邮件跟踪概览
邮件跟踪可提供邮件流的的详细视图,帮助解决支持中心呼叫。例如,如果邮件未能如期传送,您可以判断邮件是否包含病毒、被放入垃圾邮件隔离区,还是位于邮件流的其他位置。
您可以搜索一封匹配指定条件的特定电子邮件或一组邮件。
Note |
使用邮件跟踪无法读取邮件内容。 |
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
本章包含以下部分:
邮件跟踪可提供邮件流的的详细视图,帮助解决支持中心呼叫。例如,如果邮件未能如期传送,您可以判断邮件是否包含病毒、被放入垃圾邮件隔离区,还是位于邮件流的其他位置。
您可以搜索一封匹配指定条件的特定电子邮件或一组邮件。
Note |
使用邮件跟踪无法读取邮件内容。 |
Note |
仅保留启用本功能之后所处理邮件的邮件跟踪数据。 |
准备工作
要在邮件跟踪中搜索和显示附件名称,并在日志文件中查看附件名称,您必须至少配置和启用一个正文扫描过程,例如邮件过滤器或内容过滤器。
日志文件必须配置为记录主题信头,才能实现按主题搜索。有关详细信息,请参阅日志记录。
如果要设置集中跟踪:请将思科安全管理器邮件和网络网关设置为支持对此邮件网关进行集中邮件跟踪。请参阅《思科安全邮件和网络管理器用户指南》。
Step 1 |
依次点击安全服务 (Security Services) > 邮件跟踪 (Message Tracking)。 即使您不计划集中使用此服务,也请使用此路径。 |
||||||
Step 2 |
选择启用邮件跟踪服务 (Enable Message Tracking Service)。 |
||||||
Step 3 |
如果在运行系统设置向导后首次启用邮件跟踪,请阅读最终用户许可协议,并点击接受 (Accept)。 |
||||||
Step 4 |
选择邮件跟踪服务:
|
||||||
Step 5 |
(可选)选中该复选框可保存被拒绝连接的信息。 为获得最佳性能,请禁用此设置。 |
||||||
Step 6 |
提交并确认更改。 |
如果您选择了本地跟踪:
选择可以访问 DLP 违规相关内容的用户。请参阅控制对“邮件跟踪”中敏感信息的访问权限。
(可选)请调整用于存储邮件的磁盘空间分配。请参阅管理磁盘空间。
Step 1 |
选择监控 (Monitor) > 邮件跟踪 (Message Tracking) |
||||||||||||||||||||||||
Step 2 |
输入搜索条件。
|
||||||||||||||||||||||||
Step 3 |
点击搜索 (Search) 提交查询。 查询结果将显示在页面底部。 |
相关主题
邮件网关跟踪服务可以搜索特定的邮件或与指定的条件相匹配的一组邮件,例如邮件主题行、日期和时间范围、信封发件人或收件人或处理事件(例如,邮件是否被标记为病毒邮件、垃圾邮件、硬退回、已传送等)。邮件跟踪允许您详细地了解邮件流。您还可以详细查看特定的邮件以了解邮件详细信息,例如处理事件、附件名称或信封和标题信息。
注 |
虽然跟踪组件提供关于各封邮件的详细信息,但是您无法使用它阅读邮件的内容。 |
步骤 1 |
点击跟踪 (Tracking) 选项卡。 |
||
步骤 2 |
选择邮件 (Messages) 选项卡或拒绝连接 (Rejected Connections) 选项卡以缩小搜索结果范围。
|
||
步骤 3 |
(可选)点击高级搜索 (Advanced Search),以显示更多搜索选项。 |
||
步骤 4 |
输入以下搜索条件:
您无需填写每个字段。除“邮件事件”(Message Event) 选项外,该查询是一种“AND”搜索。该查询返回与搜索字段中指定的“AND”条件相匹配的邮件。例如,如果您为信封收件人和主题行参数指定文本字符串,则查询只会返回与指定信封收件人和主题行都匹配的邮件。 |
||
步骤 5 |
点击搜索 (Search)。 每行与一封邮件相对应。向下滚动,以在视图中加载更多邮件。 如有必要,请通过输入新的搜索条件细化搜索,然后重新运行查询。或者,您可以通过缩小结果集细化搜索,如以下各部分所述。 |
请注意以下问题:
只有邮件网关中已记录邮件,且思科安全管理器邮件和网络网关检索到邮件时,结果中才会显示邮件。根据日志大小和轮询频率,邮件的发送时间与其实际在跟踪和报告结果中的显示时间可能存在小的差距。
有关涉及高级恶意软件防护的搜索(文件信誉扫描和文件分析)的信息,请参阅关于 消息 跟踪和 思科高级恶意软件保护 功能。
使用搜索结果可以执行以下操作:
Note |
如果点击报告页面上的链接来查看邮件跟踪中的邮件详细信息,但结果没有达到预期,这可能是因为查阅时没有同时启用报告和跟踪。 |
项目 |
说明 |
---|---|
信封和信头概要部分: |
|
接收时间 |
邮件网关收到邮件的时间。 日期和时间显示为邮件网关上配置的本地时间。 |
MID |
唯一 IronPort 邮件 ID。 |
消息大小 |
邮件的大小 |
主题 |
邮件的主题行。 如果邮件没有主题,或如果日志文件未配置为记录主题信头,跟踪结果中主题行的值可能为“(无主题)”。有关详细信息,请参阅日志记录 |
信封发件人 |
SMTP 信封中的发件人地址。 |
信封收件人 |
如果部署使用别名表进行别名扩展,搜索将查找扩展的收件人地址,而不是原始信封地址。有关别名表的详细信息,请参阅“配置路由和传送功能”一章中的“创建别名表”。 在任何其他情况下,邮件跟踪查询将查找原始信封收件人地址。 |
邮件 ID 信头 |
RFC 822 邮件信头。 |
SMTP 身份验证用户 ID |
发件人的 SMTP 身份验证用户名,如果发件人使用 SMTP 身份验证发送邮件。否则,该值为“N/A”。 |
附件 |
附加到邮件的文件的名称。 搜索结果中将显示采用查询的名称,且至少包含一个附件的邮件。 对于某些附件,可能不跟踪。由于性能原因,附件名称扫描仅在其他扫描操作过程中发生,例如邮件或内容过滤、DLP 或免责声明印戳。只有通过正文扫描,且仍附带附件的邮件,才能获得其附件名称。附件名称不会出现在搜索结果中的情况包括(但不限于):
由于性能原因,不会搜索附件中文件的名称,例如 OLE 对象或 ZIP 文件等存档。 |
[仅限新 Web 界面] 邮件事件 |
选择多个事件以包含与各个事件类型匹配的邮件。 |
发送主机摘要部分 |
|
反向 DNS 主机名 |
发送主机的名称,由反向 DNS (PTR) 查找验证。 |
IP 地址 |
发送主机的 IP 地址 |
IP 信誉得分 |
IP 信誉得分。范围是 10(可能是可信的发件人)到 -10(明显是垃圾邮件发送者)。得分“无 (None)”表示处理该邮件时,无此主机的相关信息。 有关 IP 信誉服务的详细信息,请参阅邮件网关的IP 信誉过滤 |
处理详细信息部分 |
|
摘要信息 (如果显示下面选项卡之一,则此信息将显示在某个选项卡中。摘要信息始终显示。) |
“摘要”选项卡显示处理邮件过程中记录的状态事件。 条目包括有关邮件策略处理的信息,例如,反垃圾邮件和防病毒扫描以及其他事件(邮件分流和内容或邮件过滤器添加的自定义日志条目等)。 如果邮件已传送,则显示传送的详细信息。 处理详细信息中将突出显示最后记录的事件。 |
“DLP 匹配内容”(DLP Matched Content) 选项卡 |
仅对 DLP 策略捕获的邮件显示此选项卡。 此选项卡包括匹配相关信息,以及触发 DLP 策略匹配的敏感内容。 必须配置邮件网关才能显示此信息。请参阅在邮件跟踪中显示敏感 DLP 数据。 若要控制对此选项卡的访问,请参阅控制对“邮件跟踪”中敏感信息的访问权限。 |
“URL 详细信息”(URL Details) 选项卡 |
此选项卡仅向由 URL 信誉和 URL 类别内容过滤器以及爆发过滤器捕获的邮件显示。 此选项卡显示以下信息:
必须配置邮件网关才能显示此信息。请参阅在邮件跟踪中显示 URL 详细信息。 若要控制对此选项卡的访问,请参阅控制对“邮件跟踪”中敏感信息的访问权限。 |
您可以确定邮件跟踪数据包括的日期范围,并可识别这些数据中缺少的任何间隔。
Step 1 |
[仅限新 Web 界面] 点击页面右上角的齿轮图标以加载旧 Web 界面。 |
Step 2 |
依次选择监控 (Monitor) > 邮件跟踪 (Message Tracking)。 |
Step 3 |
在搜索框的右上角查找数据时间范围:。 |
Step 4 |
点击数据时间范围: (Data in time range:) 的值。 |
相关主题
全新的邮件跟踪功能可能不适用于在升级前处理的邮件,因为可能没有为这些邮件保留所需的数据。有关邮件跟踪数据和升级的可能限制,请参阅所用版本的版本说明。
问题
搜索结果中找不到且未显示附件名称。
解决方案
问题
搜索结果中不包括本应满足条件的邮件。
解决方案