郵件記錄報告
此選項僅在您的授權包含 Sophos Email 時可用。
郵件記錄報告可提供受保護信箱的電子郵件活動概覽。
前往 報告 > Email Security 日誌 > 郵件記錄。
此報告會列出 Sophos Email 處理過的郵件,以及因找不到信箱而遭拒的郵件記錄。報告包含以下兩個索引標籤:
-
已處理:表示這些郵件已成功由 Sophos Email Security 處理。
若您同時使用 Sophos Gateway 和 Sophos Mailflow 管理的網域,可按一下 類別 來選擇要查看哪一類型,或是查看全部郵件。
-
已拒絕:表示這些郵件因找不到信箱而遭拒絕處理。
您可以選擇要檢視的郵件處理或拒絕記錄的時間範圍。預設情況下,報告會顯示當天已處理或遭拒的郵件。若您變更日期範圍或套用篩選條件,請按一下重新整理圖示 以更新報告。
您只能查看過去 30 天內的 郵件記錄 報告。
EMS 模式
若您訂閱了 Sophos EMS,Sophos EMS 會掃描電子郵件的日誌副本,並不會攔截原始郵件。因此,在「郵件記錄」報告中所顯示的郵件狀態僅供報告參考,並不反映實際送達的郵件狀態。如需深入了解 Sophos EMS,請參閱 Sophos EMS (Email Monitoring System)。
「已處理」報告
「已處理」報告會顯示 Sophos Email 所處理的郵件。若一封郵件寄送給多位收件者,報告中也只會顯示一列紀錄。
每封已處理郵件的報告內容包括以下詳細資訊:
- 方向:內送或外寄。您可以按一下箭頭以排序各列資料。
- 寄件者:寄件者的電子郵件地址。
- 收件者:收件者的電子郵件地址。
- 類型:郵件類型 (Gateway 或 Mailflow)
- 主旨:按一下主旨可查看該郵件的 郵件詳細資料。
- 最新狀態:顯示該郵件的最新處理活動。請參閱 最新狀態。
- 日期:該郵件最近一次活動的日期。
- 種類:郵件所屬的分類。請參閱 類別。
- 子類別:郵件的更細部分類。
若郵件被判定為可疑,您可以將游標停留在 類別 欄位上,查看其被隔離或刪除的原因。
寄送給使用者的隔離摘要電子郵件不會出現在此報告中。
注意
郵件是否被隔離或刪除,取決於您所設定的垃圾郵件防護政策。請參閱 電子郵件安全性原則。
您可以將「已處理」報告排程為自訂報告。另存為自訂報告 可讓您使用「郵件記錄」範本,將 已處理 報告儲存至 報告 頁面中。
如需更多關於報告儲存或排程的資訊,請參閱 電子郵件報告。
最新狀態
最新狀態 欄位可能顯示以下幾種狀態:
- 已删除:郵件因內容或封鎖清單設定而被刪除。選取 已刪除 時,您可以查看刪除的 原因
- 已隔離:郵件因內容或封鎖清單設定而被判定為垃圾郵件並加以隔離。您可以前往 隔離郵件 頁面查看這些郵件。請參閱 隔離訊息。
- 退信:郵件被退回給寄件者,並附上無法遞送的原因。
- 重新導向:郵件未傳送至原本的收件者,而是重新導向至其他電子郵件地址。
- 處理中:郵件尚在處理中。此狀態適用於位於沙箱環境或佇列中的郵件。
- 已接受:郵件已成功接收,並正在由我們的系統處理中。
- 傳送成功:郵件已成功處理,並已進行傳送。
- 傳送失敗:系統多次嘗試傳送郵件但失敗,並且傳送請求已逾時。
-
傳送佇列中:初次傳送嘗試失敗,郵件已重新排入傳送佇列。
我們會嘗試傳送內送郵件最多 5 天,嘗試傳送外寄郵寄最多 1 天。傳送失敗的可能原因包括:收件者的郵件伺服器離線,或無法正確解析收件者的 DNS 記錄。若郵件仍在佇列中處理,將顯示為 處理中。
-
加密處理中:郵件仍在進行 Push 加密處理中,或正在等待收件者設定密碼以完成 Push 加密郵件的傳送。
- 加密傳送完成:完成 Push 加密的郵件已成功傳送。
- 入口網站傳送完成:經由 Portal 加密的郵件已傳送至 Sophos Secure Message 入口網站。
- 已退回至 M365:Sophos Mailflow 處理的郵件已成功退回至 Microsoft 365。
- 排入退回 M365 的佇列:Sophos Mailflow 處理的郵件已排入佇列,準備退回至 Microsoft 365。
- 退回 M365 失敗:Sophos Mailflow 處理的郵件無法成功退回至 Microsoft 365。
- 成功回收:郵件在傳送至收件者後已成功回收並移至送達後的隔離區。
- 回收中:郵件回收程序已啟動。
- 回收失敗:郵件回收嘗試失敗。
- 回收已取消:回收請求已取消或解除,該郵件將不再進行回收。
類別
類別 與其子類別可能包含以下值:
- 即時封鎖:郵件在即時掃描階段被封鎖。
-
企業封鎖:郵件依據企業層級的安全性原則被封鎖。
- 管理員封鎖:郵件依據管理員設定被封鎖。
- 使用者封鎖:郵件依據使用者個別設定被封鎖。
-
惡意程式:郵件內含有惡意程式。
-
無法掃描:郵件無法進行威脅掃描。
- 過多網址:郵件中含有異常數量的網址。
-
Intelix 威脅:根據 Intelix 分析,郵件被標記為潛在威脅。
- 惡意內容:郵件中含有惡意內容,或包含導向惡意內容的連結。
- Intelix 無法掃描:Intelix 無法掃描該郵件。
- 可疑內容:郵件被標記為可疑,但尚未確認為惡意。
-
網址/QR 碼:郵件中包含導向有害或不安全網站的網址或 QR 碼。
- 惡意網址 (高風險):該網址因來源信譽低,被判定為高風險。
-
惡意網址 (犯罪相關):該網址與犯罪活動或意圖有關聯。
注意
若郵件中含有網際網路觀察基金會 (Internet Watch Foundation) 所列的犯罪網址,我們依法必須刪除該郵件。同時,我們也依法不得在 Sophos Central 的任何地方 (包括郵件記錄) 顯示該連結。請參閱 IWF: 網址清單。
我們會一律刪除包含這些郵件。不會依據您在 Email Security 原則中的設定進行處理。
-
QR 碼 (高風險):該 QR 碼所連結的網站因信譽不佳而被判定為高風險。
- QR 碼 (犯罪相關):該 QR 碼所連結的網站與犯罪活動或意圖有關。
- QR 碼 (安全):該 QR 碼連結的網站通過所有安全檢查,未顯示任何惡意行為跡象。
-
冒充:該郵件假冒可信任的寄件者身分。
- 品牌:郵件冒充知名品牌或機構。
- 內部 VIP:郵件針對您組織內的重要人物發動攻擊。
- 外部 VIP:郵件針對外部信任對象發動攻擊,例如供應商、客戶或合作夥伴。
- 一般:郵件被視為冒充,但未明確對應至特定 VIP 或品牌。判斷依據為機器學習或反網路釣魚偵測技術。
提示
按一下被標記為「冒充」的郵件主旨,即可檢視詳細資訊。您可確認該郵件是否冒充內部或外部 VIP、多位 VIP,或是否觸發積極模式 (Aggressive Mode) 的標記。
-
垃圾郵件:郵件被標記為未經請求的大量郵件,亦稱垃圾郵件。
- 疑似垃圾郵件 L<x>:郵件被判定為疑似垃圾郵件,並依等級 L1 至 L5 分類。如需了解各等級的判定標準,請參閱 反垃圾郵件。
- 已確認:郵件包含已知且經驗證的垃圾郵件模式,因此被確認為垃圾郵件。
- 不允許的國家/地區:郵件來自您政策中禁止的國家。
- 不允許的語言:郵件內容包含您政策中禁止的語言。
- BATV 驗證失敗:郵件未通過退信地址標記驗證 (BATV) 檢查,因為缺少有效的退信地址標記。此標記用於驗證退信是否為合法訊息。可能代表郵件的回信地址是偽造的,這在垃圾郵件或反彈攻擊中很常見。
-
大量郵件:郵件是發送給大量收件者的內容,例如電子報、郵件群組或其他已同意接收的郵件類型。
-
驗證失敗:郵件未通過 DMARC、SPF 或 DKIM 認證檢查。
- DKIM:郵件未通過您政策中設定的 DKIM 驗證。
- DMARC:郵件未通過您政策中設定的 DMARC 驗證。
- SPF:郵件未通過您政策中設定的 SPF 驗證。
- 標頭異常:郵件未通過標頭異常檢查,因為 FROM 位址與實際寄件者不符,或與信封中的 MAIL FROM 位址不同。這可能表示該郵件是冒名寄送的。
- 網域異常:郵件未通過網域異常檢查,因為寄件網域不存在或設定不正確,且無有效的 MX 或 A 記錄。
-
資料控制:郵件觸發了資料控制原則中的規則,因此被標記。
- Push 加密:郵件因觸發資料控制規則而以 Push 加密方式進行加密。
- 入口網站加密:郵件因觸發資料控制規則而加密並儲存在 Sophos Secure Message 入口網站中。
-
安全郵件:郵件已加密,以確保機密性並保護敏感資料。
- Push 加密:該郵件已依照您的 Secure Message 原則設定,使用 Push 加密 方式進行加密。
- 入口網站加密:該郵件已依照您的 Secure Message 原則設定,加密並儲存在 Sophos 安全郵件入口網站中。
- S/MIME:該郵件已依照您的 Secure Message 原則設定,使用 S/MIME 協定進行簽章或加密。
- TLS v1.2:郵件依據 Secure Message 原則的設定,透過 TLS 1.2 加密方式安全傳送。
- TLS v1.3:郵件依據 Secure Message 原則的設定,透過 TLS 1.3 加密方式安全傳送。
-
合法郵件:該郵件被判定為有效且可信任的郵件。
- S/MIME:該郵件是以 S/MIME 通訊協定簽署或加密方式接收的。
- Phish Threat 活動郵件:該郵件為網路釣魚攻擊活動的一部分。
如何搜尋
了解如何使用進階搜尋功能來篩選 郵件記錄 中的郵件。
進階搜尋
您可以在 郵件記錄 中使用 進階搜尋 功能,快速篩選並尋找特定郵件。
按一下 進階搜尋 以開始操作。
「已處理」與「已拒絕」郵件的搜尋欄位可能有所不同。
您可以依照以下搜尋欄位篩選郵件:
- 寄件者:寄件者。支援部分字串比對。不區分大小寫。
- 收件者:收件者。支援部分字串比對。不區分大小寫。
- 主旨:支援部分字串比對。不區分大小寫。按一下郵件主旨可檢視詳細內容。請參閱 郵件詳細資訊。
- 郵件大小:大於或小於指定的 MB 數量。此為郵件的 MIME 大小,可能大於實際檔案的原始大小。請參閱 計算電子郵件附件檔案大小。
- 附件:附件類型。支援部分字串比對。
-
DSN 代碼:選取一個傳遞狀態通知(DSN)代碼。
您可以輸入完整的 DSN 代碼,或選擇以下其中一個選項:
- 2.*.*:傳遞成功
- 4.*.*:暫時性錯誤
- 5.*.*:永久性錯誤
注意
- 在分析郵件的寄件者與收件者時,我們使用的是 SMTP 信封的寄件者與收件者地址,而非郵件標頭中的「From」與「To」。
- 在搜尋欄位中輸入的搜尋條件會自動忽略特殊字元,包括句點、逗號、井字號
#
、符號、重音符號、ASCII 控制字元及格式控制字元。
您可以依照以下搜尋欄位篩選郵件:
- 寄件者:寄件者。支援部分字串比對。不區分大小寫。
- 收件者:收件者。支援部分字串比對。不區分大小寫。
- 寄件者 IP:寄件者的 IP 位址。支援部分 IP 位址比對。
您可以設定多個搜尋條件。搜尋結果將僅顯示符合所有條件的郵件。
您可以依 方向、狀態 或 原因 進行篩選。
若您更改了日期範圍或篩選條件,請按一下重新整理 圖示以更新搜尋結果。
搜尋結果
在搜尋結果中,您選擇的條件會顯示在搜尋欄位中。您可以按一下個別條件,將其從搜尋中移除。搜尋結果會立即更新。
您可以按一下方向箭頭,限制搜尋結果只顯示內送或外送郵件:向下箭頭表示內送郵件,向上箭頭表示外寄郵件。按一下方向箭頭後,搜尋結果會立即更新。
郵件詳細資訊
若要檢視 郵件詳細資訊,請按一下郵件的 主旨
「URLs」索引標籤屬於進階搜尋功能,部分使用者可能尚未開放使用。
您可以按一下下列索引標籤,檢視郵件的詳細資訊:
- 詳細資料 顯示郵件的一般資訊及事件記錄。記錄將按照 收件者 分類。
- 原始標頭 顯示標頭的詳細內容。
- 附件 顯示附件的名稱和大小。
-
網址 顯示郵件中包含的所有網址。
附件大小的計算依據 MIME 編碼後的大小,而非實際檔案大小。因此顯示的附件大小通常會大於原始檔案的大小。請參閱 計算電子郵件附件檔案大小。
對於內送與外寄的垃圾郵件,依據 Sophos 分析結果,您會看到 回報威脅 或 回報為安全 選項。按一下這些選項可將郵件送交 SophosLabs,協助我們改善垃圾郵件偵測。
封鎖
在 郵件記錄 中,您可以按一下想要封鎖的郵件主旨,然後檢視該郵件的詳細資訊。接著,在 SMTP 寄件者 下方按一下 封鎖,並選擇 封鎖寄件者 或 封鎖寄件者網域,將該寄件者的電子郵件地址或網域新增至您的封鎖清單。
您也可以在 IP 位址 下方按一下 封鎖 IP 位址,將該 IP 加入封鎖清單。或者,您可以直接透過 內送允許/封鎖清單,新增電子郵件地址與網域。
警告
封鎖 IP 位址時請特別小心。您可能會不小心封鎖整個服務。例如,若封鎖 Microsoft 365 使用的 IP,您將無法收到任何 Microsoft 365 使用者寄出的郵件。
您可以在封鎖電子郵件地址、網域或 IP 位址時新增說明,以記錄封鎖原因,例如:「因垃圾郵件而封鎖」。您可以稍後在 內送允許/封鎖清單 中檢視與編輯這些說明。
如需更多資訊,請參閱 入埠允許/攔截。
還原已删除的郵件
您必須是超級管理員 (Super Admin) 才能執行此操作。
當外寄郵件被標記為垃圾郵件時,會遭到刪除。這是因為若 Sophos Email 所使用的傳送 IP 被判定為垃圾郵件來源,將會降低該 IP 的信譽,影響整體郵件傳遞品質。若超級管理員想檢查被刪除的郵件是否為誤判,可將郵件還原並隔離,以便進一步分析。此功能適用於內送與外寄郵件。
您可以透過 郵件記錄 還原已刪除的郵件並將其送往隔離區。以下是唯一可以還原並重新隔離的已刪除郵件類型:
-
內送郵件被標記為惡意程式:
- 病毒
- Intelix 威脅 (無法掃描)
- Intelix 威脅 (惡意內容)
-
外寄郵件被標記為垃圾郵件
請按一下郵件主旨以檢視詳細內容,然後點選 已刪除 開始還原程序。您可以選擇 還原給所有收件者,然後按一下 還原。
注意
被還原至隔離區的郵件必須經過完整評估後才能釋出,以確保不會危及收件者的安全。
將郵件還原至隔離區可能需要幾分鐘時間。當郵件被還原至隔離區後,您必須透過例如提交郵件至 Intelix 掃描等方式,對該郵件進行徹底評估。您可以下載附件以檢查是否存在惡意內容。您可以閱讀郵件內容以判斷是否為垃圾郵件。請參閱 隔離訊息。
釋出誤判為垃圾郵件的 外送郵件 可能會損害 Sophos Email 傳送 IP 的信譽,導致所有客戶的郵件傳遞延遲或被拒收。因此,Sophos 對於刪除的外送垃圾郵件設有每小時還原上限:每小時最多可還原 5 封郵件 (每封郵件可能有一位或多位收件者)。
您可以觀看下方影片,了解如何還原已刪除的郵件至隔離區,並將使用者的隔離區設定為唯讀模式。
疑似垃圾郵件
內送郵件會經過垃圾郵件掃描,並根據掃描結果分類。當 Sophos Central 偵測到可疑郵件時,會標記為「Suspected」(疑似) 並加註垃圾郵件等級。
Sophos Central 會根據等級對疑似垃圾郵件進行分類。例如,若郵件被判定為 L3 等級垃圾郵件,則會在 郵件記錄 中顯示為「Suspected L3」。
執行的動作將取決於您在滑桿上的設定。例如,若您將滑桿設為 L3,並設定動作為「隔離」。在這種情況下,則 L1 至 L3 等級的疑似垃圾郵件將被隔離,L4 至 L5 等級的郵件則會傳送給收件者。
您可以依據垃圾郵件等級篩選郵件,也可以按一下郵件的主旨,以檢視更多詳細資訊及其疑似垃圾郵件等級。您透過攔截率滑桿所設定的疑似垃圾郵件等級會顯示在 原因 欄位,而由 Sophos Central 驗證的疑似垃圾郵件等級則會顯示在 子類別 欄位。
多個收件者
如果一封郵件發送給多位收件人,在 詳細資料 中您可以執行下列操作:
- 捲動檢視 SMTP 收件者 與 標頭收件者。
- 您可以查看包含各收件者最新傳遞狀態的清單。也可以依收件人電子郵件地址或網域搜尋事件。可展開郵件可查看其所有相關事件。
- 按一下 狀態摘要 下的連結即可篩選郵件。
隨選收回
您可以手動從收件人的 M365 信箱中收回被判定為不當的郵件,並移至事後隔離區。
此功能適用於個別收件者、電子郵件別名與群組通訊清單。成功收回後,對於群組通訊清單,狀態仍會顯示為「已啟動收回」。
進行收回之前,請注意下列事項:
- 僅能收回已傳送至已啟用事後保護的 M365 網域信箱的郵件。
- 從 M365 收件匣收回郵件最多可能需要 10 分鐘。
- 已從事後隔離區釋出的郵件無法再次收回。
您可以在回報郵件至 SophosLabs 時同時執行收回。收回程序會在您將郵件提交給 SophosLabs 後開始,前提是該郵件已成功傳送至受支援的 M365 信箱。
若選擇收回原因,將觸發發送偵測通知至 MDR。原因會顯示在 威脅分析中心 中 偵測規則 欄位的附加字串。
成功收回後,郵件會被隔離。您可以在事後隔離清單中檢查這些郵件,若確認為非惡意或合法郵件,可予以釋出。請參閱 隔離訊息。
您也可以透過 clawback API 從收件者信箱收回郵件。如需更多資訊,請參閱 電子郵件管理 API。
您可以使用以下方法執行隨需回收。
在郵件記錄中收回郵件
您可以直接從 郵件記錄 頁面收回郵件。
若要執行此動作,請依照以下步驟操作。
- 在 Sophos Central 中,前往 報告 > Email Security 日誌 > 郵件記錄。
-
選取您想要收回的郵件。最多可選取 100 封郵件。
提示
- 您可以使用 進階搜尋 來縮小郵件選取範圍,
- 並使用上下箭頭旁的核取方塊選取目前頁面上的所有郵件。確認您僅查看內送郵件,因為僅有這些郵件可被收回。
- 建議篩選顯示已傳遞的郵件,因為只有成功傳遞的郵件才能收回。
-
按一下 啟動收回。
系統會顯示 收回郵件 對話方塊。
-
(可選) 從以下選項中選擇收回所選郵件的原因:
- 垃圾郵件
- 惡意郵件
- 網路釣魚郵件
- 不需要的郵件
-
(可選) 如果您選擇了 垃圾郵件、惡意郵件或 網路釣魚郵件,您可以勾選 向 SophosLabs 報告這些郵件 來將郵件回報給 SophosLabs。
這有助於我們提升威脅偵測的能力。
-
按一下 確認,將選取的郵件從 M365 信箱收回。
在「郵件詳細資料」中收回郵件
您也可以從郵件的詳細資料頁面執行收回。
若要執行此動作,請依照以下步驟操作。
- 在 Sophos Central 中,前往 報告 > Email Security 日誌 > 郵件記錄。
- 按一下您要收回的郵件主旨以查看其詳細資料。
- 按一下 啟動收回。
- 選擇您要從其信箱收回郵件的收件者。
-
從以下選項中選擇收回所選郵件的原因:
- 垃圾郵件
- 惡意郵件
- 網路釣魚郵件
- 不需要的郵件
-
(可選) 如果您選擇了 垃圾郵件、惡意郵件或 網路釣魚郵件,您可以勾選 向 SophosLabs 報告這些郵件 來將郵件回報給 SophosLabs。
這有助於我們提升威脅偵測的能力。
-
(選用) 按一下 檢視報告 以查看收回郵件的事後報告。請參閱 傳遞後摘要報告。
- 按一下 收回,從選定收件者的 M365 信箱中收回郵件。
「已拒絕」報告
「已拒絕」報告 (又稱「拒絕記錄報告」) 會顯示因收件匣不存在而遭 Sophos Email 拒絕的郵件。
警告
若在 5 分鐘內從單一 IP 發現超過 1,000 封郵件,我們會暫時停止記錄來自該 IP 的郵件,並發出警示。您可於 警示 頁面查看該通知。
5 分鐘後將恢復正常記錄。
每封被拒郵件將顯示以下資訊:
- 日期:最近一次活動的時間
- 寄件者:寄件人電子郵件地址
- 寄件者 IP:寄件者的 IP 位址。
- 收件者:收件者的電子郵件地址
- 類型:郵件類型 (Gateway 或 Mailflow)
- 原因:拒絕原因,例如找不到收件匣。
注意
被拒的郵件無法從 Sophos Email 中釋出。若因硬退信 (例如「找不到信箱」或「550 5.1.1 User unknown」) 導致拒收,該郵件不會被隔離或保留,因此也無法重新傳送。
您可以將「已拒絕」報告儲存為自訂報告。按一下 儲存為自訂報告,即可使用 電子郵件拒絕報告 範本進行儲存。
如需更多關於報告儲存或排程的資訊,請參閱 電子郵件報告。