Seguimiento de mensajes en el EAC moderno de Exchange Online (2023)

Artículo
01/27/2023
Tiempo de lectura: 20 minutos

El seguimiento de mensajes en el centro de administración moderno de Exchange (EAC moderno) sigue los mensajes de correo electrónico a medida que viajan a través de la organización Exchange Online. Puede determinar si el servicio recibió, rechazó, aplazó o entregó un mensaje. También muestra qué acciones se realizaron en el mensaje antes de que alcanzara su estado final.

El seguimiento de mensajes en el EAC moderno mejora el seguimiento de mensajes original que estaba disponible en el Centro de administración de Exchange clásico (EAC clásico). Puede usar la información del seguimiento de mensajes para responder de forma eficaz a las preguntas del usuario sobre lo que ha ocurrido con los mensajes, solucionar problemas de flujo de correo y validar los cambios de directiva.

¿Qué necesita saber antes de empezar?

Para ejecutar un seguimiento de mensajes, debe ser miembro de uno de los siguientes grupos de roles:
- Administrador global
- Administrador de Exchange
Para obtener más información, vea Administrar grupos de roles en Exchange Online y Permisos en Exchange Online.
El número máximo de mensajes que se muestran en los resultados depende del tipo de informe seleccionado (consulte la sección Elegir tipo de informe para obtener más información). El cmdlet Get-HistoricalSearch en Exchange Online PowerShell o PowerShell EOP independiente devuelve todos los mensajes de los resultados.

Abrir seguimiento de mensajes

Abra el EAC moderno en https://admin.exchange.microsoft.com, expanda Flujo de correo y, a continuación, seleccione Seguimiento de mensajes.

Para ir directamente al seguimiento de mensajes, abra https://admin.exchange.microsoft.com/#/messagetrace

Página de seguimiento de mensajes

Desde aquí, puede iniciar un nuevo seguimiento predeterminado haciendo clic en Iniciar un seguimiento. Esta opción desencadenará una búsqueda de todos los mensajes de todos los remitentes y destinatarios de los últimos dos días. También puede usar una de las consultas almacenadas de las categorías de consulta disponibles y ejecutarlas tal cual o usarlas como puntos de partida para sus propias consultas:

Consultas predeterminadas: consultas integradas proporcionadas por Microsoft 365.
Consultas personalizadas: consultas guardadas por los administradores de la organización para su uso futuro.
Consultas guardadas automáticamente: las últimas 10 consultas ejecutadas más recientemente. Esta lista facilita la selección de dónde lo dejó.

También en esta página hay una sección de informes descargables para las solicitudes que ha enviado y los propios informes cuando están disponibles para su descarga.

Opciones para un nuevo seguimiento de mensajes

Filtrar por remitentes y destinatarios

Los valores predeterminados son Todos para remitentes y Todos para destinatarios, pero puede usar esos campos para filtrar los resultados:

Remitentes: haga clic en este cuadro y empiece a escribir para escribir o seleccionar uno o varios remitentes de su organización.
Destinatarios: haga clic en este cuadro y empiece a escribir para escribir o seleccionar un destinatario más en su organización.

Nota:

También puede escribir las direcciones de correo electrónico de remitentes y destinatarios externos. Se admiten caracteres comodín (por ejemplo, *@contoso.com), pero no se pueden usar varias entradas comodín en el mismo campo al mismo tiempo.
Puede pegar varias listas de remitentes o destinatarios separados por punto y coma (;). spaces (\s), retornos de carro (\r) o líneas siguientes (\n).

Intervalo de tiempo

El valor predeterminado es 2 días, pero puede especificar intervalos de fecha y hora de hasta 90 días. Cuando use intervalos de fecha y hora, tenga en cuenta estos problemas:

De forma predeterminada, selecciona el intervalo de tiempo en la vista Control deslizante mediante una línea de tiempo.
Sin embargo, también puede cambiar a la vista Intervalo de tiempo personalizado , donde puede especificar los valores Fecha de inicio y Fecha de finalización (incluidas las horas), y también puede seleccionar la zona horaria para el intervalo de fecha y hora. La configuración de zona horaria se aplica tanto a las entradas de consulta como a los resultados de la consulta.
Durante 10 días o menos, los resultados están disponibles al instante como un informe de resumen . Si especifica un intervalo de tiempo que es incluso ligeramente mayor que 10 días, los resultados se retrasarán, ya que solo están disponibles como un archivo CSV descargable ( resumen mejorado o informes extendidos ).
Para obtener más información sobre los distintos tipos de informe, vea la sección Elegir tipo de informe de este tema.

Nota:

Los informes mejorados de resumen y extendidos se preparan mediante datos de seguimiento de mensajes archivados y pueden tardar hasta varias horas antes de que el informe esté disponible para su descarga. Dependiendo de cuántos otros administradores también han enviado solicitudes de informe aproximadamente al mismo tiempo, también puede observar un retraso antes de que se inicie el procesamiento de la solicitud en cola.
Al guardar una consulta en la vista Control deslizante , se guarda el intervalo de tiempo relativo (por ejemplo, 3 días a partir de hoy). Al guardar una consulta en la vista Personalizada , se guarda el intervalo de fecha y hora absoluto (por ejemplo, 2018-05-06 13:00 a 2018-05-08 18:00).

Opciones de búsqueda detalladas

Al expandir opciones de búsqueda detalladas, están disponibles las siguientes opciones.

Estado de entrega

Puede dejar seleccionado el valor predeterminado All (Todo ) o puede seleccionar uno de los siguientes valores para filtrar los resultados:

Entregado: el mensaje se entregó correctamente en el destino previsto.
Expandido: se expandió un destinatario del grupo de distribución antes de la entrega a los miembros individuales del grupo.
Error: el mensaje no se entregó.
Pendiente: se intenta o se vuelve a intentar la entrega del mensaje.
En cuarentena: el mensaje se puso en cuarentena (como correo no deseado, correo masivo o phishing). Para obtener más información, vea Mensajes de correo electrónico en cuarentena en EOP.
See Also
Mensajes de Cobranza: Ejemplos para Whatsapp, Email y SMS
Filtrado como correo no deseado: el mensaje se identificó como correo no deseado y se rechazó o bloqueó (no se puso en cuarentena).
Obtención del estado: Microsoft 365 ha recibido recientemente el mensaje, pero aún no hay ningún otro dato de estado disponible. Vuelva en unos minutos.

Nota:

Los valores Pending,Quarantined y Filter as spam solo están disponibles para las búsquedas de menos de 10 días. Además, puede haber un retraso de entre 5 y 10 minutos entre el estado de entrega real y el estado de entrega notificado.

Id. del mensaje

Este valor es el identificador de mensaje de Internet (también conocido como id. de cliente) que se encuentra en el campo encabezado Message-ID del encabezado del mensaje. Los usuarios pueden proporcionarle este valor para investigar mensajes específicos.

Este valor es constante mientras dura el mensaje. Para los mensajes creados en Microsoft 365 o Exchange, el valor tiene el formato <GUID@ServerFQDN>, incluidos los corchetes angulares (<>). Por ejemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Otros sistemas de mensajería pueden usar valores o sintaxis diferentes. Se supone que este valor es único, pero no todos los sistemas de correo electrónico siguen estrictamente este requisito. Si el campo de encabezado Message-ID: no existe o está en blanco para los mensajes entrantes de orígenes externos, se asigna un valor arbitrario.

Cuando use id. de mensaje para filtrar los resultados, asegúrese de incluir la cadena completa, incluidos los corchetes angulares.

Identificador de mensaje de red

Id. de mensaje de red es un valor de identificador de mensaje único que prevalece entre las copias del mensaje que se pueden crear debido a la bifurcación y en todo el proceso de transporte de mensajes. Es dinámico en el que su valor difiere incluso para una copia de la instancia específica del mensaje. Por lo tanto, cada versión copiada de la instancia tendrá un valor de identificador de mensaje de red diferente.

Las diferencias entre el identificador de mensaje de red y el identificador de mensaje se describen en la tabla siguiente:

Identificador de mensaje de red	Id. del mensaje
Identificador de la instancia específica de un mensaje de correo electrónico	Identificador del mensaje de correo electrónico
Único y persistente en las copias del mensaje que se pueden crear debido a la bifurcación	Constante para la duración del mensaje

Para obtener más información sobre el identificador de mensaje de red, consulte:

Registros de seguimiento de mensajes en servidores exchange
Informes de seguimiento de mensajes mejorados en Exchange Online
Encabezados de mensaje de Outlook

Para realizar un seguimiento del valor del identificador de mensaje de red y usarlo para realizar un seguimiento de mensajes específicos en Exchange Online, use los siguientes encabezados de mensaje:

X-MS-Exchange-Organization-Network-Message-IdO
X-MS-Exchange-CrossTenant-Network-Message-Id

Los encabezados de mensaje anteriores le permitirán realizar un seguimiento del valor de Identificador de mensaje de red . Puede usar este valor para recuperar más mensajes específicos, por ejemplo, mensajes con el valor de id. de mensaje de red de seguimiento enviados por un remitente específico, dirigidos a un destinatario específico o enviados durante un período de tiempo especificado.

También puede usar el siguiente comando para realizar un seguimiento del valor de Identificador de mensaje de red :

Get-MessageTrace -MessageTraceId 2bbad36aa4674c7ba82f4b307fff549f -SenderAddress john@contoso.com -StartDate 06/13/2022 -EndDate 06/15/2022 | Get-MessageTraceDetail

Nota:

-MessageTraceId es un parámetro que es una alternativa (y es efectivamente similar) al identificador de mensaje de red.

El comando anterior le permite identificar:

Valor del identificador de mensaje de red
Los mensajes específicos que este valor de identificador de mensaje de red ayuda a recuperar

Por ejemplo, en el comando anterior, el valor del identificador de seguimiento de mensajes es 2bbad36aaa4674c7ba82f4b307fff549f , que es efectivamente el valor network message id . El cmdlet Get-MessageTrace usa este valor 2bbad36aa4674c7ba82f4b307fff549f para recuperar la información de seguimiento de los mensajes con este valor y que se han enviado john@contoso.com entre el 13 de junio de 2022 y el 15 de junio de 2022.

A continuación, el cmdlet Get-MessageTrace canaliza la información de seguimiento recuperada al cmdlet Get-MessageTraceDetail .

Dirección

Puede dejar seleccionado el valor predeterminado Todo , o bien puede seleccionar Entrante (mensajes enviados a destinatarios de su organización) o Saliente (mensajes enviados desde usuarios de su organización) para filtrar los resultados.

Dirección IP del cliente original

Puede filtrar los resultados por dirección IP del cliente para investigar los equipos hackeados que envían grandes cantidades de spam o malware. Aunque parezca que los mensajes proceden de varios remitentes, es probable que el mismo equipo esté generando todos los mensajes.

Nota:

La información de la dirección IP del cliente solo está disponible durante 10 días y solo está disponible en el resumen mejorado o en los informes extendidos (archivos CSV descargables).

Elegir tipo de informe

Los tipos de informe disponibles son:

Resumen: disponible si el intervalo de tiempo es inferior a 10 días y no requiere ninguna otra opción de filtrado. Los resultados están disponibles casi inmediatamente después de hacer clic en Buscar. El informe devuelve hasta 20000 resultados.
Resumen mejorado o Extendido: estos informes solo están disponibles como archivos CSV descargables y requieren una o varias de las siguientes opciones de filtrado, independientemente del intervalo de tiempo: Remitentes, destinatarios o identificador de mensaje. Puede usar caracteres comodín para los remitentes o los destinatarios (por ejemplo, *@contoso.com). El informe resumen mejorado devuelve hasta 50 000 resultados. El informe extendido devuelve hasta 1000 resultados.

Nota:

Los informes mejorados de resumen y extendidos se preparan mediante datos de seguimiento de mensajes archivados y pueden tardar hasta varias horas en descargarse el informe. En función de cuántos otros administradores también han enviado solicitudes de informe aproximadamente al mismo tiempo, también es posible que observe un retraso antes de que la solicitud en cola comience a procesarse.
Aunque puede seleccionar un resumen mejorado o un informe extendido para cualquier intervalo de fecha y hora, normalmente las últimas 24 horas de datos archivados aún no estarán disponibles para estos dos tipos de informes.
El tamaño máximo de un informe descargable es de 500 MB. Si un informe descargable supera los 500 MB, no puede abrir el informe en Excel ni en el Bloc de notas.

Al hacer clic en Siguiente, se le presenta una página de resumen que enumera las opciones de filtrado que seleccionó, un título único (editable) para el informe y la dirección de correo electrónico que recibe la notificación cuando se completa el seguimiento del mensaje (también editable y debe estar en uno de los dominios aceptados de la organización). Haga clic en Preparar informe para enviar el seguimiento del mensaje. En la página principal Seguimiento de mensajes, puede ver el estado del informe en la sección Informes descargables .

Para obtener más información sobre la información que se devuelve en los distintos tipos de informe, consulte la sección siguiente.

Resultados del seguimiento de mensajes

Los distintos tipos de informe devuelven distintos niveles de información. La información disponible en los diferentes informes se describe en las secciones siguientes.

Salida del informe de resumen

Después de ejecutar el seguimiento del mensaje, se mostrarán los resultados, ordenados por fecha y hora descendentes (primero más recientes).

El informe de resumen contiene la siguiente información:

Fecha: fecha y hora a la que el servicio recibió el mensaje mediante la zona horaria UTC configurada.
Remitente: dirección de correo electrónico del remitente (dominio de alias@).
Destinatario: dirección de correo electrónico del destinatario o destinatarios. Para un mensaje enviado a varios destinatarios, hay una línea por destinatario. Si el destinatario es un grupo de distribución, un grupo de distribución dinámico o un grupo de seguridad habilitado para correo, el grupo será el primer destinatario y, a continuación, cada miembro del grupo se encuentra en una línea independiente.
Asunto: los primeros 256 caracteres del campo Asunto: del mensaje.
Estado: estos valores se describen en la sección Estado de entrega .

De forma predeterminada, los primeros 250 resultados se cargan y están disponibles fácilmente. Cuando se desplaza hacia abajo, hay una ligera pausa a medida que se carga el siguiente lote de resultados, hasta un máximo de 10 000.

Puede hacer clic en los encabezados de columna para ordenar los resultados por los valores de esa columna en orden ascendente o descendente.

Puede hacer clic en Buscar para filtrar los resultados.

Para exportar los resultados después de seleccionar una o varias filas, haga clic en Exportar resultados.

Búsqueda de registros relacionados para este mensaje

Los registros de mensajes relacionados son registros que compartieron el mismo identificador de mensaje. Recuerde que incluso un único mensaje enviado entre dos personas puede generar varios registros. El número de registros aumenta cuando el mensaje se ve afectado por la expansión del grupo de distribución, el reenvío, las reglas de flujo de correo (también conocidas como reglas de transporte), etc.

Después de seleccionar la casilla de verificación de una fila, puede encontrar registros relacionados para el mensaje haciendo clic en el botón Buscar relacionado que aparece.

Para obtener más información sobre el identificador de mensaje, vea la sección Id. de mensaje anteriormente en este tema.

Detalles del seguimiento del mensaje

En la salida del informe de resumen, puede ver los detalles de un mensaje seleccionando la fila (haga clic en cualquier lugar de la fila excepto en la casilla).

Los detalles del seguimiento del mensaje contienen la siguiente información adicional que no está presente en el informe de resumen:

Eventos de mensaje: después de expandir esta sección, la sección contiene clasificaciones que ayudan a clasificar las acciones que el servicio realiza en los mensajes. Algunos de los eventos más interesantes que puede encontrar son:
- Recibir: el servicio recibió el mensaje.
- Enviar: el servicio envió el mensaje.
- Error: no se pudo entregar el mensaje.
- Entregar: el mensaje se entregó en un buzón de correo.
- Expandir: el mensaje se envió a un grupo de distribución que se expandió.
- Transferencia: los destinatarios se han movido a un mensaje bifurcado debido a la conversión de contenido, los límites de destinatarios del mensaje o los agentes.
- Aplazar: la entrega del mensaje se pospuso y puede que se vuelva a tentar más adelante.
- Resuelto: el mensaje se redirigió a una nueva dirección de destinatario en función de una búsqueda de Active Directory. Cuando se produce este evento, la dirección del destinatario original aparece en una fila independiente del seguimiento del mensaje junto con el estado de entrega final del mensaje.
- Regla DLP: el mensaje tenía una coincidencia de regla DLP en este mensaje.
- Etiqueta de confidencialidad: Se produjo un evento de etiquetado del lado servidor. Por ejemplo, se agregó automáticamente una etiqueta a un mensaje que incluye una acción para cifrar o se agregó a través del cliente web o móvil. El servidor Exchange completa esta acción y se registra. Una etiqueta agregada a través de Outlook no se incluirá en el campo de evento.
Notas:
- Un mensaje sin eventos que se entrega correctamente generará varias entradas event en el seguimiento del mensaje.
- Esta lista no está pensada para ser exhaustiva. Para obtener descripciones de más eventos, consulte Tipos de eventos en el registro de seguimiento de mensajes. Este vínculo es un tema de Exchange Server (Exchange local).
Más información: Después de expandir esta sección, la sección contiene los detalles siguientes:
- Id. de mensaje: este valor se describe en la sección Id. de mensaje anteriormente en este tema. Por ejemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
- Tamaño del mensaje
- Desde IP: la dirección IP del equipo que envió el mensaje. Para los mensajes salientes enviados desde Exchange Online, este valor está en blanco.
- A IP: dirección IP o direcciones donde el servicio intentó entregar el mensaje. Si el mensaje tiene varios destinatarios, se muestran estas direcciones. Para los mensajes entrantes enviados a Exchange Online, este valor está en blanco.

Informes de resumen mejorados

Los informes de resumen mejorados disponibles (completados) están disponibles en la sección Informes descargables del seguimiento del mensaje inicial. La siguiente información está disponible en el informe:

^*origin_timestamp: fecha y hora en que el servicio recibió inicialmente el mensaje mediante la zona horaria UTC configurada.
sender_address: dirección de correo electrónico del remitente (dominio de alias@).
Recipient_status: estado de la entrega del mensaje al destinatario. Si el mensaje se envió a varios destinatarios, mostrará todos los destinatarios y el estado correspondiente para cada uno, en el formato: < dirección >de correo electrónico##<status>. Por ejemplo:
- ##Receive, Enviar significa que el servicio recibió el mensaje y se envió al destino previsto.
- ##Receive, Fail significa que el servicio recibió el mensaje, pero se produjo un error en la entrega al destino previsto.
- ##Receive, Deliver significa que el servicio recibió el mensaje y se entregó en el buzón del destinatario.
message_subject: los primeros 256 caracteres del campo Asunto del mensaje.
total_bytes: tamaño del mensaje en bytes, incluidos los datos adjuntos.
message_id: este valor se describe en la sección Id. de mensaje anteriormente en este tema. Por ejemplo, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
network_message_id: valor de identificador de mensaje único que persiste en todas las copias del mensaje que se pueden crear debido a la bifurcación o expansión del grupo de distribución. Un valor de ejemplo es 1341ac7b13fb42ab4d4408cf7f55890f.
original_client_ip: dirección IP del servidor SMTP del remitente.
direccionalidad: indica si el mensaje se envió entrante (1) a la organización o si se envió saliente (2) desde la organización.
connector_id: nombre del conector de origen o de destino. Para obtener más información sobre los conectores de Exchange Online, consulte Configuración del flujo de correo mediante conectores en Office 365.
^*delivery_priority: si el mensaje se envió con prioridad Alta, Baja o Normal.

^*Estas propiedades solo están disponibles en informes de resumen mejorados.

Informes extendidos

Los informes extendidos disponibles (completados) están disponibles en la sección Informes descargables al principio del seguimiento del mensaje. Prácticamente toda la información de un informe de resumen mejorado está disponible en un informe extendido (excepto para origin_timestamp y delivery_priority). La siguiente información adicional solo está disponible en un informe extendido:

client_ip: dirección IP del servidor de correo electrónico o cliente de mensajería que envió el mensaje.
client_hostname: nombre de host o FQDN del servidor de correo electrónico o cliente de mensajería que envió el mensaje.
server_ip: dirección IP del servidor de origen o de destino.
server_hostname: nombre de host o FQDN del servidor de destino.
source_context: información adicional asociada al campo de origen . Por ejemplo:
- Protocol Filter Agent
- 3489061114359050000
source: componente de Exchange Online responsable del evento. Por ejemplo:
- AGENT
- MAILBOXRULE
- SMTP
event_id: este valor corresponde a los valores de evento Message que se explican en la sección Buscar registros relacionados de este mensaje .
internal_message_id: identificador de mensaje asignado por el servidor de Exchange Online que está procesando el mensaje.
recipient_address: las direcciones de correo electrónico de los destinatarios del mensaje. Si hay varias direcciones de correo electrónico, se separan por punto y coma (;).
recipient_count: el número total de destinatarios del mensaje.
related_recipient_address: se usa con EXPANDeventos , REDIRECTy RESOLVE para mostrar otras direcciones de correo electrónico de destinatario asociadas al mensaje.
reference: este campo contiene información adicional para tipos específicos de eventos. Por ejemplo:
- DSN: contiene el vínculo del informe, que es el valor message_id de la notificación de estado de entrega asociada (también conocida como DSN, informe de no entrega, NDR o mensaje de devolución) si se genera un DSN posterior a este evento. Si este mensaje es un mensaje DSN, este campo contiene el valor message_id del mensaje original para el que se generó el DSN.
- EXPAND: contiene el valor related_recipient_address de los mensajes relacionados.
- RECEIVE: puede contener el valor message_id del mensaje relacionado si el mensaje lo generaron otros procesos (por ejemplo, reglas de bandeja de entrada).
- SEND: contiene el valor internal_message_id de los mensajes DSN.
- TRANSFER: contiene el valor internal_message_id del mensaje que se bifurca (por ejemplo, por conversión de contenido, límites de destinatarios de mensajes o agentes).
- MAILBOXRULE: contiene el valor internal_message_id del mensaje entrante que hizo que la regla bandeja de entrada generara el mensaje saliente.
  Para otros tipos de eventos, este campo está en blanco.
return_path: la dirección de correo electrónico de devolución especificada por el comando MAIL FROM que envió el mensaje. Aunque este campo nunca está vacío, puede tener el valor de dirección del remitente nulo representado como <>.
message_info: información adicional sobre el mensaje. Por ejemplo:
- Fecha y hora de origen del mensaje en UTC para DELIVER eventos y SEND . La fecha y hora de origen es la hora en que el mensaje entró por primera vez en la organización Exchange Online. La fecha y hora UTC se representa en el formato de fecha y hora ISO 8601: yyyy-mm-ddThh:mm:ss.fffZ, donde yyyy = año, mm = mes, dd = día, T indica el principio del componente de hora, hh = hora, mm = minuto, ss = segundo, fff = fracciones de segundo y Z significa Zulu, que es otra manera de indicar utc.
- Errores de autenticación. Por ejemplo, es posible que vea el valor 11a y el tipo de autenticación que se usó cuando se produjo el error de autenticación.
tenant_id: valor GUID que representa la organización Exchange Online (por ejemplo, 39238e87-b5ab-4ef6-a559-af54c6b07b42).
original_server_ip: dirección IP del servidor original.
custom_data: contiene datos relacionados con tipos de eventos específicos. Para obtener más información, consulte las secciones siguientes.

custom_data valores

Varios agentes de Exchange Online usan el campo custom_data de un AGENTINFO evento para registrar los detalles del procesamiento de mensajes. Algunos de los agentes más interesantes se describen en las secciones siguientes.

Agente de filtro de correo no deseado

Un valor de custom_data que comienza por S:SFA es del agente de filtro de correo no deseado. Para obtener más información, vea Campos de encabezado del mensaje X-Forefront-Antispam-Report.

Un ejemplo custom_data valor de un mensaje filtrado por correo no deseado como este:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Agente de filtro de malware

Un valor de custom_data que comienza por S:AMA es del agente de filtro de malware. Los detalles clave se describen en la tabla siguiente:

Valor	Descripción
`AMA=SUM\|v=1\|` o `AMA=EV\|v=1`	Se determinó que el mensaje contiene malware. `SUM` indica que cualquier número de motores podría haber detectado el malware. `EV` indica que un motor específico detectó el malware. Cuando un motor detecta malware, esta detección desencadena las acciones posteriores.
`Action=r`	El mensaje se reemplazó.
`Action=p`	El mensaje se omitió.
`Action=d`	El mensaje se difirió.
`Action=s`	El mensaje se eliminó.
`Action=st`	El mensaje se omitió.
`Action=sy`	El mensaje se omitió.
`Action=ni`	El mensaje se rechazó.
`Action=ne`	El mensaje se rechazó.
`Action=b`	El mensaje se bloqueó.
`Name=<malware>`	Se detectó el nombre del malware.
`File=<filename>`	El nombre del archivo que contiene el malware.

Un ejemplo custom_data valor para un mensaje que contiene malware similar al siguiente:

Agente de regla de transporte

Un valor de custom_data que comienza porS:TRA es del agente de regla de transporte para las reglas de flujo de correo (también conocidas como reglas de transporte). Los detalles clave se describen en la tabla siguiente:

Valor	Descripción
`ETR\|ruleId=<guid>`	El identificador de regla coincidente.
`St=<datetime>`	Fecha y hora en UTC en que se produjo la coincidencia de regla.
`Action=<ActionDefinition>`	La acción que se aplicó. Para obtener una lista de las acciones disponibles, consulte Acciones de regla de flujo de correo en Exchange Online.
`Mode=<Mode>`	El modo de la regla. Los valores admitidos son: Aplicar: se aplicarán todas las acciones de la regla. Probar con sugerencias de directiva: se enviarán todas las acciones de sugerencias de directiva, pero no se actuará en otras acciones de cumplimiento. Probar sin sugerencias de directiva: las acciones se mostrarán en un archivo de registro, pero no se notificará a los remitentes de ninguna manera y no se actuará en las acciones de cumplimiento.< /¿Li?

Un ejemplo custom_data valor de un mensaje que coincida con las condiciones de una regla de flujo de correo tiene este aspecto: