邮件跟踪的目的是用于解决和处理邮件通讯中的问题,那么邮件跟踪到底能够解决哪些具体的问题呢?或者说,遇到了什么样的问题可以用邮件跟踪进行诊断呢?
一、常见问题实例
在进行问题排查时,通常会进行TCP/IP逐层排查。但是这里是描述Exchange Online邮件系统的诊断功能。所以,在排查问题之前已经事先确认后网络通讯等问题已经被排除。由此才是对邮件进行跟踪来排除原因。
1、没有收到预期的邮件
对于没有收到预期邮件的影响因素非常多,可以分为如下几种情况:
- 邮件检测为垃圾邮件;
- 由于规则匹配,邮件被发送到隔离邮件;
- 邮件由于以下原因被拒绝——
- 触发恶意软件筛选器
- 附加到邮件的文件包含恶意软件
- 邮件正文包含恶意软件
- 违反预先设定的规则
- 操作被拒绝
- 操作被强制要求TLS,但建立TLS失败
- 由于连接器要求必须使用TLS,但TLS建立失败
- 邮件正被审阅同时正等待批准,或者被审阅者拒绝;
- 发件人从未发送过邮件;
- 邮件仍在处理中,可能是因为以前发生故障,服务正在重新尝试传递;
- 邮件无法传送到收件人邮箱——
- 无法访问目标
- 目标拒绝该邮件
- 邮件在传送尝试期间超时
为判断到底是因为上述哪种原因导致,此时就要使用到邮件跟踪,比如李四向张三发邮件,张三没有收到,那么在邮件跟踪里按邮件发送的时间,定义事件范围为7天以内或7天以上。一般不用首先使用详细信息报告。可以先通过快速报告来进行初步诊断。然后筛选发件人为李四,收件人为张三的邮件。
在检索结果中,着重查找事件状态为“失败”或“挂起”的邮件。然后双击邮件条目,查看邮件跟踪报告,通过报告的内容判定具体的原因。
2、收到了不应该接收的邮件
对于收到本来不应该收到的邮件,可能是由于如下几个原因造成:
- 邮件从隔离邮件中释放;
- 邮件被审阅者批准;
- 邮件是未检测到的垃圾邮件;
- 邮件与某个规则匹配从而投递到收件人;
- 邮件被发送到通讯组列表,而收件人正好被加入到了该通讯组。
仍然是首先定义好时间范围,然后基于收件人进行筛选,并且在“传递状态”下拉列表中选择“已传递”,然后点击“搜索”。
在搜索结果列表中,找到对应的邮件。双击邮件条目,查看邮件跟踪报告,通过报告的内容判定具体的原因。
3、发件人收到未投递报告
对于发件人收到未投递报告或退信原因非常多,可以分为如下几种情况:
- 邮件检测为垃圾邮件;
- 由于规则匹配,邮件被发送到隔离邮件;
- 邮件被重新路由,连接器将邮件发送到另一个目标。
- 邮件由于以下原因被拒绝——
- 触发恶意软件筛选器
- 附加到邮件的文件包含恶意软件
- 邮件正文包含恶意软件
- 违反预先设定的规则
- 操作被拒绝
- 操作被强制要求TLS,但建立TLS失败
- 由于连接器要求必须使用TLS,但TLS建立失败
- 邮件正被审阅同时正等待批准,或者被审阅者拒绝;
- 发件人从未发送过邮件;
- 邮件仍在处理中,可能是因为以前发生故障,服务正在重新尝试传递;
- 邮件无法传送到收件人邮箱——
- 无法访问目标
- 目标拒绝该邮件
- 邮件在传送尝试期间超时
- 邮件被传送到目标,但是在访问它之前已经被删除(如匹配到了一条删除规则)。
仍然是首先定义好时间范围,然后基于收件人进行筛选,并且在“传递状态”下拉列表中选择“失败”和“挂起”,然后点击“搜索”。最后在搜索结果列表中,找到对应的邮件。双击邮件条目,查看邮件跟踪报告,通过报告的内容判定具体的原因。
4、邮件长时间延迟
对于邮件长时间延迟,可能是由于如下几个原因造成:
- 最有可能的原因是目标邮箱或目标邮件系统未响应;
- 可能邮件体积较大,处理花费了很长时间
- 服务延迟可能导致延误
- 邮件可能已被阻止
首先定义好时间范围,然后基于发件人和收件人进行筛选,最后在搜索结果列表中,找到对应的邮件。双击邮件条目,查看邮件跟踪报告,通过报告的内容判定具体的原因。
5、邮件被标记为垃圾邮件或包含恶意软件
如果是被标记为垃圾邮件,通过邮件跟踪可以判断其标记为垃圾邮件的原因,如:发件方IP地址存在垃圾邮件服务器黑名单中,亦或是其内容本来就触发了垃圾邮件过滤机制。
对于包含恶意软件,可以通过邮件跟踪了解该恶意软件触发了哪种防护机制,从而被成功拦截掉,以及Exchange Online对该邮件最终采取何种操作的。
二、运行邮件跟踪时的注意事项
由于微软对邮件跟踪工具在设计和提供上有相应的限制,所有在使用邮件跟踪时,需要注意如下问题:
1、通过IP地址阻止的邮件
被IP地址黑名单阻止的邮件将包含在实时报告中的垃圾邮件数据中,但无法对这些邮件执行邮件跟踪。
2、重定向的邮件
如果收件人被邮件流规则重写,或者由于垃圾邮件规则设置了”重定向到电子邮件地址”并作用于邮件,则邮件在单个搜索中不可跟踪。但是原始邮件是可以基于原始收件人进行跟踪的,在收件人被更改之后,则无法使用原始收件人跟踪邮件。不过此时可以使用更改后的收件人再次进行邮件跟踪。
3、发件地址
Exchange Online的邮件跟踪工具,使用SMTP会话启动时呈现的MAIL FROM值作为发件人。因此,无论邮件的DATA部分显示什么内容,邮件跟踪的所评估的发件人均为MAIL FROM标识的值。比如,邮件可能显示答复地址或不同的收件人或发件人值,更有甚者邮件是通过进程而不是邮件客户端发送的。则MAIL FROM中的发件人将很有可能与实际邮件中的发件人不匹配。所以,在进行邮件跟踪是一定要确认真正的发件地址。
4、更改邮件流规则
当邮件与邮件流规则匹配时,规则ID将存储在邮件跟踪和试试报告数据库中。当邮件被处理后更改了与之匹配的规则属性,比如将之前的允许改为了拒绝。此时,邮件跟踪和试试报告返回的规则ID是不会发生变化的,即依然与规则相匹配,但是被作用的动作是修改之前的动作。所以再后续进行邮件跟踪报告诊断的时候,需要注意邮件的处理时间,和对应的规则在该时间之后是否被修改过,如果有修改,则应该按修改之前的属性进行诊断评估。
5、垃圾邮件筛选
当Exchange Online的内容筛选器将邮件标记为垃圾邮件时,如果邮件发送到“垃圾邮件”文件夹或隔离文件夹,则其状态将被标注为“已送达 ”。 此时应该对其详细信息进行分析,以便了解邮件如何到达其目的地。