Suchen/Löschen von bösartigen E-Mails

Last modified by Dimitri Rupp on 2026/07/08 14:07

Es ist möglich über das Microsoft Pureview Portal Bösartige Emails ausfindig zu machen. Ein Löschen dieser gefundenen Emails funktioniert dann leider jedoch nur via Powershell.

Zum suchen das Pureview Portal öffnen: Home - Microsoft Purview

Nun im linken Bereich "Content Search" auswählen. Es wird eine Liste aller vorherigen gemachten Suchen angezeigt. Es ist nun möglich eine neue Suche via Powershell oder via GUI zu erstellen. Ich werde beide Wege beschreiben, beginnend mit der GUI.

Suche mit der GUI

Im Oberen Bereich auf "New Search" klicken.

Nun einen passenden namen für die Suche eingeben und ggf. auch eine Beschreibung (wenn nötig). 

suche.JPG

Da wir in dem Fall nur eine Phsihing Mail suchen wollen, reicht es den Schieberegler bei den Mailboxen zu aktivieren. Dann Weiter.

(App Content bezieht sich auf den User basierten Cloud Storage, wird für die Mail suche nicht benötigt)

Im Folgenden Dialog werden die Suche Kriterien angegeben, bei einer Phishing Mails sind in der Regel der Absender sowie das Subject ausreichen. (Mit Add Conditions, können weitere Kriterien hinzugefügt werden). Dann auf Weiter und im letzten Fenster mit Submit die Suche starten.

define.JPG

In der Such Übersicht wird nun die neu erstellte Suche mit dem Namen angezeigt. Der Status in der letzten Spalte gibt an wann die Suche fertig ist. 

guisearch.JPG

Sobald der Status auf Completed ist, kann man sich die Suche anschauen.

result.JPG

Bei search statistics und Top Locations werden dann alle User angezeigt welche die Email im Postfach liegen haben. Egal ob in Gelöschte Objekte, Posteingang oder sonst wo. Ein löschen dieser Email aus der GUI ist jedoch nun nicht möglich, dazu wird die Powershell benötigt.

Suche mit der Powershell

Zuerst mit der Powershell zum Exchange Online verbinden:

Information

Connect-ExchangeOnline

Falls das nicht geht, wurde eventuell das Powershell Modul noch nicht installiert, dann bitte folgende Befehle ausführen:

Information

install-module ExchangeOnlineManagement

Information

Import-Module ExchangeOnlineManagement

Sollte ein Oauth Fehler nach der Verbindung zum Exchange aufscheinen, muss vorher das Script aus dieser Wiki in der Powershell ISE ausgeführt werden. Da bei SPL RemoteVerbindungen mit Basic Authentifizierungen geblockt werden.

Information

$WinRMClient = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client"
$Name = "AllowBasic"
$value = "1"
IF (!(Test-Path $WinRMClient)) {
   New-Item -Path $WinRMClient -Force | Out-Null
   New-ItemProperty -Path $WinRMClient -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
} ELSE {
   New-ItemProperty -Path $WinRMClient -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
}

Nun mit dem Compliance Portal verbinden:

Information

Connect-IPPSSession -UserPrincipalName m365_adm.xxxx@spltele.onmicrosoft.com

Soweit die vorbereitungen, nun kann man die Compliance Search erstellen, so wie auch in der GUI. 

Information

$Search=New-ComplianceSearch -Name "Remove Phishing Message neu" -ExchangeLocation All -ContentMatchQuery '(Subject:"Betreff der Email") AND (From:Absender@Domain.at)'
>> Start-ComplianceSearch -Identity $Search.Identity

Es wird nun eine Suche im Compliance Portal angelegt, mit dem Namen den man beim parameter Name angibt. Diese kann dann in der GUI genau so gesichtet werden wie eine Suche die man direkt aus der GUI anstartet. 

Löschen von Emails die mit der Suche gefunden wurde

Information

Zusätzlich nun auch mit dem Compliance Portal verbinden.
connect-ippssession

Folgender Befehl in der Powershell löscht nun die Emails welche die Suche gefunden hat.

(Und zwar nur diese, die Eben wirklich bei der Suche entdeckt wurden. Sollten neue Emails in der Zwischenzeit hinzugekommen sein, muss die Suche neu gestartet werden)

Information

New-ComplianceSearchAction -SearchName "Remove Phishing Message neu" -Purge -PurgeType SoftDelete

Bei dem Löschen werden 2 Parameter mitgegeben, zum einen der SearchName, hier wird der Name der Suche angegeben. Ob die Suche nun via PowerShell oder GUI angestartet wurde ist egal. 

Und zweitens die Art der Säuberung, Purge. Dies kann sein SoftDelete und HardDelete

- SoftDelete: Die Email wird aus dem Postfach des Users gelöscht, auch aus den Gelöschten Objekten. Der User hat jedoch weiterhin die Möglichkeit die Email aus den Gelöschten Objekten wiederherzustellen.

- HardDelte: Die Email wird komplett gelöscht, und kann auch vom user nicht mehr wiederhergestellt werden.