Поиск и удаление сообщений в почтовых ящиках пользователей

[Раздел находится в разработке.]  

Применимо к: Office 365 for enterprises, Live@edu

Последнее изменение раздела: 2011-11-23

Время от времени администраторам приходится искать и удалять нежелательные и потенциально вредные сообщения, отправляемые в несколько почтовых ящиков в организации. Например, сообщения могут содержать вирусы и ссылки на них, нежелательный контент, например материалы только для взрослых, и конфиденциальные сведения, случайно отправленные нежелательным адресатам.

Для этих целей не удастся использовать поиск по нескольким почтовым ящикам в панели управления Exchange, но в Windows PowerShell это можно сделать с помощью командлета Search-Mailbox и параметра DeleteContent.

Внимание!   При использовании командлета Search-Mailbox с параметром DeleteContent сообщения в пользовательских почтовых ящиках удаляются безвозвратно.

Приступая к работе

UNRESOLVED_TOKEN_VAL(<rte:TA_RPSBeforeYouBegin>)

Назначение требуемых ролей RBAC

Для поиска и удаления сообщений в почтовых ящиках пользователей необходимы следующие роли:

  • Поиск в почтовых ящиках.   Эта роль позволяет искать сообщения в нескольких почтовых ящиках в пределах организации. Администраторы не имеют этой роли по умолчанию. Для поиска в нескольких почтовых ящиках необходимо стать членом группы ролей «Управление обнаружением». См. раздел Добавление и удаление членов группы ролей.

  • Импорт и экспорт почтовых ящиков.   Эта роль позволяет удалять сообщения из почтового ящика пользователя. Эта роль не назначается администраторам по умолчанию. Для удаления сообщений из почтовых ящиков пользователей следует добавить роль «Импорт и экспорт почтовых ящиков» в группу ролей «Управление организацией». См. раздел Изменение свойств группы ролей.

Сбор сведений для поискового запроса

Следует найти и проанализировать копии зараженного или нежелательного сообщения, чтобы создать подходящий поисковый запрос.

В начало страницы

Параметры поиска и удаления

Для поиска сообщений и их удаления можно использовать командлет Search-Mailbox с параметром DeleteContent. При этом, однако, не удастся просмотреть результаты поиска или создать журнал возвращенных сообщений. Это значит, что нельзя узнать, какие сообщения удалены.

Рекомендуется предварительно запустить командлет Search-Mailbox с параметром LogOnly. Эта команда создает журнал, содержащий сведения о всех результатах, отвечающих условиям поиска, но сообщения она не удаляет. Сведения сохраняются в CSV-файле, вложенном в сообщение электронной почты, которое отправляется в почтовый ящик и папку, указанную с помощью параметров TargetMailbox и TargetFolder командлета Search-Mailbox. После анализа журнала можно уточнить условия поиска и повторить создание журнала либо запустить поиск с параметром DeleteContent.

Третий вариант — сначала скопировать нежелательное сообщение перед удалением из почтового ящика, чтобы обратиться к нему в случае необходимости. Для этого можно указать при запуске команды для удаления сообщения параметры TargetMailbox и TargetFolder.

В начало страницы

Поиск сообщений и ведение журнала результатов

Рассмотрим ряд примеров использования командлета Search-Mailbox. Список свойств сообщений, которые можно указывать в параметре SearchQuery, см. в разделе Свойства сообщений электронной почты, поддерживающие поиск.

Поиск в одном почтовом ящике

Следующая команда проводит поиск в указанном почтовом ящике организации; ищутся сообщения с определенным значением в поле темы. Результаты отправляются в целевой почтовый ящик. Сообщения не удаляются из ящика, в котором идет поиск.

Search-Mailbox -Identity <name> -SearchQuery subject:"<verbatim subject line>" -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -LogOnly -LogLevel Full

Пример.   Следующая команда ищет в почтовом ящике «Pilar Pinilla» сообщения, содержащие фразу Download this file в поле «Тема», и заносит результаты поиска в журнал в папке SearchLogs в почтовом ящике администратора.

Search-Mailbox -Identity "Pillar Pinilla" -SearchQuery subject:"Download this file" -TargetMailbox Administrator -TargetFolder SearchLogs -LogOnly -LogLevel Full
Поиск во всех почтовых ящиках

Следующая команда проводит поиск во всех почтовых ящиках организации; ищутся сообщения с определеннным вложенным файлом. Результаты отправляются в целевой почтовый ящик. Сообщения не удаляются из ящиков, в которых идет поиск.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:<filename> -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -LogOnly -LogLevel Full

Пример.   Следующая команда ищет во всех почтовых ящиках сообщения с вложениями типа Trojan и отправляет журнал в почтовый ящик администратора.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox Administrator -TargetFolder SearchLogs -LogOnly -LogLevel Full

В начало страницы

Поиск и удаление сообщений

Следующая команда ведет поиск во всех почтовых ящиках и удаляет все сообщения, содержащие определенный текст в поле темы:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:<verbatim subject line> -DeleteContent

Пример.   Следующая команда ищет во всех почтовых ящиках сообщения с темой Download this file и безвозвратно удаляет их.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:"Download this file" -DeleteContent

Внимание!   Перед безвозвратным удалением сообщений рекомендуется использовать параметр LogOnly для создания журнала найденных сообщений или копировать сообщения в другой почтовый ящик перед удалением из исходного.

Копирование сообщения перед удалением

Следующая команда ищет во всех почтовых ящиках сообщения с определенным текстом в поле «Тема», копирует результаты поиска в папку и удаляет все найденные по указанным условиям сообщения.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:<verbatim subject line> -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -DeleteContent

Пример.   Следующая команда ищет во всех почтовых ящиках сообщения, содержащие фразу Download this file в поле «Тема», копирует результаты поиска в папку DeletedMessages в почтовом ящике администратора и безвозвратно удаляет сообщения из почтовых ящиков пользователей.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:"Download this file" -TargetMailbox Administrator -TargetFolder DeletedMessages -DeleteContent

В начало страницы

Свойства сообщений электронной почты, поддерживающие поиск

В таблице ниже приведен список наиболее распространенных свойств сообщений, которые можно использовать в параметре SearchQuery.

 

Свойство Пример Результаты поиска

Вложения

вложение:годовойотчет.ppt

Сообщения, содержащие вложение с названием годовойотчет.ppt. Использование запросов «вложение:годовойотчет» или «вложение:годовой*» даст те же результаты, что и указание полного имени вложения.

Копия

cc:"gurinder singh"

cc:gurinders

cc: gurinders@fineartschool.edu

Сообщения, содержащие «Gurinder Singh» в поле Копия

От

from:"Max Stevens"

от:evgenyk

from:maxs@contoso.com

Сообщения, отправленные Евгением Куликовым

Отправлено

sent:10/19/2010

Сообщения, отправленные 19 октября 2010 г.

Тема

тема:«Квартальное финансирование»

Сообщения, которые содержат точную фразу «Квартальное финансирование» в строке темы

Кому

to:"Judy Lew"

кому:judyl

to:judyl@contoso.com

Сообщения, отправленные Джуди Лью

 
Связанные разделы справки
Идет загрузка...
Ресурсы не найдены.