郵件記錄報告

郵件記錄報告可提供受保護信箱的電子郵件活動概覽。

前往 報告 > Email Security 日誌 > 郵件記錄。

具體方法

此報告會列出 Sophos Email 處理過的郵件，以及因找不到信箱而遭拒的郵件記錄。報告包含以下兩個索引標籤：

• 已處理：表示這些郵件已成功由 Sophos Email Security 處理。

  若您同時使用 Sophos Gateway 和 Sophos Mailflow 管理的網域，可按一下 類別 來選擇要查看哪一類型，或是查看全部郵件。

• 已拒絕：表示這些郵件因找不到信箱而遭拒絕處理。

您可以選擇要檢視的郵件處理或拒絕記錄的時間範圍。預設情況下，報告會顯示當天已處理或遭拒的郵件。若您變更日期範圍或套用篩選條件，請按一下重新整理圖示 以更新報告。

您只能查看過去 30 天內的 郵件記錄 報告。

EMS 模式

若您訂閱了 Sophos EMS，Sophos EMS 會掃描電子郵件的日誌副本，並不會攔截原始郵件。因此，在「郵件記錄」報告中所顯示的郵件狀態僅供報告參考，並不反映實際送達的郵件狀態。如需深入了解 Sophos EMS，請參閱 Sophos EMS (Email Monitoring System)。

「已處理」報告

「已處理」報告會顯示 Sophos Email 所處理的郵件。若一封郵件寄送給多位收件者，報告中也只會顯示一列紀錄。

每封已處理郵件的報告內容包括以下詳細資訊：

• 方向：內送或外寄。您可以按一下箭頭以排序各列資料。
• 寄件者：寄件者的電子郵件地址。
• 收件者：收件者的電子郵件地址。
• 類型：郵件類型 (Gateway 或 Mailflow)
• 主旨：按一下主旨可查看該郵件的 郵件詳細資料。
• 最新狀態：顯示該郵件的最新處理活動。請參閱 最新狀態。
• 日期：該郵件最近一次活動的日期。
• 種類：郵件所屬的分類。請參閱 類別。
• 子類別：郵件的更細部分類。

若郵件被判定為可疑，您可以將游標停留在 類別 欄位上，查看其被隔離或刪除的原因。

寄送給使用者的隔離摘要電子郵件不會出現在此報告中。

您可以將「已處理」報告排程為自訂報告。另存為自訂報告 可讓您使用「郵件記錄」範本，將 已處理 報告儲存至 報告 頁面中。

如需更多關於報告儲存或排程的資訊，請參閱 電子郵件報告。

最新狀態

最新狀態 欄位可能顯示以下幾種狀態：

• 已删除：郵件因內容或封鎖清單設定而被刪除。選取 已刪除 時，您可以查看刪除的 原因
• 已隔離：郵件因內容或封鎖清單設定而被判定為垃圾郵件並加以隔離。您可以前往 隔離郵件 頁面查看這些郵件。請參閱 隔離訊息。
• 退信：郵件被退回給寄件者，並附上無法遞送的原因。
• 重新導向：郵件未傳送至原本的收件者，而是重新導向至其他電子郵件地址。
• 處理中：郵件尚在處理中。此狀態適用於位於沙箱環境或佇列中的郵件。
• 已接受：郵件已成功接收，並正在由我們的系統處理中。
• 傳送成功：郵件已成功處理，並已進行傳送。
• 傳送失敗：系統多次嘗試傳送郵件但失敗，並且傳送請求已逾時。

• 傳送佇列中：初次傳送嘗試失敗，郵件已重新排入傳送佇列。

  我們會嘗試傳送內送郵件最多 5 天，嘗試傳送外寄郵寄最多 1 天。傳送失敗的可能原因包括：收件者的郵件伺服器離線，或無法正確解析收件者的 DNS 記錄。若郵件仍在佇列中處理，將顯示為 處理中。

• 加密處理中：郵件仍在進行 Push 加密處理中，或正在等待收件者設定密碼以完成 Push 加密郵件的傳送。

• 加密傳送完成：完成 Push 加密的郵件已成功傳送。
• 入口網站傳送完成：經由 Portal 加密的郵件已傳送至 Sophos Secure Message 入口網站。
• 已退回至 M365：Sophos Mailflow 處理的郵件已成功退回至 Microsoft 365。
• 排入退回 M365 的佇列：Sophos Mailflow 處理的郵件已排入佇列，準備退回至 Microsoft 365。
• 退回 M365 失敗：Sophos Mailflow 處理的郵件無法成功退回至 Microsoft 365。
• 成功回收：郵件在傳送至收件者後已成功回收並移至送達後的隔離區。
• 回收中：郵件回收程序已啟動。
• 回收失敗：郵件回收嘗試失敗。
• 回收已取消：回收請求已取消或解除，該郵件將不再進行回收。

類別

類別 與其子類別可能包含以下值：

• 即時封鎖：郵件在即時掃描階段被封鎖。

• 企業封鎖：郵件依據企業層級的安全性原則被封鎖。

  • 管理員封鎖：郵件依據管理員設定被封鎖。
  • 使用者封鎖：郵件依據使用者個別設定被封鎖。

• 惡意程式：郵件內含有惡意程式。

• 無法掃描：郵件無法進行威脅掃描。

  • 過多網址：郵件中含有異常數量的網址。

• Intelix 威脅：根據 Intelix 分析，郵件被標記為潛在威脅。

  • 惡意內容：郵件中含有惡意內容，或包含導向惡意內容的連結。
  • Intelix 無法掃描：Intelix 無法掃描該郵件。
  • 可疑內容：郵件被標記為可疑，但尚未確認為惡意。

• 網址/QR 碼：郵件中包含導向有害或不安全網站的網址或 QR 碼。

  • 惡意網址 (高風險)：該網址因來源信譽低，被判定為高風險。

  • 惡意網址 (犯罪相關)：該網址與犯罪活動或意圖有關聯。

    注意

    若郵件中含有網際網路觀察基金會 (Internet Watch Foundation) 所列的犯罪網址，我們依法必須刪除該郵件。同時，我們也依法不得在 Sophos Central 的任何地方 (包括郵件記錄) 顯示該連結。請參閱 IWF： 網址清單。

    我們會一律刪除包含這些郵件。不會依據您在 Email Security 原則中的設定進行處理。

  • QR 碼 (高風險)：該 QR 碼所連結的網站因信譽不佳而被判定為高風險。

  • QR 碼 (犯罪相關)：該 QR 碼所連結的網站與犯罪活動或意圖有關。
  • QR 碼 (安全)：該 QR 碼連結的網站通過所有安全檢查，未顯示任何惡意行為跡象。

• 冒充：該郵件假冒可信任的寄件者身分。

  • 品牌：郵件冒充知名品牌或機構。
  • 內部 VIP：郵件針對您組織內的重要人物發動攻擊。
  • 外部 VIP：郵件針對外部信任對象發動攻擊，例如供應商、客戶或合作夥伴。
  • 一般：郵件被視為冒充，但未明確對應至特定 VIP 或品牌。判斷依據為機器學習或反網路釣魚偵測技術。

  提示

  按一下被標記為「冒充」的郵件主旨，即可檢視詳細資訊。您可確認該郵件是否冒充內部或外部 VIP、多位 VIP，或是否觸發積極模式 (Aggressive Mode) 的標記。

• 垃圾郵件：郵件被標記為未經請求的大量郵件，亦稱垃圾郵件。

  • 疑似垃圾郵件 L<x>：郵件被判定為疑似垃圾郵件，並依等級 L1 至 L5 分類。如需了解各等級的判定標準，請參閱 反垃圾郵件。
  • 已確認：郵件包含已知且經驗證的垃圾郵件模式，因此被確認為垃圾郵件。
  • 不允許的國家/地區：郵件來自您政策中禁止的國家。
  • 不允許的語言：郵件內容包含您政策中禁止的語言。
  • BATV 驗證失敗：郵件未通過退信地址標記驗證 (BATV) 檢查，因為缺少有效的退信地址標記。此標記用於驗證退信是否為合法訊息。可能代表郵件的回信地址是偽造的，這在垃圾郵件或反彈攻擊中很常見。

• 大量郵件：郵件是發送給大量收件者的內容，例如電子報、郵件群組或其他已同意接收的郵件類型。

• 驗證失敗：郵件未通過 DMARC、SPF 或 DKIM 認證檢查。

  • DKIM：郵件未通過您政策中設定的 DKIM 驗證。
  • DMARC：郵件未通過您政策中設定的 DMARC 驗證。
  • SPF：郵件未通過您政策中設定的 SPF 驗證。
  • 標頭異常：郵件未通過標頭異常檢查，因為 FROM 位址與實際寄件者不符，或與信封中的 MAIL FROM 位址不同。這可能表示該郵件是冒名寄送的。
  • 網域異常：郵件未通過網域異常檢查，因為寄件網域不存在或設定不正確，且無有效的 MX 或 A 記錄。

• 資料控制：郵件觸發了資料控制原則中的規則，因此被標記。

  • Push 加密：郵件因觸發資料控制規則而以 Push 加密方式進行加密。
  • 入口網站加密：郵件因觸發資料控制規則而加密並儲存在 Sophos Secure Message 入口網站中。

• 安全郵件：郵件已加密，以確保機密性並保護敏感資料。

  • Push 加密：該郵件已依照您的 Secure Message 原則設定，使用 Push 加密 方式進行加密。
  • 入口網站加密：該郵件已依照您的 Secure Message 原則設定，加密並儲存在 Sophos 安全郵件入口網站中。
  • S/MIME：該郵件已依照您的 Secure Message 原則設定，使用 S/MIME 協定進行簽章或加密。
  • TLS v1.2：郵件依據 Secure Message 原則的設定，透過 TLS 1.2 加密方式安全傳送。
  • TLS v1.3：郵件依據 Secure Message 原則的設定，透過 TLS 1.3 加密方式安全傳送。

• 合法郵件：該郵件被判定為有效且可信任的郵件。

  • S/MIME：該郵件是以 S/MIME 通訊協定簽署或加密方式接收的。
  • Phish Threat 活動郵件：該郵件為網路釣魚攻擊活動的一部分。

如何搜尋

了解如何使用進階搜尋功能來篩選 郵件記錄 中的郵件。

進階搜尋

您可以在 郵件記錄 中使用 進階搜尋 功能，快速篩選並尋找特定郵件。

按一下 進階搜尋 以開始操作。

您可以設定多個搜尋條件。搜尋結果將僅顯示符合所有條件的郵件。

您可以依 方向、狀態 或 原因 進行篩選。

若您更改了日期範圍或篩選條件，請按一下重新整理 圖示以更新搜尋結果。

搜尋結果

在搜尋結果中，您選擇的條件會顯示在搜尋欄位中。您可以按一下個別條件，將其從搜尋中移除。搜尋結果會立即更新。

您可以按一下方向箭頭，限制搜尋結果只顯示內送或外送郵件：向下箭頭表示內送郵件，向上箭頭表示外寄郵件。按一下方向箭頭後，搜尋結果會立即更新。

郵件詳細資訊

若要檢視 郵件詳細資訊，請按一下郵件的 主旨

您可以按一下下列索引標籤，檢視郵件的詳細資訊：

• 詳細資料 顯示郵件的一般資訊及事件記錄。記錄將按照 收件者 分類。
• 原始標頭 顯示標頭的詳細內容。
• 附件 顯示附件的名稱和大小。

• 網址 顯示郵件中包含的所有網址。

  附件大小的計算依據 MIME 編碼後的大小，而非實際檔案大小。因此顯示的附件大小通常會大於原始檔案的大小。請參閱 計算電子郵件附件檔案大小。

對於內送與外寄的垃圾郵件，依據 Sophos 分析結果，您會看到 回報威脅 或 回報為安全 選項。按一下這些選項可將郵件送交 SophosLabs，協助我們改善垃圾郵件偵測。

封鎖

在 郵件記錄 中，您可以按一下想要封鎖的郵件主旨，然後檢視該郵件的詳細資訊。接著，在 SMTP 寄件者 下方按一下 封鎖，並選擇 封鎖寄件者 或 封鎖寄件者網域，將該寄件者的電子郵件地址或網域新增至您的封鎖清單。

您也可以在 IP 位址 下方按一下 封鎖 IP 位址，將該 IP 加入封鎖清單。或者，您可以直接透過 內送允許/封鎖清單，新增電子郵件地址與網域。

您可以在封鎖電子郵件地址、網域或 IP 位址時新增說明，以記錄封鎖原因，例如：「因垃圾郵件而封鎖」。您可以稍後在 內送允許/封鎖清單 中檢視與編輯這些說明。

如需更多資訊，請參閱 入埠允許/攔截。

還原已删除的郵件

當外寄郵件被標記為垃圾郵件時，會遭到刪除。這是因為若 Sophos Email 所使用的傳送 IP 被判定為垃圾郵件來源，將會降低該 IP 的信譽，影響整體郵件傳遞品質。若超級管理員想檢查被刪除的郵件是否為誤判，可將郵件還原並隔離，以便進一步分析。此功能適用於內送與外寄郵件。

您可以透過 郵件記錄 還原已刪除的郵件並將其送往隔離區。以下是唯一可以還原並重新隔離的已刪除郵件類型：

• 內送郵件被標記為惡意程式：

  • 病毒
  • Intelix 威脅 (無法掃描)
  • Intelix 威脅 (惡意內容)

• 外寄郵件被標記為垃圾郵件

請按一下郵件主旨以檢視詳細內容，然後點選 已刪除 開始還原程序。您可以選擇 還原給所有收件者，然後按一下 還原。

將郵件還原至隔離區可能需要幾分鐘時間。當郵件被還原至隔離區後，您必須透過例如提交郵件至 Intelix 掃描等方式，對該郵件進行徹底評估。您可以下載附件以檢查是否存在惡意內容。您可以閱讀郵件內容以判斷是否為垃圾郵件。請參閱 隔離訊息。

釋出誤判為垃圾郵件的 外送郵件 可能會損害 Sophos Email 傳送 IP 的信譽，導致所有客戶的郵件傳遞延遲或被拒收。因此，Sophos 對於刪除的外送垃圾郵件設有每小時還原上限：每小時最多可還原 5 封郵件 (每封郵件可能有一位或多位收件者)。

您可以觀看下方影片，了解如何還原已刪除的郵件至隔離區，並將使用者的隔離區設定為唯讀模式。

疑似垃圾郵件

內送郵件會經過垃圾郵件掃描，並根據掃描結果分類。當 Sophos Central 偵測到可疑郵件時，會標記為「Suspected」(疑似) 並加註垃圾郵件等級。

Sophos Central 會根據等級對疑似垃圾郵件進行分類。例如，若郵件被判定為 L3 等級垃圾郵件，則會在 郵件記錄 中顯示為「Suspected L3」。

執行的動作將取決於您在滑桿上的設定。例如，若您將滑桿設為 L3，並設定動作為「隔離」。在這種情況下，則 L1 至 L3 等級的疑似垃圾郵件將被隔離，L4 至 L5 等級的郵件則會傳送給收件者。

您可以依據垃圾郵件等級篩選郵件，也可以按一下郵件的主旨，以檢視更多詳細資訊及其疑似垃圾郵件等級。您透過攔截率滑桿所設定的疑似垃圾郵件等級會顯示在 原因 欄位，而由 Sophos Central 驗證的疑似垃圾郵件等級則會顯示在 子類別 欄位。

多個收件者

如果一封郵件發送給多位收件人，在 詳細資料 中您可以執行下列操作：

• 捲動檢視 SMTP 收件者 與 標頭收件者。
• 您可以查看包含各收件者最新傳遞狀態的清單。也可以依收件人電子郵件地址或網域搜尋事件。可展開郵件可查看其所有相關事件。
• 按一下 狀態摘要 下的連結即可篩選郵件。

隨選收回

您可以手動從收件人的 M365 信箱中收回被判定為不當的郵件，並移至事後隔離區。

此功能適用於個別收件者、電子郵件別名與群組通訊清單。成功收回後，對於群組通訊清單，狀態仍會顯示為「已啟動收回」。

進行收回之前，請注意下列事項：

• 僅能收回已傳送至已啟用事後保護的 M365 網域信箱的郵件。
• 從 M365 收件匣收回郵件最多可能需要 10 分鐘。
• 已從事後隔離區釋出的郵件無法再次收回。

您可以在回報郵件至 SophosLabs 時同時執行收回。收回程序會在您將郵件提交給 SophosLabs 後開始，前提是該郵件已成功傳送至受支援的 M365 信箱。

若選擇收回原因，將觸發發送偵測通知至 MDR。原因會顯示在 威脅分析中心 中 偵測規則 欄位的附加字串。

成功收回後，郵件會被隔離。您可以在事後隔離清單中檢查這些郵件，若確認為非惡意或合法郵件，可予以釋出。請參閱 隔離訊息。

您也可以透過 clawback API 從收件者信箱收回郵件。如需更多資訊，請參閱 電子郵件管理 API。

您可以使用以下方法執行隨需回收。

在郵件記錄中收回郵件

您可以直接從 郵件記錄 頁面收回郵件。

若要執行此動作，請依照以下步驟操作。

1. 在 Sophos Central 中，前往 報告 > Email Security 日誌 > 郵件記錄。

2. 選取您想要收回的郵件。最多可選取 100 封郵件。

   提示

   • 您可以使用 進階搜尋 來縮小郵件選取範圍，
   • 並使用上下箭頭旁的核取方塊選取目前頁面上的所有郵件。確認您僅查看內送郵件，因為僅有這些郵件可被收回。
   • 建議篩選顯示已傳遞的郵件，因為只有成功傳遞的郵件才能收回。

3. 按一下 啟動收回。

   系統會顯示 收回郵件 對話方塊。

4. (可選) 從以下選項中選擇收回所選郵件的原因：

   • 垃圾郵件
   • 惡意郵件
   • 網路釣魚郵件
   • 不需要的郵件

5. (可選) 如果您選擇了 垃圾郵件、惡意郵件或 網路釣魚郵件，您可以勾選 向 SophosLabs 報告這些郵件 來將郵件回報給 SophosLabs。

   這有助於我們提升威脅偵測的能力。

6. 按一下 確認，將選取的郵件從 M365 信箱收回。

在「郵件詳細資料」中收回郵件

您也可以從郵件的詳細資料頁面執行收回。

若要執行此動作，請依照以下步驟操作。

1. 在 Sophos Central 中，前往 報告 > Email Security 日誌 > 郵件記錄。
2. 按一下您要收回的郵件主旨以查看其詳細資料。
3. 按一下 啟動收回。
4. 選擇您要從其信箱收回郵件的收件者。

5. 從以下選項中選擇收回所選郵件的原因：

   • 垃圾郵件
   • 惡意郵件
   • 網路釣魚郵件
   • 不需要的郵件

6. (可選) 如果您選擇了 垃圾郵件、惡意郵件或 網路釣魚郵件，您可以勾選 向 SophosLabs 報告這些郵件 來將郵件回報給 SophosLabs。

   這有助於我們提升威脅偵測的能力。

7. (選用) 按一下 檢視報告 以查看收回郵件的事後報告。請參閱 傳遞後摘要報告。

8. 按一下 收回，從選定收件者的 M365 信箱中收回郵件。

「已拒絕」報告

「已拒絕」報告 (又稱「拒絕記錄報告」) 會顯示因收件匣不存在而遭 Sophos Email 拒絕的郵件。

每封被拒郵件將顯示以下資訊：

• 日期：最近一次活動的時間
• 寄件者：寄件人電子郵件地址
• 寄件者 IP：寄件者的 IP 位址。
• 收件者：收件者的電子郵件地址
• 類型：郵件類型 (Gateway 或 Mailflow)
• 原因：拒絕原因，例如找不到收件匣。

您可以將「已拒絕」報告儲存為自訂報告。按一下 儲存為自訂報告，即可使用 電子郵件拒絕報告 範本進行儲存。

如需更多關於報告儲存或排程的資訊，請參閱 電子郵件報告。