: contiene il collegamento al report, ossia il valore message_id della notifica di stato di recapito (nota anche come DSN, notifica di mancato recapito, report di mancato recapito o NDR) associato se un DSN viene generato dopo questo evento. Se si tratta di un messaggio DSN, questo campo contiene il valore message_id del messaggio originale per cui è stato generato il DSN.

    • EXPAND: Contiene il valore related_recipient_address dei messaggi correlati.

    • RECEIVE: può contenere il valore message_id del messaggio correlato se il messaggio è stato generato da altri processi, ad esempio regole di Posta in arrivo.

    • SEND: Contiene il valore internal_message_id dei messaggi DSN.

    • TRANSFER: Contiene il valore internal_message_id del messaggio biforcato, ad esempio a causa di una conversione del contenuto, di limiti al numero di destinatari del messaggio o di agenti.

    • MAILBOXRULE: contiene il valore internal_message_id del messaggio in ingresso che ha causato la generazione del messaggio in uscita da parte della regola di Posta in arrivo.

    Per tutti gli altri tipi di evento, questo campo in genere è vuoto.

  • return_path: l'indirizzo di posta elettronica del mittente specificato dal comando MAIL FROM. Benché tale campo non sia mai vuoto, può avere il valore indirizzo mittente nullo rappresentato come <>.

  • message_info: fornisce altre informazioni sul messaggio, ad esempio:

    • Data/ora in UTC di origine del messaggio per gli eventi DELIVER e SEND. La data e l'ora di origine corrispondono alla data e all'ora in cui il messaggio entra per la prima volta nell'organizzazione di Exchange Online. La data/ora UTC viene rappresentata nel formato data/ora ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, dove yyyy = anno, mm = mese, dd = giorno, T indica l'inizio della componente oraria, hh = ore, mm = minuti, ss = secondi, fff = frazioni di secondo e Z indica Zulu, un altro modo per denominare UTC.

    • Errori di autenticazione. Ad esempio, è possibile visualizzare il valore 11a e il tipo di autenticazione usato quando si è verificato l'errore di autenticazione.

  • tenant_id: Valore GUID che rappresenta l'organizzazione di Exchange Online, ad esempio, 39238e87-b5ab-4ef6-a559-af54c6b07b42.

  • original_server_ip: l'indirizzo IP del server originale.

  • custom_data: contiene i dati relativi a tipi di evento specifici. Per altre informazioni, vedere le sezioni seguenti.

valori custom_data

Il campo custom_data per un evento AGENTINFO viene usato da diversi agenti di Exchange Online per registrare i dettagli sull'elaborazione dei messaggi. Nelle sezioni seguenti vengono descritti alcuni degli agenti più interessanti.

Agente di filtro della posta indesiderata

Un valore custom_data che inizia con S:SFA riguarda l'agente di filtro della posta indesiderata. Nella tabella seguente sono descritti i dettagli principali:

Valore

Descrizione

SFV=NSPM

Il messaggio è stato contrassegnato come non di posta indesiderata ed è stato inviato ai destinatari previsti.

SFV=SPM

Il messaggio è stato contrassegnato come posta indesiderata dal filtro del contenuto.

SFV=BLK

Il filtro è stato ignorato e il messaggio è stato bloccato perché proveniente da un mittente bloccato.

SFV=SKS

Il messaggio è stato contrassegnato come posta indesiderata prima di essere elaborato dal filtro del contenuto. Sono inclusi i messaggi che soddisfano una regola di trasporto in base alla quale i messaggi vengono automaticamente contrassegnati come posta indesiderata e ignorano qualsiasi filtro ulteriore.

SCL=<number>

Per altre informazioni sui diversi valori di SCL e sul loro significato, vedere Livelli di sicurezza della protezione contro la posta indesiderata.

PCL=<number>

Livello di probabilità di phishing (PCL, Phishing Confidence Level) del messaggio. Questi valori possono essere interpretati allo stesso modo dei valori di SCL documentati in Livelli di sicurezza della protezione contro la posta indesiderata.

DI=SB

Il mittente del messaggio è stato bloccato.

DI=SQ

Il messaggio è stato messo in quarantena.

DI=SD

Il messaggio è stato eliminato.

DI=SJ

Il messaggio è stato inviato alla cartella Posta indesiderata del destinatario.

DI=SN

Il messaggio è stato instradato attraverso il pool di recapito Pool di recapito ad alto rischio. Per altre informazioni, vedere Pool di recapito ad alto rischio per i messaggi in uscita.

DI=SO

Il messaggio è stato instradato attraverso il pool di recapito in uscita normale.

SFS=[a]|SFS=[b]

Indica che è stata trovata una corrispondenza con le regole per la posta indesiderata.

IPV=CAL

È stato consentito il passaggio del messaggio attraverso i filtri di protezione da posta indesiderata perché l'indirizzo IP è stato specificato nell'elenco indirizzi IP consentiti nel filtro di connessione.

H=<EHLOstring>

Stringa HELO o EHLO del server della posta connesso.

PTR=<ReverseDNS>

Record PTR dell'indirizzo IP mittente,noto anche come indirizzo DNS inverso.

Un valore custom_data di esempio per un messaggio che viene filtrato per la posta indesiderata è simile al seguente:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente di filtro antimalware

Un valore custom_data che inizia con S:AMA riguarda l'agente di filtro antimalware. Nella tabella seguente sono descritti i dettagli principali:

Valore

Descrizione

AMA=SUM|v=1| o AMA=EV|v=1

Nel messaggio è stata rilevata la presenza di malware. SUM indica che il malware non è stato rilevato da un determinato numero di motori. EV indica che il malware è stato rilevato da un determinato motore. Quando la presenza di malware viene rilevata da un motore, vengono attivate le azioni successive.

Action=r

Il messaggio è stato sostituito.

Action=p

Il messaggio è stato ignorato.

Action=d

Il messaggio è stato posticipato.

Action=s

Il messaggio è stato eliminato.

Action=st

Il messaggio è stato ignorato.

Action=sy

Il messaggio è stato ignorato.

Action=ni

Il messaggio è stato rifiutato.

Action=ne

Il messaggio è stato rifiutato.

Action=b

Il messaggio è stato bloccato.

Name=<malware>

Nome del malware rilevato.

File=<filename>

Nome del file che conteneva il malware.

Un valore custom_data di esempio per un messaggio che contiene malware è simile al seguente:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agente della regola di trasporto

Un valore custom_data che inizia con S:TRA proviene da un agente della regola di trasporto per regole del flusso di posta (dette anche regole di trasporto). Nella tabella seguente sono descritti i dettagli principali:

Valore

Descrizione

ETR|ruleId=<guid>

ID regola con cui è stata trovata una corrispondenza.

St=<datetime>

Data e ora in formato UTC in cui è stata trovata la corrispondenza con la regola.

Action=<ActionDefinition>

Azione applicata. Per un elenco delle azioni disponibili, vedere Azioni per le regole del flusso di posta di Exchange Online.

Mode=<Mode>

Modalità della regola. I valori possibili sono:

  • Applica: verranno applicate tutte le azioni della regola.

  • Test con suggerimenti per i criteri: verranno inviate tutte le azioni con suggerimenti per i criteri, mentre le altre azioni di applicazione regola verranno ignorate.

  • Test senza suggerimenti per i criteri: Le azioni verranno elencate in un file di log, ma i mittenti non riceveranno alcuna notifica e le azioni di applicazione regola non verranno eseguite.

Un valore custom_data di esempio per un messaggio che rispetta le condizioni di una regola del flusso di posta è simile al seguente:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×