Búsqueda y eliminación de mensajes en Exchange Server

Puede usar los cmdlets New-ComplianceSearch y New-ComplianceSearchAction para buscar y eliminar un mensaje de correo electrónico de todos los buzones de correo de la organización. De esta forma puede buscar y eliminar correos electrónicos potencialmente dañinos o de alto riesgo, como:

• Mensajes que contienen virus o datos adjuntos peligrosos

• Mensajes de suplantación de identidad

• Mensajes que contienen datos confidenciales

¿Por qué usar los cmdlets New-ComplianceSearch y New-ComplianceSearchAction en lugar de usar el cmdlet Search-Mailbox para eliminar mensajes? En versiones anteriores de Exchange, podría ejecutar el Search-Mailbox -DeleteContent comando para buscar y eliminar mensajes de correo electrónico. Todavía puede hacerlo en Exchange Server, pero solo puede buscar un máximo de 10 000 buzones en una sola búsqueda mediante el cmdlet Search-Mailbox. Para New-ComplianceSearch, no hay límites para el número de buzones en una sola búsqueda. Esto permite a las organizaciones grandes realizar operaciones de búsqueda y eliminación en toda la organización.

Este es el flujo de trabajo para el proceso de búsqueda y eliminación:

Paso 1: Crear y ejecutar una búsqueda de cumplimiento para buscar el mensaje que se va a eliminar

Paso 2: Eliminar el mensaje

En la sección Más información se describe lo que ocurre con los mensajes eliminados y se indica cómo obtener el estado de una operación de búsqueda y eliminación.

Antes de empezar

• Para usar los cmdlets New-ComplianceSearch y Start-ComplianceSearchAction para crear y ejecutar una búsqueda de cumplimiento, y para usar el cmdlet New-ComplianceSearchAction para eliminar mensajes, debe tener asignado el rol de administración Búsqueda de buzón. Los administradores no tienen asignado este rol de forma predeterminada. Para asignarse este rol para que pueda buscar buzones y eliminar mensajes, agréguese como miembro del grupo de roles Administración de detección. Consulte Asignación de permisos de eDiscovery en Exchange Server.

• Se puede eliminar un máximo de 10 elementos por buzón a la vez. Como la función de buscar y quitar mensajes está diseñada para ser una herramienta de respuesta a incidentes, este límite ayuda a garantizar que los mensajes se quitan rápidamente de los buzones. Esta característica no está diseñada para limpiar buzones de usuarios.

Paso 1: Crear y ejecutar una búsqueda de cumplimiento para buscar el mensaje que se va a eliminar

El primer paso consiste en crear y ejecutar una búsqueda de cumplimiento para encontrar el mensaje que desea quitar de los buzones de su organización. Puede crear la búsqueda ejecutando los cmdlets New-ComplianceSearch y Start-ComplianceSearch . Los mensajes que coinciden con la consulta de esta búsqueda se eliminarán mediante la ejecución del cmdlet New-ComplianceSearchAction en el paso 2.

En este ejemplo, los comandos crearán e iniciarán una búsqueda de todos los buzones de la organización para obtener un mensaje que contenga las palabras "Actualizar la información de la cuenta" en la línea de asunto.

1. Abra el Shell de administración de Exchange.

2. Ejecute los siguientes comandos.

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

Para obtener información sobre cómo crear una búsqueda de cumplimiento y configurar consultas de búsqueda, consulte los temas siguientes:

• New-ComplianceSearch

• Start-ComplianceSearch

• Propiedades del mensaje y operadores de búsqueda para In-Place eDiscovery en Exchange Server

Sugerencias para buscar mensajes que quiere eliminar

El objetivo de la consulta de búsqueda es limitar los resultados de la búsqueda para encontrar el mensaje (o mensajes) que quiere quitar. Aquí encontrará algunas sugerencias:

• Si conoce el texto o la frase exacta usados en la línea de asunto del mensaje, use la propiedad Subject en la consulta de búsqueda.

• Si conoce la fecha exacta (o el intervalo de fechas) del mensaje, incluya la propiedad Received en la consulta de búsqueda.

• Si conoce quién envió el mensaje, incluya la propiedad From en la consulta de búsqueda.

• Obtenga una vista previa de los resultados de la búsqueda para comprobar que la búsqueda solo devolvió el mensaje (o los mensajes) que quiere eliminar.

• Use las estadísticas de estimación de búsqueda (mediante la ejecución del cmdlet Get-ComplianceSearch ) para obtener un recuento del número total de resultados de búsqueda.

Estos son dos ejemplos de consultas para buscar mensajes de correo electrónico sospechosos.

• Esta consulta devuelve los mensajes recibidos por los usuarios entre el 13 de abril de 2016 y el 14 de abril de 2016 que contengan las palabras "acción" y "necesario" en la línea de asunto.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Esta consulta devuelve los mensajes enviados por chatsuwloginsset12345@outlook.com y que contienen la frase exacta "Actualizar la información de la cuenta" en la línea de asunto.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Paso 2: Eliminar el mensaje

Después de crear y refinar una búsqueda de cumplimiento para devolver el mensaje que desea quitar, el último paso es ejecutar el cmdlet New-ComplianceSearchAction para eliminar el mensaje. Los mensajes eliminados se mueven a la carpeta Elementos recuperables de un usuario.

En este ejemplo, el comando eliminará los resultados de búsqueda devueltos por una búsqueda de cumplimiento denominada "Quitar mensaje de suplantación de identidad".

1. Abra el Shell de administración de Exchange.

2. Ejecuta el siguiente comando.

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

Más información

• ¿Qué ocurre después de eliminar un mensaje?: Un mensaje que se elimina mediante el New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando se mueve a la carpeta Eliminaciones de la carpeta Elementos recuperables del usuario. No se purga inmediatamente de la base de datos de Exchange. El usuario dispone de un plazo para recuperar los mensajes de la carpeta Elementos eliminados, que se basa en el período de retención de elementos eliminados configurado para el buzón. Una vez finalizado este período de retención (o si el usuario purga el mensaje antes de que expire), el mensaje se mueve a la carpeta Purgas y el usuario ya no puede acceder a él. Una vez en la carpeta Purgas, el mensaje se retiene de nuevo durante el período de retención de elementos eliminados configurado para el buzón si la recuperación de elementos únicos está habilitada para el buzón. (En Exchange, la recuperación de un solo elemento está habilitada de forma predeterminada cuando se crea un nuevo buzón de correo). Una vez expirado el período de retención de elementos eliminados, el mensaje se marca como de eliminación permanente y se purgará de la base de datos de Exchange la próxima vez que el asistente de carpetas administradas procese el buzón.

• ¿Cómo sabe que los mensajes se eliminan y mueven a la carpeta Elementos recuperables de los usuarios?: Si ejecuta la misma búsqueda de cumplimiento después de eliminar un mensaje, seguirá viendo el mismo número de resultados de búsqueda (y podría suponer que el mensaje no se eliminó de los buzones de usuario). Esto se debe a que una búsqueda de cumplimiento busca en la carpeta Elementos recuperables, que es donde se mueve el mensaje eliminado después de ejecutar el New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando. Para comprobar que los mensajes se han movido a la carpeta Elementos recuperables, puede ejecutar una búsqueda In-Place eDiscovery (con los mismos buzones de origen y criterios de búsqueda que la búsqueda de cumplimiento creada en el paso 1) y copiar los resultados de la búsqueda en el buzón de detección. Después, puede ver los resultados de la búsqueda en el buzón de correo de detección y comprobar que los mensajes se movieron a la carpeta Elementos recuperables. Consulte Usar la búsqueda de cumplimiento para buscar en todos los buzones de Exchange Server para obtener más información sobre cómo crear una búsqueda de eDiscovery In-Place que use la lista de buzones de origen y la consulta de búsqueda de una búsqueda de cumplimiento.

• ¿Qué ocurre si se elimina un mensaje de un buzón que se ha colocado en In-Place suspensión o suspensión por juicio?: Una vez purgado el mensaje (ya sea por el usuario o después de que expire el período de retención de elementos eliminados), el mensaje se conservará hasta que expire la duración de la retención. Si la duración de la retención es ilimitada, los elementos se conservan hasta que se elimine la retención o se modifique su duración.

• ¿Cómo obtener el estado de la operación de búsqueda y eliminación? Ejecute Get-ComplianceSearchAction: para obtener el estado de la operación de eliminación. Tenga en cuenta que el objeto que se crea al ejecutar el cmdlet New-ComplianceSearchAction se denomina con este formato: <name of Compliance Search>_Purge.