在 Exchange Server 中搜索和删除邮件

可以使用 New-ComplianceSearch 和 New-ComplianceSearchAction cmdlet 从组织中的所有邮箱中搜索和删除电子邮件。 这可以帮助你查找并删除可能有害或高风险的电子邮件，例如：

• 包含危险附件或病毒的邮件

• 网络仿冒邮件

• 包含敏感数据的邮件

为什么使用 New-ComplianceSearch 和 New-ComplianceSearchAction cmdlet 而不是使用 Search-Mailbox cmdlet 删除消息？ 在早期版本的 Exchange 中，可以运行 Search-Mailbox -DeleteContent 命令来搜索和删除电子邮件。 仍可以在 Exchange Server 中执行此操作，但使用 Search-Mailbox cmdlet 在单个搜索中最多只能搜索 10，000 个邮箱。 对于 New-ComplianceSearch，单个搜索中的邮箱数没有限制。 这允许大型组织执行组织范围的搜索和删除操作。

下面是搜索和删除过程的工作流：

步骤 1：创建并运行合规性搜索以查找要删除的邮件

步骤 2：删除邮件

请参阅详细信息部分，了解有关已删除邮件所发生情况以及如何获取搜索和删除操作状态的说明。

准备工作

• 若要使用 New-ComplianceSearch 和 Start-ComplianceSearchAction cmdlet 创建和运行合规性搜索，并使用 New-ComplianceSearchAction cmdlet 删除邮件，必须分配邮箱搜索管理角色。 默认情况下不会向管理员分配此角色。 若要为自己分配此角色，以便可以搜索邮箱和删除邮件，请将自己添加为“发现管理”角色组的成员。 请参阅在 Exchange Server 中分配电子数据展示权限。

• 一次最多可以删除每个邮箱的 10 封邮件。 因为搜索和删除邮件的功能是用作事件响应工具，所以此限制可帮助确保从邮箱中快速删除邮件。 此功能并不用于清理用户邮箱。

步骤 1：创建并运行合规性搜索以查找要删除的邮件

第一步是创建并运行合规性搜索，以查找要从组织中的邮箱中删除的邮件。 可以通过运行 New-ComplianceSearch 和 Start-ComplianceSearch cmdlet 来创建搜索。 通过运行步骤 2 中的 New-ComplianceSearchAction cmdlet，将删除与此搜索的查询匹配的消息。

在此示例中，命令将创建并开始搜索组织中所有邮箱，以查找主题行中包含“更新帐户信息”一词的邮件。

1. 打开 Exchange 命令行管理程序。

2. 运行以下命令。

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

有关创建合规性搜索和配置搜索查询的信息，请参阅以下主题：

• New-ComplianceSearch

• Start-ComplianceSearch

• Exchange Server中In-Place电子数据展示的消息属性和搜索运算符

查找要删除的邮件的提示

搜索查询的目标是将搜索结果的范围缩小到仅包含您想要删除的邮件。 以下是一些提示：

• 如果你知道邮件的主题行中使用的确切文本或短语，请在搜索查询中使用主题属性。

• 如果你知道邮件的确切日期（或日期范围），请搜索查询中包括接收日期属性。

• 如果你知道邮件的发件人，请在搜索查询中包括收件人属性。

• 预览搜索结果以验证搜索是否仅返回你想要删除的邮件。

• 运行 Get-ComplianceSearch cmdlet) ，使用搜索估计统计信息 (获取搜索结果总数的计数。

以下是查找可疑电子邮件的两个查询示例。

• 此查询返回用户在 2016 年 4 月 13 日至 2016 年 4 月 14 日之间收到的邮件，而且包含主题行中的单词“操作”和“必需”。

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• 此查询返回由 chatsuwloginsset12345@outlook.com 发送的消息，并在主题行中包含确切短语“更新帐户信息”。

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

步骤 2：删除邮件

创建并优化合规性搜索以返回要删除的邮件后，最后一步是运行 New-ComplianceSearchAction cmdlet 以删除邮件。 已删除的邮件将移动到用户的“可恢复的项目”文件夹中。

在此示例中，命令将删除名为“删除钓鱼邮件”的合规性搜索返回的搜索结果。

1. 打开 Exchange 命令行管理程序。

2. 运行以下命令：

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

更多信息

• 删除邮件后会发生什么情况？：使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令删除的邮件将移动到用户的“可恢复项目”文件夹中的“删除”文件夹。 它不会立即从 Exchange 数据库清除。 在基于为邮箱配置的已删除邮件保留期的持续时间内，用户可以恢复“已删除邮件”文件夹中的邮件。 此保留期过期（或如果用户在过期之前清除邮件）后，邮件将移动到“清除”文件夹，用户将无法再访问。 进入“清除”文件夹中后，如果为邮箱启用了单个项目恢复，邮件会根据为邮箱配置的已删除邮件保留期再次保留一段时间。 (在 Exchange 中，创建新邮箱时，默认启用单个项目恢复。) 删除的项目保留期到期后，邮件将标记为永久删除，并在下次由托管文件夹助理处理邮箱时从 Exchange 数据库中清除邮件。

• 如何知道邮件已删除并将其移动到用户的“可恢复项目”文件夹？：如果在删除邮件后运行相同的符合性搜索，则仍会看到相同数量的搜索结果 (，并可能认为邮件未从用户邮箱中删除) 。 这是因为合规性搜索会搜索“可恢复的项目”文件夹，该文件夹是运行 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令后已删除邮件移动到的位置。 若要验证移动到“可恢复项目”文件夹的邮件，可以使用与步骤 1 () 中创建的符合性搜索相同的源邮箱和搜索条件，并将搜索结果复制到发现邮箱，运行In-Place电子数据展示搜索。 然后可以在发现邮箱中查看搜索结果并验证邮件是否已移动到“可恢复邮件”文件夹。 请参阅使用合规性搜索搜索Exchange Server中的所有邮箱，详细了解如何创建使用源邮箱列表的In-Place电子数据展示搜索以及合规性搜索中的搜索查询。

• 如果邮件从In-Place保留或诉讼保留的邮箱中删除，会发生什么情况？：用户 (清除邮件后，或者在) 已删除邮件保留期到期后，邮件将一直保留到保留期到期。 如果为无限期的保留期，则这些项目会一直保留到你删除保留设置或更改保留期。

• 如何获取搜索和删除操作的状态？ 运行 Get-ComplianceSearchAction： 以获取删除操作的状态。 请注意，运行 New-ComplianceSearchAction cmdlet 时创建的对象使用以下格式命名： <name of Compliance Search>_Purge。