모든 오피스 365 메일함에서 이메일 삭제하기: 단계별

튜토리얼

메일 위생 솔루션이 100% 효과적이지 않다는 사실은 비밀이 아닙니다. 악의적인 메시지는 때때로 감지되지 않고 통과됩니다. 이럴 때는 Office 365의 모든 메일함에서 이메일을 찾고 삭제하는 방법을 알아야 합니다.

만약 당신이 Office 365 관리자라면, 위에서 설명한 상황에 익숙할 것입니다. 스팸이나 피싱 공격은 중요한 보안 사건으로 간주됩니다. 말할 필요도 없이, 이메일 관리자는 사용자와 인프라에 대한 잠재적인 위협을 최소화하기 위해 신속하게 대응해야 합니다.

Office 365 보안 및 준수 포털에서 내용 검색을 실행하려면 여러 번 클릭해야 하지만, 해당 내용을 삭제하려면 PowerShell을 사용해야 합니다. 그러니까, 어차피 PowerShell을 사용하게 될 것이라면, 왜 모든 작업을 PowerShell에서 하지 않을까요?

본 문서에서는 Office 365의 모든 메일함에서 악성 메시지를 검색하고 삭제하기 위해 보안 및 준수 PowerShell cmdlet을 사용하는 방법을 배울 수 있습니다.

요구 사항

본 문서는 본질적으로 How-To(어떻게 하는지) 내용이므로, 따라하기를 계획한다면 몇 가지 요구 사항이 있습니다.

  • 관리자 계정은 메일박스를 검색하고 메시지를 삭제할 충분한 Office 365 권한을 가져야 합니다.
    메일박스 검색에 필요한 권한: 계정은 eDiscovery 관리자 역할 그룹의 구성원이거나 컴플라이언스 검색 관리 역할을 할당받아야 합니다.
    메시지 삭제에 필요한 권한: 계정은 조직 관리 역할 그룹의 구성원이거나 검색 및 제거 관리 역할을 할당받아야 합니다.
    메시지 미리보기에 필요한 권한: 계정은 eDiscovery 관리자 역할 그룹의 구성원이거나 미리보기 관리 역할을 할당받아야 합니다.
  • PowerShell은 Office 365 보안 및 준수 센터 PowerShell에 연결되어 있어야 합니다. 이 링크를 따라가서 MFA 없이 연결하거나, 이 링크를 따라가서 MFA와 함께 연결하세요.

삭제할 메시지에 대한 정보 수집

콘텐츠를 생성하기 전에 삭제해야 할 메시지를 검색하기 위해 메시지에 관련된 모든 정보를 먼저 수집해야 합니다. 이미 모든 정보가 제공되었다면 제외합니다.

가능한 한 많은 세부 사항을 알고 있다면 검색 쿼리를 어떻게 구성할지 결정하는 데 도움이 될 것입니다. 예를 들어, 얻어야 하는 가장 기본적인 정보는 다음과 같습니다:

  • 발신자의 이메일 주소는 무엇인가요?
  • 메시지 주제는 무엇인가요?
  • 파일 첨부가 있나요? 그리고 파일 이름은 무엇인가요?
  • 첫 번째 보고된 발생일은 언제인가요?
  • 수신자는 누구인가요?

대부분의 경우 위에 나열된 정보 중 하나 또는 둘만으로 검색 쿼리를 구성하는 데 충분합니다. 그런 다음 이러한 검색 매개변수 중 어느 것이 가장 적용 가능한지를 결정하는 것은 여러분에게 달려 있습니다.

Office 365 이메일 콘텐츠 검색 생성 및 실행

메시지에 대한 필요한 모든 정보를 충분히 갖추었다고 판단되면 PowerShell을 실행하고 콘텐츠 검색 생성을 시작할 시간입니다.

다음과 같은 속성을 가진 스팸/피싱 메시지를 삭제해야 한다고 가정해 봅시다:

  • 주제: 은행 비밀번호를 변경해야 합니다.
  • 보낸 날짜: 2020년 05월 12일

New-ComplianceSearch를 사용하여 위에 나열된 메시지 속성을 사용하여 검색 쿼리를 생성합니다. 검색 결과를 가능한 정확하게 유지하는 핵심은 적절하게 구성된 검색 기준에 달려 있습니다.

New-ComplianceSearch cmdlet에는 여러 매개변수와 스위치가 있습니다. 그러나 메일박스 콘텐츠 검색을 생성하기 위해 다음 매개변수를 사용합니다.

  • Name – 이는 콘텐츠 검색 개체에 할당될 이름을 입력합니다. 어떤 이름이든 상관없으며, 신경 쓸 필요는 없습니다.
  • ExchangeLocation – 이는 검색 대상이 될 Exchange 위치를 입력합니다. 그룹이나 메일박스가 될 수 있습니다. 이 문서에서는 검색 대상으로 모든 메일박스를 지정하기 위해 All이라는 값을 사용합니다.
  • ContentMatchQuery – 이 매개변수는 검색 결과의 정확성을 결정하는 주요 요소입니다. 허용되는 쿼리 형식은 KQL 또는 Keyword Query Language의 형태입니다.

콘텐츠 검색을 생성하려면 아래의 코드를 복사하여 PowerShell 콘솔에 붙여넣으십시오. 상황에 맞게 매개변수 값을 변경해야 합니다. 이 예제에서는 검색의 이름이 Phish1이며, 쿼리는 제목과 전송 속성 값을 결합합니다.

New-ComplianceSearch `
-Name Phish1 `
-ExchangeLocation All `
-ContentMatchQuery 'subject:"You must change your bank password now" AND sent:05/12/2020'

Content Search에서 키워드를 사용하는 방법에 대해 자세히 알아보려면 키워드 쿼리 및 콘텐츠 검색 조건 페이지를 방문하십시오.

PowerShell에서 위의 코드를 실행하면 아래와 같은 결과가 나타납니다.

Delete Email From All Mailboxes In Office 365 : Creating a new content search

이 시점에서 콘텐츠 검색 작업은 생성되었지만, 상태 (NotStarted)에 따라 아직 검색이 시작되지 않았습니다.

콘텐츠 검색을 시작하려면 Start-ComplianceSearch cmdlet을 사용하십시오. cmdlet에 -Identity 매개변수를 제공하고 생성한 콘텐츠 검색 작업의 이름을 지정해야 합니다.

Office 365 이메일 콘텐츠 검색을 시작하려면 아래 코드를 복사하여 PowerShell 콘솔에 붙여넣으십시오.

Start-ComplianceSearch -Identity Phish1

위의 코드를 실행한 후 화면에는 출력이 표시되지 않습니다. 다음으로 검색 상태를 모니터링해야 합니다. PowerShell에서 아래 코드를 사용하여 검색 상태를 모니터링하십시오.

Get-ComplianceSearch -Identity Phish1

위의 코드를 실행하면 아래와 같은 출력이 표시됩니다. 아래 출력에서 콘텐츠 검색 작업 상태가 Completed임을 보여줍니다.

Getting the content search status

위의 출력에서 반환된 속성이 제한되어 검색된 일치 항목 수를 보여주지 않습니다. 다음 명령을 실행하여 콘텐츠 검색 결과의 모든 속성을 가져올 수 있습니다.

Get-ComplianceSearch -Identity Phish1 | Format-List *

위의 명령을 실행한 후 아래와 같은 결과가 표시됩니다. 이 경우, 검색 기준에 부합하는 항목이 16개 있습니다.

Content search results

검색 결과 미리보기(선택 사항)

검색 결과 미리보기는 선택 사항이지만, 신중을 기하기를 선호하는 경우 권장됩니다. 모든 메일함에서 잘못된 메시지를 삭제하고 싶지 않을 테니까요.

지금까지 New-ComplianceSearch, Start-ComplianceSearchGet-ComplianceSearch cmdlet을 사용하여 콘텐츠 검색을 생성, 실행 및 모니터링했습니다. 이제 검색 결과를 미리보기하려면 New-ComplianceSearchAction cmdlet을 사용해야 합니다.

검색 결과를 미리보기하려면 아래 명령을 사용하여 미리보기 작업을 생성해야 합니다.

New-ComplianceSearchAction -SearchName Phish1 -Preview

아래 출력에서 볼 수 있듯이, 미리보기 작업이 Phish1_Preview라는 이름으로 생성되고 작업이 자동으로 시작됩니다.

Phish1_Preview

미리보기 생성이 완료되면, 아래 명령을 실행하여 화면에 결과를 표시할 수 있습니다.

(Get-ComplianceSearchAction Phish1_Preview | Select-Object -ExpandProperty Results) -split ","

위의 명령을 실행하면, 아래 이미지와 유사한 출력을 얻을 수 있습니다.

Previewing the search results

우리는 인정하자면, 위에 표시된 결과는 보기에 좋지 않습니다. 그러나 원한다면 결과를 TXT로 내보낼 수도 있습니다. 또는 더 나은 형식의 보고서를 원한다면, 보안 및 컴플라이언스 센터 포털에서 콘텐츠 검색 보고서를 다운로드할 수 있습니다.

참고: 미리보기 작업은 메시지의 내용을 공개하지 않습니다. 검색 기준과 일치하는 메시지의 세부 정보만 표시됩니다.

Office 365 모든 메일박스에서 이메일 삭제하기

이제 마지막 단계입니다. Office 365 이메일 삭제 작업을 실행합니다. 이미 검색 결과에 만족하셨다고 가정하고, 이제 메시지 삭제 프로세스를 실행할 준비가 되었습니다.

검색 기준과 일치하는 메시지를 삭제하려면 New-ComplianceSearchAction cmdlet을 사용하여 -Purge 스위치와 -PurgeType 매개변수를 사용하여 퍼지 작업을 생성해야 합니다.

퍼지 작업을 생성하는 코드는 아래에 표시됩니다. 코드를 복사하여 PowerShell에 붙여넣고 실행하십시오.

New-ComplianceSearchAction -SearchName Phish1 -Purge -PurgeType SoftDelete

-PurgeType SoftDelete 매개변수/값은 메시지를 삭제하고 메일박스의 복구 가능한 항목 폴더 내의 삭제 폴더에 넣습니다. 이는 필요한 경우 메시지를 복구할 수 있다는 것을 의미합니다.

위의 코드를 실행한 후에는 퍼지 작업이 생성되고 시작됩니다.

Create the message purge job

아래 이미지에서 볼 수 있듯이, 퍼지 작업은 Phish1_Purge라는 이름으로 생성되고 자동으로 시작됩니다.

Purge job is created and started

퍼지가 완료되면 아래 명령을 사용하여 최종 결과를 확인할 수 있습니다.

Get-ComplianceSearchAction -Identity Phish1_Purge | Format-List

아래와 유사한 출력이 표시됩니다. 이 예에서는 16개의 메시지가 삭제되었고 실패한 메시지는 없습니다.

Message purge job is complete

그리고 이제 모든 Office 365 메일박스에서 스팸/피싱 메시지를 성공적으로 삭제했습니다.

결론

이 기사에서는 Office 365의 모든 메일박스에서 메시지를 검색하고 삭제하는 데에 Security and Compliance PowerShell cmdlets를 사용하는 방법을 배웠습니다.

검색 조건을 세분화하기 위해 삭제할 메시지의 세부사항을 모으는 방법을 배웠습니다. 검색 조건을 세분화하는 것은 결과의 최고의 정확도를 보장하기 위해 도움이 됩니다.

또한 검색 내용을 생성하고 시작하며, 결과의 미리보기를 생성하고, 검색 조건과 일치하는 메시지를 완전히 삭제하는 방법도 배웠습니다. 이 모든 작업을 수행하기 위해 PowerShell을 떠나지 않아도 된다는 것이 아마도 가장 좋은 점일 것입니다!

이 기사에서 얻은 지식을 활용하여 전체 검색 및 삭제 워크플로우를 자동화할 수 있습니다. 그렇게 하면 초보자도 쉽게 실행할 수 있을 것입니다. 그러면 아마도 더 이상 필요한 휴식에서 깨어나지 않아도 될 것입니다.

더 읽어보기

Source:
https://adamtheautomator.com/office-365-delete-email/