View
3
Download
0
Category
Preview:
Citation preview
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Mithilfe der Powershell lassen sich E-Mails auf sehr einfache Weise wiederherstellen.
Detaillierte Informationen findet ihr auf den Seiten von Microsoft:
https://docs.microsoft.com/de-de/exchange/policy-and-compliance/recoverable-items-
folder/recoverable-items-folder
Ich gehe hier lediglich auf die Powershell und deren Einsatzmöglichkeiten ein.
Zuerst bauen wir eine Verbindung zu Exchange Online auf:
$cred = Get-Credential
$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri
https://ps.outlook.com/powershell/ -Credential $cred -Authentication Basic –
AllowRedirection
Import-PSSession $session
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Für die Suche und Wiederherstellung von E-Mails werden erweiterte Rechte benötigt.
Wenn diese bereits bestehen, so kann dieser Schritt übergangen werden.
Die Sicherheitsgruppe „Organization Management“ bekommt die zusätzliche „Rolle
Mailbox Import Export“.
New-ManagementRoleAssignment -Name "Import_Export_Organization_Management" -
SecurityGroup "Organization Management" -Role "Mailbox Import Export"
Als nächstes kann im Ordner DeletedItems (Gelöschte Objekte) nach E-Mails und deren
Betreff gesucht werden.
Get-RecoverableItems -Identity "mail@joernwalter.de" -SourceFolder DeletedItems -
SubjectContains "TEST"
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Damit ist dieser Ordner gemeint.
Mit diesem Befehl würde man jetzt eine oder mehrere E-Mails zurück in den Posteingang
verschieben.
Restore-RecoverableItems -Identity "mail@joernwalter.de" -SourceFolder
RecoverableItems -SubjectContains "Turbo.net password reset"
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Die E-Mail wurde erfolgreich wiederhergestellt.
Wenn ich die E-Mail nicht wiederherstelle, stattdessen aus dem Ordner „Gelöschte
Elemente“ entferne, landet diese in dem sogenannten Dumpster. Heute heißt diese
Ordner „Recoverable Items Folder“ (wiederherstellbare Elemente). Bei diesem Ordner
handelt es sich um einen Speicherplatz außerhalb der Mailbox der von folgenden
Funktionen genutzt wird:
Deleted item retention
Single item recovery
In-Place Hold
Litigation Hold
Mailbox audit logging
Calendar logging
Lösche die E-Mail aus dem Ordner „Gelöschte Elemente“.
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Ab jetzt liegt diese gelöschte E-Mail in dem Ordner „Wiederherstellbare Elemente“.
Ich werde jetzt mal alle E-Mails aus diesem Ordner wiederherstellen und messen wie
lange das dauert.
Measure-command {Restore-RecoverableItems "mail@joernwalter.de"}
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Es befinden sich keine E-Mails mehr in diesem separaten Ordern. Sie wurden alle in den
Posteingang verschoben.
Natürlich können auch nur ausgewählte E-Mails aus dem unsichtbaren Ordner
wiederhergestellt werden. Dazu suche ich einfach nach dem Betreff:
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Restore-RecoverableItems -Identity "mail@joernwalter.de" -SourceFolder
RecoverableItems -SubjectContains "Turbo.net password reset"
Nachdem ich den Befehl ausgeführt habe, wird die wiederherzustellende E-Mail direkt in
den Posteingang verschoben.
Natürlich lassen sich so auch Elemente aus dem Kalender, dem Adressbuch oder der
Aufgabenplanung wiederherstellen.
Genauso gut lassen sich so E-Mails mit Schadsoftware aus allen Mailboxen oder
Datenbanken löschen.
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
Powershell:
# Logon 365 $cred = Get-Credential $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $cred -Authentication Basic –AllowRedirection Import-PSSession $session
Set-ExecutionPolicy -ExecutionPolicy 'Unrestricted' -Force # Set Rights to Get and Restore New-ManagementRoleAssignment -Name "Import_Export_Organization_Management" -SecurityGroup "Organization Management" -Role "Mailbox Import Export"
# Measure Items Measure-command {Restore-RecoverableItems "mail@joernwalter.de"}
# Get Deleted Items between Get-RecoverableItems -Identity "mail@joernwalter.de" -SourceFolder RecoverableItems -FilterItemType Ipm.Note -FilterStartTime "09/07/2018 08:00:00" -FilterEndTime "09/07/2018 11:00:00"
# Get Deleted Items Get-RecoverableItems -Identity "mail@joernwalter.de" -SourceFolder RecoverableItems -SubjectContains "Turbo.net password reset" # Get Deleted Items filter
Get-RecoverableItems "mail@joernwalter.de" | Format-list Subject,SourceFolder -Groupby itemclass # Get Soft Delete Get-RecoverableItems -Identity "mail@joernwalter.de" -SourceFolder DeletedItems -SubjectContains "TEST"
# Restore E-Mail Restore-RecoverableItems -Identity "mail@joernwalter.de" -SourceFolder RecoverableItems -SubjectContains "Turbo.net password reset" # Restore all Deleted Items Measure-command {Restore-RecoverableItems "mail@joernwalter.de"}
# Get Deleted Appointments Get-RecoverableItems "mail@joernwalter.de" -FilterItemType IPM.Appointment Get-RecoverableItems "mail@joernwalter.de" -FilterItemType IPM.Appointment -ResultSize 5 Get-RecoverableItems "mail@joernwalter.de" -LastParentFolderID CE269E34C51B404F91BC68E11FAAE53B00000000010D #Overview Options: #E-Mail IPM.Note #Contact IPM.Contact #Calendar IPM.Appointment #Task item IPM.Task
Office 365 – E-Mail Recovery
Erstellt von Jörn Walter 07.09.2018
# Connect to Office 365 using your Admin credentials
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri
https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic
-AllowRedirection
Import-PSSession $Session
# Enter target user to disable Active Sync
$userEmail = Read-Host -Prompt 'Please enter the user's email to disable Active Sync'
# Disable ActiveSync. Optionally, if you want to disable other connections:
#-OWAEnabled $False –MAPIEnabled:$false -IMAPEnabled:$false -PopEnabled:$false)
Set-CASMailbox $userEmail -ActiveSyncEnabled $False
Recommended