Suchen und Löschen von Nachrichten in Exchange Server

  • Artikel

Sie können die Cmdlets New-ComplianceSearch und New-ComplianceSearchAction verwenden, um eine E-Mail-Nachricht in allen Postfächern in Ihrer Organisation zu suchen und zu löschen. Die Funktion ist hilfreich beim Suchen und Entfernen potenziell schädlicher oder riskanter E-Mails, beispielsweise:

  • Nachrichten, die gefährliche Anlagen oder Viren enthalten.

  • Phishing-Nachrichten

  • Nachrichten, die vertrauliche Daten enthalten.

Warum die Cmdlets New-ComplianceSearch und New-ComplianceSearchAction anstelle des Cmdlets Search-Mailbox zum Löschen von Nachrichten verwenden? In früheren Versionen von Exchange konnten Sie den Search-Mailbox -DeleteContent Befehl ausführen, um nach E-Mail-Nachrichten zu suchen und sie zu löschen. Sie können dies weiterhin in Exchange Server tun, aber Sie können nur maximal 10.000 Postfächer in einer einzigen Suche durchsuchen, indem Sie das Cmdlet Search-Mailbox verwenden. Für New-ComplianceSearch gibt es keine Grenzwerte für die Anzahl von Postfächern in einer einzelnen Suche. Dadurch können große Organisationen organisationsweite Such- und Löschvorgänge ausführen.

Hier sehen Sie den Workflow für den Such- und Löschvorgang:

Schritt 1: Erstellen und Ausführen einer Konformitätssuche, um die zu löschende Nachricht zu finden

Schritt 2: Löschen der Nachricht

Im Abschnitt More information finden Sie eine Beschreibung dazu, was mit den gelöschten Nachrichten passiert, und wie Sie den Status eines Such- und Löschvorgangs abrufen.

Vorsicht

Das Suchen und Löschen ist eine leistungsfähige Funktion, die jedem Benutzer mit den entsprechenden Berechtigungen ermöglicht, E-Mail-Nachrichten aus Postfächern in der Organisation zu löschen.

Bevor Sie beginnen

  • Um die Cmdlets New-ComplianceSearch und Start-ComplianceSearchAction zum Erstellen und Ausführen einer Konformitätssuche zu verwenden und das Cmdlet New-ComplianceSearchAction zum Löschen von Nachrichten zu verwenden, muss Ihnen die Verwaltungsrolle Postfachsuche zugewiesen sein. Administratoren wird diese Rolle nicht standardmäßig zugewiesen. Um sich selbst diese Rolle zuzuweisen, damit Sie Postfächer durchsuchen und Nachrichten löschen können, fügen Sie sich selbst als Mitglied der Rollengruppe Ermittlungsverwaltung hinzu. Weitere Informationen finden Sie unter Zuweisen von eDiscovery-Berechtigungen in Exchange Server.

  • Es können maximal 10 Elemente pro Postfach gleichzeitig entfernt werden. Da die Funktion zum Suchen und Entfernen von Nachrichten ein Tool zur Reaktion auf Vorfälle sein soll, stellt dieser Höchstwert sicher, dass Nachrichten schnell aus Postfächern entfernt werden können. Das Feature ist nicht zum Bereinigen von Benutzerpostfächern vorgesehen.

Schritt 1: Erstellen und Ausführen einer Konformitätssuche, um die zu löschende Nachricht zu finden

Der erste Schritt besteht darin, eine Konformitätssuche zu erstellen und auszuführen, um die Nachricht zu finden, die Sie aus Postfächern in Ihrer Organisation entfernen möchten. Sie können die Suche erstellen, indem Sie die Cmdlets New-ComplianceSearch und Start-ComplianceSearch ausführen. Die Nachrichten, die mit der Abfrage für diese Suche übereinstimmen, werden durch Ausführen des Cmdlets New-ComplianceSearchAction in Schritt 2 gelöscht.

In diesem Beispiel erstellen und starten die Befehle eine Suche in allen Postfächern in der Organisation nach einer Nachricht, die die Wörter "Aktualisieren Sie Ihre Kontoinformationen" in der Betreffzeile enthält.

  1. Öffnen Sie die Exchange-Verwaltungsshell.

  2. Run the following commands.

    New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'

    Start-ComplianceSearch -Identity "Remove Phishing Message"

Informationen zum Erstellen einer Konformitätssuche und zum Konfigurieren von Suchabfragen finden Sie in den folgenden Themen:

Tipps zum Suchen nach zu löschenden Nachrichten

Das Ziel der Suchabfrage ist es, die Ergebnisse der Suche auf die Nachricht oder Nachrichten einzuschränken, die Sie entfernen möchten. Hier finden Sie einige Tipps:

  • Wenn Sie den genauen Text oder einen Ausdruck kennen, der in der Betreffzeile der Nachricht aufgeführt ist, verwenden Sie die Betreff-Eigenschaft in der Suchabfrage.

  • Wenn Sie das genaue Datum (oder den Datumsbereich) der Nachricht kennen, nehmen Sie die Eigenschaft Empfangen in die Suchabfrage auf.

  • Wenn Sie wissen, wer die Nachricht gesendet hat, nehmen Sie die Eigenschaft Von in die Suchabfrage auf.

  • Zeigen Sie eine Vorschau der Suchergebnisse an, um sicherzustellen, dass die Suche nur die Nachricht(en) zurückgegeben hat, die Sie löschen möchten.

  • Verwenden Sie die Statistiken zur Suchschätzung (durch Ausführen des Cmdlets Get-ComplianceSearch ), um die Gesamtzahl der Suchergebnisse abzurufen.

Nachfolgend finden Sie zwei Beispiele für Abfragen, um verdächtige E-Mail-Nachrichten zu suchen.

  • Diese Abfrage gibt Nachrichten zurück, die von Benutzern zwischen dem 13. April 2016 und dem 14. April 2016 empfangen wurden und die Wörter „action“ und „required“ in der Betreffzeile enthalten.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')

  • Diese Abfrage gibt Nachrichten zurück, die von chatsuwloginsset12345@outlook.com gesendet wurden und die den genauen Ausdruck "Aktualisieren Sie Ihre Kontoinformationen" in der Betreffzeile enthalten.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

Schritt 2: Löschen der Nachricht

Nachdem Sie eine Kompatibilitätssuche erstellt und optimiert haben, um die Nachricht zurückzugeben, die Sie entfernen möchten, besteht der letzte Schritt darin, das Cmdlet New-ComplianceSearchAction auszuführen, um die Nachricht zu löschen. Gelöschte Nachrichten werden in den Ordner „Wiederherstellbare Elemente“ des Benutzers verschoben.

In diesem Beispiel löscht der Befehl die Suchergebnisse, die von einer Konformitätssuche mit dem Namen "Remove Phishing Message" (Phishingnachricht entfernen) zurückgegeben werden.

  1. Öffnen Sie die Exchange-Verwaltungsshell.

  2. Führen Sie den folgenden Befehl aus.

    New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

Weitere Informationen

  • Was geschieht, nachdem Sie eine Nachricht gelöscht haben?: Eine Nachricht, die mit dem New-ComplianceSearchAction -Purge -PurgeType SoftDelete Befehl gelöscht wird, wird in den Ordner Deletes im Ordner "Wiederherstellbare Elemente" des Benutzers verschoben. Sie wird nicht sofort aus der Exchange-Datenbank gelöscht. Der Benutzer kann Nachrichten im Ordner "Gelöschte Elemente" so lange wiederherstellen, wie der für das Postfach konfigurierte Aufbewahrungszeitraum für gelöschte Elemente dauert. Nach Ablauf dieses Aufbewahrungszeitraums (oder wenn der Benutzer die Nachricht vor dem Ablauf löscht) wird die Nachricht in den Ordner "Löschungen" verschoben, und der Benutzer kann nicht mehr darauf zugreifen. Sobald sie sich im Ordner "Löschvorgänge" befindet, wird die Nachricht erneut für die Dauer aufbewahrt, die auf dem für das Postfach konfigurierten Aufbewahrungszeitraum für gelöschte Elemente basiert, wenn die Wiederherstellung einzelner Elemente für das Postfach aktiviert ist. (In Exchange ist die Wiederherstellung einzelner Elemente standardmäßig aktiviert, wenn ein neues Postfach erstellt wird. ) Nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente wird die Nachricht aus dem endgültigen Löschen markiert und aus der Exchange-Datenbank gelöscht, wenn das Postfach das nächste Mal vom Assistenten für verwaltete Ordner verarbeitet wird.

  • Woher wissen Sie, dass Nachrichten gelöscht und in den Ordner "Wiederherstellbare Elemente" des Benutzers verschoben werden?: Wenn Sie die gleiche Konformitätssuche ausführen, nachdem Sie eine Nachricht gelöscht haben, wird weiterhin die gleiche Anzahl von Suchergebnissen angezeigt (und möglicherweise wird davon ausgegangen, dass die Nachricht nicht aus Benutzerpostfächern gelöscht wurde). Dies liegt daran, dass eine Kompatibilitätssuche den Ordner Wiederherstellbare Elemente durchsucht, in den die gelöschte Nachricht verschoben wird, nachdem Sie den New-ComplianceSearchAction -Purge -PurgeType SoftDelete Befehl ausgeführt haben. Um zu überprüfen, ob Nachrichten in den Ordner "Wiederherstellbare Elemente" verschoben wurden, können Sie eine In-Place eDiscovery-Suche ausführen (mit denselben Quellpostfächern und Suchkriterien wie die in Schritt 1 erstellte Kompatibilitätssuche), und die Suchergebnisse in das Ermittlungspostfach kopieren. Sie können die Suchergebnisse dann im Discoverypostfach überprüfen und sicherstellen, dass die Nachrichten an den Ordner „Wiederherstellbare Elemente“ verschoben wurde. Ausführliche Informationen zum Erstellen einer In-Place eDiscovery-Suche, die die Liste der Quellpostfächer und die Suchabfrage aus einer Konformitätssuche verwendet, finden Sie unter Verwenden der Kompatibilitätssuche zum Durchsuchen aller Postfächer in Exchange Server.

  • Was geschieht, wenn eine Nachricht aus einem Postfach gelöscht wird, das in In-Place Halte- oder Beweissicherungsverfahren abgelegt wurde?: Nachdem die Nachricht gelöscht wurde (entweder vom Benutzer oder nach Ablauf des Aufbewahrungszeitraums für gelöschte Elemente), wird die Nachricht bis zum Ablauf der Aufbewahrungsdauer beibehalten. Wenn die Aufbewahrungsdauer unbegrenzt ist, werden die Elemente gespeichert, bis die Sperre aufgehoben oder die Aufbewahrungsdauer geändert wird.

  • Wie kann der Status für den Such- und Löschvorgang abgerufen werden? Führen Sie get-ComplianceSearchAction: aus, um den Status für den Löschvorgang abzurufen. Beachten Sie, dass das Objekt, das beim Ausführen des Cmdlets New-ComplianceSearchAction erstellt wird, im folgenden Format benannt wird: <name of Compliance Search>_Purge.