Die Nachrichtenverfolgung (aus dem Englischen message tracking oder auch message tracing, wie es in Office 365 genannt wird) ist eines der grundlegendsten Administrator-Tools zur Überwachung von E-Mail-Fluss. Bei der Übertragung von E-Mails über Office 365, werden einige Informationen über sie in Logs gespeichert. Diese Angaben stehen für administrative Zwecke zur Verfügung. Unabhängig davon, ob Benutzer ihre Nachrichten löschen, kann der Administrator nach grundlegende Informationen zu gesendeten und empfangenen E-Mails greifen.
Die Nachrichtenverfolgung ermöglicht es Ihnen nicht, in den Inhalt einer Nachricht zu schauen. Dennoch kann es eine Menge wichtiger Daten über E-Mails liefern:
- Absender und Empfänger
- Sende- und Empfangsdatum
- Betreff und Größe
- Status und Details von Ereignissen. Im Zustellungsstatusfeld stehen sieben mögliche Werte zur Verfügung: geliefert, gescheitert, ausstehend, erweitert, in Quarantäne verschoben, als Spam gefiltert und unbekannt.
- IP-Adresse, die zum Senden der Nachricht verwendet wurde
- Message ID – eine eindeutige Nummer zur Identifizierung einer Nachricht. Wenn eine Nachricht an mehr als einen Empfänger gesendet wird, wird sie für jeden Empfänger in der Nachrichten-Trace-Suche einmal angezeigt. Alle diese Einträge haben die gleiche Message ID aber unterschiedliche Message Trace ID.
Es gibt einige wesentliche Unterschiede zwischen Message Tracking Logs im lokalen Exchange und Message Tracing in Office 365. Das wichtigste besteht darin, dass die Message Tracking Logs einfache Textdateien sind. Sie können auf diese direkt zugreifen, sie für Sicherungszwecke kopieren, aber auch manuell löschen.
Unterschiede zwischen Message Tracking Logs und Office 365-Message Tracing
Message Tracking Logs (On-Premises-Exchange) | Message Tracing (Exchange Online) | |
---|---|---|
Zugriff | PowerShell, alternativ - ein Texteditor. | PowerShell, EAC. |
Größenbeschränkungen | Konfigurierbar, standardmäßig 1000 MB für alle Message Tracking Logs im festgelegten Verzeichnis. | Keine Größenbeschränkungen bekannt |
Zeitliche Beschränkungen | Standardmäßig, 30 Tage bevor die ältesten Dateien überschrieben werden. Kann erhöht (oder verringert) werden. | 7 Tage für leicht zugängliche Message Trace, 90 Tage für "Historische Suche" - Ergebnisse können nur in einer herunterladbaren CSV-Datei angezeigt werden. |
Verfügbarkeit | Alle Daten über Nachrichten sind verfügbar, sobald sie gesendet oder empfangen werden. | Nachrichten, die weniger als 4 Stunden alt sind, sind möglicherweise nicht verfügbar. |
Verzögerung | Alle Suchen beginnen sofort. | Die Suche nach E-Mails, die älter als sieben Tage sind, kann einige Stunden dauern. Es dauert einige Zeit, bis die Suchanfrage überhaupt beginnt. |
Praktische Anwendung von Message Tracking
Das Message Tracing gewährt Einblick darin, was mit bestimmten Nachrichten passiert ist, selbst wenn sie nicht zugestellt oder gelöscht wurden. Für diese Art von Informationen gibt es verschiedene Verwendungszwecke:
- Suchen und beheben Sie Probleme mit der Zustellung von E-Mails – der grundlegendste und “traditionelle” Zweck der Nachrichtenverfolgung. Immer wenn ein Benutzer oder ein Client eine potentiell fehlende Nachricht meldet, können Administratoren dem Problem auf den Grund gehen. Die schnelle und erfolgreiche Suche nach der richtigen Nachricht hängt natürlich davon ab, wie viele Informationen der Benutzer zur Verfügung gestellt hat. Eine Nachricht zu finden, die “jemand mich letzte Woche schicken sollte”, könnte eine Weile dauern, besonders in größeren Organisationen.
- Überwachung von Nachrichtenfluss – weil das Message Tracing Daten zu allen Nachrichten erfasst, die innerhalb der Organisation verarbeitet werden, können die Ergebnisse zur Sammlung statistischer Daten verwendet werden.
- Überprüfen Sie, ob Ihre Nachrichtenflussregeln ordnungsgemäß funktionieren – es ist nicht schwer, einen Fehler beim Konfigurieren von Nachrichtenflussregeln zu machen, besonders in einer großen Organisation und wenn es potentielle Konflikte zwischen verschiedenen Regeln gibt. Da Message Tracing-Details detaillierte Informationen zu Fehlern bereitstellen, können Sie genau festlegen, welche Nachrichtenflussregel fehlerhaft ist.
- Nachrichtenforensik – obwohl Message Tracking Logs und Ergebnisse von Message Tracing den Administrator nicht auf den Inhalt einer E-Mail zugreifen lassen, können sich Informationen über Absender, Empfänger, Datum, Uhrzeit und Größe der Nachricht als sehr wertvoll erweisen, z.B. im Fall von Rechtsstreitigkeiten. Wenn eine wichtige E-Mail vor einem Litigation Hold gelöscht wird oder eine Aufbewahrungsrichtlinie aktiviert wird, können die Logs als wichtiger Beweis dienen.
Erforderliche Berechtigungen zum Verfolgen von Nachrichten
Wie bei jeder Aktion in Office 365 erfordert die Message-Trace-Suche bestimmte Berechtigungen oder Rollen:
- Security Admin
- Security Reader
- View-Only Recipients
- Compliance Admin
- Data Loss Prevention
Standardmäßig verfügt die Rollengruppe Organization Management über alle erforderlichen Berechtigungen.
Es gibt zwei Möglichkeiten, Nachrichten in Office 365 zu verfolgen – PowerShell und EAC. Werfen wir einen Blick auf sie.
Office 365-Message Tracing mit PowerShell
Sie können PowerShell verwenden, um Message Tracking Logs auf lokalen Servern durchzusuchen sowie Nachrichten in Exchange Online zu verfolgen. Und obwohl die Erfahrung irgendwie ähnlich ist, gibt es einige Unterschiede, die erwähnenswert sind.
Das On-Premises-Exchange hatte nur ein Cmdlet, das ausschließlich dazu diente, die Daten von Interesse zu erreichen: Get-MessageTrackingLog. In Office 365 lautet das entsprechende Cmdlet Get-MessageTrace. Beide Cmdlets werden sofort ausgeführt. Während aber das Get-MessageTrackingLog alle vorhandenen Logs durchsucht, kann das Exchange Online-Gegenstück nur sieben Tage zurückgehen. Für ältere Nachrichten gibt es ein weiteres Cmdlet, das eine “historische Suche” startet (mehr über dieses Cmdlet im weiteren Teil des Artikels).
Das Get-MessageTrace erfordert keine zusätzlichen Parameter. Wenn Sie jedoch keine hinzufügen, werden Informationen zu allen Nachrichten zurückgegeben, die von Ihrem Tenant in den letzten 48 Stunden verarbeitet wurden. Normalerweise würden Sie damit zu viele Daten für Diagnosezwecke erhalten. Um herauszufinden, was mit einer bestimmten E-Mail passiert ist, müssen Sie Ihre Anfrage eingrenzen. Beispielsweise:
Get-MessageTrace -RecipientAddress <user’s address> -StartDate 11/07/2017 -EndDate 11/14/2017
Dieses Cmdlet zeigt den gesamten Nachrichtenfluss zwischen den definierten Daten an, der an den Benutzer gerichtet ist. Wenn es nicht alle erforderlichen Details enthält, ändern Sie das Format der Ergebnisse und geben Sie die gewünschten Eigenschaften wie FromIP oder Size an.
Get-MessageTrace -RecipientAddress <user’s address> -StartDate 11/07/2017 -EndDate 11/14/2017 | Format-list -Property Received,SenderAddress,Status,MessageTraceId
Die Liste liefert Ihnen gerade genug Informationen, um die richtige Nachricht zu finden. Um zu überprüfen, was passiert ist, beispielweise warum die Lieferung fehlgeschlagen ist, benötigen Sie das Get-MessageTraceDetail. Anstatt die Message Trace-ID aus den Ergebnissen des vorherigen Cmdlets zu suchen und zu kopieren, verwenden Sie sie einfach in einer Pipeline:
Get-MessageTrace -RecipientAddress <user’s address> -StartDate 11/07/2017 -EndDate 11/14/2017 -Status Failed | Get-MessageTraceDetail
Wie Sie leicht sehen können, ist die Zustellung aufgrund einer Nachrichtenflussregel fehlgeschlagen. Dies ist einer der Gründe, warum Sie immer Nachrichtenflussregeln richtig benennen sollen. Name wie “Regel 1” wird Ihnen wahrscheinlich nicht viel sagen, selbst wenn Sie die Regel in der Vergangenheit aufgestellt haben.
Das Ausführen von Message Trace für E-Mails, die älter als eine Woche sind, ist nicht direkt möglich. Es muss eine historische Suche ausgeführt werden. Um die Suche zu starten, führen Sie Start-HistoricalSearch aus. Die erforderlichen Parameter sind: StartDate, EndDate, ReportTitle und ReportType (MessageTrace oder MessageTraceDetail). Stellen Sie sicher, dass Sie auch das Feld –NotifyAddress angegeben haben, um den Bericht zu erhalten, sobald er fertig ist. Wenn der Parameter –NotifyAddress nicht angegeben ist, können Sie nur über EAC auf den Bericht zugreifen. Außerdem ist es wichtig, die Suche so einzuschränken, dass nur die Daten enthalten sind, die Sie benötigen, da die historische Suche einige Stunden dauern kann.
Start-HistoricalSearch -ReportTitle "Trace1" -ReportType MessageTrace -SenderAddress [email protected] -StartDate 11/01/2017 -EndDate 11/07/2017 -NotifyAddress [email protected]
Verwenden Sie Get-HistoricalSearch, um den Status jeder in den letzten zehn Tagen gestarteten Suche zu überprüfen.
Message Tracking in Office 365 über EAC
On-Premises-Exchange erlaubte keine Nachrichtenverfolgung über das Exchange Admin Center. In Office 365 ermöglicht das EAC die Nachrichtenverfolgung und bietet eine recht gute Erfahrung. Obwohl ich es normalerweise vorziehe, Exchange Online mit PowerShell zu verwalten, muss ich zugeben, dass das EAC in diesem Fall eine sehr effiziente Lösung bietet.
Um auf das Message Trace zuzugreifen, rufen Sie das Exchange Admin Center auf:
Im EAC gehen Sie auf Mail flow > Message trace
In diesem Fenster können Sie Ihre Kriterien für die Berichte eingeben, die Sie generieren möchten. Um nach Informationen zu E-Mails zu suchen, die vor sieben Tagen gesendet oder empfangen wurden, müssen Sie im Feld Data range die Option Custom auswählen. Geben Sie dann entsprechend die Start- und Enddatum sowie -zeit ein. Denken Sie daran, dass das Nachverfolgen älterer Nachrichten wie eine historische Suche betrachtet wird, unabhängig davon, ob Sie das EAC oder das PS verwenden. Dies bedeutet, dass Sie auf Ihre Berichte warten müssen. Das kann einige Stunden dauern. Wenn Sie Nachrichten im Zeitraum der letzten sieben Tage verfolgen, öffnen Sie mit einem Klick auf Search ein Fenster mit den Ergebnissen:
Für weitere Details zu einer E-Mail, doppelklicken Sie auf die ausgewählte Nachricht und ein neues Fenster wird geöffnet:
In diesem Fenster können Sie überprüfen, was mit der Nachricht passiert ist. Im obigen Beispiel sehen Sie, dass die Zustellung aufgrund einer Transportregel fehlgeschlagen ist. Sie können problemlos überprüfen, durch welche Transportregel das Problem verursacht wurde, und das Problem beheben.
Im Message Trace-Hauptfenster wird mit einem Klick auf view pending or completed traces eine Liste der von Ihnen durchgeführten historischen Suchen angezeigt. Wenn Sie eine historische suche über PowerShell gestartet haben und den Parameter -NotifyAddress nicht angeben konnten, ist das die einzige Möglichkeit, die CSV-Datei mit Ihrem Bericht herunterzuladen.
Der heruntergeladene Bericht ist im CSV-Format. In jeder Zeile werden Informationen zu einer einzelnen E-Mail angezeigt. Um Ihren Bericht lesbarer zu machen, können Sie ihn in Excel oder in einer anderen Tabelle öffnen.
Lesen Sie auch:
Verhindern von E-Mail-Spoofing in einer Exchange-Organisation
Sichern Sie Office 365/Exchange-E-Mails, bevor es zu spät ist!
Verantwortlicher für Ihre personenbezogenen Daten ist CodeTwo sp. z o.o. sp. k.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.