Office 365 安全与合规中心中的邮件跟踪

Office 365 安全与合规中心的邮件跟踪会在电子邮件通过 Exchange Online 组织时对其进行跟踪。你可以决定邮件是否由服务接收、拒绝、延迟或发送。它还显示在邮件达到最终状态之前对其采取的操作。

安全与合规中心的邮件跟踪改进了 Exchange 管理中心 (EAC) 提供的邮件跟踪功能。你可以使用来自邮件跟踪的信息,高效回答用户提出的有关邮件情况的问题、解决邮件流问题并验证策略更改。

打开邮件跟踪

  1. 使用工作或学校帐户登录 Office 365

  2. 在左上角选择应用启动器图标 Office 365 应用启动器图标 ,然后选择“管理”。

  3. 在左下侧导航中,展开“管理中心”并选择“安全与合规”。

  4. 在打开的“安全与合规”页面中,展开“邮件流”,然后选择“邮件跟踪”。

“邮件跟踪”页面

在此页面,可以通过单击“启动跟踪”按钮,启动新的默认跟踪。这样将搜索最近两天所有发件人和收件人的所有邮件。或者可以使用可用查询类别中的其中一个已存储查询,按原样运行该查询或将其用作自己查询的起点:

  • 默认查询:由 Office 365 提供的内置查询。

  • 自定义查询:由所在组织中的管理员保存的查询,供将来使用。

  • 已自动保存的查询:最近运行的最后 10 个查询。借助此列表,可轻松从上次离开的位置继续。

此页面上有用于已提交请求的可下载的报表部分,可在此处下载可供下载的报表。

用于新的邮件跟踪的选项

按发件人和收件人筛选

默认值是“所有发件人”和“所有收件人”,但可使用以下字段筛选结果:

  • 由以下人员发送:单击此字段可从组织中选择一个或多个发件人。还可以键入姓名,列表中的项目将按键入的内容进行筛选,就像搜索页面的操作方式一样。

  • 发送给以下人员:单击此字段可从组织中选择一个或多个收件人。

此外,可以键入外部发件人和收件人的电子邮件地址。支持通配符(*@contoso.comscot?@contoso.com),但不能同时在相同字段中使用多个通配符条目。

时间范围

默认值是“2 天”,但可以指定最多为 90 天的日期/时间范围。使用日期/时间范围时,请考虑以下问题:

  • 默认情况下,使用时间线在“滑块”视图中选择时间范围。只能选择显示的日期或时间设置。尝试选择中间值会将开始/结束气泡对齐到最近的显示设置。

    Office 365 安全与合规中心的新邮件跟踪中的滑块时间范围

    但是,也可以切换到“自定义”视图,可在此处指定“开始日期”和“结束日期”值(包括时间),还可以选择日期/时间范围的“时区”。请注意,“时区”设置适用于查询输入和查询结果。

    Office 365 安全与合规中心的新邮件跟踪中的自定义时间范围

    对于 10 天或更短时间,结果可通过“摘要”报表形式立即提供。如果指定的时间范围略大于 10 天,结果将延迟提供,因为结果只作为可下载的 CSV 文件(“增强型摘要”或“扩展型”报表)提供。

    有关不同报表类型的详细信息,请参阅本主题中的报表类型一节。

    注意:增强型摘要和扩展型报表通过使用归档的邮件跟踪数据备制,下载报表需要长达几个小时。可能还会在排队请求处理开始之前出现延迟,具体取决于同时提交报表请求的其他 Office 365 管理员人数。

  • 在“滑块”视图中保存查询可以保存相对时间范围(例如,从今天起 3 天内)。在“自定义”视图中保存查询可以保存绝对日期/时间范围(例如,2018-05-06 13:00 至 2018-05-08 18:00)。

更多搜索选项

发送状态

可以保留默认值“全部”处于选中状态,也可以选择以下值筛选结果:

  • 已送达:邮件已成功发送到所需目标。

  • 待处理:正在尝试或重新尝试发送邮件。

  • 展开:通讯组收件人先展开,然后才发送给组中的各个成员。

  • 失败:邮件未送达。

  • 已隔离:邮件已隔离(如垃圾邮件、批量邮件或钓鱼)。有关详细信息,请参阅 Office 365 中的已隔离电子邮件

  • 筛选为垃圾邮件:系统将邮件识别为垃圾邮件,并拒绝或阻止该邮件(未隔离)。

  • 获取状态:邮件最近由 Office 365 接收,但尚未提供其他状态数据。几分钟后回来查看。

注意:“待处理”、“已隔离”和“筛选为垃圾邮件”值仅适用于少于 10 天的搜索。另外,实际发送状态和已报告发送状态之间可能存在 5 到 10 分钟的延迟。

邮件 ID

这是在邮件头的“Message-ID:”头字段中找到的 Internet 邮件 ID(也称为客户端 ID)。用户可向你提供此值,用于调查特定的邮件。

该值在邮件的生命周期内是常数。对于在 Office 365 或 Exchange 中创建的邮件,值的格式为 <GUID@ServerFQDN>,包括尖括号 (< >)。例如,<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。其他邮件传递系统可以使用不同的语法或值。此值应该是唯一的,但并不是所有的电子邮件系统都严格遵守这个要求。如果对于来自外部源的传入邮件,“Message-ID:”头字段不存在或为空,则会分配任意值。

使用“邮件 ID”筛选结果时,请确保添加完整字符串,包括任何尖括号。

方向

可以保留默认值“全部”处于选中状态,或者选择“入站”(发送给组织中收件人的邮件)或“出站”(组织中的用户发送的邮件)筛选结果。

原始客户端 IP 地址

可以按客户端 IP 地址筛选结果,调查发送大量垃圾邮件或恶意软件的黑客计算机。尽管这些邮件似乎来自多个发件人,但很可能是同一台计算机生成的。

注意:客户端 IP 地址信息仅提供 10 天,并且仅在“增强型摘要”或“扩展型”报表(可下载的 CSV 文件)中提供。

选择报表类型

可用的报表类型有:

  • 摘要:如果时间范围小于 10 天,并且不需要其他筛选选项,则可用。单击“搜索”后,几乎立即提供结果。

  • 增强型摘要”或“扩展型”:这些报表仅作为可下载的 CSV 文件提供,并且无论时间范围如何,都需要一个或多个以下筛选选项:“由以下人员发送”、“发送给以下人员”或“邮件 ID”。可以为发件人或收件人使用通配符(例如,*@contoso.com)。

    注意:

    • 增强型摘要和扩展型报表通过使用归档的邮件跟踪数据备制,下载报表需要长达几个小时。根据同时提交报表请求的其他 Office 365 管理员人数,可能还会在开始处理排队请求之前发现延迟。

    • 尽管可以选择任何日期/时间范围的“增强型摘要”或“扩展型”报表,但通常最后四小时的存档数据不会为这两种类型的报表提供。

单击“下一步”后,可看到摘要页面,其中列出已选择的筛选选项、报表的唯一(可编辑)标题以及在邮件跟踪完成时接收通知的电子邮件地址(也可编辑,且必须位于所在组织的一个可接受域中)。单击“准备报表”,提交邮件跟踪。在“邮件跟踪”主页面,可以在“可下载的报表”部分查看报表的状态。

要深入了解以不同的报表类型返回的信息,请参阅下一节。

邮件跟踪结果

不同的报表类型返回不同级别的信息。以下各节介绍不同报表中提供的信息。

摘要报表输出

运行邮件跟踪后,将按降序的日期/时间(最近的日期位于首位)顺序列出结果。

Office 365 安全与合规中心中的邮件跟踪汇总报表结果

摘要报表包含以下信息:

  • 日期:服务收到邮件的日期及时间(使用配置的 UTC 时区)。

  • 发件人:发件人的电子邮件地址(别名@域)。

  • 收件人:一个或多个收件人的电子邮件地址。对于发送给多个收件人的邮件,每个收件人对应一行。如果收件人是通讯组、动态通讯组或已启用邮件的安全组,则该组将是第一个收件人,该组的每个成员都在单独一行上。

  • 主题:邮件的 Subject: 字段的前 256 个字符。

  • 状态:这些值在发送状态一节中介绍。

默认情况下,加载前 250 个结果,并随时可用。向下滚动时,加载下一批结果时会略有暂停。除滚动操作外,还可以单击“全部加载”,加载最多 10,000 条结果。

可以单击列标题,根据该列中的值按升序或降序对结果进行排序。

可以单击“筛选结果”,按一列或多列筛选结果。

可在选择一行或多行后,导出结果,方法是单击“导出结果”,然后选择“导出所有结果”、“导出已加载的结果”或“导出已选中结果”。

查找此邮件的相关记录

相关的邮件记录是共享同一邮件 ID 的记录。请记住,即使是在两个人之间发送的单个邮件也可能生成多条记录。邮件受通讯组扩展、转发、邮件流规则(也称为传输规则)等影响时,记录数将增加。

选择某一行的复选框后,通过单击显示的“查找相关项”按钮,或者通过选择“更多选项”( 更多 ) >“查找此邮件的相关记录”,查找邮件的相关记录。

有关邮件 ID 的详细信息,请参阅本主题前述的邮件 ID 一节。

邮件跟踪详细信息

在汇总报表输出中,可以通过使用以下任一方法查看有关邮件的详细信息:

  • 选择行(单击行中复选框外的任意位置)。

  • 选择行的复选框,然后单击“更多选项”( 更多 ) >“查看邮件详细信息”。

在 Office 365 安全与合规中心的邮件跟踪结果汇总报表中双击某一行,显示出的详细信息

邮件跟踪详细信息包含以下未显示在摘要报表中的附加信息:

  • 邮件事件:本节包含在对由服务对邮件执行的操作进行分类时提供帮助的分类。你可能会遇到一些非常有趣的事件:

    • 接收:邮件已由服务接收。

    • 发送:邮件已由服务发送。

    • 失败:邮件未能送达。

    • 送达:邮件已送达邮箱。

    • 展开:邮件已发送到已展开的通讯组。

    • 传输:因内容转换、邮件收件人限制或代理,收件人已移动到分支邮件。

    • 延迟:邮件传递延迟,稍后可能重试。

    • 已解决:邮件已基于 Active Directory 查找重定向到新的收件人地址。当发生这种情况时,原始收件人地址会被列在邮件跟踪中的单独一行,包括邮件的最终传递状态。

    请注意,即使是成功送达的普通邮件也会在邮件跟踪中生成多条“事件”条目。

  • 更多信息:本节包含以下详细信息:

    • 邮件 ID:此值在本主题前述邮件 ID 一节中曾有介绍。例如,<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>

    • 邮件大小

    • 自 IP:发送邮件的计算机的 IP 地址。对于从 Exchange Online 发送的出站邮件,该值是空值。

    • 至 IP:服务尝试将邮件传递到的一个或多个 IP 地址。如果邮件有多个收件人,会显示这些收件人。对于发送到 Exchange Online 的入站邮件,该值是空值。

增强型摘要报表

可用(已完成)的增强型摘要报表在邮件跟踪开头的“可下载的报表”部分提供。报表中提供以下信息:

  • origin_timestamp*:服务最初收到邮件的日期及时间(使用配置的 UTC 时区)。

  • sender_address:发件人的电子邮件地址(别名@域)。

  • Recipient_status:发送给收件人的邮件的投递状态。如果邮件发送给多个收件人,将显示所有的收件人及其各自的对应状态,格式为:<电子邮件地址>##<状态>。例如:

    • ##接收,发送表示邮件已由服务接收,并且已发送到预期目标。

    • ##接收,失败表示邮件已由服务接收,但未能发送到所需目标。

    • ##接收,已送达表示邮件已由服务接收,并且已经送达收件人的邮箱。

  • message_subject:邮件的“主题”字段的前 256 个字符。

  • total_bytes:以字节为单位的邮件大小,包括附件。

  • message_id:此值在本主题前述邮件 ID 一节中曾有介绍。例如,<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>

  • network_message_id:唯一的邮件 ID 值,因拆分或通讯组扩展而创建,且在所有邮件副本中均保持有效。示例值为 1341ac7b13fb42ab4d4408cf7f55890f

  • original_client_ip:发件人的客户端 IP 地址。

  • directionality:表示邮件是以入站方式 (1) 发送到组织,还是以出站方式 (2) 从组织发出。

  • connector_id:源或目标连接器的名称。有关 Exchange Online 中连接器的详细信息,请参阅。

  • delivery_priority*:表示邮件发送的优先级为“”、“”还是“普通”。

* 这些属性仅在增强型摘要报表中可用。

扩展型报表

可用(已完成)的扩展型报表在邮件跟踪开头的“可下载的报表”部分提供。增强型摘要报表报告的几乎所有信息都可以在扩展型报表中找到,但“origin_timestamp”和“delivery_priority”除外。以下附加信息仅在扩展型报表中提供:

  • client_ip:提交邮件的电子邮件服务器或邮件传递客户端的 IP 地址。

  • client_hostname:提交邮件的电子邮件服务器或邮件传递客户端的主机名或 FQDN。

  • server_ip:源服务器或目标服务器的 IP 地址。

  • server_hostname:目标服务器的主机名或 FQDN。

  • source_context:与“source”字段相关联的额外信息。例如:

    • Protocol Filter Agent

    • 3489061114359050000

  • source:负责事件的 Exchange Online 组件。例如:

    • AGENT

    • MAILBOXRULE

    • SMTP

  • event_id:这些内容对应于邮件跟踪详细信息一节中介绍的“邮件事件”值。

  • internal_message_id:由当前正在处理邮件的 Exchange Online 服务器所分配的邮件标识符。

  • recipient_address:邮件收件人的电子邮件地址。多个电子邮件地址通过分号字符 (;) 分隔。

  • recipient_count:邮件中的收件人总数。

  • related_recipient_address:与 EXPANDREDIRECTRESOLVE 事件一起使用来显示与邮件相关联的其他收件人电子邮件地址。

  • reference:此字段包含特定类型事件的其他信息。例如:

    • DSN:包含报告链接,如果 DSN 是在事件发生之后生成的,则该报告链接为相关传递状态通知(也称为 DSN、未送达报告、NDR 或退回邮件)的 message_id 值。如果这是 DSN 邮件,此字段则包含生成该 DSN 的原始邮件的 message_id 值。

    • EXPAND:包含相关邮件的 related_recipient_address 值。

    • RECEIVE:如果由其他进程(例如收件箱规则)生成邮件,则可能包含相关邮件的 message_id 值。

    • SEND:包含任何 DSN 邮件的 internal_message_id 值。

    • TRANSFER:包含分叉(例如,因内容转换、邮件收件人限制或代理)邮件的 internal_message_id 值。

    • MAILBOXRULE:包含使收件箱规则生成出站邮件的入站邮件的 internal_message_id 值。

    对于其他类型的事件,此字段通常为空。

  • return_path:由发送邮件的 MAIL FROM 命令指定的返回电子邮件地址。尽管此字段从不为空,但它可以有表示为 <> 的空发件人地址值。

  • message_info:有关该邮件的其他信息。例如:

    • DELIVERSEND 事件的邮件起始 UTC date-time。起始 date-time 是邮件首次进入 Exchange Online 组织的时间。UTC date-time 以 ISO 8601 date-time 格式表示:yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年,mm = 月,dd = 日,T 表示时间部分的开始,hh = 时,mm = 分,ss = 秒,fff = 小数秒,Z 表示 UTC 的另一种表示方式 Zulu

    • 身份验证错误。例如,可以看到身份验证出错时所使用的值 11a 和身份验证类型。

  • tenant_id:表示 Exchange Online 组织的 GUID 值(例如,39238e87-b5ab-4ef6-a559-af54c6b07b42)。

  • original_server_ip:原始服务器的 IP 地址。

  • custom_data:包含与特定事件类型相关的数据。有关详细信息,请参阅以下章节。

custom_data 值

各种 Exchange Online 代理使用 AGENTINFO 事件的 custom_data 字段记录邮件处理详细信息。以下部分介绍一些有趣的代理。

垃圾邮件筛选器代理

S:SFA 开头的 custom_data 值来自垃圾邮件筛选器代理。关键详细信息如下表所述:

说明

SFV=NSPM

邮件已标记为非垃圾邮件,并已发送到目标收件人。

SFV=SPM

邮件已被内容筛选器标记为垃圾邮件。

SFV=BLK

筛选已跳过,邮件已被阻止,这是因为该邮件来自被阻止的发件人。

SFV=SKS

在内容筛选器处理之前,邮件已被标记为垃圾邮件。 这包括邮件与自动标记为垃圾邮件的传输规则相匹配而绕过所有其他筛选的情况。

SCL=<number>

有关不同的 SCL 值及其含义的详细信息,请参阅垃圾邮件可信度级别

PCL=<number>

邮件的网络钓鱼可信度级别 (PCL) 值。这些数值可按照与垃圾邮件可信度级别中介绍的 SCL 值相同的方式进行解释。

DI=SB

被阻止邮件的发件人。

DI=SQ

邮件已隔离。

DI=SD

邮件已删除。

DI=SJ

邮件已发送到收件人的“垃圾邮件”文件夹。

DI=SN

邮件已通过高风险传递池路由。有关详细信息,请参阅出站邮件的高风险传递池

DI=SO

邮件已通过普通出站传递池路由。

SFS=[a]|SFS=[b]

这表示与垃圾邮件规则相匹配。

IPV=CAL

邮件已允许通过垃圾邮件筛选器,因为其 IP 地址是连接筛选器的 IP 允许列表中指定的 IP 地址。

H=<EHLOstring>

连接电子邮件服务器的 HELO 或 EHLO 字符串。

PTR=<ReverseDNS>

发送方 IP 地址的 RTP 记录,也称为反向 DNS 地址。

对其进行垃圾邮件筛选的邮件的示例 custom_data 值如下:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

恶意软件筛选器代理

S:AMA 开头的 custom_data 值来自恶意软件筛选器代理。关键详细信息如下表所述:

说明

AMA=SUM|v=1|AMA=EV|v=1

邮件已确定包含恶意软件。SUM 表示恶意软件可能已被任意数量的引擎检测到。EV 表示由特定引擎检测到的恶意软件。如果一个引擎检测到恶意软件,将触发后续操作。

Action=r

邮件已替换。

Action=p

邮件已绕过。

Action=d

邮件已延迟。

Action=s

邮件已删除。

Action=st

邮件已绕过。

Action=sy

邮件已绕过。

Action=ni

邮件已被拒绝。

Action=ne

邮件已被拒绝。

Action=b

邮件已被阻止。

Name=<malware>

检测到的恶意软件的名称。

File=<filename>

包含恶意软件的文件的名称。

包含恶意软件的邮件的示例 custom_data 值如下:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

传输规则代理

S:TRA 开头的 custom_data 值来自邮件流规则(也称为传输规则)的传输规则代理。关键详细信息如下表所述:

说明

ETR|ruleId=<guid>

匹配规则 ID。

St=<datetime>

规则匹配发生时的日期和时间(采用 UTC)。

Action=<ActionDefinition>

执行的操作。有关可用操作的列表,请参阅 Exchange Online 中的邮件流规则操作

Mode=<Mode>

规则的模式。有效值为:

  • 强制:强制执行规则中的所有操作。

  • 带有策略提示的测试:发送任意策略提示操作,但不会执行其他强制操作。

  • 不带策略提示的测试:在日志文件中列出操作,但不会以任何方式通知发件人,并且不会执行强制操作。

匹配邮件流规则条件的邮件的示例 custom_data 值如下:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×