Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use este artículo para investigar los cambios en las reglas de buzón de Exchange Online. Muestra cómo ver las reglas actuales de bandeja de entrada y reenvío de un buzón y cómo buscar en el registro de auditoría de Microsoft Purview para identificar quién creó, modificó o eliminó esas reglas.
Use estos métodos para investigar:
- Cambios en las reglas de reenvío de correo electrónico
- Reglas que hacen que los correos electrónicos no aparezcan en las carpetas esperadas
- Modificaciones de reglas no autorizadas
Antes de empezar
Para investigar las modificaciones de reglas de buzón de correo, necesita:
- El rol Registros de auditoría asignado en Microsoft Purview
- Para conectarse a Exchange Online PowerShell mediante Connect-ExchangeOnline
Cómo identificar las modificaciones de reglas de buzón
Use estos dos comandos esenciales para investigar los cambios de regla de buzón de correo.
Comprobación de las reglas de buzón actuales
Esta información muestra:
- Configuración de regla actual: configuración de regla
- Acciones de regla: mover, eliminar o reenviar
- Estado de la regla: habilitado o deshabilitado
Para ver qué reglas existen actualmente en un buzón de correo, ejecute el siguiente comando:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Búsqueda de registros de auditoría de modificación de reglas
Esta búsqueda busca:
- New-InboxRule: nuevas reglas creadas
- Set-InboxRule: reglas existentes modificadas
- Remove-InboxRule: reglas eliminadas
Para averiguar quién creó, modificó o eliminó reglas de buzón, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
Qué hacer cuando las búsquedas no devuelven resultados
Si las búsquedas de auditoría no encuentran registros de modificación de reglas:
- Expanda el intervalo de fechas para capturar los cambios anteriores:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Habilite la auditoría para futuros cambios en las reglas:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Referencia rápida
Operaciones clave para la investigación de reglas
| Operación | Descripción |
|---|---|
| New-InboxRule | Se ha creado una nueva regla de buzón de correo. |
| Remove-InboxRule | Regla de buzón eliminada. |
| Set-InboxRule | Regla de buzón existente modificada. |
Comandos esenciales
| Get-Help | Objetivo |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Compruebe la configuración actual de la regla. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Busque quién ha realizado cambios en la regla. |
Pasos siguientes
- Use MailItemsAccessed para investigar las cuentas en peligro: determine si los cambios de regla no autorizados indican una cuenta en peligro.
- Identificar quién eliminó un mensaje de correo electrónico o por qué falta un correo electrónico: investigue si las reglas modificadas provocaron eliminaciones de correo electrónico o si faltan mensajes.
- Exportar, configurar y ver registros de auditoría: exporte los resultados de modificación de reglas para la documentación de cumplimiento.