Procurar e eliminar mensagens no Exchange Server

APLICA-SE A:2016 2019 Subscription Edition

Você pode usar os cmdlets New-ComplianceSearch e New-ComplianceSearchAction para pesquisar e excluir uma mensagem de email de todas as caixas de correio na sua organização. Isso pode ajudar você a encontrar e remover emails possivelmente prejudiciais ou de alto risco, por exemplo:

• Mensagens que contenham anexos perigosos ou vírus

• Mensagens de phishing

• Mensagens que contêm dados confidenciais

Por que usar os cmdlets New-ComplianceSearch e New-ComplianceSearchAction em vez de usar o cmdlet Search-Mailbox para excluir mensagens? Em versões anteriores do Exchange, pode executar o Search-Mailbox -DeleteContent comando para procurar e eliminar mensagens de e-mail. Ainda pode fazê-lo no Exchange Server, mas só pode procurar um máximo de 10 000 caixas de correio numa única pesquisa através do cmdlet Search-Mailbox. Para New-ComplianceSearch, não há limites quanto ao número de caixas de correio em uma única pesquisa. Isso permite que grandes organizações realizem pesquisas por toda a empresa e excluam operações.

Este é o fluxo de trabalho do processo de pesquisa e exclusão:

Etapa 1: criar e executar uma Pesquisa de Conformidade para localizar a mensagem a ser excluída

Etapa 2: excluir a mensagem

Confira a seção Mais informações para obter a descrição do que acontece com as mensagens excluídas e como obter o status de uma operação de pesquisa e exclusão.

Cuidado

Pesquisar e excluir é um recurso poderoso que permite a qualquer pessoa com as permissões necessárias excluir mensagens de email de caixas de correio em sua organização.

Antes de começar

• Para usar os cmdlets New-ComplianceSearch e Start-ComplianceSearchAction para criar e executar uma Pesquisa de Conformidade e para usar o cmdlet New-ComplianceSearchAction para excluir mensagens, você deve ter a função de gerenciamento de Pesquisa de Caixa de Correio. Os administradores não têm essa função atribuída por padrão. Para atribuir a si mesmo esta função para que você possa pesquisar caixas de correio e excluir mensagens, adicione a si mesmo como um membro do grupo de funções do Gerenciamento de Descoberta. Veja Atribuir permissões de Deteção de Dados Eletrónicos no Exchange Server.

• É possível remover no máximo 10 itens por caixa de correio de uma só vez. Como o recurso de pesquisa e remoção de mensagens tem como objetivo ser uma ferramenta de resposta a incidentes, esse limite ajuda a garantir que as mensagens sejam rapidamente removidas das caixas de correio. Este recurso não tem como objetivo limpar as caixas de correio do usuário.

Etapa 1: criar e executar uma Pesquisa de Conformidade para localizar a mensagem a ser excluída

A primeira etapa é criar e executar uma Pesquisa de Conformidade para localizar a mensagem que você quer remover das caixas de correio na sua organização. Crie a pesquisa executando os cmdlets New-ComplianceSearch e Start-ComplianceSearch. As mensagens que correspondem à consulta desta pesquisa serão excluídas executando o cmdlet New-ComplianceSearchAction na Etapa 2.

Neste exemplo, os comandos criam e iniciam uma pesquisa, em todas as caixas de correio da organização, de uma mensagem contendo as palavras "Atualizar as informações de conta" no assunto.

1. Open the Exchange Management Shell.

2. Execute os seguintes comandos.

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

Confira informações sobre como criar uma Pesquisa de Conformidade e configurar consultas de pesquisa nos tópicos a seguir:

• New-ComplianceSearch

• Start-ComplianceSearch

• Propriedades da mensagem e operadores de pesquisa para deteção de dados eletrónicos In-Place no Exchange Server

Dicas para localizar mensagens para remoção

O objetivo da consulta de pesquisa é restringir os resultados da pesquisa apenas à mensagem ou mensagens que você deseja remover. Veja algumas dicas:

• Se você souber o texto ou a frase exata usada na linha de assunto da mensagem, use a propriedade Subject na consulta de pesquisa.

• Se você souber a data exata (ou o intervalo de datas) da mensagem, inclua a propriedade Received na consulta de pesquisa.

• Se você souber quem enviou a mensagem, inclua a propriedade From na consulta de pesquisa.

• Visualize os resultados da pesquisa para verificar se a pesquisa de conteúdo retornou apenas a mensagem (ou mensagens) que você deseja excluir.

• Use as estatísticas de estimativa de pesquisa (executando o cmdlet Get-ComplianceSearch) para obter uma contagem do número total de resultados de pesquisa.

Aqui estão dois exemplos de consultas para localizar mensagens de email suspeitas.

• Essa consulta retornará as mensagens que foram recebidas pelos usuários entre 13 de abril de 2016 e 14 de abril de 2016 e que contêm as palavras "ação" e "obrigatório" na linha de assunto.

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• Essa consulta retorna mensagens que foram enviadas por chatsuwloginsset12345@outlook.com e que contêm a frase exata "Atualizar as informações da conta" na linha de assunto.

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

Etapa 2: excluir a mensagem

Após a criação e o detalhamento de uma Pesquisa de Conformidade com o objetivo de retornar a mensagem que você quer remover, a etapa final será executar o cmdlet New-ComplianceSearchAction para excluir a mensagem. As mensagens excluídas são movidas para a pasta Itens Recuperáveis do usuário.

Neste exemplo, o comando excluirá os resultados de pesquisa retornados por uma Pesquisa de Conformidade chamada "Remover mensagens de phishing".

1. Open the Exchange Management Shell.

2. Execute o seguinte comando.

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

Mais informações

• O que acontece depois de eliminar uma mensagem?: Uma mensagem que é eliminada com o New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando é movida para a pasta Eliminações na pasta Itens Recuperáveis do utilizador. Ela não é removida do banco de dados imediatamente do Exchange. O usuário pode recuperar mensagens na pasta Itens Excluídos de acordo com o período de retenção do item excluído configurado para a caixa de correio. Após esse período de retenção (ou se o usuário remover a mensagem antes do período expirar), a mensagem será movida para a pasta Remoções e não poderá mais ser acessada pelo usuário. Uma vez na pasta Remoções, a mensagem é mantida novamente durante o período de retenção do item excluído configurado para a caixa de correio, se a recuperação de itens individuais estiver habilitada para a caixa de correio. (No Exchange, a recuperação de itens únicos está ativada por predefinição quando é criada uma nova caixa de correio. ) Após o período de retenção do item eliminado expirar, a mensagem é marcada a partir da eliminação permanente e será removida da base de dados do Exchange da próxima vez que a caixa de correio for processada pela pasta gerida assistente.

• Como sabe que as mensagens são eliminadas e movidas para a pasta Itens Recuperáveis dos utilizadores?: Se executar a mesma Pesquisa de Compatibilidade depois de eliminar uma mensagem, continuará a ver o mesmo número de resultados da pesquisa (e poderá assumir que a mensagem não foi eliminada das caixas de correio do utilizador). Isto deve-se ao facto de uma Pesquisa de Compatibilidade procurar na pasta Itens Recuperáveis, para onde a mensagem eliminada é movida depois de executar o New-ComplianceSearchAction -Purge -PurgeType SoftDelete comando. Para verificar se as mensagens foram movidas para a pasta Itens Recuperáveis, execute uma pesquisa de Descoberta Eletrônica In-loco (usando a mesma caixa de correio de origem e os critérios de pesquisa da Pesquisa de Conformidade criada na Etapa 1) e copie os resultados da pesquisa na caixa de correio de descoberta. Em seguida, você pode exibir os resultados da pesquisa na caixa de correio de descoberta e confirmar se as mensagens foram movidas para a pasta Itens Recuperáveis. Consulte Utilizar a Pesquisa de Conformidade para procurar em todas as caixas de correio no Exchange Server para obter detalhes sobre como criar uma pesquisa de Deteção de Dados Eletrónicos In-Place que utiliza a lista de caixas de correio de origem e consulta de pesquisa de uma Pesquisa de Compatibilidade.

• O que acontece se uma mensagem for eliminada de uma caixa de correio que tenha sido colocada em In-Place Suspensão ou Suspensão de Litígios?: Após a mensagem ser removida (pelo utilizador ou após o período de retenção do item eliminado expirar), a mensagem é mantida até que a duração da suspensão expire. Se a duração de retenção for ilimitada, os itens serão mantidos até que a retenção seja removida ou a duração da espera seja alterada.

• Como obter o status da operação de pesquisa e exclusão? Execute Get-ComplianceSearchAction: para obter o status na operação de eliminação. Tenha em atenção que o objeto que é criado quando executa o cmdlet New-ComplianceSearchAction é nomeado com este formato: <name of Compliance Search>_Purge.