在 Exchange Server 中搜尋和刪除訊息

您可以使用 New-ComplianceSearch 和 New-ComplianceSearchAction Cmdlet 來搜尋並刪除您的組織中所有信箱的電子郵件訊息。 這可協助您尋找並移除可能有害或高風險的電子郵件，例如：

• 包含危險附件或病毒的郵件

• 網路釣魚郵件

• 包含敏感資料的郵件

為什麼要使用 New-ComplianceSearch 和 New-ComplianceSearchActio Cmdlet，而不是使用 Search-Mailbox Cmdlet 來刪除郵件？ 在舊版 Exchange 中，您可以執行 Search-Mailbox -DeleteContent 命令來搜尋和刪除電子郵件訊息。 您仍然可以在Exchange Server中執行此動作，但您只能使用Search-Mailbox Cmdlet 在單一搜尋中搜尋最多 10，000 個信箱。 若使用 New-ComplianceSearch ，則不限制單一搜尋中的信箱數目。 這可讓大型組織執行整個組織的搜尋並刪除作業。

以下是搜尋及刪除程序的工作流程：

步驟 1：建立與執行符合性搜尋來尋找要刪除的郵件

步驟 2：刪除郵件

請參閱詳細資訊一節以取得已刪除的郵件會發生什麼情況以及如何取得搜尋和刪除作業狀態的描述。

在您開始之前

• 若要使用 New-ComplianceSearch 和 Start-ComplianceSearchAction Cmdlet 來建立與執行符合性搜尋，並使用 New-ComplianceSearchAction Cmdlet 來刪除郵件，您必須被指派為信箱搜尋管理角色。 根據預設，系統管理員不會被指派這個角色。 若要指派此角色給自己以便搜尋信箱和刪除郵件，請將您自己增加為「探索管理」角色群組的成員。 請參閱在 Exchange Server 中指派電子檔探索許可權。

• 每個信箱一次可以移除最多 10 個項目。 因為搜尋和移除郵件的功能應該是事件回應工具，此限制可以協助確保從信箱快速移除郵件。 這項功能不是用來清除使用者信箱。

步驟 1：建立與執行符合性搜尋來尋找要刪除的郵件

第一個步驟是建立和執行符合性搜尋，以尋找您想要從組織中信箱移除的郵件。 您可以藉由在步驟 2 中執行 New-ComplianceSearch 和 Start-ComplianceSearch Cmdlet 來建立搜尋。 藉由在步驟 2 中執行 New-ComplianceSearchAction Cmdlet，會刪除符合此搜尋查詢的郵件。

在此範例中，命令會對組織中所有信箱建立搜尋，並開始搜尋主旨列中包含「更新您的帳戶資訊」文字的郵件。

1. Open the Exchange Management Shell.

2. 執行下列命令。

   New-ComplianceSearch -Name "Remove Phishing Message" -ExchangeLocation all -ContentMatchQuery 'subject:"Update your account information"'
   

   Start-ComplianceSearch -Identity "Remove Phishing Message"
   

如需如何建立符合性搜尋及設定搜尋查詢的資訊，請參閱下列主題：

• New-ComplianceSearch

• Start-ComplianceSearch

• Exchange Server中In-Place電子檔探索的訊息屬性和搜尋運算子

尋找要移除郵件的提示

搜尋查詢的目標是將搜尋結果縮減為只有您想要移除的郵件。 以下是一些提示：

• 如果您知道郵件主旨行中使用的確切文字或片語，請在搜尋查詢中使用 Subject 屬性。

• 如果您知道郵件的實際日期 (或日期範圍)，請在搜尋查詢中包含 Received 屬性。

• 如果您知道郵件的寄件者，請在搜尋查詢中包含 From 屬性。

• 預覽搜尋結果，以確認內容搜尋僅傳回您想要刪除的郵件。

• 使用搜尋預估統計資料 (藉由執行 Get-ComplianceSearch Cmdlet) 來取得搜尋結果的總計數。

以下是尋找可疑電子郵件訊息的兩個查詢範例。

• 此查詢傳回 2016 年 4 月 13 日和 2016 年 4 月 14 日之間使用者所接收的郵件，且在主旨列中包含文字「動作」和「必要」。

  (Received:4/13/2016..4/14/2016) AND (Subject:'Action required')
  

• 此查詢會傳回所 chatsuwloginsset12345@outlook.com 傳送的訊息，並在主旨行中包含確切的片語「更新您的帳戶資訊」。

  (From:chatsuwloginsset12345@outlook.com) AND (Subject:"Update your account information")
  

步驟 2：刪除郵件

在您建立並精簡符合性搜尋以傳回您想要移除的郵件後，最後一步是執行 New-ComplianceSearchAction Cmdlet 來刪除郵件。 已刪除的郵件會移至使用者的 [可復原的項目] 資料夾。

在此範例中，命令將會刪除名為「移除網路釣魚郵件」的符合性搜尋所傳回的搜尋結果。

1. Open the Exchange Management Shell.

2. 執行下列指令：

   New-ComplianceSearchAction -SearchName "Remove Phishing Message" -Purge -PurgeType SoftDelete
   

其他資訊

• 刪除訊息之後會發生什麼事？：使用 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令刪除的訊息會移至使用者 [可復原的專案] 資料夾中的 [刪除] 資料夾。 它不會立即從 Exchange 資料庫中清除。 使用者可以根據為信箱設定的刪除項目保留期間，在持續時間之內復原 [刪除的郵件] 資料夾中的郵件。 此保留期間到期 (或者如果使用者在到期之前清除郵件) 之後，郵件會移至 [清除] 資料夾且使用者無法再存取。 一旦郵件位在 [清除] 資料夾中，如果已針對信箱啟用單一項目復原，則郵件會根據為信箱設定的刪除的郵件保留期間，再次於持續時間之內保留。 (在 Exchange 中，建立新信箱時，預設會啟用單一專案復原。) 在刪除的專案保留期限到期之後，郵件會標示為永久刪除，並在下次受控資料夾助理處理信箱時從 Exchange 資料庫清除。

• 您如何知道郵件已刪除並移至使用者的 [可復原的專案] 資料夾？：如果您在刪除郵件之後執行相同的合規性搜尋，您仍會看到 (相同的搜尋結果數目，而且可能假設郵件並未從使用者信箱中刪除) 。 這是因為合規性搜尋會搜尋 [可復原的專案] 資料夾，也就是您執行 New-ComplianceSearchAction -Purge -PurgeType SoftDelete 命令之後，已刪除訊息移至的位置。 若要確認郵件移至 [可復原的項目] 資料夾的哪個位置，您可以執行就地 eDiscovery 搜尋 (使用與在步驟 1 中建立的符合性搜尋相同的來源信箱和搜尋準則)，並且將搜尋結果複製到探索信箱。 然後您可以在探索信箱中檢視搜尋結果，並確認郵件已移至 [可復原的項目] 資料夾。 如需建立使用來源信箱清單的In-Place電子檔探索搜尋，以及從合規性搜尋中搜尋查詢的詳細資訊，請參閱使用合規性搜尋來搜尋Exchange Server中的所有信箱。

• 如果郵件從已置於In-Place保留或訴訟保留的信箱中刪除，會發生什麼情況？：在使用者 (清除郵件之後，或在刪除的專案保留期間到期) 之後，郵件會保留到保留期間到期為止。 如果保留期限無限制，則項目會保留到移除保留或變更保留期限為止。

• 如何取得搜尋和刪除作業的狀態？ 執行 Get-ComplianceSearchAction： 以取得刪除作業的狀態。 請注意，當您執行 New-ComplianceSearchAction Cmdlet 時所建立的 物件會使用下列格式命名： <name of Compliance Search>_Purge 。