Rastreio de mensagens no novo centro de administração do Exchange no Exchange Online

O rastreio de mensagens no novo centro de administração do Exchange (EAC) segue as mensagens de e-mail à medida que percorrem a sua organização do Microsoft 365. Pode determinar se o serviço recebeu, rejeitou, adiou ou entregou uma mensagem. O rastreio de mensagens também mostra que ações foram tomadas na mensagem antes de atingir o estado final.

O rastreio de mensagens no novo EAC melhora o rastreio de mensagens original que estava disponível no EAC clássico. Pode utilizar as informações do rastreio de mensagens para responder eficientemente às perguntas dos utilizadores sobre o que aconteceu às mensagens, resolver problemas de fluxo de correio e validar as alterações de políticas.

Do que você precisa saber para começar?

  • Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

    • Permissões do Exchange Online: associação ao grupo de funções Gestão da Organização .

    • Permissões do Microsoft Entra: a associação às funções de Administrador* Global ou Administrador do Exchange dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365.

      Importante

      * A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

  • O número máximo de mensagens apresentadas nos resultados depende do tipo de relatório que selecionou. Para obter mais informações, consulte os Resultados do rastreio de mensagens. O cmdlet Get-HistoricalSearch no PowerShell do Exchange Online devolve todas as mensagens nos resultados.

Abrir rastreio de mensagens

No novo EAC em https://admin.exchange.microsoft.com, aceda a Rastreio demensagens do fluxo> de correio. Em alternativa, para aceder diretamente à página Rastreio de mensagens, utilize https://admin.exchange.microsoft.com/#/messagetrace.

Página de rastreio de mensagens

Na página Rastreio de mensagens, pode iniciar um novo rastreio predefinido ao selecionar Iniciar um rastreio.

Na lista de opções Novo rastreio de mensagens que é aberta, as seleções predefinidas procuram todas as mensagens de todos os remetentes e destinatários dos últimos dois dias. Em alternativa, pode utilizar uma das consultas armazenadas a partir dos separadores disponíveis (tal como estão ou como pontos de partida para as suas próprias consultas):

  • Consultas predefinidas: consultas incorporadas fornecidas pelo Microsoft 365.
  • Consultas personalizadas: consultas guardadas por administradores na sua organização para utilização futura.
  • Consultas guardadas automaticamente: as últimas 10 consultas executadas mais recentemente. Esta lista torna mais simples retomar a partir de onde ficou.

O separador Relatórios transferíveis mostra os pedidos de relatório transferíveis e os próprios relatórios quando estão disponíveis para transferência.

A página Rastreio de mensagens no novo EAC.

Opções para um novo rastreio de mensagens

As secções seguintes descrevem as definições disponíveis na lista de opções Novo rastreio de mensagens que é aberta quando seleciona Iniciar um rastreio ou abre um rastreio existente.

A lista de opções Novo rastreio de mensagens no novo EAC.

Remetentes e Destinatários

O valor predefinido para Remetentes e Destinatários é Todos, mas pode introduzir valores específicos:

  • Remetentes: clique na caixa e comece a escrever para introduzir ou selecionar um ou mais remetentes da sua organização.
  • Destinatários: clique na caixa e comece a escrever para introduzir ou selecionar um ou mais destinatários na sua organização.

Pode escrever os endereços de e-mail de remetentes e destinatários externos. Os carateres universais são suportados (por exemplo, *@contoso.com), mas não pode utilizar múltiplos carateres universais num único valor.

Pode colar múltiplas listas de remetentes ou destinatários separadas por ponto e vírgula (;), espaços (\s), símbolos de retorno (\r) ou novas linhas (\n).

Intervalo de tempo

Na secção Intervalo de tempo , o valor predefinido é 2 dias, mas pode especificar intervalos de data/hora até 90 dias. Quando utilizar intervalos de data/hora, considere os seguintes problemas:

  • Por predefinição, selecione o intervalo de tempo na vista Controlo de Deslize com uma linha cronológica.

    Um intervalo de tempo do Controlo de Deslize num novo rastreio de mensagens no novo EAC.

    Guardar uma consulta na vista Controlo de Deslize guarda o intervalo de tempo relativo (por exemplo, daqui a dois dias).

  • Pode mudar para a vista Intervalo de tempo personalizado para especificar os seguintes valores:

    • Fuso horário: aplica-se às entradas da consulta e aos resultados da consulta.
    • Data de início: data e hora.
    • Data de fim: data e hora.

    Um Intervalo de tempo personalizado num novo rastreio de mensagens no novo EAC.

    Guardar uma consulta na vista Intervalo de tempo personalizado guarda o intervalo de data/hora absoluto (por exemplo, 2023-05-06 13:00 to 2023-05-08 18:00).

Durante 10 dias ou menos, os resultados estão disponíveis instantaneamente como um relatório de Resumo.

Se especificar um intervalo de data/hora que seja ligeiramente superior a 10 dias:

  • Os resultados só estão disponíveis como um ficheiro CSV transferível (um relatório de resumo avançado ou um relatório Expandido).
  • Os resultados são preparados com dados de rastreio de mensagens arquivadas. Pode demorar várias horas até que o relatório esteja disponível para transferência. Dependendo do número de outros administradores que também submeteram pedidos de relatório por volta da mesma altura, também poderá notar um atraso antes de o processamento começar num pedido em fila.

Opções de pesquisa detalhadas

Na secção Opções de pesquisa detalhadas , estão disponíveis as seguintes opções:

  • Estado de entrega: estão disponíveis os seguintes valores:

    • Tudo: este é o valor predefinido.
    • Entregue: a mensagem foi entregue com êxito no destino pretendido.
    • Expandido: um destinatário do grupo de distribuição foi expandido antes da entrega aos membros individuais do grupo.
    • Falha: a mensagem não foi entregue.
    • Pendente*: a entrega da mensagem está a ser tentada ou tentada novamente.
    • Em quarentena*: a mensagem foi colocada em quarentena (como spam, correio em massa ou phishing). Para obter mais informações, veja Mensagens de e-mail em quarentena na EOP.
    • Filtrada como spam*: a mensagem foi identificada como spam e foi rejeitada ou bloqueada (não colocada em quarentena).
    • A obter o estado: A mensagem foi recebida recentemente pelo Microsoft 365, mas ainda não existem outros dados de estado disponíveis. Pode verificar novamente dentro de alguns minutos.

    * Este valor só está disponível em pesquisas que sejam inferiores a 10 dias. Se precisar de consultar dados com mais de 10 dias, utilize o cmdlet Start-HistoricalSearch no PowerShell do Exchange Online.

    Observação

    poderá haver um atraso de cinco a dez minutos entre os valores de estado de entrega comunicados e reais e comunicados.

  • ID da Mensagem: o ID da mensagem da Internet (também conhecido como O ID de Cliente) que se encontra no campo cabeçalho Message-ID no cabeçalho da mensagem. Os utilizadores podem dar-lhe este valor para investigar mensagens específicas.

    Esse valor é constante durante o tempo de vida da mensagem. Para mensagens criadas no Microsoft 365 ou no Exchange, o valor ID da Mensagem utiliza o formato <GUID@ServerFQDN>, incluindo os parênteses angulares. Por exemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Outros sistemas de e-mail podem utilizar sintaxe ou valores diferentes. Este valor é suposto ser exclusivo, mas nem todos os sistemas de e-mail seguem estritamente este requisito. Se o campo De cabeçalho Message-ID: não existir ou estiver em branco para mensagens recebidas de origens externas, é atribuído um valor arbitrário.

    Quando utilizar o ID da Mensagem para filtrar os resultados, certifique-se de que inclui a cadeia completa, incluindo parênteses retos em ângulo.

  • ID da Mensagem de Rede: o ID da Mensagem de Rede é um valor de ID de mensagem exclusivo que prevalece entre as cópias da mensagem que podem ser criadas devido à bifurcação e ao longo do processo de transporte de mensagens. É dinâmico, em que o respetivo valor difere até mesmo para uma cópia da instância específica da mensagem. Por conseguinte, cada versão copiada da instância terá um valor de ID de Mensagem de Rede diferente.

    As diferenças entre o ID da Mensagem de Rede e o ID da Mensagem são resumidas na tabela seguinte:

    ID da Mensagem de Rede ID da Mensagem
    ID da instância específica de uma mensagem de e-mail ID da mensagem de e-mail
    Exclusivo e persiste em cópias da mensagem que podem ser criadas devido à bifurcação de mensagens Constante para a duração da mensagem

    Para obter mais informações sobre o ID da Mensagem de Rede, veja as seguintes informações:

    Para rastrear o valor do ID da Mensagem de Rede e utilizá-lo para rastrear mensagens específicas no Exchange Online, utilize qualquer um dos seguintes cabeçalhos de mensagem:

    • X-MS-Exchange-Organization-Network-Message-Id
    • X-MS-Office365-Filtering-Correlation-Id
    • X-MS-Exchange-CrossTenant-Network-Message-Id

    Pode utilizar o valor ID da Mensagem de Rede desses cabeçalhos para obter mensagens específicas. Por exemplo:

    • Mensagens que foram enviadas por um remetente específico.
    • Mensagens que foram endereçadas a um destinatário específico.
    • Mensagem enviada durante um período de tempo especificado.

    Também pode utilizar o cmdlet Get-MessageTrace no PowerShell do Exchange Online para rastrear o valor do ID da Mensagem de Rede .

    O exemplo seguinte utiliza o valor ID da Mensagem de Rede para localizar mensagens enviadas entre john@contoso.com 13 de junho de 2024 e 15 de junho de 2024:

    • O parâmetro MessageTraceID utiliza o valor ID da Mensagem de Rede , que neste exemplo é 2bbad36aa4674c7ba82f4b307fff549.
    • Os resultados do comando Get-MessageTrace são direcionados para o cmdlet **Get-MessageTraceDetail. Os resultados permitem-lhe identificar:
      • O valor do ID da Mensagem de Rede .
      • As mensagens específicas que este valor de ID de Mensagem de Rede ajuda a obter.
    Get-MessageTrace -MessageTraceId 2bbad36aa4674c7ba82f4b307fff549f -SenderAddress john@contoso.com -StartDate 06/13/2024 -EndDate 06/15/2024 | Get-MessageTraceDetail
    
  • Direção: selecione um dos seguintes valores:

    • Tudo: este é o valor predefinido.
    • Entrada: mensagens enviadas aos destinatários na sua organização.
    • Saída: mensagens enviadas por utilizadores na sua organização.
  • Endereço IP do cliente original: o endereço IP do computador ou dispositivo cliente do remetente de e-mail. Pode utilizar este filtro para investigar computadores hackeados que estão a enviar grandes quantidades de spam ou software maligno. Embora as mensagens possam parecer provenientes de vários remetentes, é provável que o mesmo computador esteja a gerar todas as mensagens.

    Observação

    As informações do endereço IP do cliente só estão disponíveis durante 10 dias e apenas no relatório de resumo Avançado ou no Relatório expandido (ficheiros CSV transferíveis).

Tipo de relatório

Os tipos de relatório disponíveis são:

  • Relatório de resumo: disponível se o intervalo de tempo for inferior a 10 dias e não necessitar de outras opções de filtragem. Os resultados estão disponíveis quase imediatamente após selecionar Procurar. O relatório devolve até 20 000 resultados.

    Selecione Procurar para iniciar o rastreio de mensagens. É levado para a página Resultados da pesquisa de rastreio de mensagens, conforme descrito na secção Resultado do relatório de resumo .

    As últimas 10 consultas de relatório de Resumo estão disponíveis no separador Consultas guardadas automaticamente na página Rastreio de mensagens.

  • Relatório de resumo melhorado: inclui as informações no relatório de resumo e outros detalhes (por exemplo, direção e endereço IP do cliente original). Disponível apenas como um ficheiro CSV transferível. O relatório devolve até 100 000 resultados.

  • Relatório alargado: inclui as mesmas informações que o relatório de resumo alargado e detalhes abrangentes do evento de encaminhamento e mensagem. Disponível apenas como um ficheiro CSV transferível. O relatório devolve até 1000 resultados.

    O relatório de resumo avançado e o Relatório expandido requerem uma ou mais das seguintes opções de filtragem, independentemente do intervalo de tempo: Remetentes, Destinatários ou ID da Mensagem.

    O relatório de resumo avançado e o relatório Expandido são preparados com dados de rastreio de mensagens arquivadas. Pode demorar várias horas até que o relatório esteja disponível para transferência. Dependendo do número de outros administradores que também submeteram pedidos de relatório por volta da mesma altura, também poderá notar um atraso antes de o processamento começar num pedido em fila.

    Embora possa selecionar o relatório de resumo avançado ou Relatório expandido para qualquer intervalo de datas/horas, as últimas 24 horas de dados arquivados não estão normalmente disponíveis.

    O tamanho máximo de um ficheiro CSV transferível é de 800 MB. Se um relatório transferível exceder os 800 MB, não poderá abrir o relatório no Excel ou no Bloco de Notas.

    Quando seleciona Seguinte, é levado para uma lista de opções de resumo que lista as opções de filtragem selecionadas, um título exclusivo (editável) para o relatório e o endereço de e-mail para receber a notificação quando o rastreio de mensagens for concluído (também editável e tem de estar num dos domínios aceites da sua organização).

    Selecione Preparar relatório para submeter o rastreio de mensagens. Pode ver o estado do relatório no separador Relatórios transferíveis . Para obter mais informações sobre os dados devolvidos, veja as secções Relatórios de resumo melhorados e Relatórios expandidos .

    Observação

    O endereço IP do servidor de proteção de saída da EOP, que está incluído no registo SPF do Microsoft 365, não é apresentado em nenhum tipo de relatório de rastreio de mensagens. Esta condição é por predefinição, uma vez que os relatórios de rastreio de mensagens são gerados antes do envolvimento do servidor de proteção de saída.

Resultados do rastreio de mensagens

Os diferentes tipos de relatório devolvem diferentes níveis de informações. As informações disponíveis nos diferentes relatórios são descritas nas secções seguintes:

Resultado do relatório de resumo

Depois de executar o rastreio de mensagens, os resultados são ordenados por data/hora descendentes (eventos mais recentes primeiro).

O relatório Resumo contém as seguintes informações:

  • Data: a data e hora em que a mensagem foi recebida pelo serviço, utilizando o fuso horário UTC configurado.
  • Remetente: o endereço de e-mail do remetente (domíniode alias@).
  • Destinatário: o endereço de e-mail do destinatário. Se a mensagem tiver vários destinatários, cada destinatário estará numa linha separada. Se o destinatário for um grupo de distribuição, grupo de distribuição dinâmico ou grupo de segurança com capacidade de correio, o grupo é o primeiro destinatário, seguido por cada membro do grupo numa linha separada.
  • Assunto: os primeiros 256 carateres do campo Assunto: da mensagem.
  • Estado: estes valores estão descritos na secção Opções de pesquisa detalhadas .

Por predefinição, os primeiros 250 resultados são carregados e prontamente disponíveis. Quando se desloca para baixo, existe uma ligeira pausa à medida que o próximo lote de resultados é carregado, até um máximo de 10 000.

Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.

No separador E-mail, pode diminuir o espaçamento vertical na lista ao clicar em Alterar vista e, em seguida, selecionar Compactar lista.

Utilize a caixa Procurar e um valor correspondente para localizar entradas específicas. Os carateres universais não são suportados

Para filtros mais avançados que também pode guardar e utilizar mais tarde, selecione Filtrar e, em seguida, selecione Novo filtro. Na lista de opções Filtro personalizado que é aberta, introduza as seguintes informações:

  • Atribua um nome ao filtro: introduza um nome exclusivo.

  • Adicione uma cláusula de filtro ao introduzir as seguintes informações:

    • Campo: selecione um dos seguintes valores:
      • Sender
      • Recipiente
      • Assunto
      • Status
    • Operador: selecione começa com ou está.
    • Valor: introduza o valor que pretende procurar.

    Pode selecionar Adicionar nova cláusula e repetir o passo anterior quantas vezes for necessário. Várias cláusulas utilizam a lógica AND (<Cláusula1> E <Cláusula2>...).

    Para remover uma cláusula de filtro, selecione Remover cláusula junto à entrada.

    Quando tiver terminado na lista de opções Filtro personalizado , selecione Guardar. O novo filtro é carregado automaticamente e os resultados filtrados são apresentados na página Resultados da pesquisa de rastreio de mensagens. Este resultado é o mesmo que selecionar Filtrar e, em seguida, selecionar o filtro existente na secção Filtros personalizados na lista.

    Para descarregar um filtro existente e voltar às informações predefinidas apresentadas na página Resultados da pesquisa de rastreio de mensagens, selecione >Limpar todos os filtros.

Selecione Editar rastreio de mensagens para editar os critérios de pesquisa.

Utilize Exportar resultados para exportar os resultados apresentados para um ficheiro CSV.

Selecione Atualizar para atualizar os resultados.

Os registos de mensagens relacionados são registos que partilham o mesmo ID da Mensagem. Lembre-se de que até uma única mensagem enviada entre duas pessoas pode gerar vários registos. O número de registos aumenta quando a mensagem é afetada pela expansão do grupo de distribuição, reencaminhamento, regras de fluxo de correio (também conhecidas como regras de transporte), etc.

Na área em branco junto à coluna Data , selecione a caixa de verificação redonda que aparece junto à entrada. As seguintes ações são apresentadas na página Resultados dos rastreios de mensagens :

Para obter mais informações sobre o ID da Mensagem, consulte a secção Opções de pesquisa detalhadas .

Detalhes do rastreio de mensagens

Na saída do relatório de resumo, pode ver detalhes sobre uma mensagem ao clicar em qualquer parte da linha que não seja a caixa de verificação redonda que aparece junto ao valor Data .

A lista de opções de detalhes que é aberta depois de clicar numa linha no rastreio da mensagem de relatório de resumo resulta no novo EAC.

Os detalhes que são apresentados contêm as seguintes informações que não estão presentes no relatório de resumo:

  • Eventos de mensagens: depois de expandir esta secção, pode ver classificações que ajudam a categorizar as ações que o serviço executa nas mensagens. Alguns dos eventos mais interessantes que poderá encontrar são:

    • Receber: a mensagem foi recebida pelo serviço.
    • Enviar: a mensagem foi enviada pelo serviço.
    • Falha: a mensagem não foi entregue.
    • Entregar: a mensagem foi entregue numa caixa de correio.
    • Expandir: a mensagem foi enviada para um grupo de distribuição que foi expandido.
    • Transferência: os destinatários foram movidos para uma mensagem bifurcada devido à conversão de conteúdo, limites de destinatários de mensagens ou agentes.
    • Diferir: a entrega da mensagem foi adiada e poderá ser tentada novamente mais tarde.
    • Resolvido: a mensagem foi redirecionada para um novo endereço de destinatário com base numa pesquisa do Active Directory. Quando este evento acontece, o endereço do destinatário original é listado numa linha separada no rastreio de mensagens, juntamente com o estado de entrega final da mensagem.
    • Regra DLP: a mensagem tinha uma correspondência de regra DLP.
    • Etiqueta de confidencialidade: Ocorreu um evento de etiquetagem do lado do servidor. Por exemplo, uma etiqueta foi adicionada automaticamente a uma mensagem que inclui uma ação para encriptar ou foi adicionada através da Web ou do cliente móvel. Esta ação é concluída pelo servidor Exchange e é registada. Uma etiqueta adicionada através do Outlook não está incluída no campo de evento.

    Observações:

    • Uma mensagem sem incidentes que é entregue com êxito gera várias entradas de Evento no rastreio de mensagens. Para obter descrições de mais eventos, veja Tipos de eventos no registo de controlo de mensagens. Esta ligação é um tópico do Exchange Server (Exchange no local).
  • Mais informações: Depois de expandir esta secção, pode ver os seguintes detalhes:

    • ID da Mensagem: este valor é descrito na secção Opções de pesquisa detalhadas . Um exemplo de um valor de ID da Mensagem é <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
    • Tamanho da mensagem: o tamanho da mensagem enviada, incluindo anexos/imagens/texto.
    • A partir do IP: o endereço IP do computador que enviou a mensagem. Para as mensagens de saída enviadas a partir do Exchange Online, o valor é nulo.
    • Para IP: o(es) endereço(es) ao qual o serviço tentou entregar a mensagem. Se a mensagem tiver vários destinatários, estes endereços são apresentados. Para mensagens de entrada enviadas para o Exchange Online, o valor é nulo.

Relatórios de resumo melhorados

Está disponível um relatório de resumo avançado no separador Relatórios transferíveis na página Rastreio de mensagens:

  • Os relatórios que estão disponíveis para transferência têm o valor EstadoConcluído
  • Os relatórios que não estão disponíveis para transferência têm os valores EstadoNão iniciado ou Em curso.

As seguintes informações estão disponíveis no ficheiro CSV do relatório de resumo avançado :

  • *origin_timestamp: a data e hora em que a mensagem foi recebida inicialmente pelo serviço, utilizando o fuso horário UTC configurado.
  • sender_address: o endereço de e-mail do remetente (domínio de alias@).
  • Recipient_status: o estado da entrega da mensagem ao destinatário. Se a mensagem tiver sido enviada para vários destinatários, mostra todos os destinatários e o estado correspondente para cada um, no formato: < endereço >de e-mail##<estado>. Alguns exemplos dos estados dos destinatários são:
    • ##Receive, Enviar significa que a mensagem foi recebida pelo serviço e enviada para o destino pretendido.
    • ##Receive, Falha significa que a mensagem foi recebida pelo serviço, mas a entrega no destino pretendido falhou.
    • ##Receive, Entregar significa que a mensagem foi recebida pelo serviço e entregue na caixa de correio do destinatário.
  • message_subject: os primeiros 256 carateres do campo Assunto da mensagem.
  • total_bytes: o tamanho da mensagem em bytes, incluindo anexos.
  • message_id: este valor é descrito na secção Opções de pesquisa detalhadas . Um exemplo de um valor de message_id é <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • network_message_id: um valor de ID de mensagem exclusivo que persiste em todas as cópias da mensagem que podem ser criadas devido à expansão do grupo de distribuição ou bifurcação. Um exemplo de network_message_id valor é 1341ac7b13fb42ab4d4408cf7f55890f.
  • original_client_ip: o endereço IP do servidor SMTP do remetente.
  • direcionalidade: indica se a mensagem foi enviada de entrada (para a sua organização) ou de saída (da sua organização).
  • connector_id: o nome do conector de origem ou destino. Para obter mais informações sobre conectores no Exchange Online, consulte Configurar o fluxo de correio com conectores no Office 365.
  • *delivery_priority: se a mensagem foi enviada com prioridade Alta, Baixa ou Normal.

* Estas propriedades só estão disponíveis num relatório de resumo Avançado.

Relatórios expandidos

Está disponível um relatório Expandido no separador Relatórios transferíveis na página Rastreio de mensagens:

  • Os relatórios que estão disponíveis para transferência têm o valor EstadoConcluído
  • Os relatórios que não estão disponíveis para transferência têm os valores EstadoNão iniciado ou Em curso.

As seguintes informações estão disponíveis no ficheiro CSV de relatório avançado :

  • client_ip: o endereço IP do servidor de e-mail ou cliente de mensagens que submeteu a mensagem.

  • client_hostname: o nome do anfitrião ou FQDN do servidor de e-mail ou cliente de mensagens que submeteu a mensagem.

  • server_ip: o endereço IP do servidor de origem ou de destino.

  • server_hostname: o nome do anfitrião ou FQDN do servidor de destino.

  • source_context: informações adicionais associadas ao campo de origem . Por exemplo:

    • Protocol Filter Agent
    • 3489061114359050000
  • origem: o componente do Exchange Online responsável pelo evento. Por exemplo:

    • AGENT
    • MAILBOXRULE
    • SMTP
  • event_id: este valor corresponde aos valores do evento Mensagem que são explicados em Localizar registos relacionados para esta mensagem.

  • internal_message_id: um identificador de mensagem atribuído pelo servidor do Exchange Online que está atualmente a processar a mensagem.

  • recipient_address: os endereços de e-mail dos destinatários da mensagem. Vários endereços de email são separados pelo caractere de ponto-e-vírgula (;).

  • recipient_count: o número total de destinatários na mensagem.

  • related_recipient_address: apresentar eventos com EXPAND, REDIRECTe para apresentar os endereços de e-mail RESOLVE de outros destinatários associados à mensagem.

  • referência: este campo contém informações adicionais para tipos específicos de eventos. Por exemplo:

    • DSN: contém a ligação do relatório, que é o valor message_id da notificação de estado de entrega associada (também conhecida como DSN, relatório não dinâmico, NDR ou mensagem de devolução) se for gerado um DSN subsequente a este evento. Se esta mensagem for uma mensagem DSN, este campo contém o valor message_id da mensagem original para a qual o DSN foi gerado.

    • EXPANDIR: contém o valor related_recipient_address das mensagens relacionadas.

    • RECEBER: poderá conter o valor message_id da mensagem relacionada se a mensagem tiver sido gerada por outros processos (por exemplo, regras da Caixa de Entrada).

    • ENVIAR: contém o valor internal_message_id de qualquer mensagem DSN.

    • TRANSFERÊNCIA: contém o valor internal_message_id da mensagem que está a ser forkada (por exemplo, por conversão de conteúdo, limites de destinatários de mensagens ou agentes).

    • MAILBOXRULE: contém o valor internal_message_id da mensagem de entrada que fez com que a regra da Caixa de Entrada gerasse a mensagem de saída.

      Para outros tipos de eventos, este campo (internal_message_id) está em branco.

  • return_path: o endereço de e-mail de devolução especificado pelo comando MAIL FROM que enviou a mensagem. Embora este campo nunca esteja vazio, pode ter o valor de endereço do remetente nulo representado como <>.

  • message_info: informações adicionais sobre a mensagem. Por exemplo:

    • A data-hora de origem da mensagem em UTC para DELIVER e SEND eventos. A data-hora de origem é a hora em que a mensagem entrou pela primeira vez na organização do Exchange Online. A data/hora UTC é representada no formato de data/hora ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ, em que yyyy = ano, MM = mês, dd = dia, T indica o início do componente de hora, hh = hora, mm = minuto, ss = segundo, fff = frações de segundo, e Z significa Zulu, que é outra forma de denotar UTC.
    • Erros de autenticação. Por exemplo, poderá ver o valor 11a e o tipo de autenticação que foi utilizado quando ocorreu o erro de autenticação.
  • tenant_id: um valor GUID que representa a organização do Exchange Online (por exemplo, 39238e87-b5ab-4ef6-a559-af54c6b07b42).

  • original_server_ip: o endereço IP do servidor original.

  • custom_data: contém dados relacionados com tipos de eventos específicos. Para obter mais informações, consulte as seguintes seções:

custom_data valores

O campo custom_data de um AGENTINFO evento é utilizado por vários agentes do Exchange Online para registar detalhes de processamento de mensagens. Alguns dos agentes mais interessantes são descritos nas secções seguintes.

Agente de filtro de spam

Um custom_data valor que começa com S:SFA é do agente de filtro de spam. Para obter mais informações, veja Campos de cabeçalho da mensagem X-Forefront-Antispam-Report.

Um exemplo de um valor de custom_data para uma mensagem filtrada por spam tem o seguinte aspeto:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente de filtro de software maligno

Um custom_data valor que começa com S:AMA é do agente de filtro de software maligno. Os principais detalhes estão descritos na tabela seguinte:

Valor Descrição
AMA=SUM|v=1| ou AMA=EV|v=1 Foi determinado que a mensagem contém malware. SUM indica que o software maligno pode ter sido detetado por qualquer número de motores. EV indica que o software maligno foi detetado por um motor específico. Quando um motor deteta software maligno, as ações subsequentes são acionadas.
Action=r A mensagem foi substituída.
Action=p A mensagem foi ignorada.
Action=d A mensagem foi adiada.
Action=s A mensagem foi excluída.
Action=st A mensagem foi ignorada.
Action=sy A mensagem foi ignorada.
Action=ni A mensagem foi rejeitada.
Action=ne A mensagem foi rejeitada.
Action=b A mensagem foi bloqueada.
Name=<malware> O nome do malware foi detectado.
File=<filename> O nome do arquivo que continha o malware.

Um exemplo de um valor de custom_data para uma mensagem que contém software maligno tem o seguinte aspeto:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Agente da Regra de Transporte

Um custom_data valor que começa comS:TRA é do agente da Regra de Transporte para regras de fluxo de correio (também conhecidas como regras de transporte). Os principais detalhes estão descritos na tabela seguinte:

Valor Descrição
ETR|ruleId=<guid> A identificação da regra encontrou uma correspondência.
St=<datetime> A data e hora em UTC em que ocorreu a correspondência da regra.
Action=<ActionDefinition> A ação que foi aplicada. Para obter uma lista de ações disponíveis, consulte Ações de regras de fluxo de correio no Exchange Online.
Mode=<Mode> O modo da regra. Os valores válidos são:
  • Impor: todas as ações na regra são impostas.
  • Teste com Sugestões de Política: todas as ações de Sugestão de Política são enviadas, mas não são executadas outras ações de imposição.
  • Testar sem Sugestões de Política: as ações são listadas num ficheiro de registo, mas os remetentes não são notificados de forma alguma e as ações de imposição não são executadas.</li?

Um exemplo de um valor de custom_data para uma mensagem que corresponde às condições de uma regra de fluxo de correio tem o seguinte aspeto:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce