跳至內容

郵件記錄報告

此選項僅在您的授權包含 Sophos Email 時可用。

郵件記錄報告可提供受保護信箱的電子郵件活動概覽。

前往 報告 > Email Security 日誌 > 郵件記錄

具體方法

此報告會列出 Sophos Email 處理過的郵件,以及因找不到信箱而遭拒的郵件記錄。報告包含以下兩個索引標籤:

  • 已處理:表示這些郵件已成功由 Sophos Email Security 處理。

    若您同時使用 Sophos Gateway 和 Sophos Mailflow 管理的網域,可按一下 類別 來選擇要查看哪一類型,或是查看全部郵件。

  • 已拒絕:表示這些郵件因找不到信箱而遭拒絕處理。

您可以選擇要檢視的郵件處理或拒絕記錄的時間範圍。預設情況下,報告會顯示當天已處理或遭拒的郵件。若您變更日期範圍或套用篩選條件,請按一下重新整理圖示 「重新整理」圖示。 以更新報告。

您只能查看過去 30 天內的 郵件記錄 報告。

EMS 模式

若您訂閱了 Sophos EMS,Sophos EMS 會掃描電子郵件的日誌副本,並不會攔截原始郵件。因此,在「郵件記錄」報告中所顯示的郵件狀態僅供報告參考,並不反映實際送達的郵件狀態。如需深入了解 Sophos EMS,請參閱 Sophos EMS (Email Monitoring System)

「已處理」報告

「已處理」報告會顯示 Sophos Email 所處理的郵件。若一封郵件寄送給多位收件者,報告中也只會顯示一列紀錄。

每封已處理郵件的報告內容包括以下詳細資訊:

  • 方向:內送或外寄。您可以按一下箭頭以排序各列資料。
  • 寄件者:寄件者的電子郵件地址。
  • 收件者:收件者的電子郵件地址。
  • 類型:郵件類型 (Gateway 或 Mailflow)
  • 主旨:按一下主旨可查看該郵件的 郵件詳細資料
  • 最新狀態:顯示該郵件的最新處理活動。請參閱 最新狀態
  • 日期:該郵件最近一次活動的日期。
  • 種類:郵件所屬的分類。請參閱 類別
  • 子類別:郵件的更細部分類。

若郵件被判定為可疑,您可以將游標停留在 類別 欄位上,查看其被隔離或刪除的原因。

寄送給使用者的隔離摘要電子郵件不會出現在此報告中。

注意

郵件是否被隔離或刪除,取決於您所設定的垃圾郵件防護政策。請參閱 電子郵件安全性原則

您可以將「已處理」報告排程為自訂報告。另存為自訂報告 可讓您使用「郵件記錄」範本,將 已處理 報告儲存至 報告 頁面中。

如需更多關於報告儲存或排程的資訊,請參閱 電子郵件報告

最新狀態

最新狀態 欄位可能顯示以下幾種狀態:

  • 已删除:郵件因內容或封鎖清單設定而被刪除。選取 已刪除 時,您可以查看刪除的 原因
  • 已隔離:郵件因內容或封鎖清單設定而被判定為垃圾郵件並加以隔離。您可以前往 隔離郵件 頁面查看這些郵件。請參閱 隔離訊息
  • 退信:郵件被退回給寄件者,並附上無法遞送的原因。
  • 重新導向:郵件未傳送至原本的收件者,而是重新導向至其他電子郵件地址。
  • 處理中:郵件尚在處理中。此狀態適用於位於沙箱環境或佇列中的郵件。
  • 已接受:郵件已成功接收,並正在由我們的系統處理中。
  • 傳送成功:郵件已成功處理,並已進行傳送。
  • 傳送失敗:系統多次嘗試傳送郵件但失敗,並且傳送請求已逾時。
  • 傳送佇列中:初次傳送嘗試失敗,郵件已重新排入傳送佇列。

    我們會嘗試傳送內送郵件最多 5 天,嘗試傳送外寄郵寄最多 1 天。傳送失敗的可能原因包括:收件者的郵件伺服器離線,或無法正確解析收件者的 DNS 記錄。若郵件仍在佇列中處理,將顯示為 處理中

  • 加密處理中:郵件仍在進行 Push 加密處理中,或正在等待收件者設定密碼以完成 Push 加密郵件的傳送。

  • 加密傳送完成:完成 Push 加密的郵件已成功傳送。
  • 入口網站傳送完成:經由 Portal 加密的郵件已傳送至 Sophos Secure Message 入口網站。
  • 已退回至 M365:Sophos Mailflow 處理的郵件已成功退回至 Microsoft 365。
  • 排入退回 M365 的佇列:Sophos Mailflow 處理的郵件已排入佇列,準備退回至 Microsoft 365。
  • 退回 M365 失敗:Sophos Mailflow 處理的郵件無法成功退回至 Microsoft 365。
  • 成功回收:郵件在傳送至收件者後已成功回收並移至送達後的隔離區。
  • 回收中:郵件回收程序已啟動。
  • 回收失敗:郵件回收嘗試失敗。
  • 回收已取消:回收請求已取消或解除,該郵件將不再進行回收。

類別

類別 與其子類別可能包含以下值:

  • 即時封鎖:郵件在即時掃描階段被封鎖。
  • 企業封鎖:郵件依據企業層級的安全性原則被封鎖。

    • 管理員封鎖:郵件依據管理員設定被封鎖。
    • 使用者封鎖:郵件依據使用者個別設定被封鎖。
  • 惡意程式:郵件內含有惡意程式。

  • 無法掃描:郵件無法進行威脅掃描。

    • 過多網址:郵件中含有異常數量的網址。
  • Intelix 威脅:根據 Intelix 分析,郵件被標記為潛在威脅。

    • 惡意內容:郵件中含有惡意內容,或包含導向惡意內容的連結。
    • Intelix 無法掃描:Intelix 無法掃描該郵件。
    • 可疑內容:郵件被標記為可疑,但尚未確認為惡意。
  • 網址/QR 碼:郵件中包含導向有害或不安全網站的網址或 QR 碼。

    • 惡意網址 (高風險):該網址因來源信譽低,被判定為高風險。
    • 惡意網址 (犯罪相關):該網址與犯罪活動或意圖有關聯。

      注意

      若郵件中含有網際網路觀察基金會 (Internet Watch Foundation) 所列的犯罪網址,我們依法必須刪除該郵件。同時,我們也依法不得在 Sophos Central 的任何地方 (包括郵件記錄) 顯示該連結。請參閱 IWF: 網址清單

      我們會一律刪除包含這些郵件。不會依據您在 Email Security 原則中的設定進行處理。

    • QR 碼 (高風險):該 QR 碼所連結的網站因信譽不佳而被判定為高風險。

    • QR 碼 (犯罪相關):該 QR 碼所連結的網站與犯罪活動或意圖有關。
    • QR 碼 (安全):該 QR 碼連結的網站通過所有安全檢查,未顯示任何惡意行為跡象。
  • 冒充:該郵件假冒可信任的寄件者身分。

    • 品牌:郵件冒充知名品牌或機構。
    • 內部 VIP:郵件針對您組織內的重要人物發動攻擊。
    • 外部 VIP:郵件針對外部信任對象發動攻擊,例如供應商、客戶或合作夥伴。
    • 一般:郵件被視為冒充,但未明確對應至特定 VIP 或品牌。判斷依據為機器學習或反網路釣魚偵測技術。

    提示

    按一下被標記為「冒充」的郵件主旨,即可檢視詳細資訊。您可確認該郵件是否冒充內部或外部 VIP、多位 VIP,或是否觸發積極模式 (Aggressive Mode) 的標記。

  • 垃圾郵件:郵件被標記為未經請求的大量郵件,亦稱垃圾郵件。

    • 疑似垃圾郵件 L<x>:郵件被判定為疑似垃圾郵件,並依等級 L1 至 L5 分類。如需了解各等級的判定標準,請參閱 反垃圾郵件
    • 已確認:郵件包含已知且經驗證的垃圾郵件模式,因此被確認為垃圾郵件。
    • 不允許的國家/地區:郵件來自您政策中禁止的國家。
    • 不允許的語言:郵件內容包含您政策中禁止的語言。
    • BATV 驗證失敗:郵件未通過退信地址標記驗證 (BATV) 檢查,因為缺少有效的退信地址標記。此標記用於驗證退信是否為合法訊息。可能代表郵件的回信地址是偽造的,這在垃圾郵件或反彈攻擊中很常見。
  • 大量郵件:郵件是發送給大量收件者的內容,例如電子報、郵件群組或其他已同意接收的郵件類型。

  • 驗證失敗:郵件未通過 DMARC、SPF 或 DKIM 認證檢查。

    • DKIM:郵件未通過您政策中設定的 DKIM 驗證。
    • DMARC:郵件未通過您政策中設定的 DMARC 驗證。
    • SPF:郵件未通過您政策中設定的 SPF 驗證。
    • 標頭異常:郵件未通過標頭異常檢查,因為 FROM 位址與實際寄件者不符,或與信封中的 MAIL FROM 位址不同。這可能表示該郵件是冒名寄送的。
    • 網域異常:郵件未通過網域異常檢查,因為寄件網域不存在或設定不正確,且無有效的 MX 或 A 記錄。
  • 資料控制:郵件觸發了資料控制原則中的規則,因此被標記。

    • Push 加密:郵件因觸發資料控制規則而以 Push 加密方式進行加密。
    • 入口網站加密:郵件因觸發資料控制規則而加密並儲存在 Sophos Secure Message 入口網站中。
  • 安全郵件:郵件已加密,以確保機密性並保護敏感資料。

    • Push 加密:該郵件已依照您的 Secure Message 原則設定,使用 Push 加密 方式進行加密。
    • 入口網站加密:該郵件已依照您的 Secure Message 原則設定,加密並儲存在 Sophos 安全郵件入口網站中。
    • S/MIME:該郵件已依照您的 Secure Message 原則設定,使用 S/MIME 協定進行簽章或加密。
    • TLS v1.2:郵件依據 Secure Message 原則的設定,透過 TLS 1.2 加密方式安全傳送。
    • TLS v1.3:郵件依據 Secure Message 原則的設定,透過 TLS 1.3 加密方式安全傳送。
  • 合法郵件:該郵件被判定為有效且可信任的郵件。

    • S/MIME:該郵件是以 S/MIME 通訊協定簽署或加密方式接收的。
    • Phish Threat 活動郵件:該郵件為網路釣魚攻擊活動的一部分。

如何搜尋

了解如何使用進階搜尋功能來篩選 郵件記錄 中的郵件。

您可以在 郵件記錄 中使用 進階搜尋 功能,快速篩選並尋找特定郵件。

按一下 進階搜尋 以開始操作。

「已處理」與「已拒絕」郵件的搜尋欄位可能有所不同。

您可以依照以下搜尋欄位篩選郵件:

  • 寄件者:寄件者。支援部分字串比對。不區分大小寫。
  • 收件者:收件者。支援部分字串比對。不區分大小寫。
  • 主旨:支援部分字串比對。不區分大小寫。按一下郵件主旨可檢視詳細內容。請參閱 郵件詳細資訊
  • 郵件大小:大於或小於指定的 MB 數量。此為郵件的 MIME 大小,可能大於實際檔案的原始大小。請參閱 計算電子郵件附件檔案大小
  • 附件:附件類型。支援部分字串比對。
  • DSN 代碼:選取一個傳遞狀態通知(DSN)代碼。

    您可以輸入完整的 DSN 代碼,或選擇以下其中一個選項:

    • 2.*.*:傳遞成功
    • 4.*.*:暫時性錯誤
    • 5.*.*:永久性錯誤

注意

  • 在分析郵件的寄件者與收件者時,我們使用的是 SMTP 信封的寄件者與收件者地址,而非郵件標頭中的「From」與「To」。
  • 在搜尋欄位中輸入的搜尋條件會自動忽略特殊字元,包括句點、逗號、井字號 #、符號、重音符號、ASCII 控制字元及格式控制字元。

您可以依照以下搜尋欄位篩選郵件:

  • 寄件者:寄件者。支援部分字串比對。不區分大小寫。
  • 收件者:收件者。支援部分字串比對。不區分大小寫。
  • 寄件者 IP:寄件者的 IP 位址。支援部分 IP 位址比對。

您可以設定多個搜尋條件。搜尋結果將僅顯示符合所有條件的郵件。

您可以依 方向狀態原因 進行篩選。

若您更改了日期範圍或篩選條件,請按一下重新整理 「重新整理」圖示。 圖示以更新搜尋結果。

搜尋結果

在搜尋結果中,您選擇的條件會顯示在搜尋欄位中。您可以按一下個別條件,將其從搜尋中移除。搜尋結果會立即更新。

您可以按一下方向箭頭,限制搜尋結果只顯示內送或外送郵件:向下箭頭表示內送郵件,向上箭頭表示外寄郵件。按一下方向箭頭後,搜尋結果會立即更新。

郵件詳細資訊

若要檢視 郵件詳細資訊,請按一下郵件的 主旨

「URLs」索引標籤屬於進階搜尋功能,部分使用者可能尚未開放使用。

您可以按一下下列索引標籤,檢視郵件的詳細資訊:

  • 詳細資料 顯示郵件的一般資訊及事件記錄。記錄將按照 收件者 分類。
  • 原始標頭 顯示標頭的詳細內容。
  • 附件 顯示附件的名稱和大小。
  • 網址 顯示郵件中包含的所有網址。

    附件大小的計算依據 MIME 編碼後的大小,而非實際檔案大小。因此顯示的附件大小通常會大於原始檔案的大小。請參閱 計算電子郵件附件檔案大小

對於內送與外寄的垃圾郵件,依據 Sophos 分析結果,您會看到 回報威脅回報為安全 選項。按一下這些選項可將郵件送交 SophosLabs,協助我們改善垃圾郵件偵測。

封鎖

郵件記錄 中,您可以按一下想要封鎖的郵件主旨,然後檢視該郵件的詳細資訊。接著,在 SMTP 寄件者 下方按一下 封鎖,並選擇 封鎖寄件者封鎖寄件者網域,將該寄件者的電子郵件地址或網域新增至您的封鎖清單。

您也可以在 IP 位址 下方按一下 封鎖 IP 位址,將該 IP 加入封鎖清單。或者,您可以直接透過 內送允許/封鎖清單,新增電子郵件地址與網域。

警告

封鎖 IP 位址時請特別小心。您可能會不小心封鎖整個服務。例如,若封鎖 Microsoft 365 使用的 IP,您將無法收到任何 Microsoft 365 使用者寄出的郵件。

您可以在封鎖電子郵件地址、網域或 IP 位址時新增說明,以記錄封鎖原因,例如:「因垃圾郵件而封鎖」。您可以稍後在 內送允許/封鎖清單 中檢視與編輯這些說明。

如需更多資訊,請參閱 入埠允許/攔截

還原已删除的郵件

您必須是超級管理員 (Super Admin) 才能執行此操作。

當外寄郵件被標記為垃圾郵件時,會遭到刪除。這是因為若 Sophos Email 所使用的傳送 IP 被判定為垃圾郵件來源,將會降低該 IP 的信譽,影響整體郵件傳遞品質。若超級管理員想檢查被刪除的郵件是否為誤判,可將郵件還原並隔離,以便進一步分析。此功能適用於內送與外寄郵件。

您可以透過 郵件記錄 還原已刪除的郵件並將其送往隔離區。以下是唯一可以還原並重新隔離的已刪除郵件類型:

  • 內送郵件被標記為惡意程式:

    • 病毒
    • Intelix 威脅 (無法掃描)
    • Intelix 威脅 (惡意內容)
  • 外寄郵件被標記為垃圾郵件

請按一下郵件主旨以檢視詳細內容,然後點選 已刪除 開始還原程序。您可以選擇 還原給所有收件者,然後按一下 還原

注意

被還原至隔離區的郵件必須經過完整評估後才能釋出,以確保不會危及收件者的安全。

將郵件還原至隔離區可能需要幾分鐘時間。當郵件被還原至隔離區後,您必須透過例如提交郵件至 Intelix 掃描等方式,對該郵件進行徹底評估。您可以下載附件以檢查是否存在惡意內容。您可以閱讀郵件內容以判斷是否為垃圾郵件。請參閱 隔離訊息

釋出誤判為垃圾郵件的 外送郵件 可能會損害 Sophos Email 傳送 IP 的信譽,導致所有客戶的郵件傳遞延遲或被拒收。因此,Sophos 對於刪除的外送垃圾郵件設有每小時還原上限:每小時最多可還原 5 封郵件 (每封郵件可能有一位或多位收件者)。

您可以觀看下方影片,了解如何還原已刪除的郵件至隔離區,並將使用者的隔離區設定為唯讀模式。

疑似垃圾郵件

內送郵件會經過垃圾郵件掃描,並根據掃描結果分類。當 Sophos Central 偵測到可疑郵件時,會標記為「Suspected」(疑似) 並加註垃圾郵件等級。

Sophos Central 會根據等級對疑似垃圾郵件進行分類。例如,若郵件被判定為 L3 等級垃圾郵件,則會在 郵件記錄 中顯示為「Suspected L3」。

執行的動作將取決於您在滑桿上的設定。例如,若您將滑桿設為 L3,並設定動作為「隔離」。在這種情況下,則 L1 至 L3 等級的疑似垃圾郵件將被隔離,L4 至 L5 等級的郵件則會傳送給收件者。

您可以依據垃圾郵件等級篩選郵件,也可以按一下郵件的主旨,以檢視更多詳細資訊及其疑似垃圾郵件等級。您透過攔截率滑桿所設定的疑似垃圾郵件等級會顯示在 原因 欄位,而由 Sophos Central 驗證的疑似垃圾郵件等級則會顯示在 子類別 欄位。

多個收件者

如果一封郵件發送給多位收件人,在 詳細資料 中您可以執行下列操作:

  • 捲動檢視 SMTP 收件者標頭收件者
  • 您可以查看包含各收件者最新傳遞狀態的清單。也可以依收件人電子郵件地址或網域搜尋事件。可展開郵件可查看其所有相關事件。
  • 按一下 狀態摘要 下的連結即可篩選郵件。

隨選收回

您可以手動從收件人的 M365 信箱中收回被判定為不當的郵件,並移至事後隔離區。

此功能適用於個別收件者、電子郵件別名與群組通訊清單。成功收回後,對於群組通訊清單,狀態仍會顯示為「已啟動收回」。

進行收回之前,請注意下列事項:

  • 僅能收回已傳送至已啟用事後保護的 M365 網域信箱的郵件。
  • 從 M365 收件匣收回郵件最多可能需要 10 分鐘。
  • 已從事後隔離區釋出的郵件無法再次收回。

您可以在回報郵件至 SophosLabs 時同時執行收回。收回程序會在您將郵件提交給 SophosLabs 後開始,前提是該郵件已成功傳送至受支援的 M365 信箱。

若選擇收回原因,將觸發發送偵測通知至 MDR。原因會顯示在 威脅分析中心偵測規則 欄位的附加字串。

成功收回後,郵件會被隔離。您可以在事後隔離清單中檢查這些郵件,若確認為非惡意或合法郵件,可予以釋出。請參閱 隔離訊息

您也可以透過 clawback API 從收件者信箱收回郵件。如需更多資訊,請參閱 電子郵件管理 API

您可以使用以下方法執行隨需回收。

在郵件記錄中收回郵件

您可以直接從 郵件記錄 頁面收回郵件。

若要執行此動作,請依照以下步驟操作。

  1. 在 Sophos Central 中,前往 報告 > Email Security 日誌 > 郵件記錄
  2. 選取您想要收回的郵件。最多可選取 100 封郵件。

    提示

    • 您可以使用 進階搜尋 來縮小郵件選取範圍,
    • 並使用上下箭頭旁的核取方塊選取目前頁面上的所有郵件。確認您僅查看內送郵件,因為僅有這些郵件可被收回。
    • 建議篩選顯示已傳遞的郵件,因為只有成功傳遞的郵件才能收回。
  3. 按一下 啟動收回

    系統會顯示 收回郵件 對話方塊。

  4. (可選) 從以下選項中選擇收回所選郵件的原因:

    • 垃圾郵件
    • 惡意郵件
    • 網路釣魚郵件
    • 不需要的郵件
  5. (可選) 如果您選擇了 垃圾郵件惡意郵件網路釣魚郵件,您可以勾選 向 SophosLabs 報告這些郵件 來將郵件回報給 SophosLabs。

    這有助於我們提升威脅偵測的能力。

  6. 按一下 確認,將選取的郵件從 M365 信箱收回。

在「郵件詳細資料」中收回郵件

您也可以從郵件的詳細資料頁面執行收回。

若要執行此動作,請依照以下步驟操作。

  1. 在 Sophos Central 中,前往 報告 > Email Security 日誌 > 郵件記錄
  2. 按一下您要收回的郵件主旨以查看其詳細資料。
  3. 按一下 啟動收回
  4. 選擇您要從其信箱收回郵件的收件者。
  5. 從以下選項中選擇收回所選郵件的原因:

    • 垃圾郵件
    • 惡意郵件
    • 網路釣魚郵件
    • 不需要的郵件
  6. (可選) 如果您選擇了 垃圾郵件惡意郵件網路釣魚郵件,您可以勾選 向 SophosLabs 報告這些郵件 來將郵件回報給 SophosLabs。

    這有助於我們提升威脅偵測的能力。

  7. (選用) 按一下 檢視報告 以查看收回郵件的事後報告。請參閱 傳遞後摘要報告

  8. 按一下 收回,從選定收件者的 M365 信箱中收回郵件。

「已拒絕」報告

「已拒絕」報告 (又稱「拒絕記錄報告」) 會顯示因收件匣不存在而遭 Sophos Email 拒絕的郵件。

警告

若在 5 分鐘內從單一 IP 發現超過 1,000 封郵件,我們會暫時停止記錄來自該 IP 的郵件,並發出警示。您可於 警示 頁面查看該通知。

5 分鐘後將恢復正常記錄。

每封被拒郵件將顯示以下資訊:

  • 日期:最近一次活動的時間
  • 寄件者:寄件人電子郵件地址
  • 寄件者 IP:寄件者的 IP 位址。
  • 收件者:收件者的電子郵件地址
  • 類型:郵件類型 (Gateway 或 Mailflow)
  • 原因:拒絕原因,例如找不到收件匣。

注意

被拒的郵件無法從 Sophos Email 中釋出。若因硬退信 (例如「找不到信箱」或「550 5.1.1 User unknown」) 導致拒收,該郵件不會被隔離或保留,因此也無法重新傳送。

您可以將「已拒絕」報告儲存為自訂報告。按一下 儲存為自訂報告,即可使用 電子郵件拒絕報告 範本進行儲存。

如需更多關於報告儲存或排程的資訊,請參閱 電子郵件報告