Rechercher et supprimer des messages dans Exchange Server

Vous pouvez utiliser les applets de commande New-ComplianceSearch et New-ComplianceSearchAction pour rechercher et supprimer un message électronique de toutes les boîtes aux lettres de votre organisation. Cela peut vous aider à rechercher et supprimer les messages potentiellement nuisibles ou à haut risque, tels que :

• Messages contenant des virus ou des pièces jointes dangereuses

• Messages de hameçonnage

• Messages qui contiennent des données sensibles

Pourquoi utiliser les applets de commande New-ComplianceSearch et New-ComplianceSearchAction au lieu d’utiliser l’applet de commande Search-Mailbox pour supprimer des messages ? Dans les versions précédentes d’Exchange, vous pouviez exécuter la Search-Mailbox -DeleteContent commande pour rechercher et supprimer des messages électroniques. Vous pouvez toujours le faire dans Exchange Server, mais vous ne pouvez rechercher que 10 000 boîtes aux lettres dans une seule recherche à l’aide de l’applet de commande Search-Mailbox. Pour New-ComplianceSearch, il n’existe aucune limite pour le nombre de boîtes aux lettres dans une seule recherche. Cela permet aux grandes organisations d’effectuer des opérations de recherche et de suppression à l’échelle de l’organisation.

Voici le flux de travail pour le processus de recherche et de suppression :

Étape 1 : Créer et exécuter une recherche de conformité pour rechercher le message à supprimer

Étape 2 : Supprimer le message

Consultez la section Plus d’informations pour obtenir une description du parcours des messages supprimés et découvrir comment obtenir l’état d’une opération de recherche et de suppression.

Avant de commencer

• Pour utiliser les applets de commande New-ComplianceSearch et Start-ComplianceSearchAction pour créer et exécuter une recherche de conformité, et pour utiliser l’applet de commande New-ComplianceSearchAction pour supprimer des messages, vous devez disposer du rôle de gestion Recherche de boîtes aux lettres. Ce rôle n'est pas attribué par défaut aux administrateurs. Pour vous attribuer ce rôle afin de pouvoir rechercher des boîtes aux lettres et supprimer des messages, ajoutez-vous en tant que membre du groupe de rôles Gestion de la découverte. Consultez Attribuer des autorisations eDiscovery dans Exchange Server.

• Un maximum de 10 éléments par boîte aux lettres peuvent être supprimés à la fois. Sachant que la fonction de recherche et de suppression de messages est censée être un outil de réponse aux incidents, cette limite permet de s’assurer que les messages sont rapidement supprimés des boîtes aux lettres. Cette fonctionnalité n’est pas destinée à nettoyer les boîtes aux lettres des utilisateurs.

Étape 1 : Créer et exécuter une recherche de conformité pour rechercher le message à supprimer

La première étape consiste à créer et exécuter une recherche de conformité pour rechercher le message que vous souhaitez supprimer des boîtes aux lettres de votre organisation. Vous pouvez créer la recherche en exécutant les applets de commande New-ComplianceSearch et Start-ComplianceSearch . Les messages qui correspondent à la requête pour cette recherche seront supprimés en exécutant l’applet de commande New-ComplianceSearchAction à l’étape 2.

Dans cet exemple, les commandes créent et démarrent une recherche dans toutes les boîtes aux lettres de l’organisation à la recherche d’un message contenant les mots « Mettre à jour les informations de votre compte » dans la ligne d’objet.

1. Ouvrez l’environnement de ligne de commande Exchange Management Shell.

2. Exécutez les commandes suivantes.

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

Pour plus d’informations sur la création d’une recherche de conformité et la configuration des requêtes de recherche, consultez les rubriques suivantes :

• New-ComplianceSearch

• Start-ComplianceSearch

• Propriétés de message et opérateurs de recherche pour In-Place eDiscovery dans Exchange Server

Conseils pour la recherche des messages à supprimer

L’objectif de la requête de recherche est de concentrer les résultats de la recherche sur les messages que vous voulez supprimer. Voici quelques conseils :

• Si vous connaissez l’expression ou le texte exact utilisé dans l’objet du message, utilisez la propriété Subject dans la requête de recherche.

• Si vous connaissez la date (ou la plage de dates) exacte du message, incluez la propriété Reçu dans la requête de recherche.

• Si vous savez qui a envoyé le message, incluez la propriété From dans la requête de recherche.

• Prévisualisez les résultats de recherche pour vérifier que la recherche renvoie uniquement les messages que vous voulez supprimer.

• Utilisez les statistiques d’estimation de recherche (en exécutant l’applet de commande Get-ComplianceSearch ) pour obtenir le nombre total de résultats de recherche.

Voici deux exemples de requêtes pour rechercher des messages électroniques suspects.

• Cette requête renvoie les messages qui ont été reçus par les utilisateurs entre le 13 et le 14 avril 2016, et qui contiennent les mots « action » et « obligatoire » dans l’objet.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Cette requête retourne les messages qui ont été envoyés par chatsuwloginsset12345@outlook.com et qui contiennent l’expression exacte « Mettre à jour les informations de votre compte » dans la ligne d’objet.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Étape 2 : Supprimer le message

Une fois que vous avez créé et affiné une recherche de conformité pour renvoyer le message que vous souhaitez supprimer, la dernière étape consiste à exécuter l’applet de commande New-ComplianceSearchAction pour supprimer le message. Les messages supprimés sont déplacés vers le dossier Éléments récupérables d’un utilisateur.

Dans cet exemple, la commande supprime les résultats de recherche retournés par une recherche de conformité nommée « Supprimer le message d’hameçonnage ».

1. Ouvrez l’environnement de ligne de commande Exchange Management Shell.

2. Exécutez la commande suivante :

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

Plus d’informations

• Que se passe-t-il après la suppression d’un message ? : un message supprimé à l’aide de la New-ComplianceSearchAction -Purge -PurgeType SoftDelete commande est déplacé vers le dossier Suppressions du dossier Éléments récupérables de l’utilisateur. Il n’est pas immédiatement vidé de la base de données Exchange. L’utilisateur peut récupérer les messages dans le dossier Éléments supprimés pendant une durée basée sur la période de rétention des éléments supprimés configurée pour la boîte aux lettres. Après expiration de cette période de rétention (ou si l’utilisateur purge le message avant son expiration), le message est déplacé vers le dossier Purges et n’est plus accessible par l’utilisateur. Une fois dans le dossier Purges, le message est de nouveau conservé pendant la durée en fonction de la période de rétention des éléments supprimés configurée pour la boîte aux lettres si la récupération d’éléments uniques est activée pour la boîte aux lettres. (Dans Exchange, la récupération d’élément unique est activée par défaut lors de la création d’une boîte aux lettres. ) Une fois la période de rétention des éléments supprimés expirée, le message est marqué d’une suppression définitive et est vidé de la base de données Exchange la prochaine fois que la boîte aux lettres sera traitée par l’Assistant Dossier managé.

• Comment savoir que les messages sont supprimés et déplacés vers le dossier Éléments récupérables des utilisateurs ? : Si vous exécutez la même recherche de conformité après avoir supprimé un message, vous verrez toujours le même nombre de résultats de recherche (et peut supposer que le message n’a pas été supprimé des boîtes aux lettres utilisateur). Cela est dû au fait qu’une recherche de conformité recherche dans le dossier Éléments récupérables, où le message supprimé est déplacé après l’exécution de la New-ComplianceSearchAction -Purge -PurgeType SoftDelete commande. Pour vérifier que les messages ont été déplacés vers le dossier Éléments récupérables, vous pouvez exécuter une In-Place recherche eDiscovery (en utilisant les mêmes boîtes aux lettres sources et critères de recherche que la recherche de conformité créée à l’étape 1) et copier les résultats de la recherche dans la boîte aux lettres de découverte. Vous pouvez ensuite afficher les résultats de recherche dans la boîte aux lettres de découverte et vérifier que les messages ont été déplacés vers le dossier Éléments récupérables. Consultez Utiliser la recherche de conformité pour rechercher toutes les boîtes aux lettres dans Exchange Server pour plus d’informations sur la création d’une recherche In-Place eDiscovery qui utilise la liste des boîtes aux lettres sources et la requête de recherche à partir d’une recherche de conformité.

• Que se passe-t-il si un message est supprimé d’une boîte aux lettres qui a été placée en attente In-Place ou en attente pour litige ? : Une fois le message vidé (par l’utilisateur ou après l’expiration de la période de rétention de l’élément supprimé), le message est conservé jusqu’à l’expiration de la durée de conservation. Si la durée de la conservation est illimitée, les éléments sont conservés jusqu’à la suppression de la conservation ou la modification de la durée de la conservation.

• Comment obtenir l’état de l’opération de recherche et de suppression ? Exécutez Get-ComplianceSearchAction: pour obtenir l’état de l’opération de suppression. Notez que l’objet créé lorsque vous exécutez l’applet de commande New-ComplianceSearchAction est nommé au format suivant : <name of Compliance Search>_Purge.