Preguntas más frecuentes sobre seguimiento de mensajes en Exchange Online
En este artículo se presentan las preguntas de mensajería que puede tener un usuario, junto con las posibles respuestas. También se describe cómo usar la herramienta de seguimiento de mensajes para obtener las respuestas y solucionar problemas específicos de entrega de correo.
How long does it take to see results when running a message trace?
- En el Centro de administración de Exchange clásico (EAC clásico), los resultados de búsqueda aparecen inmediatamente para los mensajes que tienen menos de siete días de antigüedad.
- En el centro de administración moderno de Exchange (EAC moderno), los resultados de búsqueda aparecen inmediatamente para los mensajes que tienen menos de 10 días de antigüedad.
Al ejecutar un seguimiento de mensajes para mensajes anteriores, los resultados se devuelven en unas pocas horas como un archivo CSV descargable.
Nota:
El vínculo de seguimiento de mensajes de Exchange en el portal de Microsoft Defender abre el seguimiento de mensajes en el EAC moderno.
¿Cuánto tiempo tarda un mensaje enviado en aparecer en un seguimiento de mensaje?
Cuando se envía un mensaje, el mensaje debe tardar entre 5 y 10 minutos en aparecer en los datos de seguimiento del mensaje.
¿Puedo ejecutar un seguimiento de mensajes a través de PowerShell de Exchange Online o PowerShell de Exchange Online Protection? ¿Cuáles son los cmdlets que se van a usar?
Puede usar los siguientes cmdlets en PowerShell de Exchange Online o PowerShell de Exchange Online Protection para ejecutar un seguimiento de mensajes:
Get-MessageTrace: seguimiento de mensajes con menos de 10 días de antigüedad.
Get-MessageTraceDetail: vea los detalles del evento de seguimiento de mensajes para un mensaje específico.
Get-HistoricalSearch: use este cmdlet para ver información sobre las búsquedas históricas que se han realizado en los últimos 10 días.
Start-HistoricalSearch: inicie una nueva búsqueda histórica de mensajes con menos de 90 días de antigüedad.
Stop-HistoricalSearch: detenga las búsquedas históricas en cola que aún no se han iniciado (el valor de estado es NotStarted
).
Para conectarse al PowerShell de Exchange Online, consulte Conexión a Exchange Online PowerShell.
Para conectarse a PowerShell de Exchange Online Protection en organizaciones EOP independientes sin buzones de Exchange Online, consulte Conexión a PowerShell de Exchange Online Protection.
¿Por qué se muestra un error de tiempo de espera cuando ejecuto un seguimiento de mensajes en la interfaz de usuario?
Es probable que un error de tiempo de espera se deba a que la consulta está tardando demasiado en procesarse. Considere simplificar el criterio de búsqueda. Es posible que desee considerar el uso del cmdlet Get-MessageTrace , que tiene requisitos de tiempo de espera más liberales.
¿Por qué no he recibido un mensaje de correo electrónico esperado?
Estas son algunas de las razones posibles:
Se detectó el mensaje como correo no deseado.
El mensaje fue enviado a la cuarentena debido a que coincidió con una regla.
El mensaje fue rechazado
- Por el filtro de malware
- Porque un archivo adjunto al mensaje contenía malware
- Porque el cuerpo del mensaje contenía malware
- Por una regla
- Debido a que la acción fue Rechazar
- Debido a que la acción fue Forzar TLS y TLS no pudo establecerse
- Por un conector porque TLS era requerido y no ha podido establecerse
El mensaje se envió a la moderación y está a la espera de la aprobación o el rechazo por parte del moderador.
Nunca se envió el mensaje.
El mensaje se sigue procesando porque se produjo un error anterior y el servicio vuelve a intentar la entrega.
No se pudo entregar el mensaje a los buzones de correo
- Porque el destino no es accesible
- Debido a que el destino rechazó el mensaje
- Porque se agotó el tiempo de espera del mensaje durante el intento de entrega
Para averiguar lo que ocurrió:
Ejecute un seguimiento de mensajes. Use tantos criterios de búsqueda como sea posible para restringir los resultados. Por ejemplo, debe conocer el remitente y el destinatario o destinatarios previstos del mensaje, así como el período de tiempo general en el que se envió el mensaje.
Vea los resultados, busque el mensaje y, a continuación, vea detalles específicos sobre el mensaje (vea Ver los resultados del seguimiento de mensajes para mensajes de menos de siete días de antigüedad o Ver los resultados del seguimiento de mensajes para mensajes de más de siete días de antigüedad). Busque un estado de entrega con errores o pendiente para explicar por qué no se recibió el mensaje.
Confirme que el mensaje se envió, que el servicio lo recibió correctamente, que no se filtró, redirigió ni envió para moderación y que no se produjo ningún error o retraso en la entrega.
¿Por qué recibo un mensaje inesperado?
Estas son algunas de las razones posibles:
- El mensaje fue publicado de la cuarentena.
- El mensaje estaba esperando la aprobación del moderador y fue publicado.
- El mensaje es correo no deseado que no se detectó.
- El mensaje coincide con una regla que le agregó a usted al mensaje.
- El mensaje se envió a una lista de distribución a la cual usted pertenece.
Para averiguar lo que ocurrió:
Ejecute un seguimiento de mensajes. Use tantos criterios de búsqueda como sea posible para restringir los resultados. Por ejemplo, especifique el destinatario que recibió el mensaje, establezca el estado de entrega en Entregado y establezca el período de tiempo en función de cuándo se recibió el mensaje.
Vea los resultados, busque el mensaje y, a continuación, vea detalles específicos sobre el mensaje (vea Ver los resultados del seguimiento de mensajes para mensajes de menos de siete días de antigüedad o Ver los resultados del seguimiento de mensajes para mensajes de más de siete días de antigüedad).
¿Por qué alguien no recibió mi mensaje o por qué recibí este informe de no entrega (también conocido como NDR o mensaje de rebote)?
Las posibles razones son las siguientes:
Se detectó el mensaje como correo no deseado.
El mensaje fue enviado a la cuarentena debido a que coincidió con una regla.
El mensaje se reenrutó porque un conector lo envió a otro destino.
Se rechazó el mensaje:
- Por el filtro de malware
- Porque un archivo adjunto al mensaje contenía malware
- Porque el cuerpo del mensaje contenía malware
- Por una regla
- Debido a que la acción fue Rechazar
- Debido a que la acción fue Forzar TLS y TLS no pudo establecerse
- Por un conector porque TLS era requerido y no ha podido establecerse
El mensaje se envió a la moderación y está a la espera de la aprobación o el rechazo por parte del moderador.
Nunca se envió el mensaje.
El mensaje se sigue procesando porque se produjo un error anterior y el servicio vuelve a intentar la entrega.
No se pudo entregar el mensaje al destino:
- Porque el destino no es accesible
- Debido a que el destino rechazó el mensaje
- Porque se agotó el tiempo de espera del mensaje durante el intento de entrega
El mensaje se entregó al destino pero se eliminó antes de obtener acceso a él (quizá debido a que coincidió con una regla).
Para averiguar lo que ocurrió:
Ejecute un seguimiento de mensajes. Use tantos criterios de búsqueda como sea posible para restringir los resultados. Por ejemplo, debe conocer el remitente y el destinatario o destinatarios previstos del mensaje, así como el período de tiempo general en el que se envió el mensaje.
Vea los resultados, busque el mensaje y, a continuación, vea detalles específicos sobre el mensaje (vea Ver los resultados del seguimiento de mensajes para mensajes de menos de siete días de antigüedad o Ver los resultados del seguimiento de mensajes para mensajes de más de siete días de antigüedad).
Busque un estado de entrega con errores o pendiente para explicar por qué no se entregó el mensaje. Confirme que el mensaje se envió, que el servicio lo recibió correctamente, que no se filtró, redirigió ni envió para moderación y que no se produjo ningún error o retraso en la entrega. Si no se puede acceder al destino, puede usar la dirección IP de destino para ayudar a solucionar problemas de conectividad.
¿Por qué está tomando tanto tiempo el mensaje para llegar a su destino? ¿Dónde está en el canal?
Las posibles razones son las siguientes:
- El destino previsto no responde. Este es el escenario más probable.
- Quizá sea un mensaje grande que está tomando tiempo en procesarse
- La latencia del servicio podría estar causando retrasos
- Es posible que el mensaje se haya bloqueado
Para averiguar lo que ocurrió:
Ejecute un seguimiento de mensajes. Use tantos criterios de búsqueda como sea posible para restringir los resultados. Por ejemplo, debe conocer el remitente y el destinatario o destinatarios previstos del mensaje, así como el período de tiempo general en el que se envió el mensaje.
Vea los resultados, busque el mensaje y, a continuación, vea detalles específicos sobre el mensaje (vea Ver los resultados del seguimiento de mensajes para mensajes de menos de siete días de antigüedad o Ver los resultados del seguimiento de mensajes para mensajes de más de siete días de antigüedad).
La sección de eventos le indicará por qué el mensaje aún no se ha entregado. Al ver los eventos, la información de marca de tiempo le permitirá seguir el mensaje a través de la canalización de mensajería y le indicará cuánto tiempo tarda el servicio en procesar cada evento. Los detalles del evento también le informarán si el mensaje que se está entregando es grande o si el destino no responde.
¿Se marcó un mensaje como correo no deseado?
Los mensajes pueden ser marcados como correo no deseado por varias razones. Por ejemplo, la dirección IP de envío puede aparecer en una de las listas de bloqueo ip del servicio. Un mensaje se puede marcar como correo no deseado debido al contenido del mensaje mismo, tal como cuando coincide con una regla del filtro de contenido de correo no deseado. La herramienta de seguimiento de mensaje solo realiza el seguimiento de eventos de filtro de contenido de correo no deseado; los eventos de filtro de conexión (tales como direcciones IP bloqueadas) no se pueden seguir. Para obtener más información en cuanto al filtrado de correo no deseado, incluso el filtrado de contenido de correo no deseado, vea Protección contra correo no deseado en Office 365.
Para averiguar por qué se ha marcado un mensaje como correo no deseado:
Ejecute un seguimiento de mensajes, busque el mensaje en los resultados y, a continuación, vea detalles específicos sobre el mensaje (vea Ver los resultados del seguimiento de mensajes para mensajes de menos de siete días de antigüedad o Ver los resultados del seguimiento de mensajes para mensajes de más de siete días de antigüedad).
Cuando el filtro de contenido marca un mensaje como correo no deseado, si se envía a la carpeta Correo no deseado o a cuarentena, tendrá el estado Entregado. Puede consultar los detalles del evento para ver cómo llegó el mensaje a su destino. Por ejemplo, podría informarle que se determinó que el mensaje tiene un alto nivel de confianza de correo no deseado o que coincidió con una opción avanzada de filtrado de correo no deseado. También se le informará de la acción que se produjo como resultado de que el mensaje se marcase como correo no deseado, por ejemplo, si se envió a la cuarentena, se marcó con un encabezado X o si se envió a través del grupo de entrega de alto riesgo.
¿Se detectó que un mensaje contenía malware?
Los mensajes se detectan como malware cuando sus propiedades, ya sea en el cuerpo del mensaje o en un archivo adjunto, coinciden con una definición de malware en uno de los motores de antimalware. Para obtener información más detallada sobre el filtrado de malware, consulte Protección contra malware.
Para averiguar por qué se detectó que un mensaje contenía malware, ejecute un seguimiento de mensajes. Use tantos criterios de búsqueda como sea posible para restringir los resultados. Establezca el estado de entrega en Error.
Vea los resultados, busque el mensaje y, a continuación, vea detalles específicos sobre el mensaje (vea Ver los resultados del seguimiento de mensajes para mensajes de menos de siete días de antigüedad o Ver los resultados del seguimiento de mensajes para mensajes de más de siete días de antigüedad).
Si el mensaje aún no se ha entregado porque se ha determinado que contiene malware, esta información se proporcionará en la sección de eventos. Por ejemplo, a continuación se muestra un ejemplo de detalle: Malware: "ZipBomb" se detectó en el archivo de datos adjuntos. zip. También se le informará de la acción que se produjo como resultado del mensaje que contiene malware, por ejemplo, si se bloqueó todo el mensaje o si todos los datos adjuntos se eliminaron y reemplazaron por un archivo de texto de alerta.
¿Qué regla de flujo de correo (también conocida como regla de transporte) o directiva DLP se aplicó a un mensaje?
Para averiguar qué regla de flujo de correo (regla de directiva personalizada) o directiva de prevención de pérdida de datos (DLP) (solo clientes de Exchange Online) se aplicó a un mensaje, ejecute un seguimiento de mensajes. Use tantos criterios de búsqueda como sea posible para restringir los resultados. Establezca el estado de entrega en Error.
Vea los resultados, busque el mensaje y, a continuación, vea detalles específicos sobre el mensaje (vea Ver los resultados del seguimiento de mensajes para mensajes de menos de siete días de antigüedad o Ver los resultados del seguimiento de mensajes para mensajes de más de siete días de antigüedad).
Si el mensaje no se entregó porque su contenido coincidía con una regla, la sección de eventos le permitirá conocer el nombre de la regla de flujo de correo coincidente. También se le informará de la acción que se produjo como resultado de la coincidencia de la regla de flujo de correo, por ejemplo, si el mensaje estaba en cuarentena, rechazado, redirigido, enviado para moderación, descifrado o cualquier número de otras opciones posibles. Para obtener información sobre cómo crear reglas de flujo de correo de Exchange y establecer acciones para ellas, vea Reglas de flujo de correo (reglas de transporte) en Exchange Online.
Al ejecutar un seguimiento de mensajes, devuelve la regla ID-1. ¿Qué significa esto?
La regla ID-1 se devuelve cuando el seguimiento del mensaje se encuentra con una regla de flujo de correo que ya no existe. (La regla de flujo de correo podría haberse modificado o eliminado después de enviar el mensaje original).
¿Existen limitaciones conocidas o explicaciones de comportamiento que debería saber al utilizar la herramienta de seguimiento de mensaje?
Debe estar al tanto de lo siguiente al utilizar la herramienta de seguimiento de mensaje:
Mensajes bloqueados por IP: los mensajes bloqueados por listas de bloques de reputación ip se incluirán en los datos de correo no deseado para los informes en tiempo real, pero no se puede realizar un seguimiento de mensajes en estos mensajes.
Mensajes redirigidos: si una regla de flujo de correo vuelve a escribir un destinatario o porque la acción de correo no deseado del dominio está establecida en Redirigir a la dirección de correo electrónico, el mensaje no se puede realizar un seguimiento en una sola búsqueda. El mensaje original se puede seguir hasta el punto en que se cambió el destinatario. Después de eso, el mensaje no se puede seguir bajo el destinatario original. Se puede volver a seguir el mensaje mediante el nuevo destinatario.
MAIL FROM: la herramienta de seguimiento de mensajes usa el valor MAIL FROM que se presenta al iniciar la conversación SMTP como remitente en una búsqueda, independientemente de lo que muestre la sección DATOS del mensaje. El mensaje puede mostrar una dirección de respuesta o valores distintos del campo De: o del remitente. Si el mensaje de correo electrónico fue enviado por un proceso y no por un cliente de correo electrónico, existe una mayor probabilidad de que el remitente en MAIL FROM no coincida con el remitente en el mensaje real.
Actualizaciones de reglas de flujo de correo: cuando un mensaje coincide con una regla de flujo de correo, el identificador de regla se almacena en las bases de datos de seguimiento de mensajes y informes en tiempo real. Si realiza un seguimiento de uno de estos mensajes o explora en profundidad los detalles de la regla en un informe, el seguimiento de mensajes y las interfaces de usuario de informes en tiempo real extraen dinámicamente la información de regla actual de la red de servicios hospedados en función del identificador de regla de la base de datos de informes. Si ha cambiado los atributos de esa regla determinada desde que se procesó el mensaje (lo cambió de Rechazar a Permitir, por ejemplo), el identificador de regla permanece igual en el seguimiento del mensaje y notifica en tiempo real los resultados devueltos, pero el Centro de administración de Exchange mostrará las nuevas propiedades de regla de flujo de correo. Puede utilizar la característica de informes de auditoría para determinar en qué momento se cambió la regla y las propiedades que se cambiaron.
Mensajes de correo no deseado filtrado: Cuando el filtro de contenido marca un mensaje como correo no deseado, si se envía a la carpeta Correo no deseado o a cuarentena, tendrá el estado Entregado. Explore en profundidad los detalles del evento para ver cómo llegó el mensaje a su destino.