Exchange Server Üzerinde E-Postalar Hangi Transport Rule Üzerinden İletildiğini Bulma

Exchange Server‘da Transport Rule kritik bir işleyişe sahiptir. Bu yazımız da Exchange Server’da E-Postalarımızın hangi Transport Rule üzerinden iletildiğini kontrol edeceğiz.

Exchange Server Transport Rule Nedir?

Transport Rule, Exchange Server’da e-posta trafiğini düzenleyen politikalar olarak tanımlanmaktadır. Bu kurallar sayesinde, gelen veya giden e-postalar üzerinde çeşitli işlemler gerçekleştirebilirsiniz; örneğin, belirli koşullara göre e-postaları yönlendirebilir, engelleyebilir veya değiştirebilirsiniz.

Exchange Server’da İletilen Maillerin Hangi Transport Rule Üzerinden Geçtiğini Bulma

Oluşturmuş olduğunuz bir transport rule, size iletilen bir e-postayı red edebilir ya yada iletiyi önemsiz klasörüne gitmesine sebebiyet verebilir. Bu durumda iletinin hızlıca hangi transport rule üzerinden geçtiğini bulmamız gerekiyor.

E-posta trafiğinizi düzenlerken oluşturduğunuz kuralların etkilerini önemlidir. Örneğin, bir Transport Rule’ın bir e-postayı yanlışlıkla engellediğini veya istenmeyen bir davranışa neden olduğunu gözlemleyebilirsiniz. Bu tür durumlarda, ilgili e-postanın hangi kural tarafından işlendiğini hızlıca bulmak büyük önem taşır.

Biz tracking log kullanarak epostamızın hangi rule üzerinden geçtiğini bulacağız.

Diyelim ki Cengiz, Ahmet’e “Mart ayı satış raporları” başlıklı bir e-posta gönderdi ve bu e-posta Ahmet’in önemsiz klasörüne düştü. Ayrıca, e-postanın konu başlığı da değişti. Bu durumda, bu değişikliğe hangi Transport Rule’ın neden olduğunu bulmamız gerekiyor.

Bu tür durumları çözmek için Exchange Management Shell (EMS) üzerinden bir Message Tracking log sorgusu yapabiliriz. Örneğin, ilgili e-postanın MessageID’sini kullanarak aşağıdaki gibi bir sorgu çalıştırabiliriz:

$logs = Get-TransportServer | Get-MessageTrackingLog -MessageId "<[email protected]>" -Start (Get-Date).AddDays(-1) -ResultSize Unlimited
$logs | Sort timestamp | Select eventid,source,messagesubject

Bu sorgu, ilgili e-posta üzerinde gerçekleşen tüm olayları (events) listeler ve hangi Transport Rule’ın tetiklendiğini anlamamıza yardımcı olur.

$logs | Sort timestamp | Select eventid,source,messagesubject

EventId    Source      MessageSubject
-------    ------      --------------
RECEIVE    STOREDRIVER This is an email from Cengiz
HARECEIVE  SMTP        This is an email from Cengiz
HAREDIRECT SMTP        This is an email from Cengiz
RECEIVE    SMTP        This is an email from Cengiz
SUBMIT     STOREDRIVER This is an email from Cengiz
AGENTINFO  AGENT       Very Important MessageThis is an email from Cengiz
DELIVER    STOREDRIVER Very Important MessageThis is an email from Cengiz
SEND       SMTP        Very Important MessageThis is an email from Cengiz
HADISCARD  SMTP        This is an email from Cengiz

Özellikle “AGENTINFO” event’ine dikkat ederek, e-postanın hangi kural tarafından değiştirildiğini görebiliriz.

$logs | where {$_.eventid -eq "AGENTINFO"} | fl


RunspaceId              : 328245b3-31a5-4c0c-ac83-4f225b3c7be7
Timestamp               : 10.04.2022 8:45:50 PM
ClientIp                :
ClientHostname          : EX2019
ServerIp                :
ServerHostname          :
SourceContext           : CatContentConversion
ConnectorId             :
Source                  : AGENT
EventId                 : AGENTINFO
InternalMessageId       : 9680856285253
MessageId               : <[email protected]>
Recipients              : {[email protected]}
RecipientStatus         : {}
TotalBytes              : 7765
RecipientCount          : 1
RelatedRecipientAddress :
Reference               :
MessageSubject          : Very Important MessageThis is an email from Cengiz
Sender                  : [email protected]
ReturnPath              : [email protected]
Directionality          : Originating
TenantId                :
OriginalClientIp        : 192.168.3.200
MessageInfo             :
MessageLatency          :
MessageLatencyType      : None
EventData               : {[AMA, SUM|v=0|action=|error=|atch=0], [AMA, EV|engine=M|v=0|sig=1.213.5104.0|name=|file=],
                          [AMA, DT|ST=10|PT=0|TT=21.2478], [TRA, ETRI|MsgType=Undefined|Ex=|IsKnown=], [TRA,
                          ETR|ruleId=1f23tt44-1cb9-4293-c77d-5e333a12fc9v|st=10.04.2022 10:42:04
                          AM|action=PrependSubject|sev=1|mode=Enforce], [TRA,
                          ETRP|ruleId=1f23tt44-1cb9-4293-c77d-5e333a12fc9v|ExecW=38|ExecC=31], [CompCost,
                          |AMA=0|ETR=0], [DeliveryPriority, Normal], [AccountForest, cengizyilmaz.net]}

E-postanın hangi kural tarafından değiştirildiğini anladıktan sonra, ilgili kuralın detaylarını daha iyi anlamak için aşağıdaki gibi bir sorgu çalıştırabiliriz:

Get-TransportRule -Identity 1f23tt44-1cb9-4293-c77d-5e333a12fc9v

Name                                         State    Mode        Priority Comments
----                                         -----    ----        -------- --------
From Cengiz to Ahmet                         Enabled  Enforce     0        ...

Bu şekilde ilgili maillerin hangi Transport Rule üzerinden geçerek teslim edildiğini bulabiliriz.