Pesquisar e excluir mensagens no Exchange Server

Você pode usar os cmdlets New-ComplianceSearch e New-ComplianceSearchAction para pesquisar e excluir uma mensagem de email de todas as caixas de correio na sua organização. Isso pode ajudar você a encontrar e remover emails possivelmente prejudiciais ou de alto risco, por exemplo:

• Mensagens que contenham anexos perigosos ou vírus

• Mensagens de phishing

• Mensagens que contêm dados confidenciais

Por que usar os cmdlets New-ComplianceSearch e New-ComplianceSearchAction em vez de usar o cmdlet Search-Mailbox para excluir mensagens? Nas versões anteriores do Exchange, você pode executar o Search-Mailbox -DeleteContent comando para pesquisar e excluir mensagens de email. Você ainda pode fazer isso em Exchange Server, mas só pode pesquisar no máximo 10.000 caixas de correio em uma única pesquisa usando o cmdlet Search-Mailbox. Para New-ComplianceSearch, não há limites quanto ao número de caixas de correio em uma única pesquisa. Isso permite que grandes organizações realizem pesquisas por toda a empresa e excluam operações.

Este é o fluxo de trabalho do processo de pesquisa e exclusão:

Etapa 1: criar e executar uma Pesquisa de Conformidade para localizar a mensagem a ser excluída

Etapa 2: excluir a mensagem

Confira a seção Mais informações para obter a descrição do que acontece com as mensagens excluídas e como obter o status de uma operação de pesquisa e exclusão.

Cuidado

Pesquisar e excluir é um recurso poderoso que permite a qualquer pessoa com as permissões necessárias excluir mensagens de email de caixas de correio em sua organização.

Antes de começar

• Para usar os cmdlets New-ComplianceSearch e Start-ComplianceSearchAction para criar e executar uma Pesquisa de Conformidade e para usar o cmdlet New-ComplianceSearchAction para excluir mensagens, você deve ter a função de gerenciamento de Pesquisa de Caixa de Correio. Os administradores não têm essa função atribuída por padrão. Para atribuir a si mesmo esta função para que você possa pesquisar caixas de correio e excluir mensagens, adicione a si mesmo como um membro do grupo de funções do Gerenciamento de Descoberta. Consulte Atribuir permissões de descoberta eletrônica no Exchange Server.

• É possível remover no máximo 10 itens por caixa de correio de uma só vez. Como o recurso de pesquisa e remoção de mensagens tem como objetivo ser uma ferramenta de resposta a incidentes, esse limite ajuda a garantir que as mensagens sejam rapidamente removidas das caixas de correio. Este recurso não tem como objetivo limpar as caixas de correio do usuário.

Etapa 1: criar e executar uma Pesquisa de Conformidade para localizar a mensagem a ser excluída

A primeira etapa é criar e executar uma Pesquisa de Conformidade para localizar a mensagem que você quer remover das caixas de correio na sua organização. Crie a pesquisa executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch. As mensagens que correspondem à consulta desta pesquisa serão excluídas executando o cmdlet New-ComplianceSearchAction na Etapa 2.

Neste exemplo, os comandos criam e iniciam uma pesquisa, em todas as caixas de correio da organização, de uma mensagem contendo as palavras "Atualizar as informações de conta" no assunto.

1. Open the Exchange Management Shell.

2. Execute os seguintes comandos.

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

Confira informações sobre como criar uma Pesquisa de Conformidade e configurar consultas de pesquisa nos tópicos a seguir:

• New-ComplianceSearch

• Start-ComplianceSearch

• Propriedades da mensagem e operadores de pesquisa para In-Place descoberta eletrônica no Exchange Server

Dicas para localizar mensagens para remoção

O objetivo da consulta de pesquisa é restringir os resultados da pesquisa apenas à mensagem ou mensagens que você deseja remover. Veja algumas dicas:

• Se você souber o texto ou a frase exata usada na linha de assunto da mensagem, use a propriedade Subject na consulta de pesquisa.

• Se você souber a data exata (ou o intervalo de datas) da mensagem, inclua a propriedade Received na consulta de pesquisa.

• Se você souber quem enviou a mensagem, inclua a propriedade From na consulta de pesquisa.

• Visualize os resultados da pesquisa para verificar se a pesquisa de conteúdo retornou apenas a mensagem (ou mensagens) que você deseja excluir.

• Use as estatísticas de estimativa de pesquisa (executando o cmdlet Get-ComplianceSearch) para obter uma contagem do número total de resultados de pesquisa.

Aqui estão dois exemplos de consultas para localizar mensagens de email suspeitas.

• Essa consulta retornará as mensagens que foram recebidas pelos usuários entre 13 de abril de 2016 e 14 de abril de 2016 e que contêm as palavras "ação" e "obrigatório" na linha de assunto.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Essa consulta retorna mensagens enviadas por chatsuwloginsset12345@outlook.com e que contêm a frase exata "Atualizar suas informações de conta" na linha de assunto.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Etapa 2: excluir a mensagem

Após a criação e o detalhamento de uma Pesquisa de Conformidade com o objetivo de retornar a mensagem que você quer remover, a etapa final será executar o cmdlet New-ComplianceSearchAction para excluir a mensagem. As mensagens excluídas são movidas para a pasta Itens Recuperáveis do usuário.

Neste exemplo, o comando excluirá os resultados de pesquisa retornados por uma Pesquisa de Conformidade chamada "Remover mensagens de phishing".

1. Open the Exchange Management Shell.

2. Execute o seguinte comando.

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

Mais informações

• O que acontece depois de excluir uma mensagem?: Uma mensagem excluída usando o New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando é movida para a pasta Exclusões na pasta Itens Recuperáveis do usuário. Ela não é removida do banco de dados imediatamente do Exchange. O usuário pode recuperar mensagens na pasta Itens Excluídos de acordo com o período de retenção do item excluído configurado para a caixa de correio. Após esse período de retenção (ou se o usuário remover a mensagem antes do período expirar), a mensagem será movida para a pasta Remoções e não poderá mais ser acessada pelo usuário. Uma vez na pasta Remoções, a mensagem é mantida novamente durante o período de retenção do item excluído configurado para a caixa de correio, se a recuperação de itens individuais estiver habilitada para a caixa de correio. (No Exchange, a recuperação de um único item é habilitada por padrão quando uma nova caixa de correio é criada. ) Depois que o período de retenção de item excluído expirar, a mensagem será marcada como exclusão permanente e será limpa do banco de dados do Exchange na próxima vez que a caixa de correio for processada pelo assistente de Pasta Gerenciada.

• Como você sabe que as mensagens são excluídas e movidas para a pasta Itens Recuperáveis dos usuários?: Se você executar a mesma Pesquisa de Conformidade depois de excluir uma mensagem, ainda verá o mesmo número de resultados de pesquisa (e pode assumir que a mensagem não foi excluída das caixas de correio do usuário). Isso ocorre porque uma Pesquisa de Conformidade pesquisa a pasta Itens Recuperáveis, para a qual a mensagem excluída é movida depois de executar o New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando. Para verificar se as mensagens foram movidas para a pasta Itens Recuperáveis, execute uma pesquisa de Descoberta Eletrônica In-loco (usando a mesma caixa de correio de origem e os critérios de pesquisa da Pesquisa de Conformidade criada na Etapa 1) e copie os resultados da pesquisa na caixa de correio de descoberta. Em seguida, você pode exibir os resultados da pesquisa na caixa de correio de descoberta e confirmar se as mensagens foram movidas para a pasta Itens Recuperáveis. Consulte Usar a Pesquisa de Conformidade para pesquisar todas as caixas de correio no Exchange Server para obter detalhes sobre como criar uma pesquisa de descoberta eletrônica In-Place que usa a lista de caixas de correio de origem e a consulta de pesquisa de uma Pesquisa de Conformidade.

• O que acontece se uma mensagem for excluída de uma caixa de correio que foi colocada em In-Place Hold ou Litigation Hold?: Depois que a mensagem for limpa (pelo usuário ou depois que o período de retenção de item excluído expirar), a mensagem será mantida até que a duração da retenção expire. Se a duração de retenção for ilimitada, os itens serão mantidos até que a retenção seja removida ou a duração da espera seja alterada.

• Como obter o status da operação de pesquisa e exclusão? Execute o Get-ComplianceSearchAction: para obter o status na operação de exclusão. Observe que o objeto criado quando você executa o cmdlet New-ComplianceSearchAction é nomeado usando este formato: <name of Compliance Search>_Purge.