Zum Inhalt

Bericht über den Nachrichtenverlauf

Der Bericht Nachrichtenverlauf enthält Details zu den von Sophos Email Security für Ihre geschützten Posteingänge verarbeiteten E-Mails.

Diese Option ist nur verfügbar, wenn Ihre Lizenz Sophos Email beinhaltet.

Gehen Sie zu Berichte > Protokolle Email Security > Nachrichtenverlauf.

Wenn Sie über Domänen verfügen, die mit Sophos Gateway und Sophos Mailflow verbunden sind, klicken Sie auf Kategorie, um auszuwählen, ob ein Typ oder alle angezeigt werden sollen.

Sie können den Zeitraum festlegen, für den Sie den Nachrichtenverlauf anzeigen möchten. Standardmäßig zeigt der Bericht die während des aktuellen Tages verarbeiteten Nachrichten an. Wenn Sie den Datumsbereich ändern, klicken Sie auf das Aktualisierungssymbol, um den Bericht zu aktualisieren. Sie können die Berichte nur 30 Tage lang im Nachrichtenverlauf anzeigen.

Berichtdetails

Jede Zeile im Bericht zeigt eine Nachricht an, die durch das Gateway geleitet wurde. Wenn eine Nachricht an mehr als einen Empfänger gesendet wird, gibt es nur eine Zeile für diese Nachricht.

Für jede Nachricht wird in dem Bericht Folgendes angezeigt:

  • RICHTUNG: Klicken Sie auf die Pfeile, um die Zeilen zu sortieren.
  • ABSENDER
  • EMPFÄNGER
  • TYP
  • BETREFF: Klicken Sie auf den Betreff und gehen Sie zu Nachrichtendetails für diese Nachricht.
  • LETZTER STATUS: Die letzte Aktivität für die Nachricht.

    Die möglichen Werte für LETZTER STATUS können wie folgt lauten:

    • Gelöscht: Die Nachricht wurde aufgrund ihres Inhalts oder einer Block-List gelöscht. Wenn Sie Gelöscht auswählen, können Sie einen Grund zum Löschen auswählen.
    • Isoliert: Die Nachricht wurde aufgrund ihres Inhalts oder einer Block-List als Spam gekennzeichnet. Sie können isolierte Nachrichten auf der Seite E-Mails in Quarantäne einsehen. Siehe E-Mails in Quarantäne.
    • Abgewiesen Die Nachricht wurde unter Angabe des Grundes für die nicht erfolgte Zustellung an den Absender zurückgesendet.
    • Weitergeleitet: Die Nachricht wurde nicht an den ursprünglichen Empfänger zugestellt. Sie wurde an eine andere E-Mail-Adresse umgeleitet.
    • Verarbeitung läuft: Die Nachricht wird noch verarbeitet. Dies gilt für Nachrichten in der Sandbox-Umgebung und Nachrichten, die für die Zustellung in die Warteschlange gestellt wurden.
    • Angenommen: Die Nachrichten ist eingegangen und wird von unserem System verarbeitet.
    • Zustellung erfolgreich: Die Nachricht wurde erfolgreich verarbeitet und wird zur Zustellung gesendet.
    • Zustellung fehlgeschlagen: Es wurde mehrmals ohne Erfolg versucht, die Nachrichten zuzustellen. Der Vorgang wurde aufgrund einer Zeitüberschreitung abgebrochen.
    • In Zustellwarteschlange: Der Zustellversuch ist fehlgeschlagen und die Nachricht befindet sich in der Warteschlange für eine erneute Zustellung.

      Wir versuchen, eingehende Nachrichten für bis zu 5 Tage und ausgehende Nachrichten für bis zu 1 Tag zuzustellen. Mögliche Gründe für einen Fehler sind der Offline-Status des E-Mail-Servers des Empfängers oder Probleme beim Abrufen der DNS-Einträge des Empfängers. Nachrichten, die zur Zustellung in die Warteschlange gestellt wurden und sich jetzt in der Verarbeitungsphase befinden, werden mit dem Status Verarbeitung läuft angezeigt.

    • Verschlüsselung läuft: Die Nachricht wird gerade Push-verschlüsselt oder der Empfänger muss noch sein Kennwort festlegen, damit die Push-verschlüsselte Nachricht zugestellt werden kann.

    • Verschlüsselte Zustellung: Eine mit Push-Verschlüsselung verschlüsselte Nachricht wurde zugestellt.
    • Portalzustellung: Eine mit Portal-Verschlüsselung verschlüsselte Nachricht wurde an das Sophos Secure Message-Portal zugestellt.
    • An M365 zurückgegeben: Eine Sophos Mailflow-E-Mail wurde erfolgreich an Microsoft 365 zurückgegeben.
    • In Warteschlange für die Rückgabe an M365: Eine Sophos Mailflow-E-Mail wurde in eine Warteschlange gestellt, um an Microsoft 365 zurückgegeben zu werden.
    • Rückgabe an M365 fehlgeschlagen: Eine Sophos Mailflow-E-Mail konnte nicht an Microsoft 365 zurückgegeben werden.
    • Rückruf erfolgreich: Die Nachricht wurde nach erfolgreicher Zustellung an die Empfänger in die Quarantäne nach der Zustellung zurückgezogen.
    • Rückruf gestartet: Der Vorgang zum Zurückziehen der Nachricht wurde gestartet.
    • Rückruf fehlgeschlagen: Die Nachricht konnte nicht zurückgezogen werden.
    • Rückruf freigegeben: Die Anforderung zum Zurückziehen der Nachricht wurde abgebrochen oder freigegeben. Die Nachricht wird nicht zurückgezogen.
  • DATUM: Das Datum der letzten Aktivität für die Nachricht.

  • KATEGORIE: Die Kategorie der Nachricht.
  • UNTERKATEGORIE: Detailliertere Kategorisierung der Nachricht.

Wenn eine Nachricht verdächtig ist, können Sie den Mauszeiger über den KATEGORIE-Eintrag bewegen, um zu sehen, warum die Nachricht unter Quarantäne gestellt oder gelöscht wurde.

Hinweis

Ob eine E-Mail unter Quarantäne gestellt oder gelöscht wird, hängt von Ihren Spamschutz-Einstellungen ab. Siehe Email Security-Richtlinie.

Erweiterte Suche

Wenn Sie über die erweiterte Suche verfügen, ist dies die Standardeinstellung im Nachrichtenverlauf.

Klicken Sie auf das Eingabefeld Erweiterte Suche. Sie können Nachrichten nach Folgendem filtern:

  • Von: Absender. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  • An: Empfänger. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  • Betreff: Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  • Nachrichtengröße: Größer oder kleiner als ein MB-Wert. Dabei wird die MIME-Größe einer E-Mail verwendet, die größer sein kann als die Raw-Dateigröße. Siehe Dateigrößen für E-Mail-Anhänge werden berechnet.
  • Anhang: Art des Anhangs. Unterstützt Teilausdrücke.
  • DSN-Code: Wählen Sie einen DSN-Code (Delivery Status Notification) aus.

    Sie können einen ganzen DSN-Code eingeben oder einen der folgenden Platzhalter auswählen:

    • 2.*.*: Zustellung erfolgreich
    • 4.*.*: Vorübergehender Fehler
    • 5.*.*: Permanenter Fehler

    Hinweis

    Bei der Analyse von Absendern und Empfängern von Nachrichten verwenden wir ihre SMTP-Envelope-Absender-Adressen, nicht ihre From-Header- und To-Header-Adressen.

Sie können verschiedene Suchbegriffe kombinieren. Sie werden mit der Bedingung AND angewendet.

Sie können Nachrichten nach Richtung, Status oder Grund filtern.

Wenn Sie den Datumsbereich ändern oder die Nachrichten filtern, müssen Sie auf das Aktualisierungssymbol klicken, um die Suchergebnisse zu aktualisieren.

Klicken Sie auf die Betreffzeile einer Nachricht, um Details anzuzeigen. Siehe Nachrichtendetails.

Suchergebnisse

In den Suchergebnissen werden die von Ihnen ausgewählten Parameter im Suchfeld angezeigt. Sie können Ihre Suche verfeinern, indem Sie auf einzelne Parameter klicken, um sie zu entfernen. Ihre Suchergebnisse werden sofort aktualisiert.

Sie können auf den Richtungspfeil klicken, um die Suche auf eingehende oder ausgehende Nachrichten zu beschränken. Der Abwärtspfeil steht für eingehende Nachrichten, der Aufwärtspfeil für ausgehende Nachrichten. Wenn Sie auf einen Richtungspfeil klicken, werden die Suchergebnisse sofort aktualisiert.

Nachrichtendetails

Klicken Sie zum Anzeigen der Nachrichtendetails auf die Betreff einer Nachricht.

Die Registerkarte „URLs“ ist Teil der erweiterten Suche, die möglicherweise noch nicht allen Benutzern zur Verfügung steht.

Durch Klicken auf die folgenden Registerkarten können Sie weitere Informationen zu einer Nachricht anzeigen.

  • Details zeigt allgemeine Informationen zur Nachricht und einen Verlauf der Ereignisse für die Nachricht an. Der Ereignisverlauf wird nach Empfängern gruppiert.
  • Raw-Header: zeigt die Header-Details.
  • Anhänge: zeigt Name und Größe der Anhänge.
  • URLs zeigt alle URLs in der Nachricht an.

    Wir berechnen die Größe der Anhänge anhand der MIME-Codierung der E-Mail. Wir verwenden nicht die Größe der Raw-Dateien. Dies bedeutet, dass Dateigrößen von Anhängen oft als größer als die tatsächliche Datei angegeben werden. Siehe Dateigrößen für E-Mail-Anhänge werden berechnet.

Abhängig von unserer Nachrichtenanalyse sehen Sie entweder Als Spam melden oder Als Nicht-Spam melden. Klicken Sie auf diese Schaltflächen, um die Nachricht an die SophosLabs zu senden und somit unsere Spam-Erkennung zu verbessern.

Blockieren

Im Nachrichtenverlauf können Sie auf Absender blockieren oder Domäne blockieren klicken, um die E-Mail-Adresse des Absenders oder die Domäne zu Ihrer Blocklist hinzuzufügen.

Sie können IP-Adresse blockieren auswählen, um die IP-Adresse zur Liste Eingehend erlauben/blockieren hinzuzufügen. Sie können auch E-Mail-Adressen und Domänen zur Blocklist hinzufügen.

Warnung

Seien Sie vorsichtig, wenn Sie eine IP-Adresse blockieren. Sie können versehentlich einen ganzen Dienst blockieren. Wenn Sie beispielsweise die von Microsoft 365 verwendete IP-Adresse blockieren, erhalten Sie keine Nachrichten von Microsoft-365-Benutzern.

Für weitere Informationen siehe Eingehend erlauben/blockieren.

Gelöschte Nachrichten wiederherstellen

Sie müssen Superadmin sein, um diese Funktion verwenden zu können.

Als Spam markierte ausgehende Nachrichten werden gelöscht. Dies liegt daran, dass Server die Reputation von Sophos Email-Zustellungs-IP-Adressen herabsetzen, wenn sie Spam von Sophos Email empfangen. Wenn der Superadmin prüfen möchte, ob es sich bei gelöschten Nachrichten um False Positives handelte, kann er sie wiederherstellen und zur weiteren Prüfung in Quarantäne stellen. Dies betrifft eingehende und ausgehende E-Mails.

Sie können die gelöschten Nachrichten wiederherstellen und im Nachrichtenverlauf unter Quarantäne stellen. Die einzigen gelöschten Nachrichten, die Sie wiederherstellen und in die Quarantäne zurücksenden können, sind Folgende:

  • Als Malware gekennzeichnete eingehende Nachrichten:

    • Virus
    • Intelix-Bedrohung (nicht scanbar)
    • Intelix-Bedrohung (schädlich)
  • Als Spam markierte ausgehende Nachrichten

Klicken Sie auf den Betreff einer Nachricht, um deren Nachrichtendetails anzuzeigen, und klicken Sie dann auf Gelöscht, um die Nachrichtenwiederherstellung zu starten. Sie können Für alle Empfänger wiederherstellen auswählen, um die Nachricht für alle Empfänger wiederherzustellen, und dann auf Wiederherstellen klicken.

Hinweis

Nachrichten, die in Quarantäne wiederhergestellt werden, müssen vor ihrer Freigabe einer gründlichen Bewertung unterzogen werden, damit die Sicherheit des Empfängers nicht beeinträchtigt wird.

Es kann einige Minuten dauern, bis die Nachricht in der Quarantäne wiederhergestellt ist. Wenn die Nachricht in der Quarantäne wiederhergestellt ist, müssen Sie die Nachricht gründlich prüfen, indem Sie sie beispielsweise an Intelix zum Scannen senden. Sie können die Anhänge herunterladen, um sie auf schädliche Inhalte zu überprüfen. Sie können den Nachrichteninhalt lesen, um festzustellen, ob es sich um Spam handelt. Siehe E-Mails in Quarantäne.

Wenn Sie ausgehende Spam-Nachrichten freigeben, beeinträchtigt dies die Reputation der Delivery-IP-Adressen von Sophos Email. Eine beeinträchtigte Reputation kann zu Verzögerungen oder Ablehnung von Nachrichten für alle Kunden führen. Daher können Sie pro Stunde nur eine begrenzte Anzahl gelöschter ausgehender Spam-Nachrichten wiederherstellen. Pro Stunde können Sie maximal fünf Nachrichten wiederherstellen. Eine Nachricht, die an mehrere Empfänger adressiert wurde, zählt als eine Nachricht.

Spamverdacht-Nachrichten

Diese Funktion ist unter Umständen noch nicht für alle Kunden verfügbar.

Eingehende Nachrichten werden auf Spam gescannt. Anschließend werden Nachrichten anhand der Scan-Ergebnisse kategorisiert. Wenn Sophos Central eine verdächtige Nachricht erkennt, kennzeichnet es sie als „verdächtig“ und fügt ihre Spam-Stufe hinzu.

Sophos Central kategorisiert die Nachrichten mit Spamverdacht nach ihrer Stufe. Eine Nachricht, die einer L3-Spam-Stufe entspricht, wird zum Beispiel im Nachrichtenverlauf als „Verdächtig L3“ markiert.

Die Aktion hängt von den Einstellungen ab, die Sie auf dem Schieberegler vorgenommen haben. Sie setzen zum Beispiel den Schieberegler auf „L3“ und die Aktion auf „Quarantäne“. In diesem Fall werden vermutete Spam-Nachrichten von L1 bis L3 unter Quarantäne gestellt und von L4 bis L5 an den Empfänger gesendet.

Sie können die Nachrichten nach Spamverdacht-Stufe filtern. Sie können auch auf den Betreff einer Nachricht klicken, um weitere Details und die Spamverdacht-Stufe anzuzeigen. Die Spamverdacht-Stufe, die Sie mit dem Schieberegler für die Empfindlichkeit konfiguriert haben, wird unter Grund angezeigt und die in Sophos Central validierte Spamverdacht-Stufe wird unter Unterkategorie angezeigt.

Mehrere Empfänger

Wenn eine Nachricht an mehrere Empfänger gesendet wird, können Sie unter Details Folgendes tun:

  • Blättern Sie durch die SMTP-Empfänger und Header-Empfänger.
  • Sie können eine Liste der Empfänger mit ihrem letzten Zustellstatus anzeigen. Sie können Ereignisse auch nach Empfänger-E-Mail-Adresse oder Domäne durchsuchen. Sie können eine Nachricht erweitern, um alle damit verbundenen Ereignisse anzuzeigen.
  • Filtern Sie die Nachrichten, indem Sie auf die Links unter Statuszusammenfassungklicken.

Manueller Rückruf

Sie können Nachrichten, die als anstößig eingestuft wurden, manuell aus M365-Postfächern von Empfängern in Quarantäne nach der Zustellung zurückrufen.

Die folgenden Optionen stehen für den manuellen Rückruf zur Verfügung:

  • Nachrichtenverlauf: Sie können die Nachrichten auswählen, die Sie zurückfordern möchten, indem Sie das Kontrollkästchen neben jeder Nachricht aktivieren. Sie können auch zur nächsten Seite gehen und dort Nachrichten auswählen.

    Tipp

    • Sie können die Erweiterte Suche verwenden, um die Nachrichtenauswahl einzugrenzen.
    • Sie können das Kontrollkästchen neben der Spalte RICHTUNG aktivieren, um alle Nachrichten gleichzeitig auszuwählen, da nur eingehende Nachrichten zurückgerufen werden können.
    • Sie können nach zugestellten Nachrichten filtern, weil nur erfolgreich zugestellte Nachrichten zurückgerufen werden können.

    Nachdem Sie die Nachrichten ausgewählt haben, klicken Sie auf Rückruf starten, um Nachrichten aus M365-Postfächern zurückzuziehen.

  • Nachrichtendetails: Im Nachrichtenverlauf können Sie auf den Betreff einer Nachricht klicken, die Sie zurückrufen möchten, und dann deren Nachrichtendetails anzeigen.

    Nachdem Sie die Nachrichten ausgewählt haben, klicken Sie auf Rückruf starten, um Nachrichten aus M365-Postfächern eines oder mehrerer Empfänger zurückzuziehen. Wählen Sie die Empfänger aus, von denen Sie die zugestellte Nachricht zurückrufen möchten.

    Klicken Sie auf Bericht anzeigen, um den Bericht „Nach-der-Zustellung-Übersicht“ zu diesen zurückgerufenen Nachrichten anzuzeigen. Siehe Nach-der-Zustellung-Übersichtsbericht.

Hinweis

  • Sie können eine Nachricht nur zurückrufen, wenn sie an ein M365-Postfach gesendet wurde, dessen Domäne für den Schutz nach der Zustellung verbunden ist.
  • Es kann bis zu 10 Minuten dauern, bis eine Nachricht aus einem M365-Postfach zurückgerufen wird.
  • Eine Nachricht, die aus der Quarantäne nach der Lieferung freigegeben wurde, kann nicht wieder zurückgerufen werden.

Nach einem erfolgreichen manuellen Rückruf werden die Nachrichten in Quarantäne verschoben. Sie können die Nachrichten über die „Quarantäne nach der Zustellung“-Liste überprüfen und freigeben, wenn sie legitim bzw. nicht schädlich ist. Siehe E-Mails in Quarantäne.

Die Rückruf-API kann verwendet werden, um Nachrichten aus dem Posteingang eines Empfängers zurückzufordern. Für weitere Informationen siehe Email-Management-API.