安全调查工具
支持此功能的版本:Frontline Plus;企业 Plus 版;教育标准版和教育 Plus 版。 比较您的版本
作为管理员,您可能会发现组织中有一些用户收到恶意电子邮件。
借助调查工具,您可以识别网域中所有收到该邮件的用户(例如钓鱼邮件),然后通过该工具从用户的 Gmail 收件箱中删除这类电子邮件。请注意,您最长可能需要等待数分钟的时间,才能在调查工具中获得日志数据。
您还可以使用调查工具执行其他操作,例如将邮件标记为垃圾邮件或钓鱼邮件,或将其发送到用户的收件箱。
查找并删除恶意电子邮件
第 1 步:开始调查-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击数据源,然后选择 Gmail 日志事件。
注意:仅一线员工 Plus 版、企业 Plus 版和教育 Plus 版支持 Gmail 日志事件。
- 点击添加条件。
- 依次点击属性
收件人(信包)。
- 依次点击 Contains
- 在收件人(信包)部分,输入收到恶意电子邮件的用户的用户名,例如“user@example.com”。user@example.com
- 点击添加条件。
- 依次点击属性
- 在主题部分,输入与恶意电子邮件主题匹配的字词(例如“跳舞的圣诞老人”)。
您搜索的字词不一定要与电子邮件的主题完全匹配。 - 点击添加条件。
- 在条件部分,点击日期。
- 将条件改为之后。
- 在日期部分,输入用户最早收到可疑电子邮件的日期和时间。
- 点击搜索。
当您完成上述步骤后,搜索结果会显示在页面底部的一个表格中。该表格会显示邮件的发送日期和时间、邮件 ID、主题、发件人电子邮件地址和收件人电子邮件地址。
如要将这些搜索结果导出至“我的云端硬盘”文件夹,请点击表格顶部的全部导出。
有关详情,请参阅在调查工具中查看搜索结果。
- 如要从上述搜索条件中移除收件人条件,请点击
。如此一来,系统就只会根据主题和日期这两个搜索条件进行搜索。
- 点击搜索,即可搜索可能收到恶意电子邮件的其他用户。
搜索结果会显示在页面底部的一个表格中。与上述第 1 步的搜索结果类似,表格会显示邮件的发送日期和时间、邮件 ID、主题、事件类型和发件人的电子邮件地址。不过,搜索结果还会包含您单位中收到了相应恶意电子邮件的其他用户的电子邮件地址。
- 如要将这些搜索结果导出至您的“我的云端硬盘”文件夹,请点击表格顶部的“导出”图标。
- 在调查工具底部的表格中,点击“全选”对应的复选框。这样可以自动选中当前搜索结果页面中的每一个复选框。
- 在操作菜单中,点击删除邮件。
- 输入删除任务的理由,例如“疑似恶意电子邮件”。
- 点击删除。
如果执行此操作,系统会将邮件 ID 和所有者(所有者既可能是发件人也可能是收件人,具体取决于事件类型)与所选 Gmail 日志事件中相应信息一致的邮件从用户的收件箱中删除。已清除的邮件将仍受保险柜中设置的所有适用保留规则和保全的约束(要详细了解保留规则和保全,请参阅保险柜帮助中心)。
注意:除了清除电子邮件,您还可以选择执行其他操作,例如将电子邮件标记为垃圾邮件、网上诱骗邮件,还可以将其发送至用户的收件箱。
