Cercare ed eliminare messaggi in Exchange Server

È possibile usare i cmdlet New-ComplianceSearch e New-ComplianceSearchAction per cercare ed eliminare un messaggio di posta elettronica da tutte le cassette postali dell'organizzazione. Ciò è utile per trovare e rimuovere messaggi potenzialmente dannosi o ad alto rischio, ad esempio:

• Messaggi contenenti virus o allegati pericolosi

• Messaggi di phishing

• Messaggi contenenti dati sensibili

Perché usare i cmdlet New-ComplianceSearch e New-ComplianceSearchAction invece di usare il cmdlet Search-Mailbox per eliminare i messaggi? Nelle versioni precedenti di Exchange è possibile eseguire il Search-Mailbox -DeleteContent comando per cercare ed eliminare i messaggi di posta elettronica. È comunque possibile eseguire questa operazione in Exchange Server, ma è possibile cercare solo un massimo di 10.000 cassette postali in una singola ricerca usando il cmdlet Search-Mailbox. Per New-ComplianceSearch non sono previsti limiti per il numero di cassette postali in una singola ricerca. Ciò consente alle organizzazioni di grandi dimensioni di eseguire operazioni di ricerca ed eliminazione a livello di organizzazione.

Ecco il flusso di lavoro per il processo di ricerca ed eliminazione:

Passaggio 1: Creare ed eseguire una ricerca di conformità per trovare il messaggio da eliminare

Passaggio 2: Eliminare il messaggio

Vedere la sezione Ulteriori informazioni per scoprire cosa accade ai messaggi eliminati e come ottenere lo stato di un'operazione di ricerca ed eliminazione.

Attenzione

Ricerca ed eliminazione è una funzionalità avanzata che consente a chiunque disponga delle autorizzazioni necessarie di eliminare i messaggi di posta elettronica dalle cassette postali nell'organizzazione.

Prima di iniziare

• Per usare i cmdlet New-ComplianceSearch e Start-ComplianceSearchAction per creare ed eseguire una ricerca di conformità e per usare il cmdlet New-ComplianceSearchAction per eliminare i messaggi, è necessario assegnare il ruolo di gestione Ricerca cassette postali. Agli amministratori non viene assegnato questo ruolo per impostazione predefinita. Per assegnare a se stessi questo ruolo in modo che sia possibile eseguire ricerche nelle cassette postali ed eliminare i messaggi, aggiungere se stessi come membro del gruppo di ruoli Gestione individuazione. Vedere Assegnare autorizzazioni di eDiscovery in Exchange Server.

• È possibile rimuovere un massimo di 10 elementi per ogni cassetta postale alla volta. Poiché la possibilità di cercare e di rimuovere i messaggi è uno strumento di intervento, questo limite garantisce che i messaggi vengano rimossi rapidamente dalle cassette postali. Lo scopo di questa funzionalità non è svuotare le cassette postali degli utenti.

Passaggio 1: Creare ed eseguire una ricerca di conformità per trovare il messaggio da eliminare

Il primo passaggio consiste nel creare ed eseguire una ricerca di conformità per trovare il messaggio che si vuole rimuovere dalle cassette postali dell'organizzazione. È possibile creare la ricerca eseguendo i cmdlet New-ComplianceSearch e Start-ComplianceSearch . I messaggi che corrispondono alla query per questa ricerca verranno eliminati eseguendo il cmdlet New-ComplianceSearchAction nel passaggio 2.

In questo esempio i comandi creeranno e avvieranno una ricerca di tutte le cassette postali dell'organizzazione per un messaggio contenente le parole "Aggiorna le informazioni sull'account" nella riga dell'oggetto.

1. Aprire Exchange Management Shell.

2. Eseguire i comandi seguenti.

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

Per informazioni sulla creazione di una ricerca di conformità e sulla configurazione delle query di ricerca, vedere gli argomenti seguenti:

• New-ComplianceSearch

• Start-ComplianceSearch

• Proprietà dei messaggi e operatori di ricerca per In-Place eDiscovery in Exchange Server

Suggerimenti per cercare i messaggi da rimuovere

L'obiettivo della query di ricerca è limitare i risultati della ricerca solo al messaggio o ai messaggi da rimuovere. Di seguito sono riportati alcuni suggerimenti:

• Se si conosce la frase o il testo esatto della riga dell'oggetto del messaggio, utilizzare la proprietà Subject nella query di ricerca.

• Se si conosce la data esatta (o l'intervallo di date) del messaggio, includere la proprietà Received nella query di ricerca.

• Se si conosce il mittente del messaggio, includere la proprietà From nella query di ricerca.

• Visualizzare in anteprima i risultati della ricerca per verificare che la ricerca di contenuto restituisca solo il messaggio (o i messaggi) da eliminare.

• Usare le statistiche di stima della ricerca (eseguendo il cmdlet Get-ComplianceSearch ) per ottenere un conteggio del numero totale di risultati della ricerca.

Ecco due esempi di query per trovare messaggi di posta elettronica sospetti.

• Questa query restituisce i messaggi che sono stati ricevuti dagli utenti tra il 13 aprile 2016 e il 14 aprile 2016 e che contengono le parole "action" e "required" nella riga dell'oggetto.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Questa query restituisce i messaggi inviati da chatsuwloginsset12345@outlook.com e che contengono la frase esatta "Aggiornare le informazioni sull'account" nella riga dell'oggetto.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Passaggio 2: Eliminare il messaggio

Dopo aver creato e perfezionato una ricerca di conformità per restituire il messaggio che si vuole rimuovere, il passaggio finale consiste nell'eseguire il cmdlet New-ComplianceSearchAction per eliminare il messaggio. I messaggi eliminati vengono spostati nella cartella Elementi ripristinabili dell'utente.

In questo esempio il comando eliminerà i risultati della ricerca restituiti da una ricerca di conformità denominata "Remove Phishing Message".

1. Aprire Exchange Management Shell.

2. Esegui il comando seguente:

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

Altre informazioni

• Cosa accade dopo l'eliminazione di un messaggio?: un messaggio eliminato tramite il New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando viene spostato nella cartella Eliminazioni nella cartella Elementi ripristinabili dell'utente. Non viene immediatamente eliminato dal database di Exchange. L'utente può recuperare i messaggi nella cartella Elementi eliminati per la durata del periodo di conservazione degli elementi eliminati configurato per la cassetta postale. Dopo la scadenza di questo periodo di conservazione (o se l'utente elimina il messaggio prima della scadenza), il messaggio viene spostato nella cartella di eliminazione e non è più accessibile da parte dell'utente. Una volta nella cartella Purges, il messaggio viene conservato nuovamente per la durata in base al periodo di conservazione degli elementi eliminati configurato per la cassetta postale se è abilitato il ripristino di singoli elementi per la cassetta postale. In Exchange il ripristino di un singolo elemento è abilitato per impostazione predefinita quando viene creata una nuova cassetta postale. Dopo la scadenza del periodo di conservazione degli elementi eliminati, il messaggio viene contrassegnato dall'eliminazione permanente e verrà eliminato dal database di Exchange la volta successiva in cui la cassetta postale viene elaborata dall'assistente cartelle gestite.

• Come si sa che i messaggi vengono eliminati e spostati nella cartella Elementi ripristinabili degli utenti?: se si esegue la stessa ricerca di conformità dopo l'eliminazione di un messaggio, verrà comunque visualizzato lo stesso numero di risultati della ricerca e si potrebbe presumere che il messaggio non sia stato eliminato dalle cassette postali degli utenti. Ciò è dovuto al fatto che una ricerca di conformità cerca nella cartella Elementi ripristinabili, in cui il messaggio eliminato viene spostato in dopo l'esecuzione del New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando. Per verificare che i messaggi in cui sono stati spostati nella cartella Elementi ripristinabili, è possibile eseguire una ricerca di eDiscovery In-Place (usando le stesse cassette postali di origine e gli stessi criteri di ricerca della ricerca di conformità creata nel passaggio 1) e copiare i risultati della ricerca nella cassetta postale di individuazione. È quindi possibile visualizzare i risultati della ricerca nella cassetta postale di individuazione e verificare che i messaggi sono stati spostati nella cartella Elementi ripristinabili. Per informazioni dettagliate sulla creazione di una ricerca di eDiscovery In-Place che usa l'elenco delle cassette postali di origine e la query di ricerca da una ricerca di conformità, vedere Usare Ricerca conformità per eseguire ricerche in tutte le cassette postali in Exchange Server.

• Cosa accade se un messaggio viene eliminato da una cassetta postale che è stata inserita in In-Place blocco o blocco per controversia legale?: dopo che il messaggio viene eliminato (dall'utente o dopo la scadenza del periodo di conservazione degli elementi eliminati), il messaggio viene conservato fino alla scadenza della durata del blocco. Se la durata di conservazione è illimitata, gli elementi vengono mantenuti fino a quando non viene rimosso il blocco o viene modificata la durata di conservazione.

• Come ottenere lo stato dell'operazione di ricerca ed eliminazione? Eseguire Get-ComplianceSearchAction: per ottenere lo stato dell'operazione di eliminazione. Si noti che l'oggetto creato quando si esegue il cmdlet New-ComplianceSearchAction viene denominato usando questo formato: <name of Compliance Search>_Purge.