Go to the top

Exchange Online : Recuperar correos eliminados últimos 14-30 días.

Samuel / Adopción, Blog, Chile, Cloud, Compliance, Exchange, Microsoft, Office 365, Paso a Paso, PowerShell, Script, Seguridad Información, Uncategorized / 0 Comments

Los buzones de exchange online mantienen un carpeta de archivos recuperables, en la cual los items eliminados en los últimos 14 días pueden ser recuperados sin realizar una búsqueda de eDiscovery.

Este plazo puede ser aumentado hasta 30 días, y se puede hacer de forma sencilla ejecutando un comando desde una sesión de Powershell de Exchange Online. Si no sabes como conectar una sesión de Powershell revíselo acá.

Una vez iniciada la sesión de Powershell, ejecutamos el siguiente comando para extender 30 días el periodo de retención de objetos eliminados para un usuario.

Set-Mailbox -Identity "Usuario" -RetainDeletedItemsFor 30

Para extender a todos los usuarios el plazo de 30 dias, ejecutamos el siguiente comando.

Get-Mailbox -ResultSize unlimited -Filter "RecipientTypeDetails -eq 'UserMailbox'" | Set-Mailbox -RetainDeletedItemsFor 30

Ahora, para poder recuperar los items, la cuenta de administrador debe tener el permiso de “Mailbox Import Export” desde la opcion permisos del panel de Exchange Online.

Permisos

Recuperación de los correos.

En este ejemplo, el buzón con items eliminados, es del tipo SharedMailbox, su smtp address es shared@ogmioschile.cl y los items fueron eliminados desde la bandeja de entrada, desde la carpeta de elementos eliminados. es decir no es posible la recuperación por parte del usurario.

El la imagen siguiente, se puede validar que no hay items en la bandeja de entrada, no hay items en los elementos eliminados y los items recuperables se indican en 0.

0 Items

Ahora debemos recuperar los items, para esto generamos una nueva sesión de Powershell con Exchange Online. Recuerda iniciar la sesión con la cuenta que tiene el permisos de Mailbox Import Export, si la asignación de permisos ya esta aplicada, tendremos disponible el comando Restore-Recoverable Items, entonces ejecutamos lo siguiente.

Restore-RecoverableItems -Identity buzon@dominio.cl -FilterItemType IPM.Note -FilterStartTime "4/1/2020 12:00:00 AM" -FilterEndTime "4/8/2020 11:59:59 PM"

Si desglosamos los modificadores del comando tenemos :

  • Identity : identidad del buzón donde recuperaremos items.
  • FilterItemType : Tipo de item que necesitamos recuperar IPM.Note hace referencia a los correos electrónicos, si el elemento eliminados es otro, puedes ver el listado acá.
  • FilterStarTime : Fecha y hora del inicio del rango de fechas donde queremos recuperar los items.
  • FilterEndTime : Fecha y hora del fin del rango de fechas donde queremos recuperar los items.

Para el escenario de mi buzón, quiero recuperar los correos eliminados entre el 1 de abril y el 8 de abril, entonces ejecutaremos el siguiente comando

Restore-RecoverableItems -Identity shared@ogmioschile.cl -FilterItemType IPM.Note -FilterStartTime "4/1/2020 12:00:00 AM" -FilterEndTime "4/8/2020 11:59:59 PM"

El resultado, es que si existen item eliminados y recuperables desde el 01 de abril al 8 de abril, se restauraran a la ubicación desde donde fueron eliminados.

Resultado en la bandeja de entrada, son los items ya recuperados.

Si agregamos al comando el modificador Export-CSV, tendremos el reporte en ese formato de los items recuperados y podremos informar el resultado.

El comando completo de ejemplo para exportar el reporte es el siguiente

Restore-RecoverableItems -Identity shared@ogmioschile.cl -FilterItemType IPM.Note -FilterStartTime "4/1/2020 12:00:00 AM" -FilterEndTime "4/8/2020 11:59:59 PM" | Export-Csv -Path c:\directoriodestino\ItemsRecuperadosShared.csv -NoTypeInformation -Encoding UTF8

Con esto recuperamos de forma rápida y sencilla los correos eliminados en el rango de 14 o 30 días. También como extra, vimos como ampliar ese limite de tiempo de retención de los iniciales 14 días por defecto, en la carpeta de elementos recuperables.

si la necesidad es de poder recuperar elementos mas allá de 30 días, se debe considerar poner el buzón en Hold o aplicar un política de retención.

Saludos
Samuel.

Leave a Comment