Поиск и удаление писем в ящиках Exchange Server (Microsoft 365) с помощью PowerShell

В Exchange Server вы можете использовать PowerShell командлеты Search-Mailbox или New-ComplianceSearch (доступен в новых версиях Exchange Server и в Exchange Online/Microsoft 365) для поиска и удаления писем из ящиков пользователей. Например, пользователь случайно разослал приватные данные коллегам в организации и не успел отозвать сообщение в Outlook. Департамент защиты информации требует, чтобы вы, как администратор Exchange, удалили случайно отправленное приватное письмо из всех ящиков пользователей в вашей организации/тенанте Exchange

Предоставить права для поиска по ящикам Exchange

Подключитесь к своему on-prem Exchange серверу с помощью PowerShell.

Учетной записи администратора, который выполняет поиск и удаление элементов нужно назначить следующие роли:

• Mailbox Import Export
• Mailbox Search

Вы можете назначить роли через EAC или с помощью следующих команд PowerShell:

New-ManagementRoleAssignment -User itpro -Role "Mailbox Import Export"
New-ManagementRoleAssignment -User itpro -Role "Mailbox Search”

В Exchange Online нужно назначить следующие роли:

Add-RoleGroupMember "Discovery Management" -member adminusr@winitpro.ru
New-RoleGroup "Mailbox Import-Export Management" -Roles "Mailbox Import Export"
Add-RoleGroupMember "Mailbox Import-Export Management" -Member adminusr@winitpro.ru

Добавьте свою учетную запись в eDiscovery Admins в Microsoft 365 Compliance Center

После назначения ролей нужно перезапустить сеанс PowerShell.

Search-Mailbox: поиск и удаление писем в ящиках Exchange

Для поиска писем в ящиках пользователей можете использовать веб-интерфейс Exchange Admin Center (EAC) или PowerShell командлет Search-Mailbox. Эта команда позволяет найти письма в ящиках пользователей по определенных критериями, скопировать найденные элементы в другой ящик или удалить их

Для поиска в ящике пользователя писем с определенной темой выполните команду:
Search-Mailbox -Identity vasia -SearchQuery 'Subject:"Годовой отчет"'
Для поиска по всем ящикам в организации, воспользуйтесь командой:
Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery 'Subject:"Годовой отчет"'

WARNING:  On July 1, 2020, the Search-Mailbox cmdlet is being retired and Microsoft Support will no longer provide assistance.  See https://go.microsoft.com/fwlink/?linkid=2113221 to learn more.
WARNING: The Search-Mailbox cmdlet returns up to 10000 results per mailbox if a search query is specified. To return more than 10000 results, use the New-MailboxSearch cmdlet or the In-Place eDiscovery & Hold console in the Exchange Administration Center.

Чтобы скопировать результаты поиска в определенный ящик и папку, используйте параметры TargetMailbox и TargetFolder. Это позволит вам после окончания поиска вручную просмотреть найденные письма в вашем Outlook. Допустим, нам нужно выполнить поиск писем по списку пользователей (содержится в текстовом файле users.txt) и скопировать найденные письма в папку определённого ящика, выполните:

get-content users.txt | Get-Mailbox -ResultSize unlimited | Search-Mailbox -SearchQuery 'Subject:"Годовой отчет"' -TargetMailbox sec_mbx -TargetFolder "ExSearchFolder”

Параметр –LogOnly -LogLevel Full означает, что нужно выполнить только оценку результатов поиска, не копируя результаты поиска в целевой ящик и не удаляя элементы. При использовании этого аргумента на указанный целевой ящик будет отправлен отчет с результатами поиска. Отчет представляет собой заархивированный csv-файл, в котором перечислен список ящиков, соответствующих критериям поиска.

Вы можете оценить результаты поиска (общее количество и размер писем) с помощью параметра –EstimateResultOnly. При использовании этого параметра не нужно указывать целевой ящик и папку.

Get-Mailbox | Search-Mailbox -SearchQuery 'Subject:"report"'  -EstimateResultOnly|select Identity,ResultItemsCount,ResultItemsSize| Where-Object ResultItemsCount -gt 0

Чтобы удалить найденные письма нужно использовать параметр –DeleteContent. Чтобы убрать запросы на подтверждение удаления информации, добавьте параметр –Force.

Удалим все письма от пользователя vasia во всех ящиках на определенном почтовом сервере Exchange:

Get-Mailbox –Server msk-mdb1 –ResultSize unlimited | Search-Mailbox -SearchQuery 'from:"vasia@winitpro.ru"' –DeleteContent –Force

Чтобы выполнить поиск только по удаленным элементам, добавьте параметр –SearchDumpsterOnly (чтобы исключить поиск по удаленным элементам, добавьте параметр -SearchDumpster:$false ) . Если нужно исключить архив ящика, используйте параметр –DoNotIncludeArchive.

Командлет Search-Mailbox может вернуть максимум 10000 элементов. Если найдено большее количество элементов, появится ошибка:

Sending data to a remote command failed with the following error message: The total data received from the remote client exceeded allowed maximum. Allowed maximum is 524288000.

Поэтому, чтобы удалить большее количество элементов нужно запустить командлет Search-Mailbox несколько раз, либо разбивать ящик на группы по почтовым базам или серверам.

Get-Mailbox -Database  mskdb | Search-Mailbox –SearchQuery 'from:spam@spammer.ru' -DeleteContent –Force

Другая проблема Search-Mailbox – низкая производительность. Поиск по большой организации может выполняться несколько суток. В современных версиях Exchange и Microsoft 365 для поиска писем в ящиках лучше использовать командлет New-ComplianceSearch (рассмотрен ниже).

Примеры запросов SearchQuery для поиска писем в ящиках Exchange

Рассмотрим примеры запросов на поиск почтовых элементов с помощью параметра SearchQuery. Параметр SearchQuery обрабатывает запросы на языке KQL (Keyword Query Language) — https://docs.microsoft.com/en-us/sharepoint/dev/general-development/keyword-query-language-kql-syntax-reference.

Найти и удалить все письма с ключевым слово “Секрет” в теме от всех пользователей не из вашего домена:

Search-Mailbox -Identity vasia -SearchQuery 'Subject:"Секрет" and from<>”winitpro.ru”' -DeleteContent

С помощью логических операторов OR и AND вы можете комбинировать более сложные условия поиска писем.

Найти и удалить все письма с вложениями размером более 20Мб:

Search-Mailbox -Identity vasia -SearchQuery 'hasattachment:true AND Size >20971520' –DeleteContent

Можно одновременно искать по тексту в заголовке и в теме письма. Например, чтобы найти и удалить письма, у которых в теме письма содержится фраза «Новый Год» или в тексте письма есть фраза «покупка коньяка»:

Search-Mailbox vasia -SearchQuery {Subject:"RE:Новый Год" OR body:"покупка коньяка"} -DeleteContent -Force

Можно искать в ящиках определенные элементы, с помощью аргумента Kind. Например:

Собрания: -SearchQuery "Kind:meetings"
Контакты: -SearchQuery "Kind:contacts"

Или другие элементы:

• Email — письма
• Meetings — собрания
• Tasks — задачи
• Notes — заметке
• Docs – документы
• Journals — журналы
• Contacts — контакты
• IM – сообщения мессенджеров

Поиск писем по определенному отправителю и получателю

-SearchQuery 'from:"admin@winitpro.ru" AND to:"support@winitpro.ru"'

Письма с вложениями: -SearchQuery 'hasattachment:true'

Прочитанные письма: -SearchQuery 'isread:false'

Поиск писем по размеру: -SearchQuery 'size>200000'

-SearchQuery 'attachment:"secret.pdf"'

Или по типу файла:

-SearchQuery 'attachment -like:"*.docx"'

Возможен поиск по дате отправки/получения писем, но тут есть несколько нюансов. При использовании дат в качестве критерия поиска нужно учитывать региональные настройки сервера Exchange. Например, дата 20 февраля 2022 года может быть указана:

• 20/02/2022
• 02/20/2022
• 20-Feb-2022
• 20/February/2022

Если при выполнении команды Search-Mailbox вы получите ошибку “ The KQL parser threw an exception… ”, значит вы используете неверный формат времени.

Для поиска писем, отправленных в конкретный день, используйте запрос:

-SearchQuery sent:22/02/2022

Если нужно указать диапазон дат (поиск писем, полученных в указанный промежуток времени):

-SearchQuery {Received:20/06/2020..22/02/2022}

Еще один пример. Ищем письма, полученные после 7 июля:

-SearchQuery {Received:> $('07/07/2021')}

New-ComplianceSearch: быстрый поиск и удаление писем в Exchange

В Exchange 2016/2019 и Exchange Online (Microsoft 365) появился новый механизм для быстрого поиска и удаления писем в ящиках пользователей с помощью командлетов New-ComplianceSearch и New-ComplianceSearchAction.

Подключитесь к M365 Security & Compliance Center:

Connect-IPPSSession

Попробуем найти в ящиках письма с определенной темой от указанного email отправителя за период:

$Sender = "user1@winitpro.ru"
$StartTime = "02/19/2022"
$EndTime = "02/21/2021"
$Subject = "report2022"

Чтобы создать задание поиска писем по указанным критериям, выполните:

New-ComplianceSearch -Name "ContentSearch_for_Report2022" -ExchangeLocation all -ContentMatchQuery "sent>=$($StartTime) AND sent<=$($EndTime) AND sender:$($Sender) AND subject:$($Subject)"

Вы можете задавать критерии поиска в атрибуте -ContentMatchQuery по аналогии с параметрами -SearchQuery командлета Search-Mailbox.

New-ComplianceSearchAction: The term 'New-ComplianceSearchAction' is not recognized as the name of a cmdlet, function, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

Чтобы запустить это задание:

Start-ComplianceSearch -Identity "ContentSearch_for_Report2022"

Нужно дождаться его выполнения. Текущий статус можно получить так:

Get-ComplianceSearch -Identity "ContentSearch_for_Report2022"| FL name,items,size,jobprogress,status   

Чтобы вывести результаты поиска в консоль в режиме Preview:

New-ComplianceSearchAction -SearchName "ContentSearch_for_Report2022" -Preview
(Get-ComplianceSearchAction "ContentSearch_for_Report2022"| Select-Object -ExpandProperty Results).Split(";")

Если вы хотите удалить все найденные письма из ящиков пользователей, используйте параметр –Purge:

New-ComplianceSearchAction -SearchName ContentSearch_for_Report2022 -Purge -PurgeType SoftDelete