從所有Office 365郵箱中刪除郵件：逐步操作

沒有秘密的是郵件衛生解決方案並不百分之百有效。惡意消息偶爾還是能夠逃過檢測。在這種情況下，你需要知道如何在 Office 365 的所有郵箱中查找並刪除郵件。

如果你是 Office 365 管理員，你應該對上述情況很熟悉。垃圾郵件或釣魚攻擊被認為是重大的安全事件。不用說，郵件管理員必須迅速採取行動，以減少對用戶和基礎設施的潛在威脅。

你可以在 Office 365 安全與合規性門戶中點擊運行內容搜索，但是，要刪除這些內容，你需要使用 PowerShell。因此，如果你最終還是要使用 PowerShell，為什麼不一切都在 PowerShell 中進行呢？

在本文中，你將學習如何使用安全與合規性 PowerShell cmdlet 從所有 Office 365 郵箱中搜索並刪除惡意消息。

要求

由於本文本質上是一個操作指南，如果你打算跟隨操作，則需要滿足一些要求。

• 您的管理员帐户必须具备足够的Office 365权限以搜索邮箱并删除邮件。
  – 搜索邮箱所需权限：帐户必须是eDiscovery Manager角色组的成员或被分配了Compliance Search管理角色。
  – 删除邮件所需权限：帐户必须是Organization Management角色组的成员或被分配了Search And Purge管理角色。
  – 预览邮件所需权限：帐户必须是eDiscovery Manager角色组的成员或被分配了Preview管理角色。
• 必须使用Office 365安全与合规中心的 PowerShell进行连接。请点击此链接以无需多重身份验证进行连接，或点击此链接以使用多重身份验证进行连接。

收集有关要删除的消息的信息。

在開始創建要刪除的內容搜索之前，您必須首先收集有關消息的所有相關信息。除非您已經提供了所有信息。

盡可能了解有關消息的詳細信息將有助於您決定如何制定搜索查詢。例如，您需要獲取的一些最基本信息是：

• 發件人的電子郵件地址是什麼？
• 消息主題是什麼？
• 是否有文件附件，並且文件名是什麼？
• 首次報告發生的日期是什麼？
• 收件人是誰？

在大多數情況下，上述信息中的一個或兩個應該足以制定搜索查詢。然後，由您來確定哪些搜索參數最適用。

創建並運行Office 365郵件內容搜索

當您確信已經獲得了有關消息的所有所需信息時，是時候啟動PowerShell並開始創建內容搜索了。

假設要刪除的垃圾郵件/釣魚消息具有以下屬性：

• 主題：您必須立即更改銀行密碼
• 發送：2020年5月12日

使用New-ComplianceSearch，將使用上述列出的郵件屬性來建立搜尋查詢。保持搜尋結果盡可能準確的關鍵在於適當制定搜尋條件。

New-ComplianceSearch cmdlet 附帶數個參數和開關選項。然而，要建立郵箱內容搜尋，將使用以下參數。

• Name – 這個參數接受將指派給內容搜尋物件的名稱。可以是任何名稱，不必過多考慮。
• ExchangeLocation – 這個參數接受將被搜尋目標的 Exchange 位置。可以是群組或郵箱。在本文中，使用的值是All，以確保搜尋目標為所有郵箱。
• ContentMatchQuery – 這個參數是決定搜尋結果準確性的主要因素。接受的查詢格式是 KQL 或關鍵字查詢語言的形式。

要建立內容搜尋，複製下面的程式碼並將其貼上到 PowerShell 控制台中。請確保根據您的情況適當更改參數值。在此示例中，搜尋的名稱為Phish1，查詢結合了主旨和發送屬性的值。

New-ComplianceSearch `
-Name Phish1 `
-ExchangeLocation All `
-ContentMatchQuery 'subject:"You must change your bank password now" AND sent:05/12/2020'

請訪問內容搜尋的關鍵字查詢和搜尋條件頁面，以了解如何在內容搜尋中使用關鍵字。

在PowerShell中執行上述代碼時，您應該會看到類似下面的輸出結果。

此時，已經創建了內容搜尋作業，但根據狀態（NotStarted），尚未觸發搜尋。

要開始內容搜尋，請使用Start-ComplianceSearch命令。您需要向該命令提供-Identity參數，並指定您創建的內容搜尋作業的名稱。

要開始Office 365電子郵件內容搜尋，複製下面的代碼並將其粘貼到PowerShell控制台中。

Start-ComplianceSearch -Identity Phish1

執行上述代碼後，屏幕上不會有任何輸出。接下來需要做的是監視搜尋的狀態。要監視搜尋狀態，請在PowerShell中使用下面的代碼。

Get-ComplianceSearch -Identity Phish1

執行上述代碼時，您應該會看到類似下面的輸出。在下面的輸出中，顯示內容搜尋作業的狀態為Completed。

從上面的輸出中，您可以看到返回的屬性有限，並且未顯示找到的匹配數量。您可以運行以下命令以獲取內容搜尋結果的所有屬性。

Get-ComplianceSearch -Identity Phish1 | Format-List *

執行上述命令後，您將看到類似的結果，如下所示。在這種情況下，有16個符合搜索條件的項目。

預覽搜尋結果（選用）

預覽搜尋結果是一個選用的步驟，但如果你是那種寧願小心謹慎的人，建議你這麼做。你不想從所有郵箱中刪除錯誤的郵件，對吧？

到目前為止，您已經使用了New-ComplianceSearch、Start-ComplianceSearch和Get-ComplianceSearch命令來創建、運行和監視內容搜尋。現在，為了能夠預覽搜尋結果，您需要使用New-ComplianceSearchAction命令。

要預覽搜尋結果，您現在需要使用以下命令創建預覽操作。

New-ComplianceSearchAction -SearchName Phish1 -Preview

從下面的輸出中可以看到，預覽作業已經創建並自動開始，名稱為Phish1_Preview。

當預覽的創建完成後，您可以運行以下命令在屏幕上顯示預覽結果。

(Get-ComplianceSearchAction Phish1_Preview | Select-Object -ExpandProperty Results) -split ","

一旦運行上述命令，您將獲得類似於下圖所示的輸出。

讓我們承認，上面顯示的結果很醜陋。但是，如果您喜歡，您可以將結果導出為TXT文件。或者，如果您需要格式更好的報告，您可以從安全與合規中心門戶下載內容搜尋報告。

注意：預覽操作不會顯示訊息的內容，只會顯示符合搜索條件的訊息詳細資訊。

刪除 Office 365 的全部郵箱中的郵件

現在是最後一步了，執行 Office 365 刪除郵件操作。假設您已經對搜索結果感到滿意，現在可以準備運行郵件刪除流程。

要刪除符合搜索條件的訊息，您需要使用 New-ComplianceSearchAction cmdlet 創建一個清除作業，並使用 -Purge 開關和 -PurgeType 參數。

以下是創建清除作業的程式碼。請將程式碼複製並粘貼到 PowerShell 中運行。

New-ComplianceSearchAction -SearchName Phish1 -Purge -PurgeType SoftDelete

請注意，-PurgeType SoftDelete 參數/值會將訊息刪除並放入郵箱中可還原項目資料夾中的刪除資料夾。這意味著如果需要，仍然可以還原訊息。

運行上面的程式碼後，清除作業將被創建並開始執行。

如下圖所示，清除作業已使用名稱 Phish1_Purge 創建並自動開始執行。

清除完成後，可以使用以下命令查看最終結果。

Get-ComplianceSearchAction -Identity Phish1_Purge | Format-List

您將看到類似的輸出，如下所示。在此示例中，刪除了 16 條訊息，且無任何失敗。

就是這樣。您已成功從所有 Office 365 郵箱中刪除了垃圾郵件/釣魚訊息。

結論

在這篇文章中，您學習了如何使用安全性和合規性 PowerShell 指令碼來在 Office 365 中的所有郵箱中搜尋和刪除郵件。

您學習了如何整理要刪除的郵件詳細信息以便緊縮搜尋條件。緊縮搜尋條件有助於確保結果的最高準確性。

您還學習了如何創建和啟動內容搜尋，創建結果預覽，並最終清除符合搜尋條件的郵件。也許最好的是，您從未需要離開 PowerShell 完成這些任務！

憑藉從本文中獲得的知識，也許您可以自動化整個搜尋和刪除工作流程，以便即使是您的一線代理人也可以輕鬆執行。也許到那時，您將不再被緊急喚醒，而可以好好休息了。

進一步閱讀

• 搜索並刪除電子郵件
• 安全性與合規性中心的權限
• 關鍵字查詢和內容搜索的搜索條件
• 如何在 Office 365 中找到並刪除所有郵箱中的郵件