How To Get Message Tracking Log
Admin can get the message activity GetMessageTrackingLog cmdlet in Exchange Server that will results message tracking log consist message entries. It will give information regarding the messages that includes:
- What happened to a message that was sent by a user to a specific recipient.
- To find out the transport rule applied on a message.
- Information about the message received from an Internet sender to Exchange organization.
- To get information about the messages sent by a specific user during a specified time period.
For Controlled OutputAdmin can use following syntax for controlled output
Using EAC For Message Tracking
Admin can get the delivery report with EAC. Delivery report is a message tracking tool that will searches the status of the message that were send from or to the organization Exchange. Admin can get the track of delivery information of the sent or received message.
How To Track The Message With EAC
- In the EAC, go to Mail Flow and click Delivery Reports.
- Mailbox to search Click on Browse to select the mailbox
- then click OK
Select one of the following:
For sent messages This option will search messages sent to specific users from the selected mailbox.
For received message This option will search the messages that are received by selected mailbox.
When finished, click Search. If you want to start it again, click Clear.
Conclusion
This article write up is completely about how to configure message tracking in exchange server 2016. The method is described using Exchange Admin Center (EAC) and PowerShell commands too. In the last of this article I have also described about how to get message tracking log.
I hope that the above mentioned methods can help an exchange admin to configure message tracking in exchange server 2016.
Включение и отключение правил потока обработки почты
Отключение правила позволяет предотвратить его применение к сообщениям, сохранив параметры правила.
По умолчанию правила потока обработки почты включены при их создании в EAC или командной консоли Exchange, но для создания отключенного правила можно использовать командную консоль Exchange (используйте параметр Enabled со значением ).
Включение и отключение правил потока обработки почты с помощью командной консоли Exchange
Для включения и отключения правил потока обработки почты в командной консоли Exchange используйте следующий синтаксис:
В этом примере отключается правило потока обработки почты под названием «Sender is a member of marketing».
В этом примере включается правило потока обработки почты под названием «Sender is a member of marketing».
Дополнительные сведения о синтаксисе и параметрах см. в статьях Enable-TransportRule и Disable-TransportRule.
Как проверить, все ли получилось?
Чтобы проверить, успешно ли включено или отключено правило потока обработки почты, выполните одно из указанных ниже действий.
-
В EAC перейдите в разделПравилапотока обработки> почты и в списке правил проверьте состояние флажка в столбце Вкл.
-
В командной консоли Exchange используйте любую из представленных ниже процедур.
Выполните следующую команду, чтобы просмотреть список правил и соответствующих значений State:
Замените именем правила и выполните следующую команду:
Установка приоритета для правил потока обработки почты
По умолчанию правилам потока обработки почты присваивается приоритет, основанный на порядке их создания (новые правила имеют более низкий приоритет, чем старые). Более низкий приоритет указывает на более высокий приоритет правила, а правила обрабатываются в порядке приоритета (правила с более высоким приоритетом обрабатываются перед правилами с более низким приоритетом). Два правила не могут иметь одинаковый приоритет.
Примечания.
-
Вы можете предотвратить выполнение сообщения последующими правилами с более низким приоритетом, включив в правило действие Остановить обработку дополнительных правил (StopRuleProcessing).
-
В Центре администрирования Exchange изменить приоритет правила можно только после его создания. В командной консоли Exchange можно переопределить заданный по умолчанию приоритет при создании правила (это может повлиять на приоритеты существующих правил).
В Центре администрирования Exchange правила обрабатываются в том же порядке, в котором они отображаются (для первого правила в свойстве Приоритет задано значение 0). Чтобы изменить приоритет правила, переместите правило вверх или вниз в списке (вы также можете напрямую изменить номер приоритета , изменив правило в EAC).
-
В EAC перейдите в разделПравилапотока обработки> почты.
-
Выберите правило, а затем нажмите кнопку Переместить вверх () или Переместить вниз (), чтобы переместить правило вверх или вниз в списке.
Установка приоритета для правил потока обработки почты с помощью командной консоли Exchange
Максимальный приоритет, который можно задать для правила, — 0. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 0–4. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы измените приоритет правила на 2, когда у вас есть пять правил (с приоритетами от 0 до 4), то для существующего правила с приоритетом 2 будет задан приоритет 3, а для правила с приоритетом 3 будет задан приоритет 4.
Чтобы задать приоритет правила в командной консоли Exchange, используйте следующий синтаксис:
В этом примере для правила под названием «Sender is a member of marketing» задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).
Примечание. Чтобы задать приоритет нового правила при его создании, используйте параметр Priority командлета New-TransportRule.
Как проверить, все ли получилось?
Чтобы проверить, успешно ли изменен приоритет правила потока обработки почты, выполните одно из указанных ниже действий.
-
В EAC перейдите в разделПравилапотока обработки> почты и проверьте значение Приоритет правила в списке.
-
В командной консоли Exchange используйте любую из представленных ниже процедур.
Выполните следующую команду, чтобы просмотреть список правил и соответствующих значений Priority:
Замените именем правила и выполните следующую команду:
Значения источника в журнале отслеживания сообщений
Значения в поле source в журнале отслеживания сообщений указывает на компонент транспорта, ответственный за событие отслеживания сообщений. В следующей таблице описаны значения поля source.
Значение источника | Описание |
---|---|
ADMIN | Источник события был введен пользователем. Например, администратор использовал средство просмотра, чтобы удалить сообщение, или отправил файлы сообщений с помощью каталога воспроизведения. |
AGENT | Источником события был агент транспорта. |
APPROVAL | Источником события была платформа утверждения, используемая для контролируемых получателей. Дополнительные сведения см. в разделе Управление утверждением сообщений. |
BOOTLOADER | Источником события были необработанные сообщения, которые присутствовали на сервере на момент загрузки. Это относится к типу событий LOAD. |
DNS | Источником события было DNS. |
DSN | Источником события было уведомление о состоянии доставки (также известное как DSN, сообщение о отказе, отчет о недоставке или NDR). |
GATEWAY | Источником события был внешний соединитель. Подробнее см. в разделе Foreign Connectors. |
MAILBOXRULE | Источником события было правило для папки «Входящие». Дополнительные сведения см. в разделе Правила папки «Входящие». |
MEETINGMESSAGEPROCESSOR | Источником события был обработчик сообщения о собрании, который обновляет календари в соответствии с обновлениями собрания. |
ORAR | Источником события был альтернативный получатель, запрошенный отправителем (ORAR). Вы можете включить или отключить поддержку ORAR в соединителях получения с помощью параметра OrarEnabled в командлетах New-ReceiveConnector или Set-ReceiveConnector . |
PICKUP | Источником события был каталог раскладки. Подробнее см. в разделе Pickup Directory and Replay Directory. |
POISONMESSAGE | Источником события был идентификатор сообщения о сбое. Дополнительные сведения о подозрительных сообщениях и очереди подозрительных сообщений см. в разделе Очереди и сообщения в очередях. |
PUBLICFOLDER | Источником события была общедоступная папка, поддерживающая почту. |
QUEUE | Источником события была очередь. |
REDUNDANCY | Источником события было избыточное теневое копирование. Дополнительные сведения см. в разделе Теневая избыточность в Exchange Server. |
РАСПОЗНАВАТЕЛЯ | Источником события был компонент разрешения получателей классификатора в транспортной службе. Дополнительные сведения см. в разделе Разрешение получателей в Exchange Server. |
ROUTING | Источником события был компонент разрешения маршрутизации классификатора в службе транспорта. |
SAFETYNET | Источником события была сеть безопасности. Дополнительные сведения см. в разделе Safety Net в Exchange Server. |
SMTP | Сообщение было отправлено компонентом отправки или получения SMTP службы транспорта. |
STOREDRIVER | Источником события была MAPI-отправка из почтового ящика на локальном сервере. |
Файлы моментальных снимков сообщений
Моментальные снимки сообщений — это файлы, в которые записываются все изменения, внесенные в сообщение агентами транспорта в транспортной службе или службе доставки с помощью транспорта почтовых ящиков. Эти файлы хранятся в папке в соответствующем пути трассировки конвейера для транспортной службы.
В папке Exchange создает по одной папке для каждого сообщения, отправленного отслеживаемым отправителем, которое проходит через указанную службу транспорта. Каждой папке присваивается имя в соответствии с GUID, назначенным сообщению. Если включить трассировку конвейера для транспортной службы и транспортной службы почтовых ящиков на одном сервере почтовых ящиков, каждой транспортной службой одному и тому же сообщению присваивается другой GUID, поэтому имя папки для сообщения в папке для транспортной службы отличается от имени папки для того же сообщения в папке для транспортной службы почтовых ящиков. Если включить конвейерную трассировку на нескольких серверах Exchange, по мере продвижения сообщения по указанной транспортной службе на каждом из серверов Exchange этому сообщению назначаются различные GUID.
В каждой папке сообщений служба Exchange создает несколько файлов моментальных снимков сообщений с расширением EML. Эти файлы моментальных снимков сообщений включают в себя содержимое сообщения, которое записывается по мере обнаружения каждого события SMTP и агента транспорта.
Если агент транспорта зарегистрирован в событии SMTP, служба Exchange создает моментальный снимок сообщения еще до того, как сообщение столкнется с агентами транспорта. В результате копия сообщения создается перед тем, как это сообщение обнаружит агентов транспорта, зарегистрированных в этом событии. Затем создается новый снимок сообщения для каждого агента транспорта, которого обнаруживает сообщение независимо от того, изменил ли агент транспорта содержимое сообщения. Однако если для данного события отсутствуют зарегистрированные агенты, служба Exchange не создает ни одного моментального снимка сообщения для этого события.
Например, если в событии OnEndofData зарегистрировано три агента транспорта, однако, только два из них изменяют сообщение, создается четвертый снимок сообщения. Первый снимок сообщения делается тогда, когда оно обнаруживает событие OnEndofData до внесения в сообщение изменений агентом транспорта, зарегистрированным в этом событии. Затем для каждого агента транспорта создается один снимок сообщения независимо от того, изменил ли его агент транспорта.
Создаваемые файлы моментальных снимков сообщений описаны в следующем списке.
-
Original.eml: этот файл содержит исходное неизмененном содержимое сообщения электронной почты, прежде чем оно столкнется с событиями SMTP или агентами транспорта.
-
Routingnnnn.eml: эти файлы содержат содержимое сообщения электронной почты при обнаружении транспорта событий SMTP и транспортных агентов, зарегистрированных в этих событиях в части классификации службы транспорта. Заполнитель nnnn представляет целочисленное значение, начинающееся с . Это значение увеличивается на единицу для каждого события SMTP и агента транспорта, зарегистрированного в этом событии, в порядке, в котором они выполняют действия в отношении сообщения. Эти файлы моментальных снимков Routing не создаются в службе доставки с помощью транспорта почтовых ящиков.
-
SmtpReceivennnn.eml. Эти файлы содержат содержимое сообщения электронной почты, так как оно обнаруживает события SMTP OnEndofData и OnEndOfHeaders , зарегистрированные в этих событиях во время получения SMTP-части службы транспорта или службы доставки транспорта почтовых ящиков. Заполнитель nnnn представляет целочисленное значение, начинающееся с . Это значение увеличивается на единицу для каждого события SMTP и агента транспорта, зарегистрированного в этом событии, в порядке, в котором они выполняют действия в отношении сообщения.
Файлы моментальных снимков сообщений можно открыть с помощью Блокнота или любого текстового редактора.
Каждый файл снимка сообщения начинается с заголовков, которые добавляются к содержимому сообщения и перечисляют SMTP-события и агентов транспорта, к которым относится файл снимка сообщений. Эти заголовки начинаются с и заканчиваются на . В каждом файле моментального снимка сообщения эти заголовки заменяются каждым последующим агентом транспорта и событием SMTP. Ниже приведен пример заголовков, добавляемых в файл сообщения электронной почты.
Можно ли выполнить трассировку сообщений с помощью Exchange Online PowerShell или Exchange Online Protection PowerShell? Какие командлеты следует использовать?
Для выполнения трассировки сообщений можно использовать следующие командлеты в Exchange Online PowerShell или Exchange Online Protection PowerShell:
Get-MessageTrace: трассировка сообщений старше 10 дней.
Get-MessageTraceDetail: просмотр сведений о событии трассировки сообщения для определенного сообщения.
Get-HistoricalSearch. Используйте этот командлет для просмотра сведений об исторических поисках, выполненных за последние 10 дней.
Start-HistoricalSearch: начните новый исторический поиск сообщений старше 90 дней.
Stop-HistoricalSearch: остановите поиск в очереди, который еще не запущен (значение состояния — ).
Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Сведения о подключении к Exchange Online Protection PowerShell в автономных организациях EOP без Exchange Online почтовых ящиков см. в статье Подключение к Exchange Online Protection PowerShell.
How long does it take to see results when running a message trace?
- В классическом Центре администрирования Exchange (классический Центр администрирования Exchange) результаты поиска сразу же отображаются для сообщений, которым менее семи дней.
- В современном Центре администрирования Exchange (современный Центр администрирования Exchange) результаты поиска отображаются сразу же для сообщений, которым менее 10 дней.
При выполнении трассировки сообщений для старых сообщений результаты возвращаются в течение нескольких часов в виде скачиваемого CSV-файла.
Примечание.
Ссылка на трассировку сообщений Exchange на портале Microsoft 365 Defender открывает трассировку сообщений в современном центре администрирования Exchange.
Рекомендации по устранению неполадок
Вот несколько распространенных проблем и способы их устранения.
-
Все выглядит хорошо, но правило не работает.
Иногда требуется более 15 минут для активации нового правила потока обработки почты. Подождите несколько часов и повторите попытку. Проверьте также, не возник ли конфликт правил. Попробуйте изменить приоритет правила на 0, поместив его в верхней части списка.
-
Заявление об отказе добавляется в исходное сообщение и все ответы, а не только исходное сообщение.
Чтобы избежать этого, добавьте исключение в правило заявления об отказе, чтобы искать уникальные фразу в заявлении об отказе.
-
Правило использует два условия, а действие должно выполняться, если выполнено одно из них, но правило срабатывает только при выполнении обоих условий.
Вам нужно создать два правила, по одному для каждого условия. Можно легко скопировать правило, нажав кнопку Копировать и удалив одно условие из исходного правила и другое условие из копии.
-
Я работаю с группами рассылки, аотправитель ( SentTo) не работает.
SentTo соответствует сообщениям, где одним из получателей является почтовый ящик, пользователь с поддержкой почты или контакт, но вы не можете указать группу рассылки с этим условием. Вместо этого используйте поле To, содержащее члена этой группы ( SentToMemberOf).
Изменение правил потока обработки почты
Изменение правил потока обработки почты с помощью Центра администрирования Exchange
При изменении правила потока обработки почты в Центре администрирования Exchange не используется никаких дополнительных параметров. В этом случае доступны те же параметры, что и при создании правила.
В EAC перейдите в разделПравилапотока обработки> почты.
Выберите правило и нажмите кнопку Изменить ( Обратите внимание, что отображаются все свойства правила (ссылка Дополнительные параметры недоступна). Дополнительные сведения о свойствах правил см
в разделе этой статьи.
Изменение правил потока обработки почты с помощью командной консоли Exchange
При изменении правила потока обработки почты в командной консоли Exchange его нельзя отключить или включить (в командлете Set-TransportRule нет параметра Enabled). Вместо этого используйте командлеты Disable-TransportRule и Enable-TransportRule, как описано далее в этой статье.
Для изменения правил потока обработки почты в командной консоли Exchange используйте следующий синтаксис:
В этом примере к правилу под названием «Sender is a member of marketing» добавляется исключение, чтобы правило не применялось к сообщениям от пользователя Kelly Rollin.
Дополнительные сведения о синтаксисе и параметрах см. в статье Set-TransportRule.
Как проверить, все ли получилось?
Чтобы проверить, успешно ли изменено правило потока обработки почты, выполните одно из указанных ниже действий.
-
В EAC перейдите враздел Правилапотока обработки> почты, выберите правило и просмотрите сведения в области сведений. Чтобы просмотреть другие параметры, нажмите кнопку Изменить (
-
В командной консоли Exchange замените <RuleName> именем правила и выполните следующую команду:
Почему кто-то не получил мое сообщение или почему я получил этот отчет о недоставке (также известное как сообщение о недоставке или отказе)?
К возможным причинам, помимо прочих, относятся следующие:
-
сообщение распознано как нежелательная почта;
-
сообщение было отправлено в карантин в соответствии с заданным правилом;
-
Сообщение было перенаправлено, так как соединитель отправил его в другое место назначения.
-
Сообщение было отклонено:
- фильтром защиты от вредоносных программ;
- потому что вложенный в сообщение файл содержит вредоносную программу;
- потому что в тексте письма содержится вредоносная программа;
- правилом;
- потому что указано действие «Отклонить»;
- потому что указано действие «Принудительно использовать TLS», но произошел сбой соединения по TLS;
- соединителем, потому что потребовалось использовать TLS, но произошел сбой;
-
сообщение отправлено для модерирования и ожидает утверждения или отклонено модератором;
-
сообщение не было отправлено;
-
Сообщение по-прежнему обрабатывается, так как произошел предыдущий сбой и служба повторно выполняет доставку.
-
Сообщение не удалось доставить в место назначения:
- потому что получатель недоступен;
- потому что получатель отклонил сообщение;
- потому что при доставке сообщения превышено время ожидания;
-
сообщение было доставлено получателю, но было удалено без прочтения (возможно, по причине соответствия правилу).
Чтобы узнать, что произошло, выполните приведенные ниже действия.
Запустите трассировку сообщений. Используйте как можно больше условий поиска, чтобы сузить результаты. Например, необходимо знать отправителя и предполагаемого получателя или получателей сообщения, а также общий период времени, когда было отправлено сообщение.
Просмотрите результаты, найдите сообщение, а затем просмотрите конкретные сведения о сообщении (см или ).
Найдите состояние доставки Сбой или Ожидание , чтобы объяснить, почему сообщение не было доставлено. Убедитесь, что сообщение было отправлено, оно было успешно получено службой, что оно не было отфильтровывало, не перенаправлялось или отправлено для модерации, а также что в нем не произошли сбои или задержки доставки. Если назначение недоступно, для устранения проблем с подключением можно использовать to IP- адрес.
Страница «Входящие»
Примечание.
По умолчанию в отчете отображаются данные за последние 7 дней.
На этой странице отображаются следующие сведения для каждого домена:
- Домен
- Состояние домена: значение будет Исправно или Ошибка.
- Предыдущая запись MX
- Текущая запись MX
- Email получено (за последние 6 часов)
Чтобы быстро отфильтровать результаты, щелкните начните вводить значение.
Для более сложных фильтров, которые можно также сохранить и использовать позже, щелкните и выберите Новый фильтр. В появившемся всплывающем окне Настраиваемый фильтр введите следующие сведения:
-
Присвойте фильтру имя: введите уникальное имя.
-
Щелкните Добавить новое предложение. Предложение содержит следующие элементы, которые необходимо ввести:
- Поле. Выберите Домен, Состояние домена, Предыдущая запись MX, Текущая запись MX или Email получено (за последние 6 часов).
- Оператор: выберите начало с или имеет значение .
- Значение. Введите значение, которое требуется найти.
Можно нажать кнопку Добавить новое предложение столько раз, сколько потребуется. В нескольких предложениях используется логика AND (<Clause1> AND <Clause2>…).
Чтобы удалить предложение, нажмите кнопку Удалить
По завершении нажмите кнопку Сохранить. Новый фильтр загружается автоматически, а результаты изменяются в зависимости от фильтра. Это тот же результат, что и при нажатии кнопки Фильтр и выборе фильтра клиента в списке.
Чтобы очистить существующий фильтр (вернуться к списку по умолчанию), щелкните значок фильтра выберите Очистить все фильтры.
Нажмите кнопку Экспорт , чтобы экспортировать отображаемые результаты в файл .csv.
При выборе строки появится область сведений о домене в зависимости от значения состояния домена:
- Работоспособно. Отображается объяснение записей MX и те же сведения из основного отчета.
- Ошибка. Дополнительные сведения о причине ошибки и способах ее устранения доступны в разделах Причина и Как исправить .
Согласование и обмен маркерами SCT
На этапе согласования/SCT Exchange на клиенте создаются два типа действий: «Настройка безопасного сеанса» и «закрытие безопасного сеанса». «Настройка безопасного сеанса» охватывает трассировки для обмена сообщениями RST/RSTR/SCT, а «закрыть безопасный сеанс» включает трассировки для сообщения об отмене.
На сервере каждый запрос или ответ RST/RSTR/SCT происходит в собственном действии. Если = на сервере и на клиенте, действия на сервере имеют одинаковый идентификатор и отображаются вместе в окне «Настройка безопасного сеанса» при просмотре с помощью средства просмотра трассировки службы.
Данная модель трассировки действий применяется для проверки подлинности по имени пользователя и паролю, проверки подлинности сертификатов и проверки подлинности NTLM.
В следующей таблице перечислены действия и трассировки для согласования и обмена маркерами SCT.
Уровень | Время начала согласования и обмена маркерами SCT | Действия | Трассировки |
---|---|---|---|
Защищенный транспорт (HTTPS, SSL) | При получении первого сообщения. | Трассировки создаются во внешнем действии. | -Exchange трассировки— Защищенный канал установлен— Получено общих секретов. |
Уровень защищенных сообщений (ВШТТП) | При получении первого сообщения. | На клиенте: — «Настройка безопасного сеанса» из «действия обработки» этого первого сообщения для каждого запроса или ответа в RST/RSTR/SCT.— «Закрыть безопасный сеанс» для отмены Exchange, из «закрытие действия прокси-сервера». Это действие может происходить из-за других внешних действий в зависимости от того, когда защищенный сеанс закрыт. На сервере: — Одно действие «обработать действие» для каждого запроса или ответа для RST/SCT/Cancel на сервере. Если = , действия RST/RSTR/SCT объединяются с «Настройка сеанса безопасности», а «Отмена» объединяется с действием «Закрыть» клиента. Для действия «Установить безопасный сеанс» предусмотрено два этапа: 1. согласование проверки подлинности. Этот этап не является обязательным, если у клиента уже есть надлежащие учетные данные. Этот этап можно выполнить посредством безопасного транспорта или обмена сообщениями. В последнем случае может осуществляться 1 или 2 операции обмена маркерами RST/RSTR. В случае этих операций обмена трассировки создаются в новых действиях запроса или ответа, как описано выше.2. Установка безопасного сеанса (SCT), в которой происходит один RST или RSTR. Внешние действия аналогичны описанным выше. | -Exchange трассировки— Защищенный канал установлен— Получено общих секретов. |
Примечание
В смешанном режиме безопасности согласование проверки подлинности происходит при обмене двоичными данными, но SCT происходит при обмене сообщениями. В чистом режиме передачи согласование происходит только в процессе передачи без каких-либо дополнительных действий.
Что нужно знать перед началом работы
-
Предполагаемое время для завершения каждой процедуры: 5 минут.
-
Дополнительные сведения о EAC см. в разделе Центр администрирования Exchange в Exchange Server. Сведения о том, как открыть командную консоль Exchange в локальной организации Exchange, см. в статье Open the Exchange Management Shell.
-
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи «Правила потока обработки почты» в разделе Политика обмена сообщениями и разрешения на соответствие требованиям в Exchange Server (Exchange Server) или в разделе Разрешения компонентов в Exchange Online.
-
Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу: Exchange Server, Exchange Online или Exchange Online Protection.