Поиск и удаление сообщений в Exchange Server
Командлеты New-ComplianceSearch и New-ComplianceSearchAction можно использовать для поиска и удаления сообщения электронной почты из всех почтовых ящиков в организации. Это позволяет находить и удалять потенциально опасные сообщения, например:
Сообщения, содержащие опасное вложение или вирус
Фишинговые сообщения
сообщения, содержащие конфиденциальные данные.
Зачем использовать командлеты New-ComplianceSearch и New-ComplianceSearchAction вместо командлета Search-Mailbox для удаления сообщений? В предыдущих версиях Exchange можно было выполнить Search-Mailbox -DeleteContent
команду для поиска и удаления сообщений электронной почты. Это по-прежнему можно сделать в Exchange Server, но вы можете выполнить поиск только в 10 000 почтовых ящиков в одном поиске с помощью командлета Search-Mailbox. Для New-ComplianceSearch нет ограничений на количество почтовых ящиков в одном поиске. Это позволяет крупным организациям выполнять операции поиска и удаления в масштабах всей организации.
Ниже приведен рабочий процесс для процесса поиска и удаления.
Шаг 1. Создание и запуск поиска соответствия требованиям для поиска удаляемого сообщения
Описание того, что происходит с удаленными сообщениями, а также инструкции по отслеживанию состояния операции поиска и удаления см. в разделе More information.
Осторожностью
Поиск и удаление — это мощный инструмент, который позволяет всем пользователям с необходимыми разрешениями, удалять сообщения электронной почты из почтовых ящиков в организации.
Перед началом работы
Чтобы использовать командлеты New-ComplianceSearch и Start-ComplianceSearchAction для создания и запуска поиска по соответствию, а также командлет New-ComplianceSearchAction для удаления сообщений, необходимо назначить роль управления поиском в почтовых ящиках. Эта роль не назначается администраторам по умолчанию. Чтобы назначить себе эту роль, чтобы можно было выполнять поиск в почтовых ящиках и удалять сообщения, добавьте себя в группу ролей Управление обнаружением. См. раздел Назначение разрешений на обнаружение электронных данных в Exchange Server.
За один раз можно удалить не более 10 элементов в одном почтовом ящике. Так как возможность поиска и удаления сообщений предназначена для реагирования на инциденты, это ограничение обеспечивает быстрое удаление сообщений из почтовых ящиков. Эта возможность не предназначена для очистки почтовых ящиков пользователей.
Шаг 1. Создание и запуск поиска соответствия требованиям для поиска удаляемого сообщения
Первым шагом является создание и запуск поиска соответствия требованиям, чтобы найти сообщение, которое нужно удалить из почтовых ящиков в организации. Поиск можно создать, выполнив командлеты New-ComplianceSearch и Start-ComplianceSearch . Сообщения, соответствующие запросу для этого поиска, будут удалены с помощью командлета New-ComplianceSearchAction на шаге 2.
В этом примере команды создают и запускают поиск сообщения со словами "Обновить сведения об учетной записи" во всех почтовых ящиках в организации.
Выполните следующие команды:
New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
Start-ComplianceSearch -Identity "Remove Phishing Message"
Сведения о создании поиска соответствия требованиям и настройке поисковых запросов см. в следующих разделах:
Советы по поиску сообщений для удаления
Цель поискового запроса — ограничить результаты поиска сообщениями, которые необходимо удалить. Ниже приведено несколько советов.
Если вы знаете точный текст или фразу, используемую в строке темы сообщения, укажите в поисковом запросе свойство Subject.
Если вы знаете точную дату (или диапазон дат) получения сообщения, укажите в поисковом запросе свойство Received.
Если вы знаете, кто отправил сообщение, укажите в поисковом запросе свойство From.
Просмотрите результаты поиска, чтобы убедиться, что возвращены только сообщения, которые необходимо удалить.
Используйте статистику оценки поиска (с помощью командлета Get-ComplianceSearch ), чтобы получить общее количество результатов поиска.
Ниже приведены два примера поиска подозрительных сообщений электронной почты.
Этот запрос возвращает сообщения, полученные пользователями 13–14 апреля 2016 г., в которых есть слова "action" и "required" в строке темы.
(Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
Этот запрос возвращает сообщения, отправленные chatsuwloginsset12345@outlook.com и содержащие точную фразу "Обновить сведения об учетной записи" в строке темы.
(From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
Шаг 2. Удаление сообщения
После создания и уточнения поиска соответствия требованиям для возврата сообщения, которое требуется удалить, последним шагом будет выполнение командлета New-ComplianceSearchAction для удаления сообщения. Удаленные сообщения перемещаются в папку пользователя "Элементы с возможностью восстановления".
В этом примере команда удалит результаты поиска, возвращенные поиском по соответствию с именем "Удалить фишинговое сообщение".
Выполните следующую команду.
New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
Дополнительные сведения
Что происходит после удаления сообщения? Сообщение, которое удаляется с помощью
New-ComplianceSearchAction -Purge -PurgeType SoftDelete
команды , перемещается в папку Удаления в папке "Элементы с возможностью восстановления" пользователя. Она не удаляется из базы данных Exchange сразу. Пользователь может восстановить сообщения в папке "Удаленные" в течение периода хранения удаленных элементов, настроенного для почтового ящика. После истечения этого срока (или если пользователь очищает сообщение до его истечения) сообщение перемещается в папку "Очистка" и становится недоступным для пользователя. Попав в папку Очистка, сообщение снова сохраняется в течение срока хранения на основе периода хранения удаленных элементов, настроенного для почтового ящика, если для почтового ящика включено восстановление отдельных элементов. (В Exchange восстановление одного элемента включено по умолчанию при создании нового почтового ящика. ) По истечении срока хранения удаленного элемента сообщение помечается после окончательного удаления и будет очищено из базы данных Exchange при следующей обработке почтового ящика помощником по управляемым папкам.Как узнать, что сообщения удаляются и перемещаются в папку "Элементы с возможностью восстановления"? Если после удаления сообщения запустить тот же поиск соответствия требованиям, вы по-прежнему увидите то же количество результатов поиска (и может предположить, что сообщение не было удалено из почтовых ящиков пользователей). Это связано с тем, что поиск по соответствию выполняет поиск в папке "Элементы с возможностью восстановления", куда перемещается удаленное
New-ComplianceSearchAction -Purge -PurgeType SoftDelete
сообщение после выполнения команды. Чтобы убедиться, что сообщения перемещаются в папку "Элементы с возможностью восстановления", можно выполнить In-Place поиска eDiscovery (используя те же исходные почтовые ящики и критерии поиска, что и поиск соответствия требованиям, созданный на шаге 1), и скопировать результаты поиска в почтовый ящик обнаружения. Затем можно просмотреть результаты поиска в почтовом ящике найденных сообщений и проверить, перемещены ли сообщения в папку "Элементы с возможностью восстановления". Дополнительные сведения о создании In-Place поиска электронных данных, использующего список исходных почтовых ящиков и поисковый запрос из поиска соответствия требованиям, см. в статье Поиск соответствия требованиям для поиска по всем почтовым ящикам в Exchange Server.Что произойдет, если сообщение будет удалено из почтового ящика, помещенного в In-Place удержание или удержание для судебного разбирательства? После очистки сообщения (либо пользователем, либо по истечении срока хранения удаленных элементов) сообщение сохраняется до истечения срока удержания. Если период удержания не ограничен, элементы сохраняются до прекращения удержания или изменения периода удержания.
Как получить состояние операции поиска и удаления? Запустите Get-ComplianceSearchAction: чтобы получить состояние операции удаления. Обратите внимание, что объект, который создается при выполнении командлета New-ComplianceSearchAction , именуется в следующем формате:
<name of Compliance Search>_Purge
.