Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta guía se explica cómo investigar los cambios en las reglas de buzón de correo en Exchange Online, incluido cómo ver las reglas de bandeja de entrada y reenvío actuales de un buzón y cómo buscar en el registro de auditoría de Microsoft Purview para identificar quién creó, modificó o eliminó esas reglas.
Use estos métodos para investigar:
- Cambios en las reglas de reenvío de correo electrónico
- Reglas que hacen que los correos electrónicos no aparezcan en las carpetas esperadas
- Modificaciones de reglas no autorizadas
Antes de empezar
Para investigar las modificaciones de reglas de buzón de correo, necesita:
- El rol Registros de auditoría asignado en Microsoft Purview
- Para conectarse a Exchange Online PowerShell mediante Connect-ExchangeOnline
Cómo identificar las modificaciones de reglas de buzón
Use Get-InboxRule para comprobar las reglas de buzón actuales y Search-UnifiedAuditLog para buscar modificaciones en las reglas de buzón.
Comprobación de las reglas de buzón actuales
La salida Get-InboxRule muestra:
- Configuración de regla actual: configuración de regla
- Acciones de regla: mover, eliminar o reenviar
- Estado de la regla: habilitado o deshabilitado
Para ver qué reglas existen actualmente en un buzón de correo, ejecute el siguiente comando:
Get-InboxRule -Mailbox <mailbox> | FL Name,Description,DeleteMessage,MoveToFolder,Enabled
Búsqueda de registros de auditoría de modificación de reglas
El comando Search-UnifiedAuditLog busca:
- New-InboxRule: nuevas reglas creadas
- Set-InboxRule: reglas existentes modificadas
- Remove-InboxRule: reglas eliminadas
Para averiguar quién creó, modificó o eliminó reglas de buzón, ejecute el siguiente comando:
Search-UnifiedAuditLog -StartDate 01/06/2020 -EndDate 01/20/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
Qué hacer cuando las búsquedas no devuelven resultados
Si las búsquedas de auditoría no encuentran registros de modificación de reglas:
- Expanda el intervalo de fechas para capturar los cambios anteriores:
Search-UnifiedAuditLog -StartDate 01/01/2020 -EndDate 03/31/2020 -UserIds <user1,user2> -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule -ResultSize 1000
- Habilite la auditoría para futuros cambios en las reglas:
Set-Mailbox <mailbox> -AuditEnabled $true -AuditOwner @{Add="Create","Update"}
Referencia rápida
Operaciones clave para la investigación de reglas
En la tabla siguiente se enumeran las operaciones de regla de buzón que aparecen en los resultados de la auditoría.
| Operación | Descripción |
|---|---|
| New-InboxRule | Se ha creado una nueva regla de buzón de correo. |
| Remove-InboxRule | Regla de buzón eliminada. |
| Set-InboxRule | Regla de buzón existente modificada. |
Comandos esenciales
Los siguientes comandos son las herramientas principales para investigar los cambios de regla de buzón de correo.
| Get-Help | Objetivo |
|---|---|
Get-InboxRule -Mailbox <mailbox> |
Compruebe la configuración actual de la regla. |
Search-UnifiedAuditLog -Operations New-InboxRule,Set-InboxRule,Remove-InboxRule |
Busque quién ha realizado cambios en la regla. |
Pasos siguientes
- Use MailItemsAccessed para investigar las cuentas en peligro: determine si los cambios de regla no autorizados indican una cuenta en peligro.
- Identificar quién eliminó un mensaje de correo electrónico o por qué falta un correo electrónico: investigue si las reglas modificadas provocaron eliminaciones de correo electrónico o si faltan mensajes.
- Exportar, configurar y ver registros de auditoría: exporte los resultados de modificación de reglas para la documentación de cumplimiento.