Freigeben über


Häufig gestellte Fragen zur Nachrichtenablaufverfolgung in Exchange Online

In diesem Artikel werden fragen, die ein Benutzer haben kann, sowie mögliche Antworten. Zudem wird die Verwendung des Tools für die Nachrichtenablaufverfolgung beschrieben, um die entsprechenden Antworten abzurufen und bestimmte Probleme bei der E-Mail-Übermittlung zu behandeln.

How long does it take to see results when running a message trace?

  • Im klassischen Exchange Admin Center (klassisches EAC) werden die Suchergebnisse sofort für Nachrichten angezeigt, die weniger als sieben Tage alt sind.
  • Im modernen Exchange Admin Center (modernes EAC) werden die Suchergebnisse sofort für Nachrichten angezeigt, die weniger als 10 Tage alt sind.

Wenn Sie eine Nachrichtenablaufverfolgung für ältere Nachrichten ausführen, werden die Ergebnisse innerhalb weniger Stunden als herunterladbare CSV-Datei zurückgegeben.

Hinweis

Über den Link Exchange-Nachrichtenablaufverfolgung im Microsoft Defender-Portal wird die Nachrichtenablaufverfolgung im modernen EAC geöffnet.

Wie lange dauert es, bis eine gesendete Nachricht in einer Nachrichtenablaufverfolgung angezeigt wird?

Wenn eine Nachricht gesendet wird, sollte es zwischen 5 und 10 Minuten dauern, bis die Nachricht in den Nachrichtenablaufverfolgungsdaten angezeigt wird.

Kann ich eine Nachrichtenablaufverfolgung über Exchange Online PowerShell oder Exchange Online Protection PowerShell ausführen? Welche Cmdlets sind zu verwenden?

Sie können die folgenden Cmdlets in Exchange Online PowerShell oder Exchange Online Protection PowerShell verwenden, um eine Nachrichtenablaufverfolgung auszuführen:

Get-MessageTrace: Ablaufverfolgungsmeldungen, die weniger als 10 Tage alt sind.

Get-MessageTraceDetail: Zeigen Sie die Ereignisdetails der Nachrichtenablaufverfolgung für eine bestimmte Nachricht an.

Get-HistoricalSearch: Verwenden Sie dieses Cmdlet, um Informationen zu Verlaufssuchen anzuzeigen, die innerhalb der letzten 10 Tage ausgeführt wurden.

Start-HistoricalSearch: Starten Sie eine neue verlaufsbezogene Suche nach Nachrichten, die weniger als 90 Tage alt sind.

Stop-HistoricalSearch: Beenden Sie verlaufsbezogene Suchvorgänge in der Warteschlange, die noch nicht gestartet wurden (der Statuswert ist NotStarted).

Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

Informationen zum Herstellen einer Verbindung mit Exchange Online Protection PowerShell in eigenständigen EOP-Organisationen ohne Exchange Online-Postfächer finden Sie unter Herstellen einer Verbindung mit Exchange Online Protection PowerShell.

Warum erhalte ich beim Ausführen einer Nachrichtenablaufverfolgung an der Benutzeroberfläche einen Timeoutfehler?

Die häufigste Ursache für einen Timeoutfehler liegt darin, dass die Verarbeitung der Abfrage zu lange dauert. Ziehen Sie in Erwägung, Ihre Suchkriterien zu vereinfachen. Sie sollten die Verwendung des Cmdlets Get-MessageTrace in Betracht ziehen, das liberalere Timeoutanforderungen aufweist.

Warum habe ich eine erwartete E-Mail nicht erhalten?

Hier sind einige mögliche Gründe:

  • Die Nachricht wurde als Spam erkannt.

  • Die Nachricht entsprach einer Regel, aufgrund derer sie in die Quarantäne verschoben wurde.

  • Die Nachricht wurde abgelehnt

    • Durch den Schadsoftwarefilter
    • Da eine an die Nachricht angefügte Datei Schadsoftware enthielt
    • Da der Nachrichtentext Schadsoftware enthielt
    • Durch eine Regel
    • Da die Aktion "Ablehnen" lautete
    • Da die Aktion "TLS erzwingen" lautete und TLS nicht eingerichtet werden konnte
    • Durch einen Connector, da TLS erforderlich war, aber nicht eingerichtet werden konnte
  • Die Nachricht wurde zur Moderation gesendet und wartet auf Genehmigung oder wurde vom Moderator abgelehnt,

  • Die Nachricht wurde nicht gesendet.

  • Die Nachricht wird weiterhin verarbeitet, da ein vorheriger Fehler aufgetreten ist und der Dienst die Übermittlung erneut überprüft.

  • Die Nachricht konnte nicht an Ihre Postfächer übermittelt werden

    • Da das Ziel nicht erreichbar ist
    • Da das Ziel die Nachricht zurückgewiesen hat
    • Da für die Nachricht während des Zustellversuchs die Zeitdauer überschritten wurde

So finden Sie heraus, was passiert ist:

Führen Sie eine Nachrichtenablaufverfolgung aus. Verwenden Sie so viele Suchkriterien wie möglich, um die Ergebnisse einzugrenzen. Sie sollten z. B. den Absender und den bzw. die beabsichtigten Empfänger der Nachricht sowie den allgemeinen Zeitraum kennen, in dem die Nachricht gesendet wurde.

Zeigen Sie die Ergebnisse an, suchen Sie die Nachricht, und zeigen Sie dann bestimmte Details zur Nachricht an (siehe Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die weniger als sieben Tage alt sind, oder Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als sieben Tage sind). Suchen Sie nach dem Zustellungsstatus Fehler oder Ausstehend , um zu erklären, warum die Nachricht nicht empfangen wurde.

Vergewissern Sie sich, dass die Nachricht gesendet wurde, dass sie erfolgreich vom Dienst empfangen wurde, dass sie nicht gefiltert, umgeleitet oder zur Moderation gesendet wurde und dass keine Übermittlungsfehler oder Verzögerungen aufgetreten sind.

Warum habe ich eine unerwartete Nachricht erhalten?

Hier sind einige mögliche Gründe:

  • Die Nachricht wurde aus der Quarantäne freigegeben.
  • Die Nachricht wartete auf Genehmigung durch einen Moderator und wurde freigegeben.
  • Die Nachricht war Spam, der nicht erkannt wurde.
  • Die Nachricht entsprach einer Regel, durch die Sie ihr als Empfänger hinzugefügt wurden.
  • Die Nachricht wurde an eine Verteilerliste gesendet, der Sie angehören.

So finden Sie heraus, was passiert ist:

Führen Sie eine Nachrichtenablaufverfolgung aus. Verwenden Sie so viele Suchkriterien wie möglich, um die Ergebnisse einzugrenzen. Geben Sie beispielsweise den Empfänger an, der die Nachricht erhalten hat, legen Sie den Übermittlungsstatus auf Zugestellt fest, und legen Sie den Zeitraum anhand des Empfangszeitpunkts der Nachricht fest.

Zeigen Sie die Ergebnisse an, suchen Sie die Nachricht, und zeigen Sie dann bestimmte Details zur Nachricht an (siehe Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die weniger als sieben Tage alt sind, oder Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als sieben Tage sind).

Warum hat jemand meine Nachricht nicht erhalten oder warum habe ich diesen Unzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet) erhalten?

Mögliche Gründe sind:

  • Die Nachricht wurde als Spam erkannt.

  • Die Nachricht entsprach einer Regel, aufgrund derer sie in die Quarantäne verschoben wurde.

  • Die Nachricht wurde umgeleitet, weil sie von einem Connector an ein anderes Ziel gesendet wurde.

  • Die Nachricht wurde abgelehnt:

    • Durch den Schadsoftwarefilter
    • Da eine an die Nachricht angefügte Datei Schadsoftware enthielt
    • Da der Nachrichtentext Schadsoftware enthielt
    • Durch eine Regel
    • Da die Aktion "Ablehnen" lautete
    • Da die Aktion "TLS erzwingen" lautete und TLS nicht eingerichtet werden konnte
    • Durch einen Connector, da TLS erforderlich war, aber nicht eingerichtet werden konnte
  • Die Nachricht wurde zur Moderation gesendet und wartet auf Genehmigung oder wurde vom Moderator abgelehnt,

  • Die Nachricht wurde nicht gesendet.

  • Die Nachricht wird weiterhin verarbeitet, da ein vorheriger Fehler aufgetreten ist und der Dienst die Übermittlung erneut überprüft.

  • Die Nachricht konnte nicht an das Ziel übermittelt werden:

    • Da das Ziel nicht erreichbar ist
    • Da das Ziel die Nachricht zurückgewiesen hat
    • Da für die Nachricht während des Zustellversuchs die Zeitdauer überschritten wurde
  • Die Nachricht wurde dem Ziel zugestellt, wurde jedoch gelöscht, bevor auf sie zugegriffen werden konnte (möglicherweise, weil sie einer Regel entsprach).

So finden Sie heraus, was passiert ist:

Führen Sie eine Nachrichtenablaufverfolgung aus. Verwenden Sie so viele Suchkriterien wie möglich, um die Ergebnisse einzugrenzen. Sie sollten z. B. den Absender und den bzw. die beabsichtigten Empfänger der Nachricht sowie den allgemeinen Zeitraum kennen, in dem die Nachricht gesendet wurde.

Zeigen Sie die Ergebnisse an, suchen Sie die Nachricht, und zeigen Sie dann bestimmte Details zur Nachricht an (siehe Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die weniger als sieben Tage alt sind, oder Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als sieben Tage sind).

Suchen Sie nach dem Zustellungsstatus Fehler oder Ausstehend , um zu erklären, warum die Nachricht nicht zugestellt wurde. Vergewissern Sie sich, dass die Nachricht gesendet wurde, dass sie erfolgreich vom Dienst empfangen wurde, dass sie nicht gefiltert, umgeleitet oder zur Moderation gesendet wurde und dass keine Übermittlungsfehler oder Verzögerungen aufgetreten sind. Wenn das Ziel nicht erreichbar ist, können Sie die Empfänger-IP bei der Problembehandlung der Konnektivität verwenden.

Warum dauert es so lange, bis meine Nachricht ihr Ziel erreicht? An welchem Punkt der Pipeline befindet sie sich?

Mögliche Gründe sind:

  • Die Zieladresse antwortet nicht. Dies ist das häufigste Szenario.
  • Möglicherweise handelt es sich um eine umfangreiche Nachricht, deren Verarbeitung lange dauert
  • Wartezeiten beim Dienst verursachen möglicherweise Verzögerungen
  • Die Nachricht wurde möglicherweise blockiert.

So finden Sie heraus, was passiert ist:

Führen Sie eine Nachrichtenablaufverfolgung aus. Verwenden Sie so viele Suchkriterien wie möglich, um die Ergebnisse einzugrenzen. Sie sollten z. B. den Absender und den bzw. die beabsichtigten Empfänger der Nachricht sowie den allgemeinen Zeitraum kennen, in dem die Nachricht gesendet wurde.

Zeigen Sie die Ergebnisse an, suchen Sie die Nachricht, und zeigen Sie dann bestimmte Details zur Nachricht an (siehe Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die weniger als sieben Tage alt sind, oder Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als sieben Tage sind).

Im Abschnitt "Ereignisse" erfahren Sie, warum die Nachricht noch nicht zugestellt wurde. Beim Anzeigen der Ereignisse können Sie die Nachricht anhand der Zeitstempelinformationen durch die Messagingpipeline verfolgen und herausfinden, wie lange der Dienst braucht, um jedes Ereignis zu verarbeiten. Die Ereignisdetails informieren Sie auch darüber, ob die zugestellte Nachricht groß ist oder ob das Ziel nicht reagiert.

Wurde eine Nachricht als Spam gekennzeichnet?

Nachrichten können aus mehreren Gründen als Spam gekennzeichnet werden. Beispielsweise kann die sendenden IP-Adresse in einer der IP-Sperrlisten des Diensts angezeigt werden. Eine Nachricht kann aufgrund ihres tatsächlichen Inhalts als Spam gekennzeichnet werden, wenn sie beispielsweise einer Regel im Spaminhaltsfilter entspricht. Das Tool für die Nachrichtenablaufverfolgung verfolgt nur Ereignisse des Spaminhaltsfilters; Ereignisse des Verbindungsfilters (z. B. gesperrte IP-Adressen) sind nicht verfolgbar. Weitere Informationen zur Spamfilterung, einschließlich der Spaminhaltsfilterung, finden Sie unter Anti-Spam Protection.

So finden Sie heraus, warum eine Nachricht als Spam gekennzeichnet wurde:

Führen Sie eine Nachrichtenablaufverfolgung aus, suchen Sie die Nachricht in den Ergebnissen, und zeigen Sie dann bestimmte Details zur Nachricht an (siehe Anzeigen von Nachrichtenablaufverfolgungsergebnissen für Nachrichten, die weniger als sieben Tage alt sind, oder Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als sieben Tage sind).

Wenn der Inhaltsfilter eine Nachricht als Spam markiert und an den Junk-E-Mail-Ordner oder die Quarantäne gesendet wird, hat sie den Status Übermittelt. Sie können die Ereignisdetails anzeigen, um zu sehen, wie die Nachricht am Ziel angekommen ist. Es kann Sie z. B. darüber informieren, dass die Nachricht ein hohes Spam-Konfidenzniveau aufweist oder dass eine erweiterte Spamfilterungsoption abgeglichen wurde. Sie werden auch über die Aktion informiert, die als Folge der Kennzeichnung der Nachricht als Spam aufgetreten ist, z. B. wenn sie in quarantäne, mit einem X-Header gestempelt oder über den Übermittlungspool mit hohem Risiko gesendet wurde.

Wurde erkannt, dass eine Nachricht Schadsoftware enthielt?

Nachrichten werden als Schadsoftware erkannt, wenn ihre Eigenschaften (im Nachrichtentext oder in einer Anlage) einer Schadsoftware-Definition in einem der Antischadsoftware-Module entsprechen. Ausführlichere Informationen zum Filtern von Schadsoftware finden Sie unter Schutz vor Schadsoftware.

Um herauszufinden, warum eine Nachricht erkannt wurde, dass sie Schadsoftware enthält, führen Sie eine Nachrichtenablaufverfolgung aus. Verwenden Sie so viele Suchkriterien wie möglich, um die Ergebnisse einzugrenzen. Legen Sie den Zustellungsstatus auf fehler fest.

Zeigen Sie die Ergebnisse an, suchen Sie die Nachricht, und zeigen Sie dann bestimmte Details zur Nachricht an (siehe Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die weniger als sieben Tage alt sind, oder Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als sieben Tage sind).

Wenn die Nachricht noch nicht zugestellt wurde, weil festgestellt wurde, dass sie Schadsoftware enthält, werden diese Informationen im Abschnitt "Ereignisse" bereitgestellt. Beispiel: Detail: Malware: "ZipBomb" wurde in der Anlagedatei erkannt. zip. Sie werden auch über die Aktion informiert, die als Folge der Nachricht aufgetreten ist, die Schadsoftware enthält, z. B. wenn die gesamte Nachricht blockiert wurde oder wenn alle Anlagen gelöscht und durch eine Warnungstextdatei ersetzt wurden.

Welche Nachrichtenflussregel (auch als Transportregel bezeichnet) oder DLP-Richtlinie wurde auf eine Nachricht angewendet?

Führen Sie eine Nachrichtenablaufverfolgung aus, um herauszufinden, welche Nachrichtenflussregel (benutzerdefinierte Richtlinienregel) oder richtlinie zur Verhinderung von Datenverlust (data loss prevention, DLP) (nur Exchange Online-Kunden) auf eine Nachricht angewendet wurde. Verwenden Sie so viele Suchkriterien wie möglich, um die Ergebnisse einzugrenzen. Legen Sie den Zustellungsstatus auf fehler fest.

Zeigen Sie die Ergebnisse an, suchen Sie die Nachricht, und zeigen Sie dann bestimmte Details zur Nachricht an (siehe Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die weniger als sieben Tage alt sind, oder Anzeigen der Ergebnisse der Nachrichtenablaufverfolgung für Nachrichten, die älter als sieben Tage sind).

Wenn die Nachricht nicht zugestellt wurde, weil ihr Inhalt mit einer Regel übereinstimmt, informiert Sie der Abschnitt "Ereignisse" über den Namen der nachrichtenflussregel, die abgeglichen wurde. Sie werden auch über die Aktion informiert, die als Ergebnis der Übereinstimmung mit der Nachrichtenflussregel aufgetreten ist, z. B. wenn die Nachricht unter Quarantäne gesetzt, abgelehnt, umgeleitet, zur Moderation gesendet, entschlüsselt oder eine beliebige Anzahl anderer möglicher Optionen gesendet wurde. Informationen zum Erstellen von Exchange-Nachrichtenflussregeln und zum Festlegen von Aktionen für diese finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online.

Wenn ich eine Nachrichtenablaufverfolgung ausführe, wird die Regel-ID-1 zurückgegeben. Was bedeutet dies?

Die Regel-ID-1 wird zurückgegeben, wenn die Nachrichtenablaufverfolgung auf eine Nicht mehr vorhandene E-Mail-Flussregel trifft. (Die Nachrichtenflussregel hätte geändert oder gelöscht werden können, nachdem die ursprüngliche Nachricht gesendet wurde.)

Gibt es bekannte Einschränkungen oder Erläuterungen zum Verhalten, die ich kennen sollte, wenn ich das Tool für die Nachrichtenablaufverfolgung verwende?

Beim Verwenden des Tools für die Nachrichtenablaufverfolgung sollten Sie Folgendes beachten:

  • IP-blockierte Nachrichten: Nachrichten, die von Ip-Zuverlässigkeits-Blocklisten blockiert werden, werden in die Spamdaten für Echtzeitberichte aufgenommen, aber Sie können keine Nachrichtenablaufverfolgung für diese Nachrichten durchführen.

  • Umgeleitete Nachrichten: Wenn ein Empfänger durch eine E-Mail-Flussregel umgeschrieben wird oder die Spamaktion für die Domäne auf Umleiten an E-Mail-Adresse festgelegt ist, kann die Nachricht nicht in einer einzigen Suche nachverfolgt werden. Die ursprüngliche Nachricht kann bis zu dem Punkt nachverfolgt werden, an dem der Empfänger geändert wurde. Danach ist die Nachricht für den ursprünglichen Empfänger nicht nachverfolgbar. Sie können die Nachricht mit dem neuen Empfänger weiter nachverfolgen.

  • MAIL FROM: Das Nachrichtenablaufverfolgungstool verwendet den MAIL FROM-Wert, der bei der Initiierung der SMTP-Konversation als Absender in einer Suche angezeigt wird, unabhängig davon, was im Abschnitt DATA der Nachricht angezeigt wird. Die Nachricht kann eine "Antwort an"-Adresse oder unterschiedliche Werte für "Von:" oder "Absender" zeigen. Wenn die E-Mail-Nachricht von einem Prozess und nicht von einem E-Mail-Client gesendet wurde, ist die Wahrscheinlichkeit erhöht, dass der Absender in mail from nicht mit dem Absender in der tatsächlichen Nachricht übereinstimmt.

  • Nachrichtenflussregelaktualisierungen: Wenn eine Nachricht mit einer Nachrichtenflussregel übereinstimmt, wird die Regel-ID in der Nachrichtenablaufverfolgung und in Echtzeitberichtsdatenbanken gespeichert. Wenn Sie eine dieser Nachrichten nachverfolgen oder einen Drilldown zu Regeldetails in einem Bericht, der Nachrichtenablaufverfolgung und den Echtzeitberichtsbenutzeroberflächen ausführen, rufen Sie die aktuellen Regelinformationen basierend auf der Regel-ID in der Berichtsdatenbank dynamisch aus dem Netzwerk der gehosteten Dienste ab. Wenn Sie die Attribute dieser bestimmten Regel seit der Verarbeitung der Nachricht geändert haben (z. B. von Ablehnen in Zulassen geändert), bleibt die Regel-ID in der Nachrichtenablaufverfolgung unverändert, und in Echtzeit werden zurückgegebene Ergebnisse gemeldet, aber im Exchange Admin Center werden die neuen Eigenschaften der Nachrichtenflussregel angezeigt. Sie können die Funktion für Überwachungsberichte verwenden, um zu bestimmen, wann die Regel geändert wurde und welche Eigenschaften verändert wurden.

  • Spamgefilterte Nachrichten: Wenn der Inhaltsfilter eine Nachricht als Spam markiert und die Nachricht in den Ordner "Junk-E-Mail" verschoben oder isoliert wird, weist sie den Status Zugestellt auf. Führen Sie einen Drilldown in den Ereignisdetails aus, um festzustellen, wie die Nachricht ihr Ziel erreicht hat.

Weitere Informationen

Ablaufverfolgung einer E-Mail