Exchange Server2010系列之七：多邮箱搜索找出神秘邮件的幕后黑手

        铃……….半夜中被一阵急促的手机铃声吵醒，年度服务客户打来电话需要进行邮件的排查和删除工作。问其原因，原来是组织中有人发了一封关于领导的不健康的邮件，并在企业内部进行了转发，领导要求立即找出此类邮件并进行删除。管理员深知领导的暴脾气，不敢怠慢！

        其实找出有问题的邮件进行删除并不难，利用Exchange Server2010提供的多邮箱搜索功能就可以实现。此功能使用的是由 Exchange 搜索创建的内容索引，来提供对整个组织内所有或者是指定范围内的邮件内容进行搜索能力，以满足类似于法律法规等合规性要求、企业内部的事故调查以及邮件监控等。正是因为此操作会涉及到员工的隐私等问题，负责搜索邮箱的操作不一定是IT部门管理人员，应该指定由法务部或者是人力资源部的人员进行操作。让这些不懂Exchange管理的人员进行多邮箱搜索操作，最好的工具就是ECP，以实现基于角色的访问控制RBAC。下面咱们就来看一如何让某个特殊人员进行多邮箱搜索操作。

        步骤1：创建“发现邮箱”

        发现邮箱是一种特殊类型的 Exchange 2010 邮箱，用于存储执行多邮箱搜索的结果。也就是说当使用 ECP 创建发现搜索时，只有发现邮箱可作为存储搜索结果的存储库。Exchange Server 2010部署完成后创建了一个名称为“发现搜索邮箱”的发现邮箱。如下图所示：

        一般来说，大家习惯创建一个发现邮箱以实现每个不同的搜索需求对应不同的搜索邮箱，因此我们第一步就创建一个新的发现邮箱。发现邮箱具有普通邮箱所不具备的特性：不能用作其他用途或转换为其他类型的邮箱；发现邮箱的邮箱存储配额默认为 50GB；发现邮箱的AD账号默认为禁用，无法登录到域；在SP1后续版本中，此邮箱账号默认启用从Exchange地址列表隐藏，用户无法给此账号发送邮件；并且无法使用控制台图形界面来创建发现邮箱。那么我们只能是使用EMS命令行，下面我们就创建一个名为DiscoveryUEC的发现邮箱。所使用的命令是：New-Mailbox DiscoveryUEC –Discover –UserPrincipalName [email protected]。如下图所示：

        步骤2：创建执行人员使用的用户邮箱或者是使用现有用户邮箱

        此用户邮箱就是执行多邮箱搜索操作的邮箱账户，一般为法务部或者是人力部的员工邮箱，创建用户邮箱的方法直接使用EMC即可，在此不再介绍。我们就直接使用杜飞的邮箱[email protected]。

        步骤3：赋予用户邮箱对于发现邮箱的执行权限

        Exchange Server2010内置有“Discovery Management”管理角色组，此组具有多邮箱搜索的权限。但是默认此角色组中没有任何成员，因此我们将步骤2中的用户邮箱加入到此管理角色组中，可以使用命令：Add-RoleGroupMember –Identity “Discovery Management” –Member dufei。或者是使用Exchange控制面板，方法是打开ECP，使用administrator登录，然后选择“角色和审核”---找到“Discovery Management”组，如下图所示：

        然后，双击“Discovery Management”角色组，会弹出此角色组的配置参数，其他参数都不用修改，只需要在成员字段入加入dufei即可，修改后的结果如下图所示：

        步骤4：赋予用户对发现邮箱的完全访问权限

        当我们执行了步骤3之后，只是dufei这个用户具有多邮箱搜索的权限，但是搜索的结果还是需要存放到我们步骤1所创建的DiscoverUEC发现邮箱中，所以此用户必须对发现邮箱有完全访问的权限。方法是：打开Exchange管理控制台，“收件人配置”----“邮箱”，右键发现邮箱“DiscoveryUEC”，在弹出的菜单选择“管理完全访问权限”，如下图所示：

        打开“管理完全访问权限”之后，出现下图所示的界面，单击添加按钮，将dufei添加到安全主体中，如下图所示：

         然后，依次点击“管理”、“完成”即可。

        步骤5：启用发现邮箱AD账号

        发现邮箱创建完成后，默认处于禁用状态，因此我们必须到AD DS用户和计算机中，找到此对象，先重置密码，然后再启用帐户，如下图所示：

 

        步骤6：发送测试邮件

        此步骤是模拟某些用户发送了含有敏感信息的邮件，真实环境中此类邮件已经存在，此步骤可以不需要！我们在此就先让yulei这个用户给Lq发一封内容中含有“小三”的邮件，Lq这个用户又转发给了lsj。如下图所示：

         步骤7：多邮箱搜索

        下面就需要让审核用户dufei出马了，此用户登录ECP，选择“邮件”---“管理我的组织”---“邮件控制”---“发现”---“多邮箱搜索”，再点击“新建”，如下图所示：

        下图就是“新建邮箱搜索”的对话框，在关键字属性中，输入“小三”，在此可以看到，还可以支持逻辑运算符。在下面的搜索名称取，我们定义为“小三搜索”，选择“将搜索结果复制到目标邮箱”，去掉“启用删除重复”，选中“启用完整日志记录”，“选择用户存储搜索结果的邮箱”字段中找到我们创建的发现邮箱“DiscoveryUEC”。最后可以选择“搜索完成后向我发送电子邮件”，提醒dufei及时知道搜索的结果，当然不要忘记选择要搜索的邮箱，在此我选择“搜索所有邮箱”。

        然后，点击保存，返回主页面，可以看到当前状态是“正在进行搜索”。就静下心等待吧！

        当搜索完成后，状态就会变为“搜索已成功”，也可以点击刷新按钮查看状态，成功后的界面如下图所示：

        在上图中的右侧，可以看到搜到的项目数，结果已经发送到[email protected]邮箱，可以选择点击“打开”查看搜索结果，一般都是通过打开发现邮箱直接查看。此时登录dufei的邮箱，也可以看到检索成功的提示邮件。

       步骤8：查看搜索结果

        搜索成功后，我们使用DiscoveryUEC账号登录OWA，输入用户名、密码之后打开OWA界面，这个过程和打开普通邮箱的过程一样，进去之后在导航窗格中点击“DiscoveryUC”打开”小三搜索”文件夹，可以看到有多个搜索结果，这是因为我在操作的过程中，搜索了多次。如下图所示：

        我在此就使用最后一次的搜索结果，可以在右侧的窗格中看到具体结果，里面会有搜索的开始时间、结果时间、大小、命中等内容，然后可以下载或者是打开附件，看到里面有两个文件，我们打开其中的CSV文件，从中可以看到LSJ的收件箱里有一封和关键字相关的邮件；yuelei发送了一封和关键字相关的邮件；Lq收到并发送了一封和关键字相关的邮件，如下图所示：

        如果仅仅是搜索的话，到此就结果了，但现在的任务是删除原邮件。在此可以使用Search-Mailbox命令加上DeleteContent参数。作为额外保护措施，可以考虑再加上TargetMailbox 和 TargetFolder 参数，首先将邮件复制到另一个邮箱。这样可保留已删除邮件的副本，以防需要再次访问这些邮件。下面我们就准备将这些含有“小三”的邮件复制到dufei的邮箱中，然后删除源邮件。在此可以选择单独从一个邮箱中删除，也就是针对每个用户邮箱执行一次删除命令。也可以针对所有邮箱执行一次删除命令，但有可能会误伤。我在此使用的命令如下：Get-Mailbox | Search-Mailbox -SearchQuery '小三' -TargetMailbox "dufei" -TargetFolder "小三搜索" -LogLevel Full  -DeleteContent。

        需要注意的是，Search-Mailbox命令必须在SP1及以上版本上使用，如果发现此命令不能使用，则可能是没有把相关的用户加入到”Discovery Management”管理角色组中，我在此就是将administrator加入到此角色组中，如下图所示：

        Search-Mailbox的DeleteContent参数除了Discovery Management的权限，还需要附加的权限设置：Mailbox Import Export权限。在此，我使用的方法是先创建一个角色组“DeleteContent Group”，选择分配的角色是"Mailbox Import Export"，成员是“Administrator”，如下图所示：

 

        然后再运行此命令，如下图所示：此命令执行结束后，会显示其具体信息，如下图所示：

        在此界面中可以看到，从yuelei的邮箱中删除了一封邮件，从lsj的邮箱中删除了一封邮件，从lq的邮箱中删除了两封邮件，并且都存到了dufei的用户邮箱中。如果需要验证的话，可以分别打开yuelei、lsj、lq的邮箱，会发现里面关于小三的邮件都没了，再打开dufei的邮箱会发现多出一个“小三搜索”文件夹，附件里就是生成的搜索文件。如下图所示：

        关于Serch-Mailbox命令的详细用法，可以参考：http://technet.microsoft.com/zh-CN/library/dd298173(v=exchg.141).aspx。写到这儿，利用多邮箱搜索找出神秘邮件的幕后黑手就顺利完成了。怎么样，还算简单吧！兄弟们，以后可不敢再发不健康的邮件了，Exchange太可怕了，妈呀！