Wiki source code of Suchen/Löschen von bösartigen E-Mails
Version 2.1 by Dimitri Rupp on 2026/07/08 14:07
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | {{box cssClass="floatinginfobox" title="**Auf dieser Seite**"}} | ||
| 2 | {{toc/}} | ||
| 3 | {{/box}} | ||
| 4 | |||
| 5 | Es ist möglich über das Microsoft Pureview Portal Bösartige Emails ausfindig zu machen. Ein Löschen dieser gefundenen Emails funktioniert dann leider jedoch nur via Powershell. | ||
| 6 | |||
| 7 | Zum suchen das Pureview Portal öffnen: [[Home - Microsoft Purview>>url:https://compliance.microsoft.com/homepage]] | ||
| 8 | |||
| 9 | Nun im linken Bereich "Content Search" auswählen. Es wird eine Liste aller vorherigen gemachten Suchen angezeigt. Es ist nun möglich eine neue Suche via Powershell oder via GUI zu erstellen. Ich werde beide Wege beschreiben, beginnend mit der GUI. | ||
| 10 | |||
| 11 | |||
| 12 | === Suche mit der GUI === | ||
| 13 | |||
| 14 | Im Oberen Bereich auf "**New Search**" klicken. | ||
| 15 | |||
| 16 | |||
| 17 | Nun einen passenden namen für die Suche eingeben und ggf. auch eine Beschreibung (wenn nötig). | ||
| 18 | |||
| 19 | [[image:attach:suche.JPG]] | ||
| 20 | |||
| 21 | Da wir in dem Fall nur eine Phsihing Mail suchen wollen, reicht es den Schieberegler bei den Mailboxen zu aktivieren. Dann Weiter. | ||
| 22 | |||
| 23 | (App Content bezieht sich auf den User basierten Cloud Storage, wird für die Mail suche nicht benötigt) | ||
| 24 | |||
| 25 | |||
| 26 | Im Folgenden Dialog werden die Suche Kriterien angegeben, bei einer Phishing Mails sind in der Regel der Absender sowie das Subject ausreichen. (Mit Add Conditions, können weitere Kriterien hinzugefügt werden). Dann auf Weiter und im letzten Fenster mit Submit die Suche starten. | ||
| 27 | |||
| 28 | [[image:attach:define.JPG]] | ||
| 29 | |||
| 30 | In der Such Übersicht wird nun die neu erstellte Suche mit dem Namen angezeigt. Der Status in der letzten Spalte gibt an wann die Suche fertig ist. | ||
| 31 | |||
| 32 | [[image:attach:guisearch.JPG]] | ||
| 33 | |||
| 34 | Sobald der Status auf Completed ist, kann man sich die Suche anschauen. | ||
| 35 | |||
| 36 | [[image:attach:result.JPG]] | ||
| 37 | |||
| 38 | Bei search statistics und Top Locations werden dann alle User angezeigt welche die Email im Postfach liegen haben. Egal ob in Gelöschte Objekte, Posteingang oder sonst wo. Ein löschen dieser Email aus der GUI ist jedoch nun nicht möglich, dazu wird die Powershell benötigt. | ||
| 39 | |||
| 40 | |||
| 41 | === Suche mit der Powershell === | ||
| 42 | |||
| 43 | Zuerst mit der Powershell zum Exchange Online verbinden: | ||
| 44 | |||
| 45 | {{info}} | ||
| 46 | Connect-ExchangeOnline | ||
| 47 | {{/info}} | ||
| 48 | |||
| 49 | Falls das nicht geht, wurde eventuell das Powershell Modul noch nicht installiert, dann bitte folgende Befehle ausführen: | ||
| 50 | |||
| 51 | {{info}} | ||
| 52 | install-module ExchangeOnlineManagement | ||
| 53 | {{/info}} | ||
| 54 | |||
| 55 | {{info}} | ||
| 56 | Import-Module ExchangeOnlineManagement | ||
| 57 | {{/info}} | ||
| 58 | |||
| 59 | |||
| 60 | Sollte ein Oauth Fehler nach der Verbindung zum Exchange aufscheinen, muss vorher das Script aus dieser Wiki in der Powershell ISE ausgeführt werden. Da bei SPL RemoteVerbindungen mit Basic Authentifizierungen geblockt werden. | ||
| 61 | |||
| 62 | {{info}} | ||
| 63 | $WinRMClient = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client" | ||
| 64 | $Name = "AllowBasic" | ||
| 65 | $value = "1" | ||
| 66 | IF (!(Test-Path $WinRMClient)) { | ||
| 67 | New-Item -Path $WinRMClient -Force | Out-Null | ||
| 68 | New-ItemProperty -Path $WinRMClient -Name $name -Value $value -PropertyType DWORD -Force | Out-Null | ||
| 69 | } ELSE { | ||
| 70 | New-ItemProperty -Path $WinRMClient -Name $name -Value $value -PropertyType DWORD -Force | Out-Null | ||
| 71 | } | ||
| 72 | {{/info}} | ||
| 73 | |||
| 74 | Nun mit dem Compliance Portal verbinden: | ||
| 75 | |||
| 76 | {{info}} | ||
| 77 | Connect-IPPSSession -UserPrincipalName m365_adm.xxxx@spltele.onmicrosoft.com | ||
| 78 | {{/info}} | ||
| 79 | |||
| 80 | Soweit die vorbereitungen, nun kann man die Compliance Search erstellen, so wie auch in der GUI. | ||
| 81 | |||
| 82 | {{info}} | ||
| 83 | $Search=New-ComplianceSearch -Name "Remove Phishing Message neu" -ExchangeLocation All -ContentMatchQuery '(Subject:"Betreff der Email") AND (From:Absender@Domain.at)' | ||
| 84 | ~>> Start-ComplianceSearch -Identity $Search.Identity | ||
| 85 | {{/info}} | ||
| 86 | |||
| 87 | Es wird nun eine Suche im Compliance Portal angelegt, mit dem Namen den man beim parameter Name angibt. Diese kann dann in der GUI genau so gesichtet werden wie eine Suche die man direkt aus der GUI anstartet. | ||
| 88 | |||
| 89 | === Löschen von Emails die mit der Suche gefunden wurde === | ||
| 90 | |||
| 91 | {{info}} | ||
| 92 | Zusätzlich nun auch mit dem Compliance Portal verbinden. | ||
| 93 | **connect-ippssession** | ||
| 94 | {{/info}} | ||
| 95 | |||
| 96 | Folgender Befehl in der Powershell löscht nun die Emails welche die Suche gefunden hat. | ||
| 97 | |||
| 98 | (Und zwar nur diese, die Eben wirklich bei der Suche entdeckt wurden. Sollten neue Emails in der Zwischenzeit hinzugekommen sein, muss die Suche neu gestartet werden) | ||
| 99 | |||
| 100 | {{info}} | ||
| 101 | New-ComplianceSearchAction -SearchName "Remove Phishing Message neu" -Purge -PurgeType SoftDelete | ||
| 102 | {{/info}} | ||
| 103 | |||
| 104 | Bei dem Löschen werden 2 Parameter mitgegeben, zum einen der SearchName, hier wird der Name der Suche angegeben. Ob die Suche nun via PowerShell oder GUI angestartet wurde ist egal. | ||
| 105 | |||
| 106 | Und zweitens die Art der Säuberung, Purge. Dies kann sein SoftDelete und HardDelete | ||
| 107 | |||
| 108 | - SoftDelete: Die Email wird aus dem Postfach des Users gelöscht, auch aus den Gelöschten Objekten. Der User hat jedoch weiterhin die Möglichkeit die Email aus den Gelöschten Objekten wiederherzustellen. | ||
| 109 | |||
| 110 | - HardDelte: Die Email wird komplett gelöscht, und kann auch vom user nicht mehr wiederhergestellt werden. |