Bu makalede mailgateway’i aşmış phissing mailerinin, virüs/atak içerikli maillerin, yönetimin ya da bilgi güvenliği ekibinin istemediği, denetimlerde silinmesine karar verilen maillerin kullanıcılardan toplu olarak silinmesi operasyonun Exchange Online kullanan userlarda nasıl uygulanacağı konusundan bahsedeceğim. Local Exchange üzerinde bu çalışmayı Search-Mailbox komuturla gerçekleştiriyorduk. Exchange Online tarafında ise operasyonumuz biraz daha farklı oluyor.
Local Exchange üzerinde silme işleminden bahsettiğim makaleyi okumak için buraya tıklayabilirsiniz.
Exchange Online tarafında toplu olarak mailleri silmemiz için öncelikle silinecek mailleri bir search kaydı altında toplamamız gerekiyor. Daha sonra bu mailleri PS scriptiyle sileceğiz.
Content Search Nasıl Yapılır?
Content Search kısmına, Admin Center > Security And Comliance Center kısmından ulaşabilirsiniz. https://protection.office.com/ linki üzerinden de direkt erişim sağlayabilirsiniz. Buraya Global Administrator yetkisiyle erişiyor olsanız bile, Permission kısmından kendinize Comliance Administrator yetkisini atamanız gerekmektedir.
Permission > Comliance Administrator > Member +Edit kısmından userımızı seçerek yetkisi atayabiliriz.
Yetkimizi aldıktan sonra Search > Content Search alanına gelip New Search alanına tıklayarak, silinecek maillerimiz için bir search oluşturuyoruz. Açılan ekranın solunda Add Conditions alanına tıklayarak filtre uygulamak istediğimiz tanımlayıcı alanları belirleyebiliriz. Burada seçeceğimiz değerlere dikkat etmemiz gerekiyor ki silinmemesi gereken bir maili search içine dahil etmeyelim.
Conditions tanımlarını yaptıktan sonra bir alt kısımda search location’ınını belirleyebiliyoruz. İstersek tüm Exchange Mailbaxlarını ya da bir veya birkaç mailboxı seçebiliriz. Bu alanda yapacağımız sınırlamayla ikinci bir filtre oluşturup search alanını sınırlayabilir ve daha hızlı sonuç alabilirsiniz.
Filtrelerimizi belirledikten sonra search’ü başlatmak için Save&Run alanına tıklıyoruz. Search başlatmadan önce bizden bu search için isim belirlemimizi istiyor. Bu ismi daha sonra silme işleminde kullanacağız. Bu nedenle ismi belirlerken karışıklık olmaması için daha önce yaptığımız search isimlerinden farklı olmasına dikkat etmeliyiz.
Search işlemini yaptıktan sonra bulunan mailleri ana ekranda inceleyebiliriz. Ben hesabıma iki adet mail yönlendirmiştim. Göndericileri aynı olan bu mailler için iki farklı konu başlığı oluşturdum. Gönderici adresi ve subject filtresiyle search’ü tamamladığımda aşağıdaki sonucu elde ettim.
Search alanında bulduğumuz mailleri incelediğimizde filtreden aşmış fazladan bir mail olmadığına eminsek artık silme adımına geçebiliriz. Silme işlemlerini PS komutlarıyla gerçekleştirebiliyoruz.
Search Edilen Maillerin Silinmesi:
Search ettiğimiz mailleri silmek için Security And Compliance alanına PowerShell ile bağlanmamız lazım. Bunun için buradaki Microsoft dokümanından faydalanabilirsiniz.
- $UserCredential = Get-Credential komutuyla giriş account bilgilerimizi bir değişkene atıyoruz.
- $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection komutuyla sesion bilgilerimizi barındıran bir değişken oluşturuyoruz
- Import-PSSession $Session -DisableNameChecking son komutumuzla artık bağlantımızı oluşturmuş oluyoruz
Bağlantımızı oluşturduktan sonra Get-ComplianceSearch komutuyla oluşturduğumuz searchleri listeyeleyebiliriz.
Search ismimizi kullanarak silme işlemimizi aşağıdaki komut ile gerçekleştiriyoruz.
New-ComplianceSearchAction -SearchName “silinecekliste” -Purge -PurgeType SoftDelete komutuyla var olan search içindeki mailleri silebiliriz. Get-ComplianceSearchAction komutuyla da işlem durumunu tamamlanıp tamamlanmadığını sorgulayabiliriz.
Silme komutu içinde yer alan SoftDelete ibaresi silinen maillerin Recovery Deleted Items alanına düşmesini sağlar. Silinen bir maili buradaki retention süresine göre kullanıcı isterse geri getirebilir. Bunun için portaldan mailini açtığında Silinmiş Öğeler / Deleted Items kısmına bir kez tıklayıp silinmiş öğeleri listeledikten sonra, tekrar aynı alana sağ tıklayıp, Silinmiş Öğeleri Kurtar / Recover Deleted Items diyerek silinmiş öğeleri listeleyebilir.
Komutu HardDelete olarak çalıştırırsanız kullanıcı Recover Deleted Items kısmında da bu mailleri göremeyecektir.
New-ComplianceSearchAction -SearchName “silinecekliste” -Purge -PurgeType HardDelete
HardDelete komutu uygulansa bile, bu işlemle sadece kullanıcıların erişim alanlarına müdahale etmiş oluyoruz. Organizasyon içinde uygulanabilen Retention Policy ya da Litigation Hold özellikleri aktif ise bu mailler hala ilk adımda oluşturduğumuz Content Search kısmında gözükecektir ve istenildiğinde download edilebilir.
Ne kadar elimizde recovery seçenekleri olsa da, silme işlemlerinde özellikle son kullanıcı özel alanına inen bu tarz durumlarda, gerekli yönetim yetkisinin alınması ve bilgilendirme yapılması beklenmeli ve silinecek data iyi analiz edilmelidir. Umarım ihtiyaç duyanlar için faydalı bir çalışma olmuştur.