Es ist kein Geheimnis, dass E-Mail-Hygiene-Lösungen nicht zu 100% effektiv sind. Bösartige Nachrichten gelangen immer wieder unbemerkt durch. In solchen Fällen müssen Sie wissen, wie Sie E-Mails in allen Postfächern in Office 365 finden und löschen können.
Wenn Sie ein Office 365-Administrator sind, sind Sie mit der oben beschriebenen Situation vertraut. Spam- oder Phishing-Angriffe gelten als kritische Sicherheitsvorfälle. Wie Sie sich vorstellen können, müssen E-Mail-Administratoren schnell handeln, um die potenzielle Bedrohung für die Benutzer und die Infrastruktur zu minimieren.
Sie können im Office 365 Security and Compliance-Portal nach Inhalten suchen, aber um diese Inhalte zu löschen, müssen Sie PowerShell verwenden. Also, wenn Sie sowieso PowerShell verwenden werden, warum nicht alles in PowerShell erledigen, richtig?
In diesem Artikel erfahren Sie, wie Sie die Security and Compliance PowerShell-Cmdlets verwenden können, um bösartige Nachrichten in allen Office 365-Postfächern zu suchen und zu löschen.
Anforderungen
Da dieser Artikel im Wesentlichen eine Anleitung ist, gibt es einige Anforderungen, wenn Sie Schritt für Schritt vorgehen möchten.
- Ihr Admin-Konto muss über ausreichende Office 365-Berechtigungen verfügen, um Postfächer zu durchsuchen und Nachrichten zu löschen.
– Berechtigung zum Durchsuchen von Postfächern: Das Konto muss Mitglied der eDiscovery Manager-Rollen-Gruppe sein oder über die Compliance Search-Managementrolle verfügen.
– Berechtigung zum Löschen von Nachrichten: Das Konto muss Mitglied der Organization Management-Rollen-Gruppe sein oder über die Search And Purge-Managementrolle verfügen.
– Berechtigung zum Vorschauen von Nachrichten: Das Konto muss Mitglied der eDiscovery Manager-Rollen-Gruppe sein oder über die Preview-Managementrolle verfügen. - PowerShell muss mit dem Office 365 Security & Compliance Center PowerShell verbunden sein. Folgen Sie diesem Link, um ohne MFA eine Verbindung herzustellen, oder diesem Link, um mit MFA eine Verbindung herzustellen.
Informationen über die zu löschende Nachricht sammeln
Bevor Sie mit der Erstellung des Inhalts beginnen und nach der Nachricht suchen, die gelöscht werden soll, müssen Sie zuerst alle relevanten Informationen über die Nachricht sammeln. Es sei denn, Ihnen liegen bereits alle Informationen vor.
Es ist hilfreich, so viele Details wie möglich über die Nachricht zu kennen, um zu entscheiden, wie Sie die Suchabfrage formulieren. Einige der wichtigsten Informationen, die Sie benötigen, sind zum Beispiel:
- Was ist die E-Mail-Adresse des Absenders?
- Was ist der Betreff der Nachricht?
- Gibt es Dateianhänge und wie lauten die Dateinamen?
- Was ist das Datum des ersten gemeldeten Vorfalls?
- Wer sind die Empfänger?
In den meisten Fällen sollten eine oder zwei der oben aufgeführten Informationen ausreichen, um eine Suchabfrage zu formulieren. Dann liegt es an Ihnen zu entscheiden, welche dieser Suchparameter am relevantesten sind.
Erstellung und Ausführung der Office 365 E-Mail-Inhaltssuche
Wenn Sie zufrieden sind, dass Sie alle Informationen über die Nachricht haben, ist es an der Zeit, PowerShell zu starten und mit der Erstellung der Inhaltsuche zu beginnen.
Angenommen, die zu löschende Spam-/Phishing-Nachricht hat folgende Eigenschaften:
- Betreff: Sie müssen Ihr Bankpasswort jetzt ändern
- Gesendet: 05/12/2020
Mit dem New-ComplianceSearch werden die oben aufgeführten Nachrichteneigenschaften verwendet, um eine Suchabfrage zu erstellen. Die Genauigkeit der Suchergebnisse hängt von den gut formulierten Suchkriterien ab.
Der Befehl New-ComplianceSearch verfügt über mehrere Parameter und Schalter. Für eine Suche im Postfach werden jedoch folgende Parameter verwendet.
Name– Hier wird der Name des Inhaltsuchobjekts angegeben. Dies kann ein beliebiger Name sein, dem Sie nicht zu viel Aufmerksamkeit schenken müssen.ExchangeLocation– Hier wird der Exchange-Standort angegeben, der durch die Suche anvisiert werden soll. Dies kann eine Gruppe oder ein Postfach sein. In diesem Artikel wird der Wert All verwendet, um sicherzustellen, dass alle Postfächer in der Suche berücksichtigt werden.ContentMatchQuery– Dieser Parameter ist der entscheidende Faktor für die Genauigkeit der Suchergebnisse. Das akzeptierte Abfrageformat ist KQL (Keyword Query Language).
Um die Inhaltsuche zu erstellen, kopieren Sie den unten stehenden Code und fügen Sie ihn in Ihre PowerShell-Konsole ein. Stellen Sie sicher, dass Sie die Parameterwerte entsprechend Ihrer Situation anpassen. In diesem Beispiel lautet der Name der Suche Phish1 und die Abfrage kombiniert die Werte von Betreff und Sendedatum.
Besuchen Sie die Seite Schlüsselwortabfragen und Suchbedingungen für die Inhaltsuche, um mehr über die Verwendung von Schlüsselwörtern in der Inhaltsuche zu erfahren.
Wenn Sie den obigen Code in PowerShell ausführen, sollten Sie eine ähnliche Ausgabe wie unten gezeigt sehen.
An diesem Punkt wurde der Inhaltsuchvorgang erstellt, aber die Suche wurde noch nicht ausgelöst, wie durch den Status (Nicht gestartet) angezeigt.
Um die Inhaltsuche zu starten, verwenden Sie das Cmdlet Start-ComplianceSearch. Sie müssen dem Cmdlet den Parameter -Identity übergeben und den Namen des erstellten Inhaltsuchvorgangs angeben.
Um die Office 365 E-Mail-Inhaltsuche zu starten, kopieren Sie den folgenden Code und fügen Sie ihn in Ihre PowerShell-Konsole ein.
Nach Ausführung des obigen Codes wird keine Ausgabe auf dem Bildschirm angezeigt. Was Sie als nächstes tun müssen, ist den Status der Suche zu überwachen. Verwenden Sie dazu den folgenden Code in PowerShell.
Wenn Sie den obigen Code ausführen, sollten Sie eine ähnliche Ausgabe wie unten sehen. In der folgenden Ausgabe wird der Status des Inhaltsuchvorgangs als Abgeschlossen angezeigt.
Sie werden aus der obigen Ausgabe feststellen, dass die zurückgegebenen Eigenschaften begrenzt sind und Ihnen nicht die Anzahl der gefundenen Übereinstimmungen anzeigen. Sie können den folgenden Befehl ausführen, um alle Eigenschaften des Inhaltsuchergebnisses abzurufen.
Nach Ausführung des obigen Befehls erhalten Sie ein ähnliches Ergebnis wie unten gezeigt. In diesem Fall gibt es 16 Elemente, die den Suchkriterien entsprechen.
Vorschau der Suchergebnisse (optional)
Die Vorschau der Suchergebnisse ist optional, aber empfehlenswert, wenn Sie lieber auf der sicheren Seite sind. Sie möchten schließlich nicht versehentlich die falsche Nachricht aus allen Postfächern löschen, oder?
Bisher haben Sie die Cmdlets New-ComplianceSearch, Start-ComplianceSearch und Get-ComplianceSearch verwendet, um die Inhaltsuche zu erstellen, auszuführen und zu überwachen. Um jedoch die Suchergebnisse anzeigen zu können, müssen Sie das Cmdlet New-ComplianceSearchAction verwenden.
Um die Suchergebnisse anzuzeigen, müssen Sie nun eine Vorschauaktion mit dem folgenden Befehl erstellen.
Wie Sie im untenstehenden Output sehen können, wurde der Vorschauprozeß mit dem Namen Phish1_Preview erstellt und der Prozeß wird automatisch gestartet.
Und wenn die Erstellung der Vorschau abgeschlossen ist, können Sie die Vorschauergebnisse anzeigen, indem Sie den folgenden Befehl ausführen, um die Ergebnisse auf dem Bildschirm anzuzeigen.
Und sobald Sie den oben genannten Befehl ausführen, erhalten Sie eine ähnliche Ausgabe wie das untenstehende Bild zeigt.
Geben Sie es zu, die Ergebnisse, wie oben gezeigt, sind hässlich. Sie können die Ergebnisse jedoch auch in eine TXT-Datei exportieren, wenn Sie möchten. Oder, wenn Sie einen besser formatierten Bericht wünschen, können Sie den Inhaltsuchbericht aus dem Security and Compliance Center-Portal herunterladen.
Hinweis: Die Vorschauaktion gibt den Inhalt der Nachrichten nicht preis. Sie zeigt nur die Details der Nachricht an, die den Suchkriterien entsprechen, und nicht den Inhalt jeder einzelnen Nachricht.
E-Mail aus allen Postfächern in Office 365 löschen
Jetzt zur finalen Aktion: das Löschen der E-Mails in Office 365. Nehmen wir an, Sie sind bereits mit den Suchergebnissen zufrieden. Sie sind jetzt bereit, den Löschvorgang für die Nachrichten auszuführen.
Um die Nachrichten, die den Suchkriterien entsprechen, zu löschen, müssen Sie einen Löschvorgang erstellen. Verwenden Sie dazu das Cmdlet New-ComplianceSearchAction mit dem Schalter -Purge und dem Parameter -PurgeType.
Der Code zur Erstellung des Löschvorgangs wird unten angezeigt. Kopieren Sie den Code und fügen Sie ihn in PowerShell ein, um ihn auszuführen.
Beachten Sie, dass der Parameter/Wert -PurgeType SoftDelete die Nachrichten löschen und in den Ordner „Löschungen“ im Ordner „Wiederherstellbare Elemente“ im Postfach verschieben würde. Dies bedeutet, dass die Nachricht bei Bedarf wiederhergestellt werden kann.
Nach Ausführung des obigen Codes wird der Löschvorgang erstellt und gestartet.
Wie auf dem Bild unten zu sehen ist, wird der Löschvorgang mit dem Namen Phish1_Purge erstellt und automatisch gestartet.
Wenn der Löschvorgang abgeschlossen ist, können Sie das Endergebnis mit dem folgenden Befehl anzeigen.
Sie erhalten eine ähnliche Ausgabe wie unten gezeigt. In diesem Beispiel wurden 16 Nachrichten gelöscht und keine ist fehlgeschlagen.
Und das ist es. Sie haben erfolgreich die Spam/Phishing-Nachrichten aus allen Office 365-Postfächern gelöscht.
Zusammenfassung
In diesem Artikel haben Sie gelernt, wie Sie die Security and Compliance PowerShell cmdlets verwenden, um Nachrichten in allen Postfächern in Office 365 zu suchen und zu löschen.
Sie haben gelernt, wie Sie die Details der zu löschenden Nachrichten für die Verfeinerung der Suchkriterien zusammenstellen. Eine Verfeinerung der Suchkriterien hilft sicherzustellen, dass die Ergebnisse höchste Genauigkeit aufweisen.
Sie haben auch gelernt, wie Sie die Inhaltsuche erstellen und starten, eine Vorschau der Ergebnisse erstellen und schließlich die Nachrichten löschen, die den Suchkriterien entsprechen. Das Beste daran ist, dass Sie dazu PowerShell nicht verlassen mussten!
Mit dem Wissen, das Sie aus diesem Artikel gewonnen haben, können Sie möglicherweise den gesamten Such- und Löschvorgang automatisieren, sodass auch Ihre Agenten der ersten Linie ihn problemlos ausführen können. Vielleicht werden Sie dann nicht mehr aus Ihrem dringend benötigten Schlaf geweckt.
Weiterführende Informationen
Source:
https://adamtheautomator.com/office-365-delete-email/