Microsoft 365 (Exchange Online) 中的电子邮件跟踪

与本地 Exchange 一样，云 Exchange Online 具有强大的内置功能来跟踪用户发送或接收的电子邮件。邮件跟踪允许您获取 Exchange 组织中任何电子邮件的完整详细信息。使用跟踪，您可以判断您的公司是否收到了特定电子邮件，是否已将其发送到用户的邮箱或远程邮件系统，或者是否已被反垃圾邮件过滤器/传输规则过滤。在本文中，我们将介绍使用 Exchange 管理中心 (EAC) 和 PowerShell 在 Exchange Online (Microsoft 365) 中跟踪（跟踪）发送或接收的电子邮件的基本方法。

如何在 Exchange 管理中心跟踪邮件？

您可以通过 Exchange 管理中心 Web 界面跟踪邮件。登录到现代 EAC 门户 (https://admin.exchange.microsoft.com) 并转到邮件流 -> 消息跟踪。

要搜索传输日志，您的帐户必须具有以下角色之一：组织管理、合规管理或服务台。

在下一个窗口中，可以使用一些预定义的消息跟踪选项。要进行新搜索，请单击开始跟踪。

填写请求字段。您可以指定：

• 发送者和/或接收者。在本例中，我想获取从外部域 gmail.com 发送到我公司的所有电子邮件的信息（

  *@gmail.com

  ）；

• 一个搜索期。将以交互方式生成最近 10 天的报告。如果要搜索10天之前的日志，将会发送到指定的邮箱地址；

• 在详细搜索选项中，您可以指定额外的搜索条件（消息 ID、IP 地址、传递状态）。

单击搜索按钮开始搜索。

您将看到有关符合您条件的所有电子邮件的信息。

您可以单击任何电子邮件并查看详细信息。在此示例中，电子邮件已成功发送到收件人的邮箱（

Status: The message was delivered to the recipient’s Inbox folder

）。

最后 10 个跟踪查询会自动保存在 EAC 控制台中。您可以保存经常使用的跟踪查询。

使用 PowerShell 在 Exchange Online (Microsoft 365) 中搜索邮件跟踪日志

Get-MessageTrackingLog cmdlet 在本地 Exchange Server 中使用，用于在 MessageTracking 传输日志中搜索已发送/已接收的电子邮件。在 Exchange Online 中，

Get-MessageTrace

和

 Get-MessageTraceDetail

cmdlet 用于跟踪消息。

使用 Exchange Online PowerShell 模块连接到 Microsoft 365 租户：

Connect-ExchangeOnline -UserPrincipalName [email protected] -ShowProgress $true

如果运行不带参数的 Get-MessageTrace cmdlet，它将返回过去 48 小时内 Microsoft 365 租户中所有电子邮件的信息。您可以使用-StartDate和-EndDate选项指定搜索的日期范围。让我们显示过去 5 天内发送给用户 (RecipientAddress) 的所有消息的信息：

Get-MessageTrace -RecipientAddress [email protected] -StartDate 12/17/21 -EndDate 12/21/21| select Received,SenderAddress,RecipientAddress, Subject,Size,Status|ft

默认情况下，Get-MessageTrace 最多返回 1000 个结果，对于大型租户来说可能需要一些时间。

您可以在单个跟踪查询中搜索 RecipientAddress 和 SenderAddress 字段。

使用-状态选项按邮件传送状态（失败、待处理、已传送、已扩展、已隔离、已过滤为垃圾邮件）进行搜索。

要显示有关找到的事件的详细信息，请使用带有 Get-MessageTraceDetail cmdlet 的管道：

Get-MessageTrace -SenderAddress [email protected] -StartDate 12/19/21 -EndDate 12/21/21|Get-MessageTraceDetail|fl

以下命令显示有关发送给多个收件人的电子邮件的传递状态的信息。

首先获取任意收件人的 MessageID：

Get-MessageTrace -RecipientAddress [email protected]|fl

然后复制消息 ID 并将其用作 MessageID 选项的参数：

Get-MessageTrace -MessageID '<PR3PR03MB666621C6A63FC01EBCE8C730F46F9@PR3PR03MB6666.eurprd03.prod.outlook.com>' | select Received, RecipientAddress, Subject, Status

如您所见，出现了一份摘要消息传送状态报告。

您可以将 MessageTrace 输出导出到 CSV 文件，以便在 Excel 中进一步分析：

Get-MessageTrace -SenderAddress [email protected]|Export-Csv c:\ps\reports\m365_tracking_log.csv

与搜索所有可用日志的本地 Get-MessageTrackingLog cmdlet 不同，Get-MessageTrace 仅允许搜索最近 10 天的消息。如果您想获取 10 天前发送/送达的电子邮件的信息，请使用以下命令运行历史查询

Start-HistoricalSearch

cmdlet。

使用 Start-HistoricalSearch 时，请在 NotifyAddress 选项中指定要发送报告的电子邮件地址：

Start-HistoricalSearch -ReportTitle "Trace2021-20-12" -ReportType MessageTrace -SenderAddress [email protected] -StartDate 12/01/2021 -EndDate 07/18/2021 -NotifyAddress [email protected]

您可以使用以下命令获取历史跟踪请求的消息状态：

Get-HistoricalSearch

Exchange Online 保留过去 90 天的传输日志。如果指定更长的时间段，则会出现以下错误消息：

Invalid StartDate value. The StartDate can't be greater than 90 days from today.