Поиск и удаление сообщений в Exchange ServerSearch for and delete messages in Exchange Server

Командлеты New – ComplianceSearch и New – ComplianceSearchAction можно использовать для поиска и удаления сообщения электронной почты из всех почтовых ящиков в Организации.You can use the New-ComplianceSearch and New-ComplianceSearchAction cmdlets to search for and delete an email message from all mailboxes in your organization. Это поможет найти и удалить потенциально опасные сообщения электронной почты, например:This can help you find and remove potentially harmful or high-risk email, such as:

  • Сообщения, содержащие опасное вложение или вирусMessages that contain dangerous attachment or virus

  • фишинговые сообщения;Phishing messages

  • сообщения, содержащие конфиденциальные данные.Messages that contain sensitive data

Зачем использовать командлеты New – ComplianceSearch и New ComplianceSearchAction вместо использования командлета Search — Mailbox для удаления сообщений?Why use the New-ComplianceSearch and New-ComplianceSearchAction cmdlets instead of using the Search-Mailbox cmdlet to delete messages? В предыдущих версиях Exchange можно было выполнить Search-Mailbox -DeleteContent команду для поиска и удаления сообщений электронной почты.In previous versions of Exchange, you could run the Search-Mailbox -DeleteContent command to search for and delete email messages. Это можно сделать в Exchange Server, но вы можете выполнять поиск не более 10 000 почтовых ящиков в один поиск с помощью командлета Search-Mailbox .You can still do that in Exchange Server, but you can only search a maximum of 10,000 mailboxes in a single search by using the Search-Mailbox cmdlet. Для параметра New – ComplianceSearchдля количества почтовых ящиков в едином поиске не предусмотрено никаких пределов.For New-ComplianceSearch, there are no limits for the number of mailboxes in a single search. Это позволяет большим организациям выполнять операции поиска и удаления на уровне Организации.This lets large organizations perform organization-wide search and delete operations.

Ниже приведен рабочий процесс для процесса поиска и удаления:Here's the workflow for the search and delete process:

Шаг 1: создание и выполнение поиска соответствия для поиска сообщения, которое необходимо удалитьStep 1: Create and run a Compliance Search to find the message to delete

Шаг 2: удаление сообщенияStep 2: Delete the message

Описание того, что происходит с удаленными сообщениями, а также инструкции по отслеживанию состояния операции поиска и удаления см. в разделе More information.See the More information section for description of what happens to deleted messages and how to get the status of a search and delete operation.

Внимание!

Поиск и удаление — это мощный инструмент, который позволяет всем пользователям с необходимыми разрешениями, удалять сообщения электронной почты из почтовых ящиков в организации.Search and delete is a powerful feature that allows anyone that is assigned the necessary permissions to delete email messages from mailboxes in your organization.

Приступая к работеBefore you begin

  • Чтобы использовать командлеты New – ComplianceSearch и Start – ComplianceSearchAction для создания и выполнения поиска соответствия требованиям, а также для удаления сообщений с помощью командлета New – ComplianceSearchAction , необходимо назначить роль управления поиском почтовых ящиков.To use the New-ComplianceSearch and Start-ComplianceSearchAction cmdlets to create and run a Compliance Search, and to use the New-ComplianceSearchAction cmdlet to delete messages, you have to be assigned the Mailbox Search management role. Администраторы не назначают эту роль по умолчанию.Administrators aren't assigned this role by default. Чтобы назначить себе эту роль, чтобы можно было выполнять поиск в почтовых ящиках и удалять сообщения, добавьте себя в качестве участника группы ролей "Управление обнаружением".To assign yourself this role so that you can search mailboxes and delete messages, add yourself as a member of the Discovery Management role group. В разделе Назначение разрешений обнаружения электронных данных в Exchange Server.See Assign eDiscovery permissions in Exchange Server.

  • За один раз можно удалить не более 10 элементов в одном почтовом ящике.A maximum of 10 items per mailbox can be removed at once. Так как возможность поиска и удаления сообщений предназначена для реагирования на инциденты, это ограничение обеспечивает быстрое удаление сообщений из почтовых ящиков.Because the capability to search for and remove messages is intended to be an incident-response tool, this limit helps ensure that messages are quickly removed from mailboxes. Эта возможность не предназначена для очистки почтовых ящиков пользователей.This feature isn't intended to clean up user mailboxes.

Шаг 1: создание и выполнение поиска соответствия для поиска сообщения, которое необходимо удалитьStep 1: Create and run a Compliance Search to find the message to delete

Сначала создайте и запустите поиск соответствия, чтобы найти сообщение, которое вы хотите удалить из почтовых ящиков в Организации.The first step is to create and run a Compliance Search to find the message that you want to remove from mailboxes in your organization. Вы можете создать поиск, выполнив командлеты New – ComplianceSearch и Start — ComplianceSearch .You can create the search by running the New-ComplianceSearch and Start-ComplianceSearch cmdlets. Сообщения, которые совпадают с запросом для этого поиска, будут удалены при выполнении командлета New – ComplianceSearchAction на этапе 2.The messages that match the query for this search will be deleted by running the New-ComplianceSearchAction cmdlet in Step 2.

В этом примере команды будут создавать и запускать поиск всех почтовых ящиков в Организации для сообщений, содержащих слова "обновить сведения учетной записи" в строке темы.In this example, the commands will create and start a search of all mailboxes in the organization for a message that contains the words "Update your account information" in the subject line.

  1. Откройте консоль управления Exchange.Open the Exchange Management Shell.

  2. Выполните следующие команды:Run the following commands.

    New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
    
    Start-ComplianceSearch -Identity "Remove Phishing Message"
    

Сведения о создании поиска для обеспечения соответствия требованиям и настройке поисковых запросов можно найти в следующих разделах:For information about creating a Compliance Search and configuring search queries, see the following topics:

Советы по поиску сообщений для удаленияTips for finding messages to remove

Цель поискового запроса — ограничить результаты поиска сообщениями, которые необходимо удалить. Ниже приведено несколько советов.The goal of the search query is to narrow the results of the search to only the message or messages that you want to remove. Here are some tips:

  • Если вы знаете точный текст или фразу, используемую в строке темы сообщения, укажите в поисковом запросе свойство Subject.If you know the exact text or phrase used in the subject line of the message, use the Subject property in the search query.

  • Если вы знаете точную дату (или диапазон дат) получения сообщения, укажите в поисковом запросе свойство Received.If you know that exact date (or date range) of the message, include the Received property in the search query.

  • Если вы знаете, кто отправил сообщение, укажите в поисковом запросе свойство From.If you know who sent the message, include the From property in the search query.

  • Просмотрите результаты поиска, чтобы убедиться, что возвращены только сообщения, которые необходимо удалить.Preview the search results to verify that the search returned only the message (or messages) that you want to delete.

  • Используйте статистику оценки поиска (выполнив командлет Get-ComplianceSearch ), чтобы получить общее количество результатов поиска.Use the search estimate statistics (by running the Get-ComplianceSearch cmdlet) to get a count of the total number of search results.

Ниже приведены два примера поиска подозрительных сообщений электронной почты.Here are two examples of queries to find suspicious email messages.

  • Этот запрос возвращает сообщения, полученные пользователями 13–14 апреля 2016 г., в которых есть слова "action" и "required" в строке темы.This query returns messages that were received by users between April 13, 2016 and April 14, 2016 and that contain the words "action" and "required" in the subject line.

    (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
    
  • Этот запрос возвращает сообщения, отправленные с адреса chatsuwloginsset12345@outlook.com, которые содержат фразу "Update your account information" ("Обновите сведения об учетной записи") в строке темы.This query returns messages that were sent by chatsuwloginsset12345@outlook.com and that contain the exact phrase "Update your account information" in the subject line.

    (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
    

Шаг 2: удаление сообщенияStep 2: Delete the message

После создания и уточнения поиска соответствия для возврата сообщения, которое необходимо удалить, последним шагом является выполнение командлета New-ComplianceSearchAction для удаления сообщения.After you've created and refined a Compliance Search to return the message that you want to remove, the final step is to run the New-ComplianceSearchAction cmdlet to delete the message. Удаленные сообщения перемещаются в папку "элементы для восстановления" пользователя.Deleted messages are moved to a user's Recoverable Items folder.

В этом примере команда удаляет результаты поиска, возвращенные при поиске соответствия под названием "Удаление фишингового сообщения".In this example, the command will delete the search results returned by a Compliance Search named "Remove Phishing Message".

  1. Откройте консоль управления Exchange.Open the Exchange Management Shell.

  2. Выполните следующую команду.Run the following command.

    New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
    

Дополнительные сведенияMore information

  • Что происходит после удаления сообщения?: сообщение, которое удаляется с помощью New-ComplianceSearchAction -Purge -PurgeType SoftDelete команды, перемещается в папку "удаления" в папке "элементы с возможностью восстановления".What happens after you delete a message?: A message that is deleted by using the New-ComplianceSearchAction -Purge -PurgeType SoftDelete command is moved to the Deletions folder in the user's Recoverable Items folder. Она не будет немедленно удалена из базы данных Exchange.It isn't immediately purged from the Exchange database. Пользователь может восстановить сообщения в папке "Удаленные" в течение периода хранения удаленных элементов, настроенного для почтового ящика.The user can recover messages in the Deleted Items folder for the duration based on the deleted item retention period configured for the mailbox. После истечения этого срока (или если пользователь очищает сообщение до его истечения) сообщение перемещается в папку "Очистка" и становится недоступным для пользователя.After this retention period expires (or if user purges the message before it expires), the message is moved to the Purges folder and can no longer be accessed by the user. В папке очистки сообщение снова сохраняется в течение срока хранения на основе срока хранения удаленных элементов, настроенного для почтового ящика, если для почтового ящика включено восстановление отдельных элементов.Once in the Purges folder, the message is again retained for the duration based on the deleted item retention period configured for the mailbox if single items recovery is enabled for the mailbox. (В Exchange восстановление отдельных элементов включается по умолчанию при создании нового почтового ящика.(In Exchange, single item recovery is enabled by default when a new mailbox is created. ) После истечения срока хранения удаленных элементов сообщение помечается из постоянного удаления и будет удалено из базы данных Exchange при следующей обработке почтового ящика помощником для управляемых папок.) After the deleted item retention period expires, the message is marked from permanent deletion and will be purged from the Exchange database the next time that the mailbox is processed by the Managed Folder assistant.

  • Как убедиться, что сообщения удаляются и перемещаются в папку "элементы с возможностью восстановления"?: Если после удаления сообщения вы выпустили тот же поиск соответствия требованиям, то будет отображаться то же количество результатов поиска (и может предполагаться, что сообщение не было удалено из почтовых ящиков пользователей).How do you know that messages are deleted and moved to the users' Recoverable Items folder?: If you run the same Compliance Search after you delete a message, you will still see the same number of search results (and might assume that the message wasn't deleted from user mailboxes). Это связано с тем, что поиск соответствия ищет папку "элементы с возможностью восстановления", в которую после выполнения New-ComplianceSearchAction -Purge -PurgeType SoftDelete команды перемещается удаленное сообщение.This is because a Compliance Search searches the Recoverable Items folder, which is where the deleted message is moved to after you run the New-ComplianceSearchAction -Purge -PurgeType SoftDelete command. Чтобы убедиться, что сообщения, перемещенные в папку "элементы с возможностью восстановления", можно запустить поиск с обнаружением электронных данных на месте (с использованием тех же исходных почтовых ящиков и критериев поиска, что и при выполнении шага 1), и скопировать результаты поиска в почтовый ящик обнаружения.To verify that messages where moved to the Recoverable Items folder, you can run an In-Place eDiscovery search (using the same source mailboxes and search criteria as the Compliance Search created in Step 1) and the copy the search results to discovery mailbox. Затем можно просмотреть результаты поиска в почтовом ящике найденных сообщений и проверить, перемещены ли сообщения в папку "Элементы с возможностью восстановления".Then you can view the search results in the discovery mailbox and verify that the messages was moved to the Recoverable Items folder. В разделе Поиск соответствия требованиям можно выполнить поиск по всем почтовым ящикам в Exchange Server, чтобы получить сведения о создании поискового запроса на обнаружение электронных данных на месте, использующего список исходных почтовых ящиков и поискового запроса из поиска соответствия.See Use Compliance Search to search all mailboxes in Exchange Server for details about creating an In-Place eDiscovery search that uses the list of source mailboxes and search query from a Compliance Search.

  • Что произойдет, если сообщение удалено из почтового ящика, помещенного на хранение на месте или хранение для судебного разбирательства?: после очистки сообщения (либо пользователем, либо после истечения срока хранения удаленных элементов) сообщение сохраняется до истечения срока хранения.What happens if a message is deleted from a mailbox that has been placed on In-Place Hold or Litigation Hold?: After the message is purged (either by the user or after the deleted item retention period expires), the message is retained until the hold duration expires. Если период удержания не ограничен, элементы сохраняются до прекращения удержания или изменения периода удержания.If the hold duration is unlimited, then items are retained until the hold is removed or the hold duration is changed.

  • Получение состояния операции поиска и удаленияHow to get status on the search and delete operation? Выполните командлет Get – ComplianceSearchAction:, чтобы получить состояние операции удаления.Run the Get-ComplianceSearchAction: to get the status on the delete operation. Обратите внимание, что объект, созданный при выполнении командлета New-ComplianceSearchAction , называется с использованием следующего формата: <name of Compliance Search>_Purge.Note that the object that is created when you run the New-ComplianceSearchAction cmdlet is named by using this format: <name of Compliance Search>_Purge.