Eseguire una traccia dei messaggi nell'interfaccia di amministrazione di Exchange classica in Exchange Online

Nota

La traccia dei messaggi è disponibile nell'interfaccia di amministrazione di Exchange moderna. Per altre informazioni, vedere Traccia dei messaggi nell'interfaccia di amministrazione di Exchange moderna. Il collegamento di traccia dei messaggi di Exchange nel portale di Microsoft Defender apre la traccia dei messaggi nell'interfaccia di amministrazione di Exchange moderna.

In quanto amministratore, è possibile scoprire cosa sta succedendo a un messaggio di posta elettronica tenendo traccia di un messaggio in Exchange admin center (EAC). Dopo aver eseguito questa opzione, è possibile visualizzare i risultati in un elenco, quindi visualizzare i dettagli di un messaggio specifico. I dati di Ritrova messaggio sono disponibili per i 90 giorni precedenti. Se un messaggio ha più di sette giorni, è possibile visualizzare i risultati solo in un file .CSV scaricabile.

Per una video dettagliata della traccia dei messaggi e di altri strumenti per la risoluzione dei problemi relativi al flusso di posta, vedere Trovare e risolvere i problemi di recapito della posta elettronica come amministratore di Microsoft 365 o Office 365 per le aziende.

Che cosa è necessario sapere prima di iniziare?

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum in Exchange Online o Exchange Online Protection. Se si è un amministratore di Microsoft 365 o Office 365 per le aziende, vedere Contattare il supporto per i prodotti aziendali - Guida per gli amministratori.

Eseguire Ritrova messaggio

  1. Nell'interfaccia di amministrazione di Exchange passare a Traccia messaggi flusso> di posta.

    Schermata dell'interfaccia di amministrazione di Exchange che mostra che la traccia dei messaggi è selezionata dal menu di navigazione del flusso di posta.

  2. A seconda di ciò che si sta cercando, è possibile immettere valori nei campi seguenti. Nessuno di questi campi è necessario per i messaggi che hanno meno di sette giorni. È possibile selezionare Cerca per recuperare tutti i dati di traccia dei messaggi nel periodo di tempo predefinito, ovvero le ultime 48 ore.

    1. Intervallo di date: usando l'elenco a discesa, selezionare per cercare i messaggi inviati o ricevuti nelle ultime 24 ore, 48 ore o 7 giorni. È inoltre possibile selezionare un intervallo di tempo per il cliente che includa tutti gli intervalli entro gli ultimi 90 giorni. Per le ricerche personalizzate, è anche possibile modificare il fuso orario in Coordinated Universal Time (UTC).

    2. Stato recapito: usando l'elenco a discesa, selezionare lo stato del messaggio di cui si vogliono visualizzare le informazioni. Non modificare il valore predefinito Tutti, in modo che copra tutti gli stati. Altri valori possibili sono:

      • Recapitato: il messaggio è stato recapitato correttamente alla destinazione prevista.
      • Non riuscito: il messaggio non è stato recapitato. L'operazione è stata tentata e non è riuscita oppure non è stata recapitata a causa delle azioni eseguite dal servizio di filtro. Ad esempio, se è stato stabilito che il messaggio contenesse malware.
      • In sospeso*: il recapito del messaggio viene tentato o tentato di nuovo.
      • Espanso: il messaggio è stato inviato a una lista di distribuzione ed è stato espanso in modo che i membri dell'elenco possano essere visualizzati singolarmente.
      • Filtrato come posta indesiderata: il messaggio è stato recapitato alla cartella Posta indesiderata.
      • Sconosciuto*: al momento lo stato del recapito del messaggio è sconosciuto. Quando i risultati della query sono elencati, i campi dei dettagli del recapito non contengono informazioni.

      *Se si cercano messaggi precedenti a 7 giorni, non è possibile selezionare In sospeso o Sconosciuto.

    3. ID messaggio: si tratta dell'ID messaggio Internet (noto anche come ID client) trovato nell'intestazione del messaggio nel campo Message-ID: header. Grazie a queste informazioni gli utenti possono analizzare messaggi specifici.

      Il formato ID varia in base al sistema di invio della posta. L'esempio seguente: <08f1e0f6806a47b4ac103961109ae6ef@server.domain>.

      Questo ID deve essere univoco; tuttavia, non tutti i sistemi di posta elettronica di invio si comportano allo stesso modo. Di conseguenza, è possibile che si ottengano risultati per più messaggi durante l'esecuzione di query su un singolo ID messaggio.

      Nota: assicurarsi di includere la stringa di ID messaggio completa. Questo potrebbe includere parentesi angolari (<>).

    4. Mittente: è possibile limitare la ricerca di mittenti specifici selezionando il pulsante Aggiungi mittente accanto al campo Mittente . Nella finestra di dialogo successiva selezionare uno o più mittenti della società dall'elenco selezione utenti e quindi selezionare Aggiungi. Per aggiungere mittenti che non sono presenti nell'elenco, digitare i relativi indirizzi di posta elettronica e selezionare Controlla nomi. In questa casella, i caratteri jolly sono supportati per indirizzi di posta elettronica nel seguente formato: *@contoso.com. Quando si specifica un carattere jolly, non è possibile usare altri indirizzi. Al termine delle selezioni, selezionare OK.

    5. Destinatario: è possibile limitare la ricerca di destinatari specifici facendo clic sul pulsante Aggiungi destinatario accanto al campo Destinatario . Nella finestra di dialogo successiva selezionare uno o più destinatari della società dall'elenco di selezione utenti e quindi selezionare Aggiungi. Per aggiungere i destinatari che non sono presenti nell'elenco, digitare i relativi indirizzi di posta elettronica e selezionare Controlla nomi. In questa casella, i caratteri jolly sono supportati per indirizzi di posta elettronica nel seguente formato: *@contoso.com. Quando si specifica un carattere jolly, non è possibile usare altri indirizzi. Al termine delle selezioni, selezionare OK.

  3. Se si cercano messaggi precedenti a sette giorni, configurare le impostazioni seguenti: (in caso contrario, è possibile ignorare questo passaggio):

    1. Includere gli eventi dei messaggi e i dettagli di routing con il report: è consigliabile selezionare questa casella di controllo solo se si cercano alcuni messaggi. In caso contrario, la restituzione dei risultati richiede più tempo.

    2. Direzione: lasciare il valore predefinito Tutti o selezionare In ingresso per i messaggi inviati all'organizzazione o In uscita per i messaggi inviati dall'organizzazione.

    3. Indirizzo IP del client originale: specificare l'indirizzo IP del client del mittente.

    4. Titolo report: specificare l'identificatore univoco per il report. Tale titolo viene utilizzato anche come testo dell'oggetto per la notifica di posta elettronica. Il valore predefinito è "Message trace report <day of the week>, <current date><current time>". Ad esempio, "Report di traccia dei messaggi giovedì 17 ottobre 2018 7:21:09".

    5. Indirizzo di posta elettronica di notifica: specificare l'indirizzo di posta elettronica che si vuole ricevere la notifica al termine della traccia del messaggio. Tale indirizzo deve essere presente nell'elenco di domini accettati.

  4. Fare clic su Cerca: per eseguire la traccia dei messaggi. Verrà visualizzato un avviso se si sta per raggiungere la soglia del numero di tracce che è possibile eseguire in un periodo di 24 ore.

Dopo aver eseguito la traccia dei messaggi, passare a una delle sezioni successive per leggere come visualizzare i risultati.

Nota: per cercare un messaggio diverso, è possibile fare clic sul pulsante Cancella e quindi specificare nuovi criteri di ricerca.

Visualizzare i risultati della traccia dei messaggi per i messaggi precedenti a 7 giorni

Dopo aver eseguito una traccia dei messaggi nell'interfaccia di amministrazione di Exchange, i risultati verranno elencati, ordinati in base alla data, con il messaggio più recente visualizzato per primo. È possibile eseguire l'ordinamento per tutti i campi elencati facendo clic sulle intestazioni. Facendo clic sull'intestazione della colonna una seconda volta, si invertirà l'ordinamento. Durante la visualizzazione dei risultati della traccia dei messaggi, vengono fornite le seguenti informazioni per ciascun messaggio.

  • Data: data e ora in cui il messaggio è stato ricevuto dal servizio, usando il fuso orario UTC configurato.
  • Mittente: indirizzo di posta elettronica del mittente nel formato alias@domain.
  • Destinatario: indirizzo di posta elettronica del destinatario o dei destinatari. Per i messaggi inviati a più di un destinatario, viene visualizzato un destinatario per riga. Se il destinatario è in una lista di distribuzione, questa sarà il primo destinatario, quindi tutti i membri della lista di distribuzione verranno inclusi in una riga separata per poter verificare lo stato di tutti i destinatari.
  • Oggetto: testo della riga dell'oggetto del messaggio. Se necessario, viene troncato dopo i primi 256 caratteri.
  • Stato: questo campo specifica se il messaggio è stato recapitato al destinatario o alla destinazione prevista, non è stato recapitato al destinatario (perché non è riuscito a raggiungere la destinazione o perché è stato filtrato), è recapito in sospeso (è in corso di recapito o il recapito è stato posticipato ma viene ritentato), è stato espanso (non è stato eseguito alcun recapito perché il messaggio è stato inviato a una lista di distribuzione (DL) espansa ai destinatari della DL o ha lo stato Nessuno (non è presente alcuno stato di recapito per il messaggio al destinatario perché il messaggio è stato rifiutato o reindirizzato a un destinatario diverso).

Nota

La traccia messaggi può visualizzare un massimo di 500 voci. Per impostazione predefinita, l'interfaccia utente visualizza 50 voci per pagina ed è possibile spostarsi tra le pagine. È possibile anche modificare il numero di voci per ogni pagina fino a 500.

Visualizzare i dettagli di un messaggio specifico di meno di 7 giorni

Dopo aver esaminato l'elenco di elementi restituiti dall'esecuzione di Ritrova messaggio nell'interfaccia di amministrazione di Exchange, è possibile fare doppio clic su un singolo messaggio per visualizzare i dettagli aggiuntivi sul messaggio riportati di seguito:

  • Dimensioni del messaggio: dimensioni del messaggio, inclusi gli allegati, in kilobyte (KB) o, se la dimensione del messaggio è maggiore di 999 KB, in megabyte (MB).

  • ID messaggio: id del messaggio Internet (noto anche come ID client) presente nell'intestazione del messaggio con il token "Message-ID:". Il formato varia in base al sistema di invio della posta. Di seguito è riportato un esempio: <08f1e0f6806a47b4ac103961109ae6ef@contoso.com>.

    Questo ID deve essere univoco, tuttavia, dipende dal sistema di posta elettronica di invio per generazione e non tutti i sistemi di posta elettronica di invio si comportano allo stesso modo. Di conseguenza, è possibile che si ottengano risultati per più messaggi durante l'esecuzione di query su un singolo ID messaggio.

    Viene fornito come output in modo che i messaggi e le voci di traccia in questione possano essere correlati.

  • A IP: indirizzo IP o indirizzi a cui il servizio ha tentato di recapitare il messaggio. In caso di più destinatari, questi vengono visualizzati. Per i messaggi in ingresso inviati a Exchange Online, il valore è vuoto.

  • Da IP: indirizzo IP del computer che ha inviato il messaggio. Per i messaggi in uscita inviati da Exchange Online, il valore è vuoto.

Nella sezione relativa agli eventi, i seguenti campi forniscono informazioni sugli eventi che si sono verificati al messaggio durante il passaggio nella pipeline di messaggistica:

  • Data: data e ora in cui si è verificato l'evento.

  • Evento: questo campo indica brevemente cosa è successo, ad esempio se il messaggio è stato ricevuto dal servizio, se è stato recapitato o non è stato recapitato al destinatario previsto e così via. Di seguito vengono riportati esempi sugli eventi che potrebbero essere elencati:

    • RECEIVE: il messaggio è stato ricevuto dal servizio.

    • SEND: il messaggio è stato inviato dal servizio.

    • FAIL: il messaggio non è stato recapitato.

    • DELIVER: il messaggio è stato recapitato a una cassetta postale.

    • EXPAND: il messaggio è stato inviato a un gruppo di distribuzione espanso.

    • TRANSFER: i destinatari sono stati spostati in un messaggio biforcato a causa della conversione del contenuto, dei limiti del destinatario del messaggio o degli agenti.

    • DEFER: il recapito del messaggio è stato posticipato e potrebbe essere ritento in un secondo momento.

    • RISOLTO: il messaggio è stato reindirizzato a un nuovo indirizzo del destinatario in base a una ricerca di Active Directory. In questo caso, l'indirizzo originale del destinatario verrà visualizzato in una riga separata nella traccia del messaggio insieme allo stato di consegna finale per il messaggio.

    • Regola DLP: il messaggio aveva una corrispondenza di regola DLP in questo messaggio.

    • Etichetta di riservatezza: Si è verificato un evento di etichettatura lato server. Ad esempio, un'etichetta è stata aggiunta automaticamente a un messaggio che include un'azione da crittografare o è stata aggiunta tramite il client Web o mobile. Questa azione viene completata dal server Exchange e registrata. Un'etichetta aggiunta tramite Outlook non verrà inclusa nel campo dell'evento.

      Consiglio

      Potrebbero essere visualizzati eventi aggiuntivi. Per altre informazioni su questi eventi, vedere Tipi di evento nel log di rilevamento dei messaggi.

  • Azione: questo campo mostra l'azione eseguita se il messaggio è stato filtrato a causa di un rilevamento di malware o posta indesiderata o di una corrispondenza di regole. Ad esempio, fornirà informazioni se il messaggio è stato eliminato o se è stato messo in quarantena.

  • Dettagli: questo campo fornisce informazioni dettagliate che elaborano ciò che è successo. Ad esempio, può indicare quale regola specifica del flusso di posta (nota anche come regola di trasporto) è stata confrontata e cosa è successo al messaggio come risultato di tale corrispondenza. Può inoltre fornire informazioni sul malware specifico rilevato, e in quale allegato, o sul motivo per il quale un messaggio è stato eliminato come posta indesiderata. Se il messaggio è stato correttamente recapitato, può fornire informazioni sull'indirizzo IP cui è stato recapitato.

Visualizzare i risultati della traccia dei messaggi per i messaggi di più di 7 giorni

Se si esegue una traccia del messaggio per gli elementi che hanno meno di 7 giorni, quando si fa clic su Cerca un messaggio dovrebbe essere visualizzato comunicando che il messaggio è stato inviato correttamente e che una notifica di posta elettronica verrà inviata all'indirizzo di posta elettronica fornito al termine della traccia. Se la traccia del messaggio viene elaborata e i dati corrispondenti ai criteri di ricerca vengono recuperati correttamente, questo messaggio di notifica includerà informazioni sulla traccia e un collegamento al file di .CSV scaricabile. Se non sono stati trovati dati corrispondenti ai criteri di ricerca specificati, verrà richiesto di inviare una nuova richiesta con criteri modificati per ottenere risultati validi.

Nell'interfaccia di amministrazione di Exchange è possibile fare clic su Visualizza tracce in sospeso o completate per visualizzare un elenco di tracce eseguite per elementi precedenti a 7 giorni. Nell'interfaccia utente risultante, l'elenco delle tracce è ordinato in base alla data e all'ora in cui sono state inviate, con quelle più recenti visualizzate per prime. Oltre al titolo del report, alla data e all'ora di invio della traccia e al numero di messaggi nel report, sono elencati i valori di stato seguenti:

  • Non avviata: la traccia è stata inviata ma non è ancora in esecuzione. A questo punto, è possibile cancellare la traccia.
  • Annullato: la traccia è stata inviata ma è stata annullata.
  • In corso: la traccia è in esecuzione e non è possibile annullare la traccia o scaricare i risultati.
  • Completato: la traccia è stata completata ed è possibile fare clic su Scarica questo report per recuperare i risultati in un file .CSV. Si noti che se i risultati della traccia dei messaggi superano i 100000 messaggi per un report di riepilogo, verranno troncati ai primi 100000 messaggi. Se i risultati della traccia dei messaggi superano i 1000 messaggi per un report dettagliato, verranno troncati ai primi 1000 messaggi. Se non vengono visualizzati tutti i risultati necessari, è consigliabile suddividere la ricerca in più query.

Quando si seleziona una traccia dei messaggi specifica, nel riquadro destro vengono visualizzate informazioni aggiuntive. A seconda dei criteri di ricerca specificati, queste informazioni possono includere dettagli come l'intervallo di date per cui è stata eseguita la traccia e il mittente e i destinatari del messaggio.

Nota

  • Le tracce dei messaggi contenenti dati che hanno più di 7 giorni vengono eliminate automaticamente nell'interfaccia di amministrazione di Exchange dopo 10 giorni. Non è possibile eliminarli manualmente.

  • La dimensione massima per un file CSV scaricabile è 800 MB. Se un report scaricabile supera gli 800 MB, non è possibile aprire il report in Excel o nel Blocco note.

Visualizzare i dettagli del report su un messaggio specifico di più di 7 giorni

Quando si scarica e si visualizza un report di traccia dei messaggi, da Visualizza tracce in sospeso o completate nell'interfaccia di amministrazione di Exchange o da un messaggio di posta elettronica di notifica, il relativo contenuto dipende dal fatto che sia stata selezionata l'opzione Includi eventi messaggio e routing con il report .

Importante

Per poter visualizzare il report di tracciabilità del messaggio scaricato, è necessario disporre del ruolo RBAC "Destinatari di sola lettura" assegnato nel ruolo gruppo. Per impostazione predefinita, vengono assegnati a questo ruolo i gruppi di ruoli seguenti: Gestione della conformità, Help Desk, Gestione di Hygiene, Gestione organizzazione, Gestione organizzazione sola visualizzazione.

Visualizzazione di un report di traccia dei messaggi senza dettagli di routing

Se all'esecuzione della traccia messaggi non sono stati inclusi i dettagli di routing, le seguenti informazioni verranno inserite nel file CSV. Quest'ultimo può essere aperto in Microsoft Excel o in un'applicazione analoga:

  • origin_timestamp: data e ora in cui il messaggio è stato ricevuto dal servizio, usando il fuso orario UTC configurato.

  • sender_address: indirizzo di posta elettronica del mittente neldominioalias@ del modulo.

  • Recipient_status: stato del recapito del messaggio al destinatario. Se il messaggio è stato inviato a più destinatari, visualizzerà tutti i destinatari e lo stato corrispondente per ognuno, nel formato: < indirizzo >di posta elettronica##<stato>. Ad esempio, uno stato corrispondente a:

    • ##Receive, Invia: indica che il messaggio è stato ricevuto dal servizio e inviato alla destinazione prevista.
    • ##Receive, Fail: indica che il messaggio è stato ricevuto dal servizio ma non è stato recapitato alla destinazione prevista.
    • ##Receive, Recapito: indica che il messaggio è stato ricevuto dal servizio e recapitato alla cassetta postale del destinatario.
  • message_subject: testo della riga dell'oggetto del messaggio. Se necessario, viene troncato dopo i primi 256 caratteri.

  • total_bytes: dimensioni del messaggio, inclusi gli allegati, in byte.

  • message_id: si tratta dell'ID messaggio Internet (noto anche come ID client) presente nell'intestazione del messaggio con il token "Message-ID:". Il formato varia in base al sistema di invio della posta. Di seguito è riportato un esempio: <*08f1e0f6806a47b4ac103961109ae6ef*@*server*.*domain*>.

    Questo ID deve essere univoco, tuttavia, dipende dal sistema di posta elettronica di invio per generazione e non tutti i sistemi di posta elettronica di invio si comportano allo stesso modo. Di conseguenza, è possibile che si ottengano risultati per più messaggi durante l'esecuzione di query su un singolo ID messaggio.

    Viene fornito come output in modo che i messaggi e le voci di traccia in questione possano essere correlati.

  • network_message_id: si tratta di un valore univoco dell'ID messaggio che viene mantenuto tra le copie del messaggio che possono essere create a causa della biforcazione o dell'espansione del gruppo di distribuzione. Un valore di esempio corrisponde a 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip: indirizzo IP del client del mittente.

  • direzionalità: questo campo indica se il messaggio è stato inviato in ingresso (1) all'organizzazione o se è stato inviato in uscita (2) dall'organizzazione.

  • connector_id: nome del connettore di invio o di ricezione di origine o di destinazione. Ad esempio, ServerName\ConnectorName o ConnectorName.

  • delivery_priority: indica se il messaggio è stato inviato con priorità Alta, Bassa o Normale .

Visualizzare il rapporto relativo alla traccia messaggi con i dettagli di routing

Se all'esecuzione della traccia messaggi sono stati inclusi i dettagli di routing, tutte le informazioni dei registri relativi alla traccia messaggi verranno inserite nel file CSV. Quest'ultimo può essere aperto in Microsoft Excel o in un'applicazione analoga. Alcuni dei valori inclusi in questo report sono descritti nella sezione precedente, mentre altri valori che possono essere utili per scopi investigativi sono descritti in Campi nei file di log di rilevamento dei messaggi.

Il campo custom_data

Inoltre, il campo custom_data può contenere valori specifici per il servizio di filtro. Il campo custom_data in un evento AGENTINFO viene utilizzato da una varietà di agenti differenti per registrare informazioni dell'elaborazione del messaggio da parte dell'agente. Alcuni degli agenti relativi alla protezione dei dati del messaggio, vengono descritti di seguito.

Agente filtro da posta indesiderata (S:SFA)

Una stringa che inizia con S:SFA corrisponde a una voce dall'agente di filtro da posta indesiderata e fornisce i seguenti dettagli principali:

Informazioni di registro Descrizione
SFV=NSPM Il messaggio è stato contrassegnato come non indesiderato ed è stato inviato al destinatario.
SFV=SPM Il messaggio è stato contrassegnato come posta indesiderata dal filtro contenuto.
SFV=BLK Le regole del filtro sono state ignorate e il messaggio è stato bloccato perché è stato originato da un mittente bloccato.
SFV=SKS Il messaggio è stato contrassegnato come posta indesiderata prima di essere elaborato dal filtro contenuto. Sono inclusi i messaggi in cui il messaggio corrispondeva a una regola del flusso di posta per contrassegnarlo automaticamente come posta indesiderata e ignorare tutti i filtri aggiuntivi.
SCL=<number> Per ulteriori informazioni su i valori SCL differenti e sul loro aspetto, vedere Spam Confidence Levels.
PCL=<number> Il valore del livello di confidenza di Phishing (PCL) del messaggio. Questi possono essere interpretati nello stesso modo dei valori SCL documentati in Spam Confidence Levels.
DI=SB Il mittente del messaggio è stato bloccato.
DI=SQ Il messaggio è stato messo in quarantena.
DI=SD Il messaggio è stato eliminato.
DI=SJ Il messaggio è stato inviato alla cartella Posta indesiderata del destinatario.
DI=SN Il messaggio è instradato attraverso un pool di recapito ad alto rischio. Per altre informazioni, vedere Pool di recapito ad alto rischio per i messaggi in uscita.
DI=SO Il messaggio è stato instradato tramite un pool di recapito ad alto rischio.
SFS=[a]
SFS=[b]
Indica una corrispondenza tra le regole relative alla posta indesiderata.
IPV=CAL Il messaggio è stato consentito tramite i filtri di posta indesiderata perché l'indirizzo IP è stato specificato in un elenco di indirizzi IP consentiti nel filtro di connessione.
H=[helostring] La stringa HELO o EHLO del server di posta di connessione.
PTR=[ReverseDNS] Il record PTR dell'indirizzo IP del mittente, noto anche come indirizzo DNS inverso.

Quando un messaggio viene filtrato per posta indesiderata, una voce custom_data di esempio avrà l'aspetto analogo al seguente:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente filtro malware (S:AMA)

Una stringa che inizia con S:AMA corrisponde a una voce dall'agente di filtro anti malware e fornisce i seguenti dettagli principali:

Informazioni di registro Descrizione
AMA=SUM|v=1|

o

AMA=EV|v=1|

È stato determinato che il messaggio contiene malware. SUM indica che il malware potrebbe essere stato rilevato da qualsiasi numero di motori. EV indica che il malware è stato rilevato da un motore specifico. Quando viene rilevato malware da un motore, questo attiva le seguenti azioni.
Action=r Il messaggio è stato sostituito.
Action=p Il messaggio è stato ignorato.
Action=d Il messaggio è stato rinviato.
Action=s Il messaggio è stato eliminato.
Action=st Il messaggio è stato ignorato.
Action=sy Il messaggio è stato ignorato.
Action=ni Il messaggio è stato rifiutato.
Action=ne Il messaggio è stato rifiutato.
Action=b Il messaggio è stato bloccato.
Name=<malware> Il nome del malware rilevato.
File=<nomefile> Il nome del file che contiene malware.

Quando un messaggio contiene malware, una voce custom_data di esempio avrà un aspetto analogo al seguente:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201307282038|name=Test_File|file=filename

Agente della regola di trasporto (S:TRA)

Una stringa che inizia con S:TRA è una voce dell'agente della regola di trasporto e fornisce i dettagli chiave seguenti:

Informazioni di registro Descrizione
ETR|ruleId=[guid] L'ID regola corrispondente.
St=[datetime] La data e l'ora (in UTC) relativa al rilevamento della corrispondenza della regola.
Action=[ActionDefinition] L'azione che è stato applicata. Per un elenco delle azioni disponibili, vedere Azioni delle regole del flusso di posta in Exchange Online.
Mode=Enforce La modalità della regola. I valori possibili sono:
  • Imponi: tutte le azioni sulla regola verranno applicate.
  • Test con suggerimenti per i criteri: verranno inviate azioni di suggerimento per i criteri, ma non verranno eseguite altre azioni di imposizione.
  • Test senza suggerimenti per i criteri: le azioni verranno elencate in un file di log, ma i mittenti non riceveranno alcuna notifica e le azioni di imposizione non verranno eseguite.

Quando un messaggio corrisponde a una regola del flusso di posta, una voce di custom_data di esempio avrà un aspetto simile al seguente:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2013 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce

Ulteriori informazioni

Domande frequenti sulla traccia dei messaggi presenta domande sulla messaggistica e le possibili risposte. Descrive, inoltre, come utilizzare lo strumento dei traccia dei messaggi per ottenere tali risposte e risolvere specifici problemi del recapito della posta.

È possibile eseguire una traccia dei messaggi tramite PowerShell di Exchange Online o PowerShell di Exchange Online Protection? Quali sono i cmdlet da usare? fornisce informazioni sui cmdlet di PowerShell che è possibile usare per eseguire una traccia dei messaggi.