Prohledat poštovní schránku Vyhledat a odstranit jednotlivé e-maily z poštovních schránek Exchange

Server Exchange umožňuje správci prohledávat uživatelské poštovní schránky v databázích a odstraňovat určité dopisy (nebo jiné položky) z poštovních schránek. Například uživatel udělal chybu a omylem zaslal soukromá data jiným uživatelům v organizaci a nepodařilo se stáhnout zprávu v aplikaci Outlook. Ministerstvo bezpečnosti informací vyžaduje, abyste jako správce serveru Exchange odstranili tento e-mail od všech uživatelů ve vaší organizaci Exchange. V tomto článku si ukážeme, jak můžete pomocí prostředí PowerShell prohledávat poštovní schránky uživatelů serveru Exchange (podle různých kritérií) a odstraňovat jednotlivé zprávy od konkrétního uživatele nebo všech uživatelů serveru Exchange. Popsané techniky platí pro Exchange 2016, 2013 a 2010..

Obsah:

• Přiřadit oprávnění k prohledávání poštovních schránek Exchange
• K vyhledání a odstranění písmen ve poštovních schránkách serveru Exchange používáme rutinu Search-Mailbox
• Příklady vyhledávacích dotazů poštovní schránky SearchQuery Exchange
• Omezení ve vyhledávací schránce
• Rychle najděte a odstraňte e-maily ve službě Exchange 2016 pomocí nástroje New-ComplianceSearch

Přiřadit oprávnění k prohledávání poštovních schránek Exchange

Účet správce, který vyhledává a odstraňuje položky, musí mít přiřazeny následující role:

• Export importu poštovní schránky
• Hledání poštovní schránky

Roly můžete přiřadit pomocí EAC nebo pomocí následujících příkazů PowerShell:

New-ManagementRoleAssignment --User itpro -Role "Export importu poštovní schránky"
New-ManagementRoleAssignment --User itpro -Role "Mailbox Search"

Po přiřazení rolí je třeba restartovat konzolu Exchange Management Shell.

K vyhledání a odstranění písmen ve poštovních schránkách serveru Exchange používáme rutinu Search-Mailbox

Můžete také hledat písmena v poštovních schránkách uživatelů prostřednictvím ovládacího panelu Exchange / Exchange Admin Center, tato metoda vyhledávání je však poměrně pomalá a neumožňuje vám odstranit písmena. Je mnohem snazší prohledávat pomocí PowerShell.

Pomocí rutiny cmdlet můžete vyhledávat zprávy v uživatelských schránkách Prohledat poštovní schránku, což umožňuje, podle určitých kritérií, najít písmena ve všech nebo specifických poštovních schránkách, zkopírovat nalezené položky do jiné poštovní schránky nebo je vymazat.

Nejprve zjistíme, jak hledat pomocí vyhledávací schránky..
Chcete-li hledat v konkrétní poštovní schránce s konkrétním předmětem, spusťte příkaz:
Vyhledávací schránka - Identita vasie - Vyhledávací dotaz 'Předmět:' Výroční zpráva ''
Chcete-li prohledat všechny poštovní schránky v organizaci, použijte příkaz:
Get-Mailbox -ResultSize neomezený | Vyhledávací schránka -Vyhledávací dotaz 'Předmět:' Výroční zpráva ''

Chcete-li zkopírovat výsledky hledání do konkrétní poštovní schránky a složky, použijte parametry TargetMailbox a TargetFolder. Po dokončení hledání tedy můžete ručně najít Outlook nebo OWA pro zobrazení nalezených písmen. Předpokládejme, že musíme hledat písmena v seznamu uživatelů (obsažených v textovém souboru users.txt) a kopírovat písmena nalezená ve složce konkrétní poštovní schránky, proveďte následující kroky:

get-content users.txt | Get-Mailbox -ResultSize neomezený | Search-Mailbox -SearchQuery 'Předmět: Výroční zpráva' -TargetMailbox sec_mbx -TargetFolder "ExSearchFolder"

Parametr -Přihlašování znamená, že je třeba vyhodnotit pouze výsledky vyhledávání bez zkopírování výsledků hledání do cílového pole a bez odstranění položek. Při použití tohoto argumentu bude zpráva s výsledky vyhledávání odeslána do zadané cílové poštovní schránky. Sestava je archivovaný soubor CSV, který obsahuje seznam polí, která odpovídají kritériím vyhledávání..

Výsledky vyhledávání můžete vyhodnotit pomocí parametru -EstimateResultOnly, Při použití tohoto argumentu nemusíte specifikovat cílovou poštovní schránku a složku

Chcete-li odstranit nalezená písmena, musíte použít tuto možnost -Smazatobsah, Chcete-li odstranit žádosti o potvrzení pro odstranění informací, přidejte parametr -Síla.

Odstraňte všechna písmena z uživatelské vazy ve všech poštovních schránkách na konkrétním serveru Exchnage:

Get-Mailbox -Server msk-mdb1 -ResultSize neomezený | Vyhledávací schránka - Vyhledat dotaz 'od: "[email protected]"' -DeleteContent -Force

Před odstraněním písmen z poštovních schránek pomocí přepínače -DeleteContent důrazně doporučujeme podívat se na písmena nalezená podle zadaných kritérií pomocí argumentů -EstimateResultOnly nebo -LogOnly..

Chcete-li hledat pouze odstraněné položky, přidejte parametr -SearchDumpsterOnly (Chcete-li vyloučit vyhledávání smazaných položek, přidejte parametr -SearchDumpster: $ false). Pokud potřebujete archiv poštovní schránky vyloučit, použijte parametr -DoNotIncludeArchive.

Příklady vyhledávacích dotazů poštovní schránky SearchQuery Exchange

Pojďme se podívat na příklady dotazů na výběr položky pošty pomocí parametru SearchQuery. Parametr SearchQuery zpracovává dotazy v jazyce KQL (Jazyk dotazu na klíčová slova) - https://docs.microsoft.com/en-us/sharepoint/dev/general-development/keyword-query-language-kql-syntax-reference.

Odstraňte všechna písmena s klíčovým slovem „Tajné“ v předmětu od všech uživatelů, kteří nejsou z vaší domény:

Search-Mailbox -Identity vasia -SearchQuery 'Subject: "Secret" a from ”winitpro.ru” ”-DeleteContent

Vyhledejte a odstraňte všechna písmena s přílohami většími než 20 MB:

Vyhledávací schránka - Identita vasia - SearchQuery 'hasattachment: true AND Size> 20971520' -DeleteContent

Tip. Velikost písmen je uvedena v bajtech a je brána v úvahu velikost celého dopisu, nejen příloh. Můžete určit velikost v megabajtech, v tomto případě se použije následující syntaxe: -SearchQuery Size -gt 20MB.

Můžete současně prohledávat text v záhlaví a předmětu předmětu dopisu, například najdeme a odstraníme všechna písmena, která obsahují v řádku předmětu frázi „Nový rok“ nebo frázi „koupit brandy“..

Vasia ve vyhledávací schránce -Vyhledávací dotaz Předmět: "RE: Nový rok" NEBO tělo: "nákup brandy" -DeleteContent -Force

Pomocí argumentu můžete vyhledávat konkrétní položky v polích Druh, například:

Setkání: -SearchQuery "Kind: meeting"
Kontaktní údaje: -SearchQuery "Druh: kontakty"

Nebo jiné prvky:

• E-mail - dopisy
• Meetings - Meetings
• Úkoly - Úkoly
• Poznámky - poznámka
• Dokumenty - dokumenty
• Časopisy - časopisy
• Kontakty - kontakty
• Zprávy IM - messenger

Hledejte dopisy podle konkrétního odesílatele a příjemce

-SearchQuery 'from: "[email protected]" A do: "[email protected]"'

Můžete hledat písmena s konkrétním souborem v příloze:

-Příloha SearchQuery ': "secret.pdf"'

Nebo podle typu souboru:

-SearchQuery 'attachment-like: "*. Docx"'

Můžete vyhledávat podle data odeslání / přijetí dopisů, ale existuje několik nuancí. Při použití dat jako kritérií vyhledávání zvažte místní nastavení serveru Exchange. Například datum 20. července 2018 může znamenat:

• 07/20/2018
• 20/07/2018
• 20. července 2018
• 20/2018

A pokud se při spuštění příkazu Search-Mailbox zobrazí chyba „Analyzátor KQL vyvolal výjimku ...“, používáte nesprávný formát času.

Chcete-li vyhledat e-maily odeslané v určitý den, použijte dotaz:

-Vyhledávací dotaz odeslán: 07/20/2018

Potřebujete-li zadat časové období (hledat dopisy přijaté ve stanoveném časovém období):

-SearchQuery Přijato: 20/20/2018 ... 07/20/2018

Další příklad. Hledáme dopisy přijaté do 7. července:

-SearchQuery Received:> $ ('07 / 07/2018 ')

Tip. V lokalizované (ruské) verzi serveru Exchange musíte v argumentech KQL použít ruské klíče. Například pro hledání dopisů přijatých a odeslaných ve stanoveném období:

-SearchQuery sent: "01/07/2018 ... 07/20/2018" A přijato: "01/07/2018 ... 07/20/2018

Proto musíte takové konstrukce použít ve SearchQuery:

• na: [email protected]
• Otkot: "[email protected]"
• téma: "Tema je taková"

Hrozba. Proto nechci používat ruské verze produktů!

Omezení ve vyhledávací schránce

Tým Search-Mailbox má významné omezení, může vrátit pouze 10 000 položek, po kterých vrátí chybu

Odeslání dat do vzdáleného příkazu se nezdařilo s následující chybovou zprávou: Celková data přijatá od vzdáleného klienta překročila povolené maximum. Povolené maximum je 524288000.

Chcete-li tedy odebrat více položek, musíte spustit rutinu Prohledat poštovní schránku několikrát, nebo rozdělit pole do skupin podle poštovní databáze nebo serveru.

Get-Mailbox -Database mskdb | Vyhledávací schránka -Vyhledávací dotaz 'od: [email protected]' -DeleteContent -Force

Dalším problémem s vyhledávací schránkou je nízký výkon. Hledání velké organizace může trvat několik dní.

Rychle najděte a odstraňte e-maily ve službě Exchange 2016 pomocí nástroje New-ComplianceSearch

Exchange 2016 zavádí nový mechanismus pro rychlé vyhledávání a mazání písmen v poštovních schránkách uživatelů.

Pomocí následujících příkazů můžete vyhledávání výrazně zúžit:

New-ComplianceSearch -Name FastSearch1 -ExchangeLocation all -ontentMatchQuery 'from: "[email protected]"'
Start-ComplianceSearch -Identity FastSearch1

Tyto týmy během několika minut vypracují několik tisíc krabic.

Dostáváme seznam polí, která spadají pod kritéria vyhledávání:

$ search = Get-ComplianceSearch -Identity FastSearch1
$ results = $ search.SuccessResults
$ mbxs = @ ()
$ lines = $ results -split '[\ r \ n] +'
foreach ($ řádek v $ řádcích)

if ($ line -match 'Location: (\ S +) ,. + Počet položek: (\ d +)' - a $ odpovídá [2] -gt 0)

$ mbxs + = $ zápasy [1]



Nyní můžete začít mazáním písmen pomocí Search-Mailbox pouze v nalezených poštovních schránkách:

$ mbxs | Get-Mailbox | Vyhledávací schránka - Vyhledat dotaz od: "[email protected]" '-DeleteContent -Force

Celkový čas pro vyhledávání a mazání písmen je několikrát zkrácen, zejména ve velkých organizacích.

Nyní můžete vymazat výsledky vyhledávání:

Remove-ComplianceSearch -Identity FastSearch1