Office 365 安全性與合規性中心的訊息追蹤

Office 365 安全性與合規性中心內的訊息追蹤可追蹤透過 Exchange Online 組織收發的電子郵件訊息。您可以判斷服務是否已經收到、拒絕、延遲或傳遞郵件。它也會顯示在郵件到達其最終狀態前,已對郵件執行哪些動作。

安全性與合規性中心內的訊息追蹤改善了 Exchange 系統管理中心 (EAC) 內所提供的訊息追蹤。您可以使用來自訊息追蹤的資訊,有效率地回答使用者其郵件有何變化的相關問題、疑難排解郵件流程問題,以及驗證原則變更。

開啟訊息追蹤

  1. 登入 Office 365

  2. 選取左上角的應用程式啟動器圖示 Office 365 應用程式啟動器圖示 ,然後選擇 [系統管理]。

  3. 在左下方瀏覽區域中,展開 [系統管理中心],然後選取 [安全性與合規性]。

  4. 在隨即開啟的 [安全性與合規性] 頁面中,展開 [郵件流程],然後選取 [訊息追蹤]。

[訊息追蹤] 頁面

您可以按一下 [開始追蹤] 按鈕,從這裡開始新的預設追蹤。這會搜尋過去兩天的所有寄件者和收件者的所有郵件。或者,您也可以從可用的查詢類別使用其中一個已儲存的查詢,並且依現狀執行它們或將它們用來做為您自己的查詢起點:

  • 預設查詢:Office 365 提供的內建查詢。

  • 自訂查詢:貴組織的系統管理員所儲存的查詢,可供日後使用。

  • 自動儲存的查詢:過去十筆最近執行的查詢。此清單可讓您輕鬆繼續進行您上次未完成的工作。

此外,此頁面也提供一個 [可下載的報告] 區段,顯示您已提交的要求,以及本身可供下載的報告。

新訊息追蹤的選項

依寄件者和收件者篩選

預設值為 [所有寄件者] 和 [所有收件者],但您可以使用下列欄位來篩選結果:

  • 依據這些人:在此欄位中按一下以選取貴組織中的一或多個寄件者。您也可以開始輸入名稱,然後清單中的項目將依據您輸入的內容進行篩選,就像搜尋頁面的運作方式一樣。

  • 給這些人:在此欄位中按一下以選取貴組織中的一或多個收件者。

您也可以輸入外部寄件者和收件者的電子郵件地址。支援萬用字元 (*@contoso.comscot?@contoso.com),但您無法同時在相同的欄位中使用多個萬用字元項目。

時間範圍

預設值為 [2 天],但您最多可指定 90 天的日期/時間範圍。當您使用日期/時間範圍時,請考慮這些問題:

  • 根據預設,您使用時間線在 [滑桿] 檢視中選取時間範圍。您只能選取顯示的天數或時間設定。嘗試選取介於中間的值會讓開始/結束泡泡貼齊最近的顯示設定。

    Office 365 安全性與合規性中心的新增訊息追蹤內的滑桿時間範圍

    不過,您也可以切換到 [自訂] 檢視,您可以在該檢視中指定 [開始日期] 和 [結束日期] 值 (包括時間),而且還可以選取日期/時間範圍的 [時區]。請注意,[時區] 設定會同時套用到您的查詢輸入和查詢結果。

    Office 365 安全性與合規性中心的新增訊息追蹤內的自訂時間範圍

    10 天內的結果會立即以 [摘要] 報告的形式提供。如果您指定甚至稍微大於 10 天的時間範圍,結果將會顯示為只能以可下載的 CSV 檔案形式提供 ([增強摘要] 或 [延伸] 報告)。

    如需有關各種不同報告類型的詳細資訊,請參閱本主題中的<報告類型>一節。

    附註:系統會使用封存的訊息追蹤資料來準備 [增強摘要] 和 [延伸] 報告,而且最多可能需要數小時的時間,才能下載您的報告。根據有多少個其他 Office 365 系統管理員也已同時提交報告要求而定,您可能也會在系統開始處理您的佇列要求前察覺到延遲的情形。

  • 在 [滑桿] 檢視中儲存查詢會儲存相對的時間範圍 (例如,今天起 3 天之後的日期)。在 [自訂] 檢視中儲存查詢會儲存絕對的日期/時間範圍 (例如,2018-05-06 13:00 到 2018-05-08 18:00)。

其他搜尋選項

傳遞狀態

您可以將預設值 [全部] 保留為選取狀態,或者也可以選取下列其中一個值來篩選結果:

  • 已傳遞:郵件已成功傳遞到預定目的地。

  • 擱置:仍在嘗試或正在重新嘗試傳遞郵件。

  • 已展開:在傳遞到群組的個別成員之前,已展開通訊群組收件者。

  • 失敗:未傳遞郵件。

  • 已隔離:已隔離郵件 (垃圾郵件、大宗郵件或網路釣魚)。如需詳細資訊,請參閱在 Office 365 中隔離電子郵件訊息

  • 篩選為垃圾郵件:已將郵件識別為垃圾郵件,而且已拒絕或封鎖該郵件 (未隔離)。

  • 正在取得狀態:Office 365 最近已收到郵件,但還沒有其他狀態資料。請在幾分鐘後再回來查看。

附註:只有小於 10 天的搜尋,才能使用 [擱置]、[已隔離] 和 [篩選為垃圾郵件] 這些值。此外,實際和報告的傳遞狀態之間可能會有 5 到 10 分鐘的延遲。

郵件識別碼

這是網際網路郵件識別碼 (也稱為「用戶端識別碼」),可在郵件標頭的 [郵件識別碼:] 標頭欄位中找到。使用者可將此值提供給您,以便您調查特定郵件。

此值在郵件的存留期內為常數。針對在 Office 365 或 Exchange 中建立的郵件,此值的格式為 <GUID@ServerFQDN>,包括角括號 (< >)。例如,<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>。其他郵件系統可能會使用不同的語法或值。此值應為唯一的狀態,但並非所有電子郵件系統都會嚴格遵循此要求。如果來自外部來源的內送郵件的 [郵件識別碼:] 標頭欄位不存在或空白,則會指派任意值。

當您使用 [郵件識別碼:] 來篩選結果時,請務必包含完整的字串,包括任何角括號。

方向

您可以將預設值 [全部] 保留為選取狀態,或者也可以選取 [內送] (傳送給貴組織中收件者的郵件) 或 [外寄] (貴組織中使用者所傳送的郵件) 來篩選結果。

原始用戶端 IP 位址

您可以依據用戶端 IP 位址篩選結果,來調查傳送大量垃圾郵件或惡意程式碼,所以遭到駭客入侵的電腦。雖然郵件看起來可能像是來自多個寄件者,真實的情況有可能是來自產生所有這些郵件的同一部電腦。

附註:用戶端 IP 位址資訊只有在 10 天內可供使用,而且只能在 [增強摘要] 或 [延伸] 報告中取得 (可下載的 CSV 檔案)。

選擇報告類型

提供下列報告類型:

  • 摘要:適用於時間範圍小於 10 天,且不需要任何額外篩選選項的情況。幾乎可在按一下 [搜尋] 後立即取得結果。

  • 增強摘要延伸:這些報告僅以可下載的 CSV 檔案形式提供,而且需要下列一或多個篩選選項 (無論時間範圍為何):[依據這些人]、[給這些人] 或 [郵件識別碼]。您可以將萬用字元用於寄件者或收件者 (例如,*@contoso.com)。

    附註

    • 系統會使用封存的訊息追蹤資料來準備 [增強摘要] 和 [延伸] 報告,而且最多可能需要數小時的時間,才能下載您的報告。根據有多少個其他 Office 365 系統管理員也已同時提交報告要求而定,您可能也會在系統開始處理您的佇列要求前察覺到延遲的情形。

    • 雖然您可以選取任何日期/時間範圍的 [增強摘要] 或 [延伸] 報告,通常將還無法取得這兩種報告類型過去四個小時的封存資料。

當您按一下 [下一步] 時,會呈現列出您已選取的篩選選項的摘要頁面、唯一 (可編輯) 的報告標題,以及在訊息追蹤完成時接收通知的電子郵件地址 (也可編輯,而且必須位於貴組織的其中一個可接受的網域中)。按一下 [準備報告] 來提交訊息追蹤。在主要的 [訊息追蹤] 頁面上,您可以在 [可下載的報告] 區段中查看報告狀態。

如需有關各種不同報告類型中傳回資訊的詳細資訊,請參閱下一節。

訊息追蹤結果

不同的報告類型會傳回不同程度的資訊。下列各節將說明各種不同報告中所提供的資訊。

摘要報告輸出

執行訊息追蹤之後,將會列出結果,並依遞減日期/時間進行排序 (先列出最近的項目)。

Office 365 安全性與合規性中心的訊息追蹤摘要報告結果

摘要報告包含下列資訊:

  • 日期:服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。

  • 寄件者:寄件者的電子郵件地址 (別名@網域)。

  • 收件者:一或多個收件者的電子郵件地址。針對傳送給多個收件者的郵件,每個收件者各有一行。如果收件者是通訊群組、動態通訊群組或具備郵件功能的安全性群組,群組將會是第一個收件者,然後每個群組成員會列在個別的行中。

  • 主旨:郵件的 Subject: 欄位的前 256 個字元。

  • 狀態:這些值在<傳遞狀態>一節中有相關說明。

根據預設,會載入前 250 筆結果,而且可供使用。當您向下捲動時,在載入下一批結果時有稍微停頓的情形。您可以按一下 [全部載入] 來載入所有結果 (最多 10,000 筆),而不使用捲動的方式。

您可以按一下欄標頭,依該欄中的值以遞增或遞減順序排序結果。

您可以按一下 [篩選結果] 來依一或多個欄篩選結果。

您可以按一下 [匯出結果],然後選取 [匯出所有結果]、[匯出載入的結果] 或 [匯出選取項目],以在選取一或多列後匯出結果。

尋找此郵件的相關記錄

相關郵件記錄是擁有相同 [郵件識別碼] 的記錄。請記得,甚至兩個人之間所傳送的單一郵件都會產生多筆記錄。在郵件受到通訊群組展開、轉寄、郵件流程規則 (也稱為傳輸規則) 等因素影響時,郵件數目也會增加。

選取某一列的核取方塊之後,您可以按一下出現的 [尋找相關內容] 按鈕,或選取 [其他選項] ( 其他 ) > [尋找此訊息的相關記錄]),以尋找郵件的相關記錄。

如需有關郵件識別碼的詳細資訊,請參閱本主題先前所述的<郵件識別碼>一節。

訊息追蹤詳細資料

在摘要報告輸出中,您可以使用下列任一方法檢視郵件的相關詳細資料:

  • 選取列 (按一下列中的任何位置,除了核取方塊以外)。

  • 選取列的核取方塊,然後按一下 [其他選項] ( 其他 ) > [檢視訊息詳細資料]。

在 Office 365 安全性與合規性中心的訊息追蹤摘要報告結果資料列上按兩下後的詳細資料

訊息追蹤詳細資料包含摘要報告中未呈現的下列額外資訊:

  • 郵件事件:此區段包含多種分類,可協助針對服務在郵件上執行的動作進行分類。以下是某些您可能會遇到的更有趣的事件:

    • 接收:服務收到郵件。

    • 傳送:服務寄出的郵件。

    • 失敗:無法傳遞郵件。

    • 傳遞:郵件已傳遞到信箱。

    • 展開:郵件已傳送到展開的通訊群組。

    • 轉換:因為內容轉換、郵件收件者限制或代理程式的緣故,收件者已移至傳遞路徑分為兩條的郵件。

    • 延遲:郵件傳遞已延遲,且稍後可能再試。

    • 已解決:根據 Active Directory 查閱,已將郵件重新導向到新的收件者地址。發生此情況時,原始收件者地址會伴隨著郵件的最終傳遞狀態,出現在訊息追蹤中的另一列。

    請注意,甚至一封已成功傳遞的普通郵件都會在訊息追蹤中產生多個 [事件] 項目。

  • 其他資訊:此區段包含下列詳細資料:

    • 郵件識別碼:此值在本主題先前所述的<郵件識別碼>一節中有相關說明。例如,<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>

    • 郵件大小

    • 來源 IP:傳送郵件的電腦 IP 位址。對於從 Exchange Online 傳送的外寄郵件,此值為空白。

    • 目標 IP:服務嘗試傳遞郵件的一或多個目標 IP 位址。如有郵件有多個收件者,則會顯示這些位址。對於傳送到 Exchange Online 的內送郵件,此值為空白。

增強摘要報告

您可以在訊息追蹤開頭的 [可下載的報告] 區段中取得可用 (已完成) 的 [增強摘要] 報告。報告提供下列資訊:

  • origin_timestamp*:服務一開始接收到郵件的日期和時間 (使用設定的 UTC 時區)。

  • sender_address:寄件者的電子郵件地址 (別名@網域)。

  • Recipient_status:將郵件傳送給收件者的傳遞狀態。如果郵件傳送給多個收件者,則會顯示所有收件者,以及與每個收件者所對應的狀態,這些資訊會以 <電子郵件地址>##<狀態> 的格式顯示。例如:

    • ##接收、傳送表示郵件已由服務接收,而且已傳送到預定的目的地。

    • ##接收、失敗表示郵件已由服務接收,但無法傳遞到預定的目的地。

    • ##接收、傳遞表示郵件已由服務接收,而且已傳遞到收件者的信箱。

  • message_subject:郵件的 [主旨] 欄位的前 256 個字元。

  • total_bytes:郵件大小 (以位元組為單位),包括附件。

  • message_id:此值在本主題先前所述的<郵件識別碼>一節中有相關說明。例如,<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>

  • network_message_id:唯一的郵件識別碼值,會持續存在於郵件可能因為複本發送或通訊群組展開等原因而產生的所有複本上。例如,此值可能為 1341ac7b13fb42ab4d4408cf7f55890f

  • original_client_ip:寄件者的用戶端 IP 位址。

  • directionality:表示郵件是內送 (1) 到您的組織,或由您的組織外寄 (2)。

  • connector_id:來源或目的地連接器的名稱。如需有關 Exchange Online 中的連接器的詳細資訊,請參閱:

  • delivery_priority*:傳送優先順序是否為 [高]、[低] 或 [標準] 的郵件。

* 只有 [增強摘要] 報告才會提供這些屬性。

[延伸] 報告

您可以在訊息追蹤開頭的 [可下載的報告] 區段中取得可用 (已完成) 的 [延伸] 報告。幾乎所有來自 [增強摘要] 報告的資訊都可在 [延伸] 報告中取得 (除了 origin_timestampdelivery_priority 以外)。下列額外資訊只有在 [延伸] 報告中才能取得:

  • client_ip:已提交郵件之電子郵件伺服器或郵件用戶端的 IP 位址。

  • client_hostname:已提交郵件之電子郵件伺服器或郵件用戶端的主機名稱或 FQDN。

  • server_ip:來源或目的地伺服器的 IP 位址。

  • server_hostname:目的地伺服器的主機名稱或 FQDN。

  • source_context:與 source 欄位相關聯的額外資訊。例如:

    • Protocol Filter Agent

    • 3489061114359050000

  • source:負責事件的 Exchange Online 元件。例如:

    • AGENT

    • MAILBOXRULE

    • SMTP

  • event_id:這些對應到訊息追蹤詳細資料>一節中所說明的 [郵件事件] 值。

  • internal_message_id:目前正在處理郵件之 Exchange Online 伺服器所指派的郵件識別碼。

  • recipient_address:郵件收件者的電子郵件地址。多個電子郵件地址會以分號字元 (;) 隔開。

  • recipient_count:郵件中的收件者總人數。

  • related_recipient_address:與 EXPANDREDIRECTRESOLVE 事件搭配使用,顯示與郵件相關聯的其他收件者電子郵件地址。

  • reference:此欄位包含特定事件類型的其他資訊。例如:

    • DSN:包含報告連結,也就是在此事件後續產生 DSN 的情況下,相關聯之傳遞狀態通知 (也稱為 DSN、未傳遞回報、NDR 或退回的郵件) 的 message_id 值。如果這是 DSN 郵件,此欄位會包含產生 DSN 之原始郵件的 message_id 值。

    • EXPAND:包含相關郵件的 related_recipient_address 值。

    • RECEIVE:如果郵件是由其他程序 (例如 [收件匣] 規則) 所產生,可能會包含相關郵件的 message_id 值。

    • SEND:包含任何 DSN 郵件的 internal_message_id 值。

    • TRANSFER:包含分支之郵件的 internal_message_id 值 (例如,由於內容轉換、郵件收件者限制或代理程式)。

    • MAILBOXRULE:包含導致 [收件匣] 規則產生外寄郵件之內送郵件的 internal_message_id 值。

    對於其他類型的事件,此欄位通常為空白。

  • return_path:已傳送郵件之 [電子郵件寄件者] 命令所指定的退回電子郵件地址。雖然此欄位絕對不會是空白,但會以 <> 來表示 Null 寄件者地址值。

  • message_info:郵件的其他相關資訊。例如:

    • DELIVERSEND 事件的郵件來源日期時間 (以 UTC 表示)。來源日期時間指的是郵件第一次進入 Exchange Online 組織的時間。UTC 日期時間是以 ISO 8601 日期時間格式表示:yyyy-mm-ddThh:mm:ss.fffZ,其中 yyyy = 年、mm = 月、dd = 日、T 表示時間元件的開始、hh = 小時、mm = 分、ss = 秒、fff = 秒數中的小數,而 Z 則表示 Zulu,這是表示 UTC 的另一種方法。

    • 驗證錯誤。例如,您可能會看見值 11a,以及發生驗證錯誤時所使用的驗證類型。

  • tenant_id:代表 Exchange Online 組織的 GUID 值 (例如,39238e87-b5ab-4ef6-a559-af54c6b07b42)。

  • original_server_ip:原始伺服器的 IP 位址。

  • custom_data:包含特定事件類型的相關資料。如需詳細資訊,請參閱下列各節:

custom_data 值

各種 Exchange Online 代理程式會使用 AGENTINFO 事件的 custom_data 欄位來記錄郵件處理詳細資料。下列各節說明某些更有趣的代理程式。

垃圾郵件篩選器代理程式

S:SFA 做為開頭的 custom_data 值是來自垃圾郵件篩選器代理程式。下表說明重要的詳細資料:

描述

SFV=NSPM

郵件已標示為非垃圾郵件,並傳送給預定的收件者。

SFV=SPM

郵件已由內容篩選器標示為垃圾郵件。

SFV=BLK

已略過篩選且已封鎖郵件,因為郵件是來自封鎖的寄件者。

SFV=SKS

郵件先被標示為垃圾郵件,再由內容篩選器進行處理。這包括與傳輸規則相符而被自動標示為垃圾郵件,並略過所有其他篩選的郵件。

SCL=<number>

如需有關各種不同的 SCL 值和其代表意義的詳細資訊,請參閱垃圾郵件信賴等級

PCL=<number>

郵件的網路釣魚信賴等級 (PCL) 值。這些值的解讀方式與垃圾郵件信賴等級中所載的 SCL 值解讀方式相同。

DI=SB

郵件的寄件者遭封鎖。

DI=SQ

郵件遭隔離。

DI=SD

郵件已刪除。

DI=SJ

郵件被傳送到收件者的 [垃圾郵件] 資料夾。

DI=SN

郵件以經由較高風險傳遞區的方式傳送。如需詳細資訊,請參閱外寄郵件的較高風險傳遞集區

DI=SO

郵件以經由一般外寄傳遞區的方式傳送。

SFS=[a]|SFS=[b]

這表示與垃圾郵件的規則相符。

IPV=CAL

允許郵件通過垃圾郵件篩選,因為 IP 位址已在連線篩選器中的 IP 允許清單內。

H=<EHLOstring>

連線電子郵件伺服器的 HELO 或 EHLO 字串。

PTR=<ReverseDNS>

傳送 IP 位址的 PTR 記錄,又稱為反向 DNS 網址。

篩選出垃圾郵件之郵件的 custom_data 範例值,例如:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

惡意程式碼篩選代理程式

S:AMA 做為開頭的 custom_data 值是來自惡意程式碼篩選器代理程式。下表說明重要的詳細資料:

描述

AMA=SUM|v=1|AMA=EV|v=1

郵件已被判定為包含惡意程式碼。SUM 表示任何數量的引擎都可能偵測到惡意程式碼。EV 表示一個特定引擎偵測到惡意程式碼。引擎偵測到惡意程式碼時,會觸發下列動作。

Action=r

郵件已被取代。

Action=p

郵件已被略過。

Action=d

郵件已延遲。

Action=s

郵件已刪除。

Action=st

郵件已被略過。

Action=sy

郵件已被略過。

Action=ni

郵件已被拒絕。

Action=ne

郵件已被拒絕。

Action=b

郵件已被封鎖。

Name=<malware>

偵測到之惡意程式碼的名稱。

File=<filename>

內含惡意程式碼之檔案的名稱。

內含惡意程式碼之郵件的 custom_data 範例值看起來像這樣:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

傳輸規則代理程式

S:TRA 做為開頭的 custom_data 值是來自郵件流程規則 (也稱為傳輸規則) 的傳輸規則代理程式。下表說明重要的詳細資料:

描述

ETR|ruleId=<guid>

相符的規則識別碼。

St=<datetime>

規則相符時的日期和時間 (以 UTC 表示)。

Action=<ActionDefinition>

已套用的動作。如需可用動作的清單,請參閱 Exchange Online 中的郵件流程規則動作

Mode=<Mode>

規則的模式。有效的值如下:

  • 強制執行:強制執行規則中的所有動作。

  • 包含原則提示的測試:任何原則提示動作都會傳送,但不會執行其他強制執行的動作。

  • 不使用原則提示進行測試:動作會列在記錄檔中,但不會以任何方式通知寄件者,也不會執行強制執行的動作。

符合郵件流程規則條件之郵件的 custom_data 範例值看起來像這樣:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×