Last modified by Dimitri Rupp on 2026/06/11 11:08

Show last authors
1 Es ist möglich über das Microsoft Pureview Portal Bösartige Emails ausfindig zu machen. Ein Löschen dieser gefundenen Emails funktioniert dann leider jedoch nur via Powershell.
2
3 Zum suchen das Pureview Portal öffnen: [[Home - Microsoft Purview>>url:https://compliance.microsoft.com/homepage]]
4
5 Nun im linken Bereich "Content Search" auswählen. Es wird eine Liste aller vorherigen gemachten Suchen angezeigt. Es ist nun möglich eine neue Suche via Powershell oder via GUI zu erstellen. Ich werde beide Wege beschreiben, beginnend mit der GUI.
6
7
8 === Suche mit der GUI ===
9
10 Im Oberen Bereich auf "**New Search**" klicken.
11
12
13 Nun einen passenden namen für die Suche eingeben und ggf. auch eine Beschreibung (wenn nötig).
14
15 [[image:attach:suche.JPG]]
16
17 Da wir in dem Fall nur eine Phsihing Mail suchen wollen, reicht es den Schieberegler bei den Mailboxen zu aktivieren. Dann Weiter.
18
19 (App Content bezieht sich auf den User basierten Cloud Storage, wird für die Mail suche nicht benötigt)
20
21
22 Im Folgenden Dialog werden die Suche Kriterien angegeben, bei einer Phishing Mails sind in der Regel der Absender sowie das Subject ausreichen. (Mit Add Conditions, können weitere Kriterien hinzugefügt werden). Dann auf Weiter und im letzten Fenster mit Submit die Suche starten.
23
24 [[image:attach:define.JPG]]
25
26 In der Such Übersicht wird nun die neu erstellte Suche mit dem Namen angezeigt. Der Status in der letzten Spalte gibt an wann die Suche fertig ist.
27
28 [[image:attach:guisearch.JPG]]
29
30 Sobald der Status auf Completed ist, kann man sich die Suche anschauen.
31
32 [[image:attach:result.JPG]]
33
34 Bei search statistics und Top Locations werden dann alle User angezeigt welche die Email im Postfach liegen haben. Egal ob in Gelöschte Objekte, Posteingang oder sonst wo. Ein löschen dieser Email aus der GUI ist jedoch nun nicht möglich, dazu wird die Powershell benötigt.
35
36
37 === Suche mit der Powershell ===
38
39 Zuerst mit der Powershell zum Exchange Online verbinden:
40
41 (% class="box infomessage" %)
42 (((
43 Connect-ExchangeOnline
44 )))
45
46 Falls das nicht geht, wurde eventuell das Powershell Modul noch nicht installiert, dann bitte folgende Befehle ausführen:
47
48 (% class="box infomessage" %)
49 (((
50 install-module ExchangeOnlineManagement
51 )))
52
53 (% class="box infomessage" %)
54 (((
55 Import-Module ExchangeOnlineManagement
56 )))
57
58
59 Sollte ein Oauth Fehler nach der Verbindung zum Exchange aufscheinen, muss vorher das Script aus dieser Wiki in der Powershell ISE ausgeführt werden. Da bei SPL RemoteVerbindungen mit Basic Authentifizierungen geblockt werden.
60
61 (% class="box infomessage" %)
62 (((
63 $WinRMClient = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WinRM\Client"
64 $Name = "AllowBasic"
65 $value = "1"
66 IF (!(Test-Path $WinRMClient)) {
67 New-Item -Path $WinRMClient -Force | Out-Null
68 New-ItemProperty -Path $WinRMClient -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
69 } ELSE {
70 New-ItemProperty -Path $WinRMClient -Name $name -Value $value -PropertyType DWORD -Force | Out-Null
71 }
72 )))
73
74 Nun mit dem Compliance Portal verbinden:
75
76 (% class="box infomessage" %)
77 (((
78 Connect-IPPSSession -UserPrincipalName m365_adm.xxxx@spltele.onmicrosoft.com
79 )))
80
81 Soweit die vorbereitungen, nun kann man die Compliance Search erstellen, so wie auch in der GUI.
82
83 (% class="box infomessage" %)
84 (((
85 $Search=New-ComplianceSearch -Name "Remove Phishing Message neu" -ExchangeLocation All -ContentMatchQuery '(Subject:"Betreff der Email") AND (From:Absender@Domain.at)'
86 ~>> Start-ComplianceSearch -Identity $Search.Identity
87 )))
88
89 Es wird nun eine Suche im Compliance Portal angelegt, mit dem Namen den man beim parameter Name angibt. Diese kann dann in der GUI genau so gesichtet werden wie eine Suche die man direkt aus der GUI anstartet.
90
91 === Löschen von Emails die mit der Suche gefunden wurde ===
92
93 (% class="box infomessage" %)
94 (((
95 Zusätzlich nun auch mit dem Compliance Portal verbinden.
96 **connect-ippssession**
97 )))
98
99 Folgender Befehl in der Powershell löscht nun die Emails welche die Suche gefunden hat.
100
101 (Und zwar nur diese, die Eben wirklich bei der Suche entdeckt wurden. Sollten neue Emails in der Zwischenzeit hinzugekommen sein, muss die Suche neu gestartet werden)
102
103 (% class="box infomessage" %)
104 (((
105 New-ComplianceSearchAction -SearchName "Remove Phishing Message neu" -Purge -PurgeType SoftDelete
106 )))
107
108 Bei dem Löschen werden 2 Parameter mitgegeben, zum einen der SearchName, hier wird der Name der Suche angegeben. Ob die Suche nun via PowerShell oder GUI angestartet wurde ist egal.
109
110 Und zweitens die Art der Säuberung, Purge. Dies kann sein SoftDelete und HardDelete
111
112 - SoftDelete: Die Email wird aus dem Postfach des Users gelöscht, auch aus den Gelöschten Objekten. Der User hat jedoch weiterhin die Möglichkeit die Email aus den Gelöschten Objekten wiederherzustellen.
113
114 - HardDelte: Die Email wird komplett gelöscht, und kann auch vom user nicht mehr wiederhergestellt werden.
115
116 ----
117
118 == Verwandte Themen ==
119
120 //Kuratiert — kann direkt im Editor ergänzt werden://
121
122 * [[Audit Log Suche>>doc:IT-Wiki.06-Security-und-Compliance.Purview.Audit-Log-Suche.WebHome]]
123
124 {{include reference="IT-Wiki.Makros.Verwandte-Themen.WebHome"/}}
125
126 ----
127 **Status:** Migriert — Team-Review ausstehend · **Owner:** //(festlegen)// · **Letzter Review:** 2026-06-11