邮件跟踪报告对诊断邮件收发故障是至关重要的。所以,读懂邮件跟踪报告就尤为关键了。微软提供了详细度不同的两种邮件跟踪报告,分别是包括路由详细信息的报告和不含路由相信信息的报告。
一、不含路由详细信息报告内容
该类报告,又分为七日以内的邮件跟踪报告和七日以上的邮件跟踪报告。七日以内的邮件跟踪报告是直接在Exchange管理中进行呈现,而七日以上的则是以CSV格式文档提供下载。
- 邮件大小:该值为邮件以及其包含的附件总大小;
- 邮件ID:即Internet Message ID,该ID来自于发件系统,有发件系统生成。从理论上将该ID是唯一,所以如果需要唯一定位邮件可以使用该参数;
- 收件人IP地址:Exchange Online将邮件需要转发到的目标IP地址,在有多个收件人时会被显示。另外,对于发送给Exchange Online的入站邮件,该值为空;
- 发件人IP地址:发送邮件的SMTP客户端IP地址。对于从Exchange Online发出的出站邮件,该值为空;
- 日期(UTC):事件发生的日期和时间;
- 事件:该字段用以标识Exchange Online对邮件的操作,该操作有Exchange Online服务器完成并记录在系统中。这些操作包括:
- 接收:邮件由Exchange Online系统接收到;
- 发送:邮件由Exchange Online系统发出;
- 失败:邮件投递失误,无法传递;
- 投递:邮件已经被投递到邮箱中;
- 展开:邮件发送到已经展开的通讯组中;
- 转移:由于内容转换、邮件收件人或代理限制,收件人被转移到一个分支邮件;
- 延迟:邮件传递延迟,稍后可能会重新尝试;
- 已解决:邮件已基于活动目录查找重定向到新的收件人地址;
- DLP规则:与DLP规则进行匹配;
- 敏感度:发生服务器端标记事件。
- 详细信息:该字段详细描述了当前事件所发生的情况。
2、七日以上邮件跟踪报告参数字段
由于七日以上邮件跟踪报告是通过CSV的方式提供的,从Exchange Online中下载到CSV文件后,通过Excel或其它工具打开,其内容包括如下字段:
- origin_timestamp:接收邮件的UTC日期和时间;
- sender_address:发件人邮件地址;
- Recipient_status:邮件送达收件人的状态。如果邮件已发送多个收件人,将针对每个收件人显示相应的状态,格式为:<email address>##<status>。例如,状态为:
- ##Receive,Send:表示邮件已由服务接收并发送到预期目标;
- ##Receive,Fail:表示服务已接收邮件,但无法传递到预期目标;
- ##Receive,Deliver:表示邮件已被接收并投递到收件人的邮箱;
- message_subject:邮件的主题行文本;
- total_bytes:该值为邮件以及其包含的附件总大小;
- message_id:即Internet Message ID,该ID来自于发件系统,有发件系统生成。从理论上将该ID是唯一,所以如果需要唯一定位邮件可以使用该参数;
- network_message_id:这是一个唯一的邮件ID值,会在混淆或通讯组扩展而创建的邮件副本中会保留该值;
- original_client_ip:收件人IP地址;
- directionality:此字段表示邮件是发送到组织的入站邮件,还是从组织发出的出站邮件;
- connector_id:来源或目的地发送连接器或接收连接器的名称;
- delivery_priority:邮件优先级。
二、包含路由详细信息的邮件跟踪报告
Exchange Online同样是以CSV格式文件提供包含路由详细信息的邮件跟踪过报告。其中除了和上述未包含路由详细信息邮件跟踪报告内容相同部分,还有更多的邮件路由信息。
1、垃圾邮件筛选器代理信息
垃圾邮件筛选器代理信息是以S:SFA开头的字符串,包括:
| 日志信息 | 描述 |
| SFV=NSPM | 邮件被标记为非垃圾邮件并发送给预期发件人。 |
| SFV=SPM | 邮件由内容筛选器标记为垃圾邮件。 |
| SFV=BLK | 跳过筛选但阻止邮件,因为它是由已阻止发件人发送。 |
| SFV=SKS | 邮件在内容筛选器处理之前被标记为垃圾邮件。 |
| SCL=<number> | 邮件被定义的SCL值。 |
| PCL=<number> | 邮件的仿冒可能性等级 (PCL) 值。 |
| DI=SB | 已阻止邮件发件人。 |
| DI=SQ | 邮件已隔离。 |
| DI=SD | 邮件已删除。 |
| DI=SJ | 邮件已发送至收件人的“垃圾邮件”文件夹。 |
| DI=SN | 邮件已通过高风险传送池路由。 |
| DI=SO | 邮件已通过正常出站传送池路由。 |
| SFS=[a] | 说明匹配此垃圾邮件规则。 |
| IPV=CAL | 邮件已通过垃圾邮件筛选器允许。 |
| H=[helostring] | 连接邮件服务器的 HELO 或 EHLO 字符串。 |
| PTR=[ReverseDNS] | 发送 IP 地址的 PTR 记录。 |
2、恶意软件筛选器代理信息
恶意软件筛选器代理信息是以S:AMA开头的字符串,包括:
| 日志信息 | 描述 |
| AMA=SUMv|=1| 或 AMA=EVv|=1| |
已确定此邮件包含恶意软件。SUM 表示恶意软件可能已由任意数量的引擎检测到。EV 表示恶意软件已由特定引擎检测到。引擎检测到恶意软件后,将触发后续操作。 |
| Action=r | 邮件已被替换。 |
| Action=p | 邮件已被忽略。 |
| Action=d | 邮件已被延迟。 |
| Action=s | 邮件已删除。 |
| Action=st | 邮件已被忽略。 |
| Action=sy | 邮件已被忽略。 |
| Action=ni | 邮件已被拒绝。 |
| Action=ne | 邮件已被拒绝。 |
| Action=b | 邮件已被阻止。 |
| Name=<malware> | 已检测到的恶意软件的名称。 |
| File=<filename> | 恶意软件中包含的文件名称。 |
3、传输规则代理信息
传输规则代理信息是以S:TRA开头的字符串,包括:
| 日志信息 | 描述 |
| ETRruleId|=[guid] | 匹配的规则ID。 |
| St=[datetime] | 规则匹配时的日期和时间(采用 UTC 时间)。 |
| Action=[ActionDefinition] | 应用的操作。 |
| Mode=Enforce | 规则模式。可能的值是:
|