从用户邮箱搜索和删除邮件

[本主题正在进行。]  

适用于: Office 365 for enterprises, Live@edu

上一次修改主题: 2011-11-23

有时,管理员需要搜索和删除发送给其整个组织中多个邮箱的不适当或可能有害的电子邮件。例如,电子邮件可能包含病毒或用于下载病毒的链接、不适当的内容(如与成人相关的材料)或意外发送给错误人员的机密信息。

您无法将 Exchange 控制面板中的“多邮箱搜索”用于此用途,但是可在 Windows PowerShell 中使用带有 DeleteContent 开关参数的 Search-Mailbox cmdlet 来执行此操作。

重要说明   在使用带有 DeleteContent 参数的 Search-Mailbox cmdlet 时,邮件会从用户邮箱中永久删除,无法恢复。

开始之前

UNRESOLVED_TOKEN_VAL(<rte:TA_RPSBeforeYouBegin>)

分配所需的 RBAC 角色。

您必须分配有以下角色才能在用户邮箱中搜索和删除邮件:

  • 邮箱搜索   此角色允许您跨组织中的多个邮箱搜索邮件。默认情况下不会向管理员分配此角色。若要搜索多个邮箱,请将您自己添加为“发现管理”角色组的成员。请参阅添加或删除角色组成员

  • 邮箱导入导出   此角色允许您从用户邮箱删除邮件。默认情况下不会向管理员分配此角色。若要从用户邮箱删除邮件,请将“邮箱导入导出”角色添加到“组织管理”角色组。请参阅编辑角色组属性

为搜索查询收集信息

您需要获取并查看受感染或不适当邮件的几个副本,以便可以创建会发现这种邮件的搜索查询。

返回页首

搜索和删除方法

可以使用带有 DeleteContent 参数的 Search-Mailbox cmdlet 在一个步骤中搜索并删除邮件。但在执行此操作时,您无法预览搜索结果或生成记录由搜索返回的邮件的日志。这意味着您不知道删除了哪些邮件。

一种更好的方法是先运行带有 LogOnly 参数的 Search-Mailbox cmdlet。此命令生成的日志包含有关满足搜索条件的所有结果的信息,但是此命令不会删除邮件。这些信息在一个逗号分隔值 (CSV) 文件中提供,该文件附加到向通过将 TargetMailboxTargetFolder 参数用于 Search-Mailbox cmdlet 来定义的邮箱和文件夹发送的电子邮件上。查看日志之后,可以按照需要优化搜索条件并重新运行仅限日志的搜索,或使用 DeleteContent 参数执行搜索。

第三种方法是先复制有问题的邮件,然后从用户邮箱中将其删除,以便以后可以在需要时访问该邮件。为此,请在为删除邮件而运行的命令中包括 TargetMailboxTargetFolder 参数。

返回页首

搜索邮件并记录搜索结果

下面来展示一些示例,这些示例演示使用 Search-Mailbox cmdlet 可执行的操作。有关可在 SearchQuery 参数值中包括的邮件属性的列表,请参阅要搜索的电子邮件属性

搜索单个邮箱

以下命令在组织中的特定邮箱中搜索主题行中包含特定值的邮件,然后将含有搜索结果的邮件发送给目标邮箱。不会从搜索的邮箱中删除邮件。

Search-Mailbox -Identity <name> -SearchQuery subject:"<verbatim subject line>" -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -LogOnly -LogLevel Full

示例   以下命令在 Pilar Pinilla 的邮箱中搜索主题字段中含有 Download this file 短语的邮件,并将搜索结果记录在管理员邮箱中的 SearchLogs 文件夹中。

Search-Mailbox -Identity "Pillar Pinilla" -SearchQuery subject:"Download this file" -TargetMailbox Administrator -TargetFolder SearchLogs -LogOnly -LogLevel Full
搜索所有邮箱

以下命令在组织中的所有邮箱中搜索附加了特定文件的邮件,然后将含有搜索结果的邮件发送给目标邮箱。不会从搜索的邮箱中删除邮件。

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:<filename> -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -LogOnly -LogLevel Full

示例   以下命令在所有邮箱中搜索具有名为 Trojan 的任何类型附加文件的邮件,并向管理员邮箱发送一个日志邮件。

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox Administrator -TargetFolder SearchLogs -LogOnly -LogLevel Full

返回页首

搜索和删除邮件

以下命令搜索所有邮箱,并删除在主题行中包含特定文本的任何邮件:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:<verbatim subject line> -DeleteContent

示例   以下命令在所有邮箱中搜索带有主题行 Download this file 的邮件,然后永久删除这些邮件。

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:"Download this file" -DeleteContent

重要说明   在永久删除邮件之前,建议使用 LogOnly 参数在删除邮件前生成在搜索中找到的邮件的日志,或者在从源邮箱中删除邮件之前,将邮件复制到另一个邮箱。

在删除之前复制邮件

以下命令在所有邮箱中搜索主题行中包含特定文本的任何邮件,将实际搜索结果复制到一个文件夹,然后删除满足搜索条件的所有邮件。

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:<verbatim subject line> -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -DeleteContent

示例   以下命令在所有邮箱中搜索带有主题行 Download this file 的邮件,将搜索结果复制到管理员邮箱中的 DeletedMessages 文件夹,然后从用户邮箱中永久删除这些邮件。

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:"Download this file" -TargetMailbox Administrator -TargetFolder DeletedMessages -DeleteContent

返回页首

要搜索的电子邮件属性

下表列出了可在 SearchQuery 参数值中包含的常见邮件属性。

 

属性 示例 搜索结果

附件

attachment:annualreport.ppt

包含名为 annualreport.ppt 的附件的邮件。使用 attachment:annualreport 或 attachment:annual* 将返回与使用附件完整名称相同的结果。

抄送

cc:"gurinder singh"

cc:gurinders

cc: gurinders@fineartschool.edu

在“抄送”字段中包含 Gurinder Singh 的邮件

发件人

from:"Max Stevens"

from:maxs

from:maxs@contoso.com

由 Max Stevens 发送的邮件

发送时间

sent:10/19/2010

2010 年 10 月 19 日发送的邮件

主题

subject:"Quarterly Financials"

主题行中包含准确短语“Quarterly Financials”的邮件

收件人

to:"Judy Lew"

to:judyl

to:judyl@contoso.com

发送给 Judy Lew 的邮件

 
相关帮助主题
正在加载...
未找到资源。