Itens enviados a destinatários internos e externos não podem ser encontrados com "não"destinatários por eDiscovery no Exchange 2013

Sintomas

Suponha que você crie uma pesquisa de eDiscovery In-loco no Exchange Admin Center (EAT) para devolver itens que são enviados para destinatários externos, especificando a não destinatários: "internalDomain" critérios na pesquisa. Nessa situação, a sintaxe da pesquisa retorna os itens que são enviados para destinatários externos somente, mas exclui itens com destinatários internos e externos.

Causa

Esse problema ocorre porque o eDiscovery usa a linguagem de consulta de palavra-chave (KQL) que usa a lógica booleana. Portanto, o não destinatários: "internalDomain" exclui todos os itens que contêm um endereço interno, até mesmo os itens que também têm um destinatário externo.

Observação: O design atual não fornece uma funcionalidade mais refinada através do EAT.

Solução alternativa

Para contornar esse problema, use um dos seguintes métodos.

Método 1: Usar EWSEditor

Um aplicativo de EWSEditor ware livre está disponível como solução alternativa para esse problema. Há uma janela de eDiscovery que pode ser usada para pesquisar itens.

Observação: Você precisa configurar a conta sendo usada com a função de auditoria RBAC para realizar essas pesquisas.

Método 2: Usar uma API diferente

Use uma API diferente que não contam com KQL. Você precisa criar uma solução personalizada com o uso de outros programas, como o Exchange Web Services (EWS). A solução pode recuperar algumas partes dos dados (um conjunto de dados maior). A solução pode processar mais resultados recebidos usando lógica externa para chegar ao conjunto desejado de mensagens que correspondam a não destinatários: "internalDomain" critérios como você interpretaria.
Além disso, para identificação dessas mensagens no futuro, uma solução melhor seria usar uma regra de transporte que poderia enviar cópias dos itens (destinatários internos e externos) para uma caixa de correio de auditoria.

A seguir está um exemplo de código para contornar esse problema usando a API gerenciada do EWS.

Observação: Nesse exemplo de código, substitua InternalDomain1.com, InternalDomain2.com, InternalDomain3.com, com seu nome de domínio interno. Esse espaço reservado aparece em três locais no código.

<#AQS search using EWS Managed API
USAGE: .\Search-Mailbox.ps1 -MailboxName mbx@domain.com -AqsString "(""Test"")"
#>

[CmdletBinding()]
param (
 [Parameter(Position=0,Mandatory=$True,HelpMessage="Mailbox SMTP format")]
 [ValidateNotNullOrEmpty()]
 [string]$MailboxName,

 [Parameter(Position=1,Mandatory=$True,HelpMessage="AQS QueryString")]
 [ValidateNotNullOrEmpty()]
 [string]$AqsString
 )
#######################################################################
# Update EWS DLL Folder,$domain, $account, $pwd and $exserver Values
########################################################################
$resultFL = "C:\Scripts\Result"
$domain = "SEARCH"
$account = "MailboxSearch@domain.com";$pwd = '123'
$exServer = "exch01search.net"
$EWSManagedApiPath = "C:\scripts\Microsoft.Exchange.WebServices.dll"
########################################################################
$LogFile_All = "$($resultFL)\$($Mailboxname)_All.txt"
$LogFile_Filtr = "$($resultFL)\$($Mailboxname)_Filtered.txt"
$LogFile_Itype = "$($resultFL)\$($Mailboxname)_ItemTypes.txt"
$StopWatch = New-Object system.Diagnostics.Stopwatch
$StopWatch.Start()
Add-Type -Path $EWSManagedApiPath
$service = New-Object Microsoft.Exchange.WebServices.Data.ExchangeService([Microsoft.Exchange.WebServices.Data.ExchangeVersion]::Exchange2010_SP2)
$service.Credentials= new-object Microsoft.Exchange.WebServices.Data.WebCredentials($account,$pwd,$domain)
$service.UseDefaultCredentials = $false
$UseAutoDiscover = $false
$service.Url = new-object uri("https://domain.com/EWS/Exchange.asmx")
$ImpersonatedUserId = new-object Microsoft.Exchange.WebServices.Data.ImpersonatedUserId([Microsoft.Exchange.WebServices.Data.ConnectingIdType]::SmtpAddress,$MailboxName);
$service.ImpersonatedUserId = $ImpersonatedUserId
#Define Extended properties
$PR_Folder_Path= new-object Microsoft.Exchange.WebServices.Data.ExtendedPropertyDefinition(26293, [Microsoft.Exchange.WebServices.Data.MapiPropertyType]::String);
$PR_FOLDER_TYPE = new-object Microsoft.Exchange.WebServices.Data.ExtendedPropertyDefinition(13825,[Microsoft.Exchange.WebServices.Data.MapiPropertyType]::Integer);
$folderidcnt = new-object Microsoft.Exchange.WebServices.Data.FolderId([Microsoft.Exchange.WebServices.Data.WellKnownFolderName]::MsgFolderRoot,$MailboxName)
#Define the FolderView used for Export should not be any larger then 1000 folders due to throttling
$fvFolderView =  New-Object Microsoft.Exchange.WebServices.Data.FolderView(1000)
#Deep Transval will ensure all folders in the search path are returned
$fvFolderView.Traversal = [Microsoft.Exchange.WebServices.Data.FolderTraversal]::Deep;
$pSchPropSet= new-object Microsoft.Exchange.WebServices.Data.PropertySet([Microsoft.Exchange.WebServices.Data.BasePropertySet]::FirstClassProperties)
$pSchPropSet.Add($PR_Folder_Path)
$fvFolderView.PropertySet = $pSchPropSet
#The Search filter will exclude any Search Folders
$sfSearchFilter = new-object Microsoft.Exchange.WebServices.Data.SearchFilter+IsEqualTo($PR_FOLDER_TYPE,"1")
$fiResult = $null
$MsgPropSet = New-Object Microsoft.Exchange.WebServices.Data.PropertySet
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Id)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ParentFolderId)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ItemClass)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Subject)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::DateTimeSent)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::Sender)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::ToRecipients)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::ccRecipients)
$MsgPropSet.Add([Microsoft.Exchange.WebServices.Data.EmailMessageSchema]::BccRecipients)
$AptPropSet = New-Object Microsoft.Exchange.WebServices.Data.PropertySet
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Id)
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ParentFolderId)
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ItemClass)
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Subject)
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::DateTimeSent)
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.AppointmentSchema]::Organizer)
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.AppointmentSchema]::RequiredAttendees)
$AptPropSet.Add([Microsoft.Exchange.WebServices.Data.AppointmentSchema]::OptionalAttendees)
$SchPropSet = New-Object Microsoft.Exchange.WebServices.Data.PropertySet
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Id)
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ParentFolderId)
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::ItemClass)
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::Subject)
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.ItemSchema]::DateTimeSent)
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.MeetingRequestSchema]::Organizer)
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.MeetingRequestSchema]::RequiredAttendees)
$SchPropSet.Add([Microsoft.Exchange.WebServices.Data.MeetingRequestSchema]::OptionalAttendees)
#Write-host "Checking Mailbox: $($MailboxName)"
#Write-host "Searching QueryString: $($AqsString)"
#The Do loop will handle any paging that is required if there are more the 1000 folders in a mailbox
$ic=0
$fic=0
do {
    $fiResult = $Service.FindFolders($folderidcnt,$sfSearchFilter,$fvFolderView)
    #$fiResult.Folders.Count
    foreach($ffFolder in $fiResult.Folders){
       # "Processing : " + $ffFolder.displayName
       $fpath =  $ffFolder.ExtendedProperties[0].Value 
       $fic++
       $fiItems = $null
       $ItemView = New-Object Microsoft.Exchange.WebServices.Data.ItemView(1000)
       do{
         Write-Progress -Activity "Processing $($MailboxName) - QueryString $($AqsString)" -Status $ffFolder.DisplayName -PercentComplete ($fic/$fiResult.Folders.Count*100)
   $fiItems = $ffFolder.findItems($AqsString,$ItemView)
         $ic = $ic + $fiItems.items.count
         $ItemView.offset += $fiItems.Items.Count
   foreach($Item in $fiItems.Items){
            $itype = "$($item.ItemClass)`t$($Item.id.UniqueId)"
            Add-content -Value $itype -Path $LogFile_Itype
            $result=""
            switch ($item.ItemClass)
            {
                "IPM.Note" {
                            $Item.Load($MsgPropSet)
                            $MT = @() # Create a MAPITABLE to filter external Domains
                            $eRecipients=""
                            $result = "$($mailboxname)`t$($fpath)`t$($Item.Sender.Name)`t$($Item.DateTimeSent)`t$($Item.Subject)`t$($Item.id.UniqueId)`t$($item.ItemClass)"
                            Add-content -Value $result -Path $LogFile_All
                            $item.ToRecipients | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address
}}                            $item.ccRecipients | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}}                            $item.BccRecipients | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}}                            $er=@()<#Replace InternalDomain1.com, InternalDomain2.com, InternalDomain3.com with your internal domain name.#>
                            $mt | %{if($_ -notmatch 'InternalDomain1.com|InternalDomain2.com|InternalDomain3.com'){
                                        $eRecipients = $true
                                        $er +=$_
                                        }
                                    }
                            }

                "IPM.Appointment" {
                            $Item.Load($AptPropSet)
                            $MT = @() # Create a MAPITABLE to filter external Domains
                            $eRecipients=""
                            $result = "$($mailboxname)`t$($fpath)`t$($Item.Organizer.Name)`t$($Item.DateTimeSent)`t$($Item.Subject)`t$($Item.id.UniqueId)`t$($item.ItemClass)"
                            Add-content -Value $result -Path $LogFile_All
                            $item.RequiredAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address
}}                            $item.OptionalAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}}                            $er=@() <#Replace InternalDomain1.com, InternalDomain2.com, and InternalDomain3.com with your internal domain name.#>
                            $mt | %{if($_ -notmatch 'InternalDomain1.com|InternalDomain2.com|InternalDomain3.com'){
                                        $eRecipients = $true
                                        $er +=$_
                                        }
                                    }                           
                            }

                "IPM.Schedule.Meeting.Request" {
                            $Item.Load($SchPropSet)
                            $MT = @() # Create a MAPITABLE to filter external Domains
                            $eRecipients=""
                            $result = "$($mailboxname)`t$($fpath)`t$($Item.Organizer.Name)`t$($Item.DateTimeSent)`t$($Item.Subject)`t$($Item.id.UniqueId)`t$($item.ItemClass)"
                            Add-content -Value $result -Path $LogFile_All
                            $item.RequiredAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address
}}                            $item.OptionalAttendees | %{If($_.RoutingType -ne "EX"){$mt+=$_.Address}}                            $er=@()<#Replace InternalDomain1.com, InternalDomain2.com, InternalDomain3.com with your internal domain.#>
                            $mt | %{if($_ -notmatch 'InternalDomain1.com|InternalDomain2.com|InternalDomain3.com'){
                                        $eRecipients = $true
                                        $er +=$_
                                        }
                                    }
                            }
                   Default {$eRecipients="";$result=""} 
            } #END Switch
            If($eRecipients){
                            $er = $er -join ";"
                            $result="$($result)`t$($er)"
                            Add-content -Value $result -Path $LogFile_Filtr
                            }   

   }  #End Foreach Items
        }while($fiItems.MoreAvailable -eq $true)
    }  #End Foreach Folders
    $fvFolderView.Offset += $fiResult.Folders.Count
}while($fiResult.MoreAvailable -eq $true)
$StopWatch.Stop()
write-host "Completed $($Mailboxname) in Seconds:" $StopWatch.Elapsed.TotalSeconds -ForegroundColor Green
Write-Host "Total Items found:" $ic
$StopWatch = $null

Método 3: Preventiva monitoramentoPara identificação de itens com destinatários internos e externos, crie uma regra de transporte que pode enviar cópias de itens para uma caixa de correio de auditoria.

Status

A Microsoft confirmou que isso é próprio do projeto.

Mais informações

Para obter mais informações sobre o e-Discovery no local, vá para o seguinte site da Microsoft:

Informações gerais sobre o e-Discovery no localPara obter mais informações sobre KQL, visite o seguinte site da Microsoft:

Referência de sintaxe KQL

Itens enviados a destinatários internos e externos não podem ser encontrados com "não"destinatários por eDiscovery no Exchange 2013

Sintomas

Causa

Solução alternativa

Método 1: Usar EWSEditor

Método 2: Usar uma API diferente

Precisa de mais ajuda?

Quer mais opções

Essas informações foram úteis?

Agradecemos seus comentários!

Sintomas

Causa

Solução alternativa

Método 1: Usar EWSEditor

Método 2: Usar uma API diferente

Amostra de código

Precisa de mais ajuda?

Quer mais opções

Essas informações foram úteis?

Agradecemos seus comentários!