Suchen nach und Löschen von E-Mail-Nachrichten

  • 6 Minuten

Eine Organisation kann das Feature "Inhaltssuche" verwenden, um E-Mail-Nachrichten in allen Postfächern in ihrer Exchange-Bereitstellung zu suchen und zu löschen. Dieser Prozess ist hilfreich beim Suchen und Entfernen potenziell schädlicher oder riskanter E-Mails, beispielsweise:

  • Nachrichten, die gefährliche Anhänge oder Viren enthalten.
  • Phishing-Nachrichten.
  • Nachrichten, die vertrauliche Daten enthalten.

Warnung

Wenn eine Organisation über ein Defender for Office 365 Plan 2-Abonnement verfügt, sollte sie das unter Korrigieren bösartiger E-Mails, die in Office 365 zugestellt wurden beschriebene Verfahren verwenden, anstatt das in dieser Lerneinheit beschriebene Verfahren zu befolgen.

Voraussetzungen für das Löschen von E-Mail-Nachrichten

  • Der in dieser Lerneinheit beschriebene Such- und Löschworkflow löscht keine Chatnachrichten oder anderen Inhalte aus Microsoft Teams. Wenn die Inhaltssuche, die Sie in Schritt 2 (unten) erstellen, Elemente aus Microsoft Teams zurückgibt, werden diese Elemente nicht gelöscht, wenn Sie Elemente in Schritt 3 bereinigen. Informationen zum Suchen und Löschen von Chatnachrichten finden Sie unter Suchen und Bereinigen von Chatnachrichten in Teams.

  • Zum Erstellen und Ausführen einer Inhaltssuche müssen Sie Mitglied der Rollengruppe eDiscovery-Manager sein oder der Rolle Compliancesuche im Microsoft Purview-Complianceportal zugewiesen sein.

    Um Nachrichten zu löschen, müssen Sie Mitglied der Rollengruppe Organisationsverwaltung sein oder im Microsoft Purview-Complianceportal der Rolle Suchen und Löschen zugewiesen sein. Informationen zum Hinzufügen von Benutzern zu einer Rollengruppe finden Sie unter Zuweisen von eDiscovery-Berechtigungen.

    Hinweis

    Die Rollengruppe Organisationsverwaltung ist sowohl in Exchange Online als auch im Microsoft Purview-Complianceportal vorhanden. Die Rollengruppe Organisationsverwaltung unterscheidet sich von der Rolle Suchen und Löschen. Wenn Sie Mitglied der Organisationsverwaltung in Exchange Online sind, erhalten Sie nicht die erforderlichen Berechtigungen zum Löschen von E-Mail-Nachrichten. Wenn Ihnen im Microsoft Purview-Complianceportal (entweder direkt oder über eine Rollengruppe wie Organisationsverwaltung) nicht die Rolle Suchen und Löschen zugewiesen ist, erhalten Sie in Schritt 3 eine Fehlermeldung, wenn Sie das Cmdlet New-ComplianceSearchAction ausführen. Die Meldung besagt: Es wurde kein Parameter gefunden, der dem Parameternamen "Purge" entspricht.

  • Aus jedem Postfach können maximal 10 Elemente gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Nachrichten ein Tool zur Reaktion auf Vorfälle sein soll, stellt dieser Höchstwert sicher, dass Nachrichten schnell aus Postfächern entfernt werden können. Das Feature ist nicht zum Bereinigen von Benutzerpostfächern vorgesehen.

  • 50.000 ist die maximale Anzahl von Postfächern in einer Inhaltssuche, die Sie zum Löschen von Elementen verwenden können, indem Sie eine Such- und Löschaktion ausführen. Wenn die Suche (die Sie in Schritt 2 erstellen) mehr als 50.000 Postfächer durchsucht, schlägt die Bereinigungsaktion (die Sie in Schritt 3 erstellen) fehl. Das Durchsuchen von mehr als 50.000 Postfächern in einer einzelnen Suche kann in der Regel erfolgen, wenn Sie die Suche so konfigurieren, dass sie alle Postfächer in einer Organisation einschließt. Diese Einschränkung gilt auch dann, wenn weniger als 50.000 Postfächer Elemente enthalten, die der Suchabfrage entsprechen. Im letzten Abschnitt dieser Lerneinheit finden Sie Anleitungen zur Verwendung von Suchberechtigungsfiltern zum Suchen und Löschen von Elementen aus mehr als 50.000 Postfächern.

  • Das in dieser Lerneinheit beschriebene Verfahren kann nur zum Löschen von Elementen aus Exchange Online-Postfächern und öffentlichen Ordnern verwendet werden. Sie können es nicht verwenden, um Inhalte von SharePoint- oder OneDrive for Business-Websites zu löschen.

  • E-Mail-Elemente in einem Prüfdateisatz in einem eDiscovery (Premium)-Fall können nicht mithilfe der in dieser Lerneinheit beschriebenen Verfahren gelöscht werden. Warum? Der Grund dafür ist, dass Elemente in einer Überprüfungsgruppe in einem Azure-Speicherort und nicht im Live Dienst gespeichert sind. Dies bedeutet, dass Sie nicht von der Inhaltssuche zurückgegeben werden, die Sie in Schritt 1 erstellt haben. Wenn Sie Elemente in einem Prüfdateisatz löschen möchten, müssen Sie den eDiscovery (Premium)-Fall löschen, der den Prüfdateisatz enthält. Weitere Informationen finden Sie unter Schließen oder Löschen eines eDiscovery (Premium)-Falls.

Schritt 1: Herstellen einer Verbindung mit dem PowerShell-Modul "Sicherheit und Compliance"

Organisationen müssen das PowerShell-Modul "Sicherheit und Compliance" verwenden, um Nachrichten zu löschen. Daher besteht der erste Schritt für eine Organisation darin, eine Verbindung mit dem PowerShell-Modul "Sicherheit und Compliance" herzustellen. Weitere Informationen zum Herstellen einer Verbindung mit diesem Modul finden Sie unter Herstellen einer Verbindung mit Security & Compliance PowerShell.

Schritt 2: Erstellen Sie eine Inhaltssuche, um die zu löschende Nachricht zu suchen

Im zweiten Schritt wird eine Inhaltssuche erstellt und ausgeführt, um die Nachricht zu suchen, die Sie aus den Postfächern Ihrer Organisation entfernen möchten. Sie können die Suche mithilfe des Microsoft Purview-Complianceportals oder durch Ausführen der Cmdlets New-ComplianceSearch und Start-ComplianceSearch in das PowerShell-Modul "Sicherheit und Compliance" erstellen.

Nachrichten, die der Abfrage dieser Suche entsprechen, werden gelöscht, indem Sie den Befehl New-ComplianceSearchAction -Purge in Schritt 3 ausführen.

Hinweis

Die Speicherorte für Inhalte, die im Rahmen der in diesem Schritt erstellten Inhaltssuche durchsucht werden, dürfen keine SharePoint- oder OneDrive for Business-Websites enthalten. Sie können nur Postfächer und öffentliche Ordner in eine Inhaltssuche einbeziehen, die zum Suchen von E-Mail-Nachrichten verwendet wird. Wenn die Inhaltssuche Websites umfasst, wird in Schritt 3 beim Ausführen des Cmdlets New-ComplianceSearchAction eine Fehlermeldung angezeigt.

Tipps zum Suchen nach zu löschenden Nachrichten

Das Ziel der Suchabfrage ist es, die Ergebnisse der Suche auf die Nachricht oder Nachrichten einzuschränken, die Sie entfernen möchten. Hier finden Sie einige Tipps:

  • Wenn Sie den genauen Text oder einen Ausdruck kennen, der in der Betreffzeile der Nachricht aufgeführt ist, verwenden Sie die Betreff-Eigenschaft in der Suchabfrage.
  • Wenn Sie das genaue Datum (oder den Datumsbereich) der Nachricht kennen, nehmen Sie die Eigenschaft Empfangen in die Suchabfrage auf.
  • Wenn Sie wissen, wer die Nachricht gesendet hat, nehmen Sie die Eigenschaft Von in die Suchabfrage auf.
  • Zeigen Sie eine Vorschau der Suchergebnisse an, um sicherzustellen, dass die Suche nur die Nachricht(en) zurückgegeben hat, die Sie löschen möchten.
  • Verwenden Sie die Schätzungsstatistik für die Suche (angezeigt im Detailbereich der Suche im Complianceportal oder mithilfe des Cmdlets Get-ComplianceSearch), um die Gesamtzahl der Ergebnisse zu ermitteln.

Nachfolgend finden Sie zwei Beispiele für Abfragen, um verdächtige E-Mail-Nachrichten zu suchen.

  • Diese Abfrage gibt Nachrichten zurück, die von Benutzern zwischen dem 13. April 2017 und dem 14. April 2017 empfangen wurden und die Wörter „action“ und „required“ in der Betreffzeile enthalten.

    (Received:4/13/2017..4/14/2017) AND (Subject:'Action required')

  • Diese Abfrage gibt Nachrichten zurück, die von chatsuwloginsset12345@outlook.com gesendet wurden und die den exakten Ausdruck „Update your account information“ in der Betreffzeile enthalten.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Nachfolgend finden Sie ein Beispiel für die Verwendung einer Abfrage zum Erstellen und Starten einer Suche, indem Sie die Cmdlets New-ComplianceSearch und Start-ComplianceSearch ausführen, um alle Postfächer in der Organisation zu durchsuchen:

$Search=New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation All -ContentMatchQuery '(Received:4/13/2017..4/14/2017) AND (Subject:"Action required")'
Start-ComplianceSearch -Identity $Search.Identity

Schritt 3: Löschen der Nachricht

Bis zu diesem Zeitpunkt haben Sie eine Inhaltssuche erstellt und optimiert, um die Nachrichten zurückzugeben, die Sie entfernen möchten. Jetzt können Sie die ausgewählten Nachrichten löschen. In diesem Schritt führen Sie den New-ComplianceSearchAction -Purge-Befehl im PowerShell-Modul "Sicherheit und Compliance" aus, um die Nachricht zu löschen.

Sie können die Nachricht vorläufig oder endgültig löschen.

  • Vorläufig gelöschte Nachricht. Diese Nachricht wird in den Ordner "Wiederherstellbare Elemente" eines Benutzers verschoben. Sie wird dort aufbewahrt, bis der Aufbewahrungszeitraum für gelöschte Elemente abläuft.
  • Endgültig gelöschte Nachricht. Diese Nachricht ist für das endgültige Entfernen aus dem Postfach markiert. Dies wird endgültig entfernt, wenn das Postfach das nächste Mal vom Assistenten für verwaltete Ordner verarbeitet wird. Bedenken Sie dabei Folgendes:
    • Die Wiederherstellung einzelner Elemente ist für das Postfach aktiviert. in diesem Fall werden endgültig gelöschte Elemente nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente dauerhaft entfernt.
    • Ein Postfach wird unter Aufbewahrung gestellt. In diesem Fall bleiben gelöschte Nachrichten erhalten, bis die Aufbewahrungsdauer für das Element abläuft oder bis die Sperre des Postfachs aufgehoben wird.

Hinweis

Wie bereits erwähnt, werden Elemente aus Microsoft Teams, die von der Inhaltssuche zurückgegeben werden, nicht gelöscht, wenn Sie den Befehl New-ComplianceSearchAction -Purge ausführen.

Um die folgenden Befehle zum Löschen von Nachrichten auszuführen, stellen Sie sicher, dass Sie eine Verbindung zum PowerShell-Modul "Sicherheit und Compliance" hergestellt haben.

Vorläufiges Löschen von Nachrichten

Im folgenden Beispiel löscht der Befehl die Suchergebnisse, die von einer Inhaltssuche des Begriffs „Phishingnachricht entfernen“ zurückgegeben wurden, vorläufig.

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Endgültiges Löschen von Nachrichten

Um die Elemente, die von der Inhaltssuche „Phishing-Nachricht entfernen“ zurückgegeben werden, endgültig zu löschen, führen Sie folgenden Befehl aus:

New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType HardDelete

Wenn Sie die vorherigen Befehle ausführen, um Nachrichten vorläufig oder endgültig zu löschen, ist die durch den Parameter SearchName bestimmte Suche die Inhaltssuche, die Sie in Schritt 1 erstellt haben.

  • Wie wird der Status des Such- und Löschvorgangs bestimmt?

    Führen Sie den Befehl Get-ComplianceSearchAction aus, um den Status des Löschvorgangs abzurufen. Das Objekt, das beim Ausführen des Cmdlets New-ComplianceSearchAction erstellt wird, wird im folgenden Format benannt: <name of Content Search>_Purge.

  • Was geschieht nach dem endgültigen Löschen einer Nachricht?

    Eine Nachricht, die mit dem New-ComplianceSearchAction -Purge -PurgeType HardDelete-Befehl endgültig gelöscht wird, wird in den Ordner "Endgültige Löschvorgänge" verschoben. Der Benutzer kann nicht auf die Nachricht zugreifen.

    Nachdem die Nachricht in den Ordner "Endgültige Löschvorgänge" verschoben wurde, wird die Nachricht während des Aufbewahrungszeitraums für gelöschte Elemente gespeichert, sofern die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist. (In Microsoft 365 ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird.) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht für die dauerhafte Löschung gekennzeichnet. Das Element wird beim nächsten Verarbeiten des Postfachs vom Postfach-Assistenten für verwaltete Ordner aus Microsoft 365 dauerhaft gelöscht.

  • Was geschieht nach dem vorläufigen Löschen einer Nachricht?

    Eine mit dem New-ComplianceSearchAction -Purge -PurgeType SoftDelete-Befehl vorläufig gelöschte Nachricht wird in den Ordner Löschvorgänge innerhalb des Ordners "Wiederherstellbare Elemente" des Benutzers verschoben. Sie wird nicht sofort endgültig aus Microsoft 365 gelöscht.

    Der Benutzer kann Nachrichten im Ordner "Gelöschte Elemente" so lange wiederherstellen, wie der für das Postfach konfigurierte Aufbewahrungszeitraum für gelöschte Elemente dauert. Nach Ablauf dieses Aufbewahrungszeitraums (oder wenn der Benutzer die Nachricht vor dem Ablauf löscht) wird die Nachricht in den Ordner "Löschungen" verschoben. Der Benutzer kann nicht mehr darauf zugreifen. Wenn sich die Nachricht im Ordner „Endgültige Löschvorgänge“ befindet, wird sie so lange aufbewahrt, bis die für das Postfach konfigurierte Aufbewahrungsfrist abgelaufen ist (wenn die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist). (In Microsoft 365 ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird.) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht für die dauerhafte Löschung gekennzeichnet. Das Element wird beim nächsten Verarbeiten des Postfachs vom Postfach-Assistenten für verwaltete Ordner aus Microsoft 365 dauerhaft gelöscht.

  • Was ist zu tun, wenn Sie eine Nachricht aus mehr als 50.000 Postfächern löschen müssen?

    Wie bereits erwähnt, können Sie einen Such- und Löschvorgang über höchstens 50.000 Postfächer ausführen (selbst wenn weniger als 50.000 Postfächer Elemente enthalten, die der Suchabfrage entsprechen). Wenn Sie einen Such- und Löschvorgang für mehr als 50.000 Postfächer durchführen müssen, erwägen Sie, temporäre Suchberechtigungsfilter zu erstellen, die die Anzahl der zu durchsuchenden Postfächer auf unter 50.000 verringern.

    Wenn Ihre Organisation z. B. Postfächer in verschiedenen Abteilungen, Staaten oder Ländern/Regionen enthält, können Sie basierend auf einer dieser Postfacheigenschaften einen Filter für Postfachsuchberechtigungen erstellen, um eine Teilmenge von Postfächern in Ihrer Organisation zu durchsuchen. Nachdem Sie den Filter für Suchberechtigungen eingerichet haben, erstellen Sie die Suche, und anschließend löschen Sie die Nachricht. Dann können Sie den Filter bearbeiten, um Nachrichten in einer anderen Gruppe von Postfächern zu suchen und zu löschen. Weitere Informationen zur Erstellung von Suchberechtigungsfiltern finden Sie unter Konfigurieren von Berechtigungsfiltern für die Inhaltssuche.

  • Werden in den Suchergebnissen enthaltene, nicht indizierte Elemente gelöscht?

    Nein, der New-ComplianceSearchAction -Purge-Befehl löscht keine nicht indizierten Elemente.

  • Was geschieht, wenn eine Nachricht aus einem Postfach gelöscht wird, das durch In-Situ-Aufbewahrung oder die Aufbewahrung für juristische Zwecke gesperrt oder einer Microsoft 365-Aufbewahrungsrichtlinie zugewiesen wurde?

    Nach dem Löschen und Verschieben der Nachricht in den Ordner „Endgültige Löschvorgänge“ wird sie gespeichert, bis die Aufbewahrungsdauer abläuft. Wenn die Aufbewahrungsdauer unbegrenzt ist, werden die Elemente gespeichert, bis die Sperre aufgehoben oder die Aufbewahrungsdauer geändert wird.

  • Warum ist der Workflow zum Suchen und Löschen zwischen verschiedenen Sicherheits- und Complianceportal-Rollengruppen aufgeteilt?

    Eine Person muss Mitglied der Rollengruppe eDiscovery-Manager sein oder der Rolle Compliancesuchverwaltung zugewiesen sein, um Postfächer zu durchsuchen. Zum Löschen von Nachrichten muss ein Benutzer der Rollengruppe Organisationsverwaltung angehören oder über die Verwaltungsrolle Suchen und Löschen verfügen. Mit diesem Design kann gesteuert werden, wer Postfächer in der Organisation durchsuchen und wer Nachrichten löschen darf.