Traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange in Exchange Online
La traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange (EAC) segue i messaggi di posta elettronica durante il viaggio attraverso l'organizzazione di Microsoft 365. È possibile determinare se il servizio ha ricevuto, rifiutato, rinviato o recapitato un messaggio. La traccia del messaggio mostra anche quali azioni sono state eseguite sul messaggio prima che raggiungesse lo stato finale.
La traccia dei messaggi nella nuova interfaccia di amministrazione di Exchange migliora la traccia del messaggio originale disponibile nell'interfaccia di amministrazione di Exchange classica. È possibile usare le informazioni della traccia dei messaggi per rispondere in modo efficiente alle domande degli utenti su ciò che è successo ai messaggi, per risolvere i problemi relativi al flusso di posta e per convalidare le modifiche ai criteri.
Che cosa è necessario sapere prima di iniziare?
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
Autorizzazioni di Exchange Online: appartenenza al gruppo di ruoli Gestione organizzazione .
Autorizzazioni di Microsoft Entra: l'appartenenza ai ruoli Amministratore* globale o Amministratore di Exchange offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Il numero massimo di messaggi visualizzati nei risultati dipende dal tipo di report selezionato. Per altre informazioni, vedere Risultati della traccia dei messaggi. Il cmdlet Get-HistoricalSearch in PowerShell di Exchange Online restituisce tutti i messaggi nei risultati.
Aprire la traccia dei messaggi
Nella nuova interfaccia di amministrazione di Exchange in https://admin.exchange.microsoft.compassare a Flusso di> postaTraccia messaggio. In alternativa, per passare direttamente alla pagina Traccia messaggi , usare https://admin.exchange.microsoft.com/#/messagetrace.
Pagina di traccia dei messaggi
Nella pagina Traccia messaggio è possibile avviare una nuova traccia predefinita selezionando Avvia traccia.
Nel riquadro a comparsa Nuova traccia messaggi visualizzato le selezioni predefinite cercano tutti i messaggi per tutti i mittenti e i destinatari degli ultimi due giorni. In alternativa, è possibile usare una delle query archiviate dalle schede disponibili (così come sono o come punti di partenza per le proprie query):
- Query predefinite: query predefinite fornite da Microsoft 365.
- Query personalizzate: query salvate dagli amministratori dell'organizzazione per un uso futuro.
- Query salvate automaticamente: le ultime 10 query eseguite più di recente. Questo elenco semplifica il ritiro da dove si è interrotto.
La scheda Report scaricabili mostra le richieste di report scaricabili e i report stessi quando sono disponibili per il download.
Opzioni per una nuova traccia dei messaggi
Le sezioni seguenti descrivono le impostazioni disponibili nel riquadro a comparsa Nuova traccia messaggi che viene aperto quando si seleziona Avvia una traccia o si apre una traccia esistente.
Mittenti e destinatari
Il valore predefinito per Mittenti e destinatari è Tutti, ma è possibile immettere valori specifici:
- Mittenti: fare clic nella casella e iniziare a digitare per immettere o selezionare uno o più mittenti dell'organizzazione.
- Destinatari: fare clic nella casella e iniziare a digitare per immettere o selezionare uno o più destinatari nell'organizzazione.
È possibile digitare gli indirizzi di posta elettronica di mittenti e destinatari esterni. I caratteri jolly sono supportati , ad esempio , *@contoso.com
ma non è possibile usare più caratteri jolly in un unico valore.
È possibile incollare più elenchi di mittenti o destinatari separati da punti e virgola (;
), spazi (\s
), ritorni a capo (\r
) o nuove righe (\n
).
Intervallo di tempo
Nella sezione Intervallo di tempo il valore predefinito è 2 giorni, ma è possibile specificare intervalli di data/ora fino a 90 giorni. Quando si usano intervalli di data/ora, considerare i problemi seguenti:
Per impostazione predefinita, è possibile selezionare l'intervallo di tempo nella visualizzazione Dispositivo di scorrimento usando una sequenza temporale.
Il salvataggio di una query nella visualizzazione Dispositivo di scorrimento consente di risparmiare l'intervallo di tempo relativo, ad esempio due giorni da oggi.
È possibile passare alla visualizzazione Intervallo di tempo personalizzato per specificare i valori seguenti:
- Fuso orario: si applica agli input di query e ai risultati delle query.
- Data di inizio: data e ora.
- Data di fine: data e ora.
Il salvataggio di una query nella visualizzazione Intervallo di tempo personalizzato consente di risparmiare l'intervallo di data/ora assoluto,
2023-05-06 13:00 to 2023-05-08 18:00
ad esempio .
Per 10 giorni o meno, i risultati sono immediatamente disponibili come report di riepilogo.
Se si specifica un intervallo di data/ora anche leggermente superiore a 10 giorni:
- I risultati sono disponibili solo come file CSV scaricabile (un report di riepilogo avanzato o un report esteso).
- I risultati vengono preparati usando i dati di traccia dei messaggi archiviati. Il download del report potrebbe richiedere alcune ore. A seconda del numero di altri amministratori che hanno anche inviato richieste di report nello stesso momento, è anche possibile notare un ritardo prima dell'avvio dell'elaborazione in una richiesta in coda.
Opzioni di ricerca dettagliate
Nella sezione Opzioni di ricerca dettagliate sono disponibili le opzioni seguenti:
Stato recapito: sono disponibili i valori seguenti:
- Tutto: questo è il valore predefinito.
- Recapitato: il messaggio è stato recapitato correttamente alla destinazione prevista.
- Espanso: un destinatario del gruppo di distribuzione è stato espanso prima del recapito ai singoli membri del gruppo.
- Non riuscito: il messaggio non è stato recapitato.
- In sospeso*: il recapito del messaggio viene tentato o tentato di nuovo.
- * In quarantena: il messaggio è stato messo in quarantena (come posta indesiderata, posta in blocco o phishing). Per altre informazioni, vedere Messaggi di posta elettronica in quarantena in EOP.
- Filtrato come posta indesiderata*: il messaggio è stato identificato come posta indesiderata ed è stato rifiutato o bloccato (non messo in quarantena).
- Recupero dello stato: Il messaggio è stato ricevuto di recente da Microsoft 365, ma non sono ancora disponibili altri dati sullo stato. È possibile controllare di nuovo entro pochi minuti.
* Questo valore è disponibile solo nelle ricerche inferiori a 10 giorni. Se è necessario eseguire query sui dati precedenti a 10 giorni, usare il cmdlet Start-HistoricalSearch in PowerShell di Exchange Online.
Nota
potrebbe verificarsi un ritardo di cinque o dieci minuti tra i valori di stato del recapito segnalato e effettivo e segnalato.
ID messaggio: ID messaggio Internet (noto anche come ID client) trovato nel campo Intestazione Message-ID nell'intestazione del messaggio. Gli utenti possono fornire questo valore per analizzare messaggi specifici.
Questo valore rimane immutato per tutta la durata del messaggio. Per i messaggi creati in Microsoft 365 o Exchange, il valore id messaggio usa il formato
<GUID@ServerFQDN>
, incluse le parentesi angolate. Ad esempio,<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
. Altri sistemi di posta elettronica potrebbero usare sintassi o valori diversi. Questo valore dovrebbe essere univoco, ma non tutti i sistemi di posta elettronica seguono rigorosamente questo requisito. Se il campo Message-ID: header non esiste o è vuoto per i messaggi in ingresso provenienti da origini esterne, viene assegnato un valore arbitrario.Quando si usa l'ID messaggio per filtrare i risultati, assicurarsi di includere la stringa completa, incluse le parentesi angolate.
ID messaggio di rete: l'ID messaggio di rete è un valore univoco dell'ID messaggio che prevale tra le copie del messaggio che possono essere create a causa della biforcazione e nel processo di trasporto dei messaggi. È dinamico in cui il suo valore è diverso anche per una copia dell'istanza specifica del messaggio. Di conseguenza, ogni versione copiata dell'istanza avrà un valore di ID messaggio di rete diverso.
Le differenze tra ID messaggio di rete e ID messaggio sono riepilogate nella tabella seguente:
ID messaggio di rete ID messaggio ID dell'istanza specifica di un messaggio di posta elettronica ID del messaggio di posta elettronica Univoco e persistente tra le copie del messaggio che potrebbero essere create a causa della biforcazione del messaggio Costante per la durata del messaggio Per altre informazioni sull'ID messaggio di rete, vedere le informazioni seguenti:
- Exchange Server: log di rilevamento messaggi
- Exchange Online: report di traccia dei messaggi avanzati
- Outlook: intestazioni di messaggio
Per tracciare il valore dell'ID messaggio di rete e usarlo per tracciare messaggi specifici in Exchange Online, usare una delle intestazioni di messaggio seguenti:
X-MS-Exchange-Organization-Network-Message-Id
X-MS-Office365-Filtering-Correlation-Id
X-MS-Exchange-CrossTenant-Network-Message-Id
È possibile usare il valore ID messaggio di rete da tali intestazioni per recuperare ulteriormente messaggi specifici. Ad esempio:
- Messaggi inviati da un mittente specifico.
- Messaggi indirizzati a un destinatario specifico.
- Messaggio inviato durante un periodo di tempo specificato.
È anche possibile usare il cmdlet Get-MessageTrace in PowerShell di Exchange Online per tracciare il valore dell'ID messaggio di rete .
Nell'esempio seguente viene utilizzato il valore ID messaggio di rete per trovare i messaggi inviati tra
john@contoso.com
il 13 giugno 2024 e il 15 giugno 2024:- Il parametro MessageTraceID usa il valore dell'ID messaggio di rete , che in questo esempio è
2bbad36aa4674c7ba82f4b307fff549
. - I risultati del comando Get-MessageTrace vengono inviati tramite pipe al cmdlet **Get-MessageTraceDetail. I risultati consentono di identificare:
- Valore dell'ID messaggio di rete .
- I messaggi specifici che questo valore di ID messaggio di rete consente di recuperare.
Get-MessageTrace -MessageTraceId 2bbad36aa4674c7ba82f4b307fff549f -SenderAddress john@contoso.com -StartDate 06/13/2024 -EndDate 06/15/2024 | Get-MessageTraceDetail
Direzione: selezionare uno dei valori seguenti:
- Tutto: questo è il valore predefinito.
- In ingresso: messaggi inviati ai destinatari dell'organizzazione.
- In uscita: messaggi inviati dagli utenti dell'organizzazione.
Indirizzo IP client originale: indirizzo IP del computer client o del dispositivo del mittente del messaggio di posta elettronica. È possibile usare questo filtro per analizzare i computer violati che inviano grandi quantità di spam o malware. Anche se i messaggi potrebbero provenire da più mittenti, è probabile che lo stesso computer stia generando tutti i messaggi.
Nota
Le informazioni sugli indirizzi IP client sono disponibili solo per 10 giorni e solo nel report di riepilogo avanzato o nel report esteso (file CSV scaricabili).
Tipo di report
I tipi di report disponibili sono:
Report di riepilogo: disponibile se l'intervallo di tempo è inferiore a 10 giorni e non richiede altre opzioni di filtro. I risultati sono disponibili quasi immediatamente dopo aver selezionato Cerca. Il report restituisce fino a 20.000 risultati.
Selezionare Cerca per avviare la traccia del messaggio. Viene visualizzata la pagina Dei risultati della ricerca traccia messaggi , come descritto nella sezione Output del report di riepilogo .
Le ultime 10 query del report di riepilogo sono disponibili nella scheda Query salvate automaticamente nella pagina Traccia messaggi .
Report di riepilogo avanzato: include le informazioni nel report di riepilogo oltre ad altri dettagli (ad esempio, direzione e indirizzo IP client originale). Disponibile solo come file CSV scaricabile. Il report restituisce fino a 100.000 risultati.
Report esteso: include le stesse informazioni del report di riepilogo esteso e i dettagli completi dell'evento di routing e messaggio. Disponibile solo come file CSV scaricabile. Il report restituisce fino a 1.000 risultati.
Il report di riepilogo avanzato e il report esteso richiedono una o più delle opzioni di filtro seguenti, indipendentemente dall'intervallo di tempo: Mittenti, Destinatari o ID messaggio.
Il report di riepilogo avanzato e il report esteso vengono preparati usando i dati di traccia dei messaggi archiviati. Il download del report potrebbe richiedere alcune ore. A seconda del numero di altri amministratori che hanno anche inviato richieste di report nello stesso momento, è anche possibile notare un ritardo prima dell'avvio dell'elaborazione in una richiesta in coda.
Anche se è possibile selezionare il report di riepilogo avanzato o il report esteso per qualsiasi intervallo di data/ora, le ultime 24 ore di dati archiviati non sono in genere disponibili.
La dimensione massima per un file CSV scaricabile è 800 MB. Se un report scaricabile supera gli 800 MB, non è possibile aprire il report in Excel o nel Blocco note.
Quando si seleziona Avanti, viene visualizzato un riquadro a comparsa di riepilogo che elenca le opzioni di filtro selezionate, un titolo univoco (modificabile) per il report e l'indirizzo di posta elettronica per ricevere la notifica quando la traccia del messaggio viene completata (anche modificabile e deve trovarsi in uno dei domini accettati dell'organizzazione).
Selezionare Preparare il report per inviare la traccia del messaggio. È possibile visualizzare lo stato del report nella scheda Report scaricabili . Per altre informazioni sui dati restituiti, vedere le sezioni Report di riepilogo avanzati e Report estesi .
Nota
L'indirizzo IP del server di protezione in uscita EOP, incluso nel record SPF di Microsoft 365, non viene visualizzato in alcun tipo di report di traccia dei messaggi. Questa condizione è progettata perché i report di traccia dei messaggi vengono generati prima del coinvolgimento del server di protezione in uscita.
Risultati della traccia dei messaggi
I diversi tipi di report restituiscono livelli di informazioni diversi. Le informazioni disponibili nei diversi report sono descritte nelle sezioni seguenti:
Output del report di riepilogo
Dopo aver eseguito la traccia del messaggio, i risultati vengono ordinati in base alla data/ora decrescente (prima gli eventi più recenti).
Il report Riepilogo contiene le informazioni seguenti:
- Data: data e ora in cui il messaggio è stato ricevuto dal servizio, usando il fuso orario UTC configurato.
- Mittente: indirizzo di posta elettronica del mittente (dominioalias@).
- Destinatario: indirizzo di posta elettronica del destinatario. Se il messaggio ha più destinatari, ogni destinatario si trova in una riga separata. Se il destinatario è un gruppo di distribuzione, un gruppo di distribuzione dinamico o un gruppo di sicurezza abilitato alla posta elettronica, il gruppo è il primo destinatario, seguito da ogni membro del gruppo in una riga separata.
- Oggetto: i primi 256 caratteri del campo Oggetto: del messaggio.
- Stato: questi valori sono descritti nella sezione Opzioni di ricerca dettagliate .
Per impostazione predefinita, i primi 250 risultati vengono caricati e immediatamente disponibili. Quando si scorre verso il basso, si verifica una leggera pausa quando viene caricato il successivo batch di risultati, fino a un massimo di 10.000.
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile.
Nella scheda Posta elettronica è possibile ridurre la spaziatura verticale nell'elenco facendo clic su Modifica visualizzazione e quindi selezionando Elenco compatto.
Utilizzare la casella di ricerca e un valore corrispondente per trovare voci specifiche. I caratteri jolly non sono supportati
Per filtri più avanzati che è anche possibile salvare e usare in un secondo momento, selezionare Filtro e quindi selezionare Nuovo filtro. Nel riquadro a comparsa Filtro personalizzato visualizzato immettere le informazioni seguenti:
Assegnare un nome al filtro: immettere un nome univoco.
Aggiungere una clausola di filtro immettendo le informazioni seguenti:
-
Campo: selezionare i valori seguenti:
- Mittente
- Destinatario
- Oggetto
- Stato
- Operatore: selezionare inizia con o è.
- Valore: immettere il valore da cercare.
È possibile selezionare Aggiungi nuova clausola e ripetere il passaggio precedente il numero di volte necessario. Più clausole usano la logica AND (<Clausola1> AND <Clausola2>...).
Per rimuovere una clausola di filtro, selezionare Rimuovi clausola accanto alla voce .
Al termine del riquadro a comparsa Filtro personalizzato , selezionare Salva. Il nuovo filtro viene caricato automaticamente e i risultati filtrati vengono visualizzati nella pagina dei risultati della ricerca di traccia del messaggio . Questo risultato equivale a selezionare Filtro e quindi selezionare il filtro esistente nella sezione Filtri personalizzati nell'elenco.
Per scaricare un filtro esistente e tornare alle informazioni predefinite visualizzate nella pagina Risultati della ricerca traccia messaggi , selezionare >Cancella tutti i filtri.
-
Campo: selezionare i valori seguenti:
Selezionare Modifica traccia messaggio per modificare i criteri di ricerca.
Usare Esporta risultati per esportare i risultati visualizzati in un file CSV.
Selezionare Aggiorna per aggiornare i risultati.
Trovare i record correlati per questo messaggio
I record dei messaggi correlati sono record che condividono lo stesso ID messaggio. Tenere presente che anche un singolo messaggio inviato tra due persone può generare più record. Il numero di record aumenta quando il messaggio è interessato dall'espansione del gruppo di distribuzione, dall'inoltro, dalle regole del flusso di posta (note anche come regole di trasporto) e così via.
Nell'area vuota accanto alla colonna Data selezionare la casella di controllo round visualizzata accanto alla voce. Le azioni seguenti vengono visualizzate nella pagina Dei risultati delle tracce del messaggio :
- Visualizza in Esplora risorse: apre il messaggio in Esplora risorse (Esplora minacce) nelle organizzazioni con Microsoft Defender per Office 365 Piano 2. Per altre informazioni, vedere Informazioni su Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365.
- Go Hunting: cerca il messaggio in Esplora minacce nelle organizzazioni con Microsoft Defender per Office 365 Piano 2. Per altre informazioni, vedere Ricerca delle minacce in Threat Explorer per Microsoft Defender per Office 365
- Trova correlati: apre una nuova traccia del messaggio per trovare i record correlati per il messaggio.
Per altre informazioni sull'ID messaggio, vedere la sezione Opzioni di ricerca dettagliate .
Dettagli della traccia dei messaggi
Nell'output del report di riepilogo è possibile visualizzare i dettagli di un messaggio facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo round visualizzata accanto al valore Date .
Il flout dei dettagli aperto contiene le informazioni seguenti non presenti nel report di riepilogo:
Eventi dei messaggi: dopo aver espanso questa sezione, è possibile visualizzare classificazioni che consentono di classificare le azioni eseguite dal servizio sui messaggi. Alcuni degli eventi più interessanti che potrebbero verificarsi sono:
- Ricezione: il messaggio è stato ricevuto dal servizio.
- Invia: il messaggio è stato inviato dal servizio.
- Errore: il messaggio non è stato recapitato.
- Recapito: il messaggio è stato recapitato a una cassetta postale.
- Espandi: il messaggio è stato inviato a un gruppo di distribuzione espanso.
- Trasferimento: i destinatari sono stati spostati in un messaggio biforcato a causa della conversione del contenuto, dei limiti del destinatario del messaggio o degli agenti.
- Posticipare: il recapito del messaggio è stato posticipato e potrebbe essere ritentato in un secondo momento.
- Risolto: il messaggio è stato reindirizzato a un nuovo indirizzo del destinatario in base a una ricerca di Active Directory. Quando si verifica questo evento, l'indirizzo del destinatario originale viene elencato in una riga separata nella traccia del messaggio insieme allo stato finale del recapito per il messaggio.
- Regola DLP: il messaggio aveva una corrispondenza della regola DLP.
- Etichetta di riservatezza: Si è verificato un evento di etichettatura lato server. Ad esempio, un'etichetta è stata aggiunta automaticamente a un messaggio che include un'azione da crittografare o è stata aggiunta tramite il client Web o mobile. Questa azione viene completata dal server Exchange e viene registrata. Un'etichetta aggiunta tramite Outlook non è inclusa nel campo dell'evento.
Note:
- Un messaggio senza eventi recapitato correttamente genera più voci di evento nella traccia del messaggio. Per descrizioni di altri eventi, vedere Tipi di evento nel log di rilevamento dei messaggi. Questo collegamento è un argomento di Exchange Server (Exchange locale).
Altre informazioni: Dopo aver espanso questa sezione, è possibile visualizzare i dettagli seguenti:
-
ID messaggio: questo valore è descritto nella sezione Opzioni di ricerca dettagliate . Un esempio di valore di ID messaggio è
<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
. - Dimensioni del messaggio: dimensioni del messaggio inviato, inclusi allegati/immagini/testo.
- Da IP: indirizzo IP del computer che ha inviato il messaggio. Per i messaggi in uscita inviati da Exchange Online, il valore è vuoto.
- A IP: gli indirizzi IP a cui il servizio ha tentato di recapitare il messaggio. Se il messaggio ha più destinatari, vengono visualizzati questi indirizzi. Per i messaggi in ingresso inviati a Exchange Online, il valore è vuoto.
-
ID messaggio: questo valore è descritto nella sezione Opzioni di ricerca dettagliate . Un esempio di valore di ID messaggio è
Report di riepilogo avanzati
Un report di riepilogo avanzato è disponibile nella scheda Report scaricabili nella pagina Traccia messaggi :
- Per i report disponibili per il download è stato completato il valore Stato
- I report che non sono disponibili per il download hanno i valori StatoNon avviato o In corso.
Le informazioni seguenti sono disponibili nel file CSV del report di riepilogo avanzato :
- *origin_timestamp: data e ora in cui il messaggio è stato inizialmente ricevuto dal servizio, usando il fuso orario UTC configurato.
- sender_address: indirizzo di posta elettronica del mittente (dominioalias@).
-
Recipient_status: stato del recapito del messaggio al destinatario. Se il messaggio è stato inviato a più destinatari, mostra tutti i destinatari e lo stato corrispondente per ognuno, nel formato: < indirizzo >di posta elettronica##<stato>. Esempi di stati del destinatario sono:
- ##Receive, Invia indica che il messaggio è stato ricevuto dal servizio ed è stato inviato alla destinazione prevista.
- ##Receive, Fail indica che il messaggio è stato ricevuto dal servizio, ma il recapito alla destinazione prevista non è riuscito.
- ##Receive, Recapita indica che il messaggio è stato ricevuto dal servizio ed è stato recapitato alla cassetta postale del destinatario.
- message_subject: i primi 256 caratteri del campo Oggetto del messaggio.
- total_bytes: dimensioni del messaggio in byte, inclusi gli allegati.
-
message_id: questo valore è descritto nella sezione Opzioni di ricerca dettagliate . Un esempio di valore message_id è
<d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>
. -
network_message_id: valore univoco dell'ID messaggio che viene mantenuto in tutte le copie del messaggio che potrebbero essere create a causa della biforcazione o dell'espansione del gruppo di distribuzione. Un esempio di network_message_id valore è
1341ac7b13fb42ab4d4408cf7f55890f
. - original_client_ip: indirizzo IP del server SMTP del mittente.
- direzionalità: indica se il messaggio è stato inviato in ingresso (all'organizzazione) o in uscita (dall'organizzazione).
- connector_id: nome del connettore di origine o di destinazione. Per altre informazioni sui connettori in Exchange Online, vedere Configurare il flusso di posta usando i connettori in Office 365.
- *delivery_priority: indica se il messaggio è stato inviato con priorità Alta, Bassa o Normale.
* Queste proprietà sono disponibili solo in un report di riepilogo avanzato.
Report estesi
Un report esteso è disponibile nella scheda Report scaricabili nella pagina Traccia messaggi :
- Per i report disponibili per il download è stato completato il valore Stato
- I report che non sono disponibili per il download hanno i valori StatoNon avviato o In corso.
Nel file CSV del report avanzato sono disponibili le informazioni seguenti:
client_ip: indirizzo IP del server di posta elettronica o del client di messaggistica che ha inviato il messaggio.
client_hostname: nome host o FQDN del server di posta elettronica o del client di messaggistica che ha inviato il messaggio.
server_ip: indirizzo IP del server di origine o di destinazione.
server_hostname: nome host o FQDN del server di destinazione.
source_context: informazioni aggiuntive associate al campo di origine . Ad esempio:
Protocol Filter Agent
3489061114359050000
source: componente di Exchange Online responsabile dell'evento. Ad esempio:
AGENT
MAILBOXRULE
SMTP
event_id: questo valore corrisponde ai valori dell'evento Message illustrati in Trova record correlati per questo messaggio.
internal_message_id: identificatore del messaggio assegnato dal server Exchange Online che sta attualmente elaborando il messaggio.
recipient_address: indirizzi di posta elettronica dei destinatari del messaggio. Gli indirizzi di posta elettronica multipli sono separati dal carattere punto e virgola (;).
recipient_count: numero totale di destinatari nel messaggio.
related_recipient_address: presente con
EXPAND
gli eventi ,REDIRECT
e per visualizzare gli indirizzi diRESOLVE
posta elettronica degli altri destinatari associati al messaggio.reference: questo campo contiene informazioni aggiuntive per tipi specifici di eventi. Ad esempio:
DSN: contiene il collegamento al report, ovvero il valore message_id della notifica di stato del recapito associata (nota anche come DSN, report non recapitivo, rapporto di mancato recapito o messaggio di mancato recapito) se viene generato un DSN dopo questo evento. Se questo messaggio è un messaggio DSN, questo campo contiene il valore message_id del messaggio originale per cui è stato generato il DSN.
EXPAND: contiene il valore related_recipient_address dei messaggi correlati.
RECEIVE: potrebbe contenere il valore message_id del messaggio correlato se il messaggio è stato generato da altri processi, ad esempio le regole posta in arrivo.
SEND: contiene il valore internal_message_id di qualsiasi messaggio DSN.
TRANSFER: contiene il valore internal_message_id del messaggio sottoposto a fork, ad esempio tramite conversione del contenuto, limiti del destinatario del messaggio o agenti.
MAILBOXRULE: contiene il valore internal_message_id del messaggio in ingresso che ha causato la generazione del messaggio in uscita da parte della regola Posta in arrivo.
Per altri tipi di eventi, questo campo (internal_message_id) è vuoto.
return_path: indirizzo di posta elettronica restituito specificato dal comando MAIL FROM che ha inviato il messaggio. Anche se questo campo non è mai vuoto, può avere il valore di indirizzo mittente Null rappresentato come
<>
.message_info: informazioni aggiuntive sul messaggio. Ad esempio:
- Data e ora di origine del messaggio in formato UTC per
DELIVER
gli eventi eSEND
. La data-ora di origine è l'ora in cui il messaggio è stato immesso per la prima volta nell'organizzazione di Exchange Online. La data-ora UTC è rappresentata nel formato iso 8601 data-ora:yyyy-MM-ddThh:mm:ss.fffZ
, doveyyyy
= anno,MM
= mese,dd
= giorno,T
indica l'inizio del componente ora,hh
= ora,mm
= minuto,ss
= secondo,fff
= frazioni di secondo eZ
indicaZulu
, che è un altro modo per indicare UTC. - Errori di autenticazione. Ad esempio, è possibile che vengano visualizzati il valore
11a
e il tipo di autenticazione usati quando si è verificato l'errore di autenticazione.
- Data e ora di origine del messaggio in formato UTC per
tenant_id: valore GUID che rappresenta l'organizzazione di Exchange Online ,
39238e87-b5ab-4ef6-a559-af54c6b07b42
ad esempio .original_server_ip: indirizzo IP del server originale.
custom_data: contiene dati correlati a tipi di evento specifici. Per ulteriori informazioni, vedere le seguenti sezioni:
custom_data valori
Il campo custom_data per un AGENTINFO
evento viene usato da vari agenti di Exchange Online per registrare i dettagli di elaborazione dei messaggi. Alcuni degli agenti più interessanti sono descritti nelle sezioni seguenti.
Agente filtro posta indesiderata
Un valore custom_data che inizia con S:SFA
proviene dall'agente di filtro della posta indesiderata. Per altre informazioni, vedere Campi dell'intestazione del messaggio X-Forefront-Antispam-Report.
Un esempio di valore custom_data per un messaggio filtrato per la posta indesiderata è simile al seguente:
S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;
Agente filtro malware
Un valore custom_data che inizia con S:AMA
proviene dall'agente di filtro malware. I dettagli chiave sono descritti nella tabella seguente:
Valore | Descrizione |
---|---|
AMA=SUM|v=1| o AMA=EV|v=1 |
È stato determinato che il messaggio contiene malware.
SUM indica che il malware potrebbe essere stato rilevato da un numero qualsiasi di motori.
EV indica che il malware è stato rilevato da un motore specifico. Quando un motore rileva malware, vengono attivate le azioni successive. |
Action=r |
Il messaggio è stato sostituito. |
Action=p |
Il messaggio è stato ignorato. |
Action=d |
Il messaggio è stato rinviato. |
Action=s |
Il messaggio è stato eliminato. |
Action=st |
Il messaggio è stato ignorato. |
Action=sy |
Il messaggio è stato ignorato. |
Action=ni |
Il messaggio è stato rifiutato. |
Action=ne |
Il messaggio è stato rifiutato. |
Action=b |
Il messaggio è stato bloccato. |
Name=<malware> |
Il nome del malware rilevato. |
File=<filename> |
Il nome del file che contiene malware. |
Un esempio di valore custom_data per un messaggio che contiene malware è simile al seguente:
S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename
Agente della regola di trasporto
Un valore custom_data che inizia conS:TRA
proviene dall'agente della regola di trasporto per le regole del flusso di posta (note anche come regole di trasporto). I dettagli chiave sono descritti nella tabella seguente:
Valore | Descrizione |
---|---|
ETR|ruleId=<guid> |
L'ID regola corrispondente. |
St=<datetime> |
Data e ora in formato UTC in cui si è verificata la corrispondenza della regola. |
Action=<ActionDefinition> |
L'azione che è stata applicata. Per un elenco delle azioni disponibili, vedere Azioni delle regole del flusso di posta in Exchange Online. |
Mode=<Mode> |
La modalità della regola. I valori validi sono:
|
Un esempio di valore custom_data per un messaggio che corrisponde alle condizioni di una regola del flusso di posta è simile al seguente:
S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce