E-Mails finden und löschen mit Search-Mailbox und DeleteContent

In diesem Artikel:

Kategorie: , Exchange: ,

Mit dem Exchange Befehl „Search-Mailbox“ können alle Postfächer anhand einer SearchQuery durchsucht werden. Auf diese Weise können bspw. Phishing-E-Mails gefunden und organisationsweit gelöscht werden.

SearchQuery erstellen

Die verfügbaren Filterkriterien und Vergleichsoperatoren findet Ihr auf der folgenden Webseite:

https://learn.microsoft.com/en-us/exchange/security-and-compliance/in-place-ediscovery/message-properties-and-search-operators

Die folgende beispielhafte SearchQuery ermittelt alle E-Mails von andre@schoppe.it, datenschutz@schoppe.it oder der Domain webhost1ng.de. Es werden nur E-Mails berücksichtigt, die nach dem 15.01.2023 01:00:00 eingegangen sind.

Die Zeitangabe ist immer die UTC-Zeit plus/minus Ortszeit. Für Deutschland/Berlin gilt +1 Stunde.

$searchquery = "(from:andre@schoppe.it OR from:datenschutz@schoppe.it OR from:webhost1ng.de) AND received>=01/15/23"

Bei folgendem Beispiel ermittelt die SearchQuery alle E-Mail anhand des Betreffs.

$searchquery = "(subject:'RE: IT-Service-Helpdesk' OR subject:'RE: ALLE Mitarbeiter Anwendung') AND received>=01/15/23"

Suche ausführen mit Log

Der folgende Befehl durchsucht alle Mailboxen mit der zuvor festgelegten SearchQuery und speichert das Suchergebnis in den Ordner Suchergebnisse des Postfachs targetmailbox@schoppe.it.

Der Ordner wird automatisch erstellt, sollte er noch nicht existieren.

Wichtig: Die TargetMailbox wird bei der Suchabfrage nicht berücksichtigt.

get-mailbox | search-mailbox -SearchQuery $searchquery -LogOnly -LogLevel FULL -TargetMailbox targetmailbox@schoppe.it -TargetFolder Suchergebnisse

E-Mails löschen

Der folgende Befehl löscht alle E-Mails, die mit der zuvor festgelegten SearchQuery ermittelt werden.

Get-Mailbox | Search-Mailbox -SearchQuery $searchquery -DeleteContent

Wenn der Parameter -DeleteContent ergänzt wird mit den Paramatern -TargetMailbox und -TargetFolder wird eine Kopie der gelöschten E-Mails in der TargetMailbox erstellt.

Weitere Informationen

Search-Mailbox

https://learn.microsoft.com/en-us/powershell/module/exchange/search-mailbox?view=exchange-ps

Message properties and search operators for In-Place eDiscovery in Exchange Online

https://learn.microsoft.com/en-us/exchange/security-and-compliance/in-place-ediscovery/message-properties-and-search-operators