Exchange Server 메시지 검색 및 삭제

  • 아티클

New-ComplianceSearchNew-ComplianceSearchAction cmdlet을 사용하여 조직의 모든 사서함에서 전자 메일 메시지를 검색하고 삭제할 수 있습니다. 이렇게 하면 잠재적으로 유해하거나 위험성이 높은 전자 메일을 찾아서 제거하는 데 도움이 됩니다.

  • 위험한 첨부 파일 또는 바이러스를 포함하는 메시지

  • 피싱 메시지

  • 중요한 데이터가 포함된 메시지

Search-Mailbox cmdlet을 사용하여 메시지를 삭제하는 대신 New-ComplianceSearch 및 New-ComplianceSearchAction cmdlet을 사용하는 이유는 무엇인가요? 이전 버전의 Exchange에서는 명령을 실행 Search-Mailbox -DeleteContent 하여 전자 메일 메시지를 검색하고 삭제할 수 있습니다. Exchange Server 계속 수행할 수 있지만 Search-Mailbox cmdlet을 사용하여 단일 검색에서 최대 10,000개의 사서함만 검색할 수 있습니다. New-ComplianceSearch의 경우 단일 검색에서 사서함 수에 제한이 없습니다. 이렇게 하면 대규모 조직에서 조직 전체 검색 및 삭제 작업을 수행할 수 있습니다.

검색 및 삭제 프로세스에 대한 워크플로는 다음과 같습니다.

1단계: 준수 검색을 만들고 실행하여 삭제할 메시지를 찾습니다.

2단계: 메시지 삭제

삭제된 메시지에서 나타나는 결과와 검색 및 삭제 작업의 상태를 가져오는 방법에 대해서는 추가 정보 섹션을 참조하세요.

주의

검색 및 삭제는 필요한 권한이 할당된 누구든지 조직의 사서함에서 전자 메일 메시지를 삭제할 수 있도록 하는 강력한 기능입니다.

시작하기 전에

  • New-ComplianceSearchStart-ComplianceSearchAction cmdlet을 사용하여 준수 검색을 만들고 실행하고 New-ComplianceSearchAction cmdlet을 사용하여 메시지를 삭제하려면 사서함 검색 관리 역할이 할당되어야 합니다. 관리자에게는 기본적으로 이 역할이 할당되지 않습니다. 사서함을 검색하고 메시지를 삭제할 수 있도록 이 역할을 자신에게 할당하려면 자신을 검색 관리 역할 그룹의 구성원으로 추가합니다. Exchange Server eDiscovery 권한 할당을 참조하세요.

  • 사서함마다 한번에 최대 10개의 항목을 제거할 수 있습니다. 메시지를 검색하고 제거하는 기능은 인시던트 응답 도구로 고안되었으므로 이러한 제한은 사서함에서 메시지가 빠르게 제거되도록 합니다. 이 기능은 사용자 사서함을 정리하기 위한 것이 아닙니다.

1단계: 준수 검색을 만들고 실행하여 삭제할 메시지를 찾습니다.

첫 번째 단계는 규정 준수 검색을 만들고 실행하여 조직의 사서함에서 제거할 메시지를 찾는 것입니다. New-ComplianceSearchStart-ComplianceSearch cmdlet을 실행하여 검색을 만들 수 있습니다. 이 검색에 대한 쿼리와 일치하는 메시지는 2단계에서 New-ComplianceSearchAction cmdlet을 실행하여 삭제됩니다.

이 예제에서 명령은 제목 줄에 "계정 정보 업데이트"라는 단어가 포함된 메시지를 위해 조직의 모든 사서함을 만들고 검색하기 시작합니다.

  1. Exchange 관리 셸을 엽니다.

  2. 다음 명령을 실행합니다.

    New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'

    Start-ComplianceSearch -Identity "Remove Phishing Message"

준수 검색을 만들고 검색 쿼리를 구성하는 방법에 대한 자세한 내용은 다음 항목을 참조하세요.

제거할 메시지를 찾기 위한 팁

검색 쿼리의 목적은 검색의 결과 범위를 제거할 메시지로만 좁히는 것입니다. 다음 팁을 참조하세요.

  • 메시지의 제목 줄에 사용된 정확한 텍스트나 구를 알고 있으면 검색 쿼리에 Subject 속성을 사용합니다.

  • 메시지의 정확한 날짜(또는 날짜 범위)를 알고 있으면 검색 쿼리에 Received 속성을 포함합니다.

  • 메시지를 보낸 사람을 알고 있으면 검색 쿼리에 From 속성을 포함합니다.

  • 검색 결과를 미리 확인하여 콘텐츠 검색이 삭제하려는 메시지만 반환하는지 검토합니다.

  • Get-ComplianceSearch cmdlet을 실행하여 검색 예상 통계를 사용하여 총 검색 결과 수를 가져옵니다.

다음은 의심스러운 전자 메일 메시지를 찾는 쿼리의 두 가지 예입니다.

  • 이 쿼리는 2016년 4월 13일과 2016년 4월 14일 사이에 사용자가 받은 메시지 중에서 제목 줄에 "action" 및 "required"가 포함된 메시지를 반환합니다.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')

  • 이 쿼리는 제목 줄에 chatsuwloginsset12345@outlook.com "계정 정보 업데이트"라는 정확한 문구가 포함된 에서 보낸 메시지를 반환합니다.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")

2단계: 메시지 삭제

제거할 메시지를 반환하기 위해 준수 검색을 만들고 구체화한 후 마지막 단계는 New-ComplianceSearchAction cmdlet을 실행하여 메시지를 삭제하는 것입니다. 삭제된 메시지는 사용자의 복구할 수 있는 항목 폴더로 이동됩니다.

이 예제에서 명령은 "피싱 메시지 제거"라는 준수 검색에서 반환된 검색 결과를 삭제합니다.

  1. Exchange 관리 셸을 엽니다.

  2. 다음 명령을 실행합니다.

    New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete

추가 정보

  • 메시지를 삭제하면 어떻게 되나요?: 명령을 사용하여 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 삭제된 메시지는 사용자의 복구 가능한 항목 폴더에 있는 삭제 폴더로 이동됩니다. Exchange 데이터베이스에서 즉시 제거되지는 않습니다. 사용자는 사서함에 구성된 삭제된 항목 보존 기간에 따라 일정 기간 동안 삭제된 항목 폴더에서 메시지를 복구할 수 있습니다. 이 보존 기간이 만료되거나 만료되기 전에 사용자가 메시지를 제거하면 메시지는 제거 폴더로 이동되고 더 이상 액세스할 수 없습니다. 제거 폴더에 있으면 사서함에 대해 단일 항목 복구가 사용하도록 설정된 경우 사서함에 대해 구성된 삭제된 항목 보존 기간에 따라 메시지가 다시 보존됩니다. Exchange에서는 새 사서함을 만들 때 기본적으로 단일 항목 복구를 사용하도록 설정합니다. ) 삭제된 항목 보존 기간이 만료되면 메시지는 영구 삭제에서 표시되며 다음에 관리되는 폴더 도우미가 사서함을 처리할 때 Exchange 데이터베이스에서 제거됩니다.

  • 메시지가 삭제되어 사용자의 복구 가능한 항목 폴더로 이동되었는지 어떻게 알 수 있나요?: 메시지를 삭제한 후에도 동일한 준수 검색을 실행하면 동일한 수의 검색 결과가 표시됩니다(메시지가 사용자 사서함에서 삭제되지 않았다고 가정할 수 있음). 이는 준수 검색이 복구 가능한 항목 폴더를 검색하기 때문입니다. 여기서 삭제된 메시지는 명령을 실행 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 한 후 로 이동됩니다. 복구 가능한 항목 폴더로 이동한 메시지를 확인하려면 In-Place eDiscovery 검색(1단계에서 만든 준수 검색과 동일한 원본 사서함 및 검색 조건을 사용)을 실행하고 검색 결과를 검색 사서함에 복사할 수 있습니다. 그런 다음 검색 사서함에서 검색 결과를 보고 메시지가 복구 가능한 항목 폴더로 이동되었는지 확인할 수 있습니다. 원본 사서함 목록을 사용하는 In-Place eDiscovery 검색을 만들고 규정 준수 검색에서 쿼리를 검색하는 방법에 대한 자세한 내용은 준수 검색을 사용하여 Exchange Server 모든 사서함 검색을 참조하세요.

  • In-Place 보류 또는 소송 보존에 배치된 사서함에서 메시지가 삭제되면 어떻게 되나요?: 메시지가 제거된 후(사용자가 또는 삭제된 항목 보존 기간이 만료된 후) 보류 기간이 만료될 때까지 메시지가 유지됩니다. 보존 기간에 제한이 없는 경우 보류를 제거하거나 보존 기간을 변경할 때까지 항목이 보존됩니다.

  • 검색 및 삭제 작업에서 상태를 가져오는 방법 Get-ComplianceSearchAction: 를 실행하여 삭제 작업의 상태를 가져옵니다. New-ComplianceSearchAction cmdlet을 실행할 때 생성되는 개체의 이름은 형식<name of Compliance Search>_Purge을 사용하여 지정됩니다.