查看电子邮件流量处理事件信息

单击窗口上部中的链接前往 备份区区域，查看备份中与该事件相关的邮件的信息。

要查看有关电子邮件流量处理事件的信息：

1. 在应用程序网页界面的主窗口中，打开管理控制台树，然后选择“事件”部分。
2. 选择电子邮件流量选项卡。

   电子邮件流量处理事件信息显示为表格。

3. 选择您想要查看其信息的事件。

   这将打开包含事件信息的窗口。

电子邮件流量处理事件的信息窗口包含以下选项卡：

• 常规信息
• 邮件扫描结果
• 附件
• MIME 部分
• 链接

对于大型邮件，显示的信息不超过 50 个已处理邮件的前 MIME 部分、附件和链接。如果大邮件中的 MIME 部分、附件或链接数量超过 50，则某些信息将被隐藏，并显示相应的通知。要查看有关其余 MIME 部分、附件或链接的信息，请单击通知中的全部显示。

事件详细信息中可能缺少有关扫描附件、MIME 部分或链接的信息。出现这种情况可能是由于以下原因之一：

• 事件记录是在记录 MIME 部分、链接和附件的扫描结果的功能可用之前创建的。
• 该应用程序的配置方式是，仅为检测到对象的邮件记录有关 MIME 部分、链接和附件扫描的信息（默认行为）。
• 该邮件不包含链接或附件，或者无法检测到它们。

常规信息

该选项卡显示以下数据：

• 日期和时间是事件发生的日期和时间。
• 节点 是邮件处理所在节点的 IP 地址或者端口。
• 发件人电子邮件是邮件发件人的 IP 地址。该地址取自 SMTP 会话 (MAIL FROM 值)。
• 发件人 IP是邮件发件人的 IP 地址。
• 应用程序邮件 ID是应用程序分配给邮件的唯一 ID。
• SMTP Message-ID 是在邮件服务器中分配给邮件的 ID。
• 收件人：是邮件接收者地址。包含出现在 To MIME 标头中的 SMTP 会话地址 (RCPT TO 值)。
• 抄送 是邮件副本接收者的地址。包含出现在 Cc MIME 标头中但不出现在 To MIME 标头中的 SMTP 会话地址 (RCPT TO 值)。
• 密件抄送是邮件密送副本接收者的地址。该地址取自 SMTP 会话。包含 SMTP 会话中的地址 (RCPT TO 值)，这些地址未出现在 To MIME 标头或 Cc MIME 标头中。
• 主题是邮件主题。
• 规则名称是导致邮件被处理的规则名称。

  您可以单击带有规则名称的链接来查看规则详情。

• 操作是根据应用程序模块扫描的结果对邮件采取的操作。

邮件扫描结果

此选项卡显示每个扫描模块分配给邮件的状态。对于某些状态，检测方法或分配状态的原因显示在第二行，以逗号分隔。

可能的扫描模块状态列表

附件

此选项卡显示一个表格，其中包含有关扫描邮件附件结果的信息。

该表包含以下信息：

• 文件名是附加名称。
• 附件 MIME 部分索引显示 MIME 部分在邮件的 MIME 部分层次结构中的位置。可能的值：
  • 0表示邮件的根 MIME 部分。
  • 0.<当前 MIME 部分的索引>用于作为根 MIME 部分子级的邮件的 MIME 部分。当前 MIME 部分的索引是一个非负整数。
  • <父 MIME 部分的索引>。<当前 MIME 部分的索引>用于未嵌套在根 MIME 部分中的 MIME 部分。
  • <MIME 部分索引>.p是邮件的 MIME 部分的序言。
  • <MIME 部分索引>.e是邮件的 MIME 部分的尾声。
• 对附件的操作是根据扫描结果对附件采取的操作。
• 反病毒是附件的反病毒模块扫描结果。
• 内容过滤是附件的内容过滤扫描结果。
• 哈希是用于计算附件哈希的算法。如果应用程序设置中未启用哈希，则会显示破折号。
• 大小是附件的大小（以字节为单位）。

要查看有关附件扫描结果的详细信息，请选择表中的相关记录。这将打开一个窗口，其中包含以下信息：

• 文件名是附加名称。
• 文件大小(字节)是附件大小。
• 操作是根据扫描结果对附件采取的操作。可能的值：
  • 无
  • 已清除
  • 已删除
• 反病毒是反病毒模块扫描详细信息：
  • 跳过原因：
    • 文件名
    • 嵌套级别

    如果附件状态与未扫描不同，则会显示破折号。

  • 带宏的文档可能的值：是、否。
  • 状态：
    • 未检测到。
    • 未扫描。
    • 已感染。
    • 已加密。
    • 错误。
  • 检测方法：
    • 本地数据库。
    • KSN。
    • KPSN 信誉。
  • 威胁是检测到的威胁的列表。
  • 删除的对象是由于处理附件而删除的对象的列表。这些可以是来自单卷存档的对象：ARJ、CAB、LHA、ZIP、RAR 5.0 及更早版本。存档不得自解压。
  • 消除的对象是由于处理附件而被清除的对象的列表。这些可以是来自单卷存档的对象：ARJ、CAB、LHA、ZIP、RAR 5.0 及更早版本。存档不得自解压。
• 内容过滤是附件内容过滤扫描的详细信息。
  • 状态：
    • 未检测到。
    • 未扫描。
    • 错误。
    • 匹配的内容。
  • 触发的表达式是由于附件内容过滤而应用的表达式列表。
• 哈希算法是用于计算附件哈希的算法。如果应用程序设置中未启用哈希，则会显示破折号。
• 哈希是附件的哈希值。在应用程序对附件应用所有操作后计算哈希值。如果应用程序设置中未启用哈希，则会显示破折号。

MIME 部分

该选项卡显示一个表格，其中包含有关以下对象的信息：

• 所有 MIME 部分，包括附件。附件信息与附件选项卡上的相同。
• “Prologue”和“Epilogue”是消息的 MIME 部分的序言和尾声。
• “Entire message”是整个邮件。如果反病毒模块在扫描整个邮件时检测到威胁，但在扫描邮件的各个 MIME 部分时未检测到威胁，则会显示此字符串。

该表包含以下信息：

• 文件名是附件的名称、“序言”、“尾声”、“整个邮件”，如果未定义名称，则为破折号。
• MIME 部分索引显示 MIME 部分在邮件的 MIME 部分层次结构中的位置。可能的值：
  • 0表示邮件的根 MIME 部分。
  • 0.<当前 MIME 部分的索引>用于作为根 MIME 部分子级的邮件的 MIME 部分。当前 MIME 部分的索引是一个非负整数。
  • <父 MIME 部分的索引>。<当前 MIME 部分的索引>用于未嵌套在根 MIME 部分中的 MIME 部分。
  • <MIME 部分索引>.p是邮件的 MIME 部分的序言。
  • <MIME 部分索引>.e是邮件的 MIME 部分的尾声。
• MIME 部分的操作是根据扫描结果应用于 MIME 部分的操作。
• 反病毒是 MIME 部分的反病毒模块扫描结果。
• 内容过滤是 MIME 部分的内容过滤扫描结果。
• 哈希是哈希算法的名称。如果应用程序设置中未启用哈希，则会显示破折号。
• 大小是 MIME 部分的大小（以字节为单位）。

要查看有关 MIME 部分扫描结果的详细信息，请选择表中的相关记录。这将打开一个窗口，其中包含以下信息：

• 文件名是 MIME 部分的名称（如果有）。
• 文件大小(字节)是 MIME 部分的大小。
• 操作是根据扫描结果应用于 MIME 部分的操作。可能的值：
  • 无
  • 已清除
  • 已删除
• 反病毒是反病毒模块扫描详细信息：
  • 跳过原因：
    • 文件名
    • 嵌套级别

    如果 MIME 部分状态与未扫描不同，则会显示破折号。

  • 带宏的文档可能的值：是、否。
  • 状态：
    • 未检测到。
    • 未扫描。
    • 已感染。
    • 已加密。
    • 错误。
  • 检测方法：
    • 本地数据库。
    • KSN。
    • KPSN 信誉。
  • 威胁是检测到的威胁的列表。
  • 删除的对象是由于处理 MIME 部分而被删除的对象的列表。这些可以是来自单卷存档的对象：ARJ、CAB、LHA、ZIP、RAR 5.0 及更早版本。存档不得自解压。
  • 消除的对象是由于处理 MIME 部分而被清除的对象的列表。这些可以是来自单卷存档的对象：ARJ、CAB、LHA、ZIP、RAR 5.0 及更早版本。存档不得自解压。
• 内容过滤是 MIME 部分的内容过滤扫描详细信息。
  • 状态：
    • 未检测到。
    • 未扫描。
    • 错误。
    • 匹配的内容。
  • 触发的表达式是由于 MIME 部分内容过滤而应用的表达式列表。
• 哈希算法是用于计算 MIME 部分的哈希值的算法。如果应用程序设置中未启用哈希，则会显示破折号。
• 哈希是 MIME 部分的哈希值。在应用程序将所有操作应用于 MIME 部分后，计算哈希值。如果应用程序设置中未启用哈希，则会显示破折号。

链接

此选项卡显示一个表格，其中包含有关扫描邮件链接结果的信息。

该表包含以下信息：

• URL是邮件中扫描的链接。您无法点击该链接。

  将鼠标悬停在链接上会显示图标。单击该图标可复制链接。

• 链接扫描是链接扫描模块的扫描结果。
• 反钓鱼是反网络钓鱼模块的扫描结果。