Suchen nach und Löschen von Nachrichten in Benutzerpostfächern

  • Artikel

Gilt für: Office 365 for enterprises, Live@edu

Letztes Änderungsdatum des Themas: 2011-11-23

Hin und wieder müssen Administratoren nach E-Mail-Nachrichten mit unzulässigen, anstößigen oder potenziell gefährlichen Inhalten suchen, die an mehrere Postfächer in der gesamten Organisation gesendet wurden, und diese löschen. E-Mail-Nachrichten können beispielsweise Viren oder Links zum Download eines Virus, unzulässige Inhalte (z. B. jugendgefährdendes Material) oder vertrauliche Informationen, die versehentlich an die falschen Personen gesendet wurden, enthalten.

Sie können zu diesem Zweck nicht die Suche in mehreren Postfächern in der Exchange-Systemsteuerung verwenden. In Windows PowerShell können Sie hierzu jedoch das Search-Mailbox-Cmdlet mit dem Switch-Parameter DeleteContent verwenden.

Wichtig   Wenn Sie das Search-Mailbox-Cmdlet mit dem Parameter DeleteContent verwenden, werden Nachrichten endgültig aus dem Benutzerpostfach gelöscht und können nicht mehr wiederhergestellt werden.

  • Bevor Sie beginnen
  • Optionen zum Suchen und Löschen
  • Suchen nach Nachrichten und Protokollieren der Suchergebnisse
  • Suchen nach und Löschen von Nachrichten
  • Kopieren einer Nachricht vor dem Löschen
  • Zu suchende Eigenschaften von E-Mail-Nachrichten

Bevor Sie beginnen

Informationen zum Installieren und Konfigurieren von Windows PowerShell V2 sowie zum Herstellen einer Verbindung mit dem Service finden Sie unter Verwenden von Windows PowerShell.

Zuweisen der erforderlichen RBAC-Rollen

Sie müssen den folgenden Rollen zugewiesen sein, um in den Benutzerpostfächern nach Nachrichten suchen und Nachrichten löschen zu können:

  • Postfachsuche   Mit dieser Rolle können Sie organisationsweit in mehreren Postfächern nach Nachrichten suchen. Administratoren wird diese Rolle nicht standardmäßig zugewiesen. Um mehrere Postfächer zu durchsuchen, müssen Sie sich selbst als Mitglied der Rollengruppe "Discoveryverwaltung" hinzufügen. Weitere Informationen finden Sie unter Hinzufügen oder Entfernen von Rollengruppenmitgliedern.
  • Postfachimport/-export   Diese Rolle ermöglicht Ihnen das Löschen von Nachrichten aus einem Benutzerpostfach. Administratoren wird diese Rolle nicht standardmäßig zugewiesen. Um Nachrichten aus den Benutzerpostfächern zu löschen, müssen Sie der Rollengruppe "Organisationsverwaltung" die Rolle "Postfachimport/-export" hinzufügen. Weitere Informationen finden Sie unter Bearbeiten von Rollengruppeneigenschaften.

Sammeln von Informationen für die Suchabfrage

Sie müssen einige Kopien der mit einem Virus infizierten Nachricht oder der Nachricht mit unpassendem oder anstößigem Inhalt abrufen und prüfen, um eine Suchabfrage zum Suchen dieser Art von Nachrichten zu erstellen.

Seitenanfang

Optionen zum Suchen und Löschen

Sie können das Search-Mailbox-Cmdlet mit dem DeleteContent-Parameter verwenden, um in einem Schritt nach Nachrichten zu suchen und diese zu löschen. Bei dieser Vorgehensweise können Sie jedoch nicht die Suchergebnisse in der Vorschau anzeigen oder ein Protokoll generieren, in dem aufgezeichnet wird, welche Nachrichten von der Suche zurückgegeben wurden. Sie wissen also nicht, welche Nachrichten gelöscht wurden.

Daher ist es besser, zuerst das Search-Mailbox-Cmdlet mit dem LogOnly-Parameter auszuführen. Mit diesem Befehl wird ein Protokoll generiert, das Informationen zu allen Ergebnissen enthält, die mit den Suchkriterien übereinstimmen. Es werden aber keine Nachrichten gelöscht. Diese Informationen werden in einer durch Trennzeichen getrennten Datei (CSV) bereitgestellt, die an eine E-Mail-Nachricht angefügt wird. Diese wird an das Postfach und den Ordner gesendet, die Sie mit dem Search-Mailbox-Cmdlet und den Parametern TargetMailbox und TargetFolder definieren. Nachdem Sie das Protokoll geprüft haben, können Sie die Suchkriterien verfeinern und bei Bedarf eine Suche ausführen, bei der nur ein Protokoll generiert wird, oder die Suche mit dem DeleteContent-Parameter ausführen.

Als dritte Möglichkeit können Sie die Nachricht mit dem unzulässigen oder anstößigen zuerst kopieren, bevor Sie sie im Benutzerpostfach löschen, um später bei Bedarf darauf zugreifen zu können. Fügen Sie hierzu die Parameter TargetMailbox und TargetFolder in den Befehl ein, den Sie zum Löschen der Nachricht ausführen.

Seitenanfang

Suchen nach Nachrichten und Protokollieren der Suchergebnisse

Betrachten wir einige Beispiele, die veranschaulichen, welche Aufgaben Sie mit dem Search-Mailbox-Cmdlet durchführen können. Eine Liste der Nachrichteneigenschaften, die Sie in den Wert für den SearchQuery-Parameter einschließen können, finden Sie unter Zu suchende Eigenschaften von E-Mail-Nachrichten.

Durchsuchen eines einzelnen Postfachs

Mit dem folgenden Befehl wird in einem bestimmten Postfach in der Organisation nach Nachrichten gesucht, die in der Betreffzeile einen bestimmten Wert enthalten. Anschließend wird eine Nachricht mit den Ergebnissen an das Zielpostfach gesendet. Es werden keine Nachrichten aus dem durchsuchten Postfach gelöscht.

Search-Mailbox -Identity <name> -SearchQuery subject:"<verbatim subject line>" -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -LogOnly -LogLevel Full

Beispiel   Mit dem folgenden Befehl wird das Postfach von Pilar Pinilla nach Nachrichten durchsucht, die im Feld "Betreff" den Ausdruck Download this file enthalten, und die Suchergebnisse werden im Ordner SearchLogs des Administratorpostfachs protokolliert.

Search-Mailbox -Identity "Pillar Pinilla" -SearchQuery subject:"Download this file" -TargetMailbox Administrator -TargetFolder SearchLogs -LogOnly -LogLevel Full

Durchsuchen aller Postfächer

Mit dem folgenden Befehl werden alle Postfächer in der Organisation nach Nachrichten durchsucht, an die eine bestimmte Datei angefügt ist. Anschließend wird eine Nachricht mit den Ergebnissen an das Zielpostfach gesendet. Es werden keine Nachrichten aus den durchsuchten Postfächern gelöscht.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:<filename> -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -LogOnly -LogLevel Full

Beispiel   Mit dem folgenden Befehl werden alle Postfächer nach Nachrichten durchsucht, an die ein beliebiger Typ von Datei mit dem Namen Trojan angefügt ist. Anschließend wird eine Protokollnachricht an das Administratorpostfach gesendet.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery attachment:trojan* -TargetMailbox Administrator -TargetFolder SearchLogs -LogOnly -LogLevel Full

Seitenanfang

Suchen nach und Löschen von Nachrichten

Mit dem folgenden Befehl werden alle Postfächer durchsucht und alle Nachrichten gelöscht, die einen bestimmten Text in der Betreffzeile enthalten:

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:<verbatim subject line> -DeleteContent

Beispiel   Mit dem folgenden Befehl werden alle Postfächer nach Nachrichten mit der Betreffzeile Download this file durchsucht. Diese Nachrichten werden dann endgültig gelöscht.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:"Download this file" -DeleteContent

Wichtig   Bevor Sie die Nachrichten endgültig löschen, wird empfohlen, entweder den LogOnly-Parameter zu verwenden, um ein Protokoll der bei der Suche gefundenen Nachrichten zu generieren, bevor diese gelöscht werden. Alternativ können Sie die Nachrichten auch in ein anderes Postfach kopieren, bevor diese aus dem Quellpostfach gelöscht werden.

Kopieren einer Nachricht vor dem Löschen

Mit dem folgenden Befehl werden alle Postfächer nach Nachrichten durchsucht, die einen bestimmten Text in der Betreffzeile enthalten. Die tatsächlichen Suchergebnisse werden in einen Ordner kopiert, und dann werden alle Nachrichten gelöscht, die den Suchkriterien entsprechen.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:<verbatim subject line> -TargetMailbox <name of mailbox> -TargetFolder <name of folder> -DeleteContent

Beispiel   Mit dem folgenden Befehl werden alle Postfächer nach Nachrichten durchsucht, die in der Betreffzeile Download this file enthalten. Die Suchergebnisse werden in den Ordner DeletedMessages des Administratorpostfachs kopiert. Dann werden die Nachrichten endgültig aus den Benutzerpostfächern gelöscht.

Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery subject:"Download this file" -TargetMailbox Administrator -TargetFolder DeletedMessages -DeleteContent

Seitenanfang

Zu suchende Eigenschaften von E-Mail-Nachrichten

In der folgenden Tabelle finden Sie allgemeine Eigenschaften, die Sie in den Wert für den SearchQuery-Parameter einfügen können.

Eigenschaft Beispiel Suchergebnisse

Anlagen

attachment:Jahresbericht.ppt

Nachrichten mit einer Anlage namens "Jahresbericht.ppt". Die Verwendung von "attachment:Jahresbericht" oder "attachment:Jahres*" liefert dieselben Ergebnisse wie die Verwendung des vollständigen Namens der Anlage.

Cc

cc:"Paul Schneider"

cc:pauls

cc: pauls@fineartschool.edu

Nachrichten mit "Paul Schneider" im Feld Cc.

Von

from:"Max Schmitz"

from:maxs

from:maxs@contoso.com

Von "Max Schmitz" gesendete Nachrichten.

Gesendet

sent:10/19/2010

Am 19. Oktober 2010 gesendete Nachrichten.

Betreff

subject:"Quartal Finanzen"

Nachrichten mit dem exakten Ausdruck "Quartal Finanzen" in der Betreffzeile.

An

to:"Judith Linke"

to:judithl

to:judithl@contoso.com

An "Judith Linke" gesendete Nachrichten.