Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте эту статью для изучения изменений правил почтовых ящиков в Exchange Online. В ней показано, как просмотреть текущие правила почтового ящика для папки "Входящие" и переадресации, а также как выполнить поиск в журнале аудита Microsoft Purview, чтобы определить, кто создал, изменил или удалил эти правила.
Используйте следующие методы для исследования:
- Изменения в правилах переадресации электронной почты
- Правила, которые приводят к тому, что сообщения электронной почты не отображаются в ожидаемых папках
- Несанкционированные изменения правил
Подготовка к работе
Чтобы изучить изменения правил почтовых ящиков, вам потребуется:
- Роль журналов аудита, назначенная в Microsoft Purview
- Подключение к Exchange Online PowerShell с помощью Connect-ExchangeOnline
Определение изменений правил почтовых ящиков
Используйте эти две важные команды для изучения изменений правил почтовых ящиков.
Проверка текущих правил почтовых ящиков
Ниже приведены следующие сведения:
- Текущая конфигурация правила: конфигурация правила
- Действия с правилом: перемещение, удаление или пересылка
- Состояние правила: включено или отключено
Чтобы узнать, какие правила в настоящее время существуют в почтовом ящике, выполните следующую команду:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Поиск записей аудита изменения правила
Этот поиск выполняется по следующим причинам:
- New-InboxRule: созданы новые правила
- Set-InboxRule: существующие правила изменены
- Remove-InboxRule: правила удалены
Чтобы узнать, кто создал, изменил или удалил правила почтового ящика, выполните следующую команду:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
Что делать, если поисковые запросы не возвращают результатов
Если поисковые запросы аудита не находят записи об изменении правил:
- Разверните диапазон дат , чтобы записать старые изменения:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Включите аудит для будущих изменений правил:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Краткий справочник
Ключевые операции для исследования правил
| Операция | Описание |
|---|---|
| New-InboxRule | Создано новое правило почтового ящика. |
| Remove-InboxRule | Правило почтового ящика удалено. |
| Set-InboxRule | Существующее правило почтового ящика изменено. |
Основные команды
| Command | Назначение |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Проверьте текущую конфигурацию правила. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Найдите, кто внес изменения в правила. |
Дальнейшие действия
- Используйте MailItemsAccessed для исследования скомпрометированных учетных записей. Определите, указывают ли несанкционированные изменения правил на скомпрометированную учетную запись.
- Определите, кто удалил сообщение электронной почты или почему отсутствует сообщение электронной почты. Определите, привели ли измененные правила к удалению сообщений электронной почты или к отсутствующим сообщениям.
- Экспорт, настройка и просмотр записей журнала аудита. Экспортируйте результаты изменения правила для документации по соответствию.