Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Utilize este artigo para investigar as alterações às regras da caixa de correio no Exchange Online. Mostra como ver a caixa de entrada atual de uma caixa de correio e as regras de reencaminhamento e como procurar no registo de auditoria do Microsoft Purview para identificar quem criou, modificou ou eliminou essas regras.
Utilize estes métodos para investigar:
- Alterações às regras de reencaminhamento de e-mail
- Regras que fazem com que os e-mails não apareçam nas pastas esperadas
- Modificações de regras não autorizadas
Antes de começar
Para investigar as modificações das regras da caixa de correio, precisa de:
- A função Registos de Auditoria atribuída no Microsoft Purview
- Para ligar ao Exchange Online PowerShell através do Connect-ExchangeOnline
Como identificar modificações de regras de caixa de correio
Utilize estes dois comandos essenciais para investigar as alterações às regras da caixa de correio.
Verificar as regras atuais da caixa de correio
Estas informações mostram:
- Configuração da regra atual: configuração de regras
- Ações de regra: mover, eliminar ou avançar
- Status de regra: ativado ou desativado
Para ver que regras existem atualmente numa caixa de correio, execute o seguinte comando:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Procurar registos de auditoria de modificação de regras
Esta pesquisa procura:
- New-InboxRule: Novas regras criadas
- Set-InboxRule: regras existentes modificadas
- Remove-InboxRule: Regras eliminadas
Para saber quem criou, modificou ou eliminou as regras da caixa de correio, execute o seguinte comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
O que fazer quando as pesquisas não devolvem resultados
Se as pesquisas de auditoria não encontrarem registos de modificação de regras:
- Expanda o intervalo de datas para capturar alterações mais antigas:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Ativar a auditoria para futuras alterações de regras:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Referência rápida
Principais operações para a investigação de regras
| Operação | Descrição |
|---|---|
| New-InboxRule | Nova regra de caixa de correio criada. |
| Remove-InboxRule | Regra de caixa de correio eliminada. |
| Set-InboxRule | Regra de caixa de correio existente modificada. |
Comandos essenciais
| Comando | Objetivo |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Verifique a configuração da regra atual. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Localize quem efetuou alterações à regra. |
Próximas etapas
- Utilize MailItemsAccessed para investigar contas comprometidas: determine se as alterações de regras não autorizadas indicam uma conta comprometida.
- Identificar quem eliminou uma mensagem de e-mail ou por que motivo um e-mail está em falta: investigue se as regras modificadas causaram eliminações de e-mail ou mensagens em falta.
- Exportar, configurar e ver registos de auditoria: exporte os resultados da modificação da regra para a documentação de conformidade.