von Mal ist es eine versehentlich gesendete, mal eine „böse“ eingegangene Mail – es kommt immer wieder vor, dass man sich wünscht, Mails aus mehreren Postfächern zu löschen.
Versehentlich intern versendete Mails können über die Rückrufaktion vom Absender zurückgerufen werden. Für Mailboxen in Exchange Online wurde die Funktion im Vergleich zu früher stark verbessert und funktioniert sehr zuverlässig. Den Stein ins Rollen bringt man nach wie vor über Outlook per Doppelklick auf die gesendete Mail und dem entsprechenden Menüpunkt:
Anschließend erhält man eine Mail von Office365Reports@microsoft.com mit einem Link, der zu einem Bericht zum Status der Rückrufaktion führt. Spätestens nach ein paar Minuten und ein paar Refreshs sollte sich Erleichterung einstellen 🙂
Sobald die Unternehmensgrenze überschritten wird, klappt das Zurückrufen aber leider nicht. Hier hilft nur: Fehler eingestehen und korrigieren. Und das Beste daraus machen…
Einer von Extern eingegangenen unerwünschten Mail kann man dagegen mit einer Compliance Search (Action) den Garaus machen. Das kann z.B. eine Phishing-Mail sein, die es durch alle Sicherheitsbarrieren geschafft hat.
Voraussetzung: Admin mit Permission „Mailbox Search“. Diese Permission ist standardmäßig der Rolle „Discovery Management zugeordnet“. Am einfachsten fügt man einen entsprechenden Admin Account dieser Rolle hinzu. Der User muss angeblich eine geeignete M365 Lizenz haben. In meinem Fall hatte er tatsächlich eine solche, ggf. lohnt sich ein Versuch ohne.
In diesem Beispiel habe ich eine Mail versendet mit Betreff „nur ein Test“ – an 5 interne Empfänger. Für eine von Extern eingegangene Mail funktioniert das Ganze aber genauso.
Zunächst erstellt man eine sog. Compliance Search, um die besagte Mail zu fassen zu kriegen. Ich habe bei „Locations“ der Einfachheit halber alle Mailboxen gewählt, natürlich kann man stattdessen auch spezifische Empfänger wählen
Conditions: Da wir den Betreff kennen, passt die Suche nach dem Text im Betreff gut, kombiniert mit einem Zeitraum von gestern bis heute. Die Mail ist ja erst gerade frisch eingegangen.
Nach ein paar Minuten war die Suche beendet und zeigte das folgende Bild:
D.h. es wurden 60 Mailboxen durchsucht und die Mail bei 6 Empfängern (5x inbox, 1x sent items) gefunden, perfekt! Die Search Statistics bieten noch eine bessere Übersicht, wo (in welchen Mailboxen) die Mail gefunden wurde.
Das Entfernen geht über PowerShell. Zunächst wird als ausreichend berechtigter User eine Exchange Online PowerShell Session geöffnet. Dann on top eine Security & Compliance PowerShell Session.
$upn = "searchadmin@domain.onmicrosoft.com" Connect-ExchangeOnline -UserPrincipalName $upn Connect-IPPSSession -UserPrincipalName $upn New-ComplianceSearchAction -SearchName "nureintest-removen" -Purge -PurgeType HardDelete
Im konkreten Fall waren die Mails wie von Zauberhand innerhalb von ca. 30 Sekunden aus den Postfächern „verschwunden“ 🙂
