使用保险柜搜索 Gmail

Google 保险柜适用于管理员和法务人员。您必须先让 Google Workspace 管理员为您设置帐号,然后才能使用保险柜。谁是我的管理员?

您在开展 Google Workspace 数据电子取证项目的过程中,可以使用保险柜来搜索 Gmail 邮件、找出相关账号、审查和打印邮件内容,以及查看和下载附件。

如果贵组织将 Google Workspace 客户端加密功能 (CSE) 与 Gmail 搭配使用,您可以使用保险柜搜索、下载和导出客户端加密的 Gmail 邮件。

在您搜索之前

在您搜索邮件/消息前,我们建议您先查看保险柜支持的 Gmail 邮件有关保险柜搜索功能的常见问题解答

打开此部分  |  全部收起

搜索范围内的数据

在搜索范围内:

  • 每封邮件的前 1 MB 文本和附件
  • 贵组织用户发送的机密模式邮件
  • 外部发件人发送的机密模式邮件的标头和主题
  • 草稿,包括已舍弃的草稿和自动保存的版本
  • 客户端加密电子邮件(未加密)的标头和主题

不在搜索范围内:

  • 外部发件人发送的机密模式邮件的内容
  • 链接的文件
  • 电子邮件版式
  • 通过其他 Google 服务(例如 Google 日历或 Google 文档)发送的邮件,除非已启用综合邮件存储空间
  • 动态邮件中的动态内容
  • 客户端加密电子邮件的加密正文
有关详情,请参阅支持的服务和数据类型
如何在保险柜搜索结果中排除自动保存或已舍弃的草稿?

用户的 Gmail 数据可包括 3 种类型的邮件草稿。您可以将全部或仅特定类型的邮件草稿从搜索结果和导出内容中排除:

  • 要排除所有草稿类型,请在搜索前勾选排除草稿。预览画面中仍会包含草稿邮件的自动保存版本,但草稿邮件不会包含在您的导出内容中。
  • 要排除自动保存的草稿,请将以下运算符添加到搜索字词中:‑label:^r_ad
  • 要排除已舍弃的草稿以及自动保存的版本并仅包含未发送的草稿,请将 ‑(label:^deleted AND label:drafts) 添加到您的搜索字词中。预览画面中仍会包含草稿邮件的自动保存版本,但草稿邮件不会包含在您的导出内容中。
如何排除被隔离的邮件?

将以下运算符添加到搜索字词中:‑label:^admin_quarantine

详细了解管理员隔离区

为什么要搜索未处理的数据?

为确保获得与支持请求相关的所有数据,您可能需要搜索未处理的数据。未处理的数据包括:

  • Gmail 仍在编入索引的邮件内容和附件。
  • 对于大型邮件和附件,系统仅将前 1 MB 内容编入索引,其余超过 1 MB 的部分都是未处理数据。
  • 无法转换为文本并编入索引的附件。
如果您选择所有数据保全的数据作为搜索范围,然后输入搜索字词,那么保险柜便无法将字词与未处理的数据进行匹配。为确保您可以收集到所有可能与您的字词匹配的数据,您可以搜索与相关账号或组织部门相关联的未处理的数据,将这类数据导出,然后使用其他工具按字词进行搜索。
客户端加密电子邮件简介

保险柜可以保留和保全客户端加密的电子邮件,具体方式与处理其他文件一样。

  • 您可以预览未加密的电子邮件元数据,例如主题、发件人和收件人。
  • 电子邮件的加密内容会在搜索预览中显示为 smime.p7m 或 smime.p7s 附件。如需查看这些内容,请创建导出任务。 要以 mbox 格式解密导出内容,您可以使用解密工具实用程序(Beta 版)。要以 PST 格式查看客户端加密电子邮件,请将每位用户的 p7m 文件导入到 Microsoft Outlook 中。
重要提示:如果您取消 Google Workspace 订阅,之后想解密保险柜导出文件中的客户端加密邮件,请使用 Google 导出来导出用户的密钥材料。如果没有用户的密钥材料,您就无法解密电子邮件。

详细了解客户端加密功能

Gmail 邮件搜索示例

打开此部分  |  全部收起并转至页首

查找特定账号收发的邮件

您可以搜索与特定用户相关联的邮件,而无需访问他们的账号。开始搜索时,请使用以下参数:

  • 对于源数据,请选择所有数据
  • 对于实体,请选择特定账号,然后输入用户的电子邮件地址。
  • (可选)您可以使用以下字词来优化搜索:
    • 要仅查找“发件人”为特定账号的邮件,请输入 from:email_address
    • 要仅查找“收件人”为特定账号的邮件,请输入 to:email_address。此搜索会返回特定账号位于“收件人”、“抄送”或“密送”字段中的电子邮件,而不返回发送到账号所订阅群组的电子邮件。
查找在特定账号之间发送的邮件

您可以搜索在特定用户之间发送的邮件。以下示例适用于 2 位用户,但您可以添加更多账号。开始搜索时,请使用以下参数:

  • 对于源数据,请选择所有数据
  • 对于实体,请选择特定账号,然后输入其中一位用户的电子邮件地址。您不需要在此处输入两位用户的电子邮件地址。
  • 您可以使用以下字词来优化搜索:
    • 要查找这 2 个账号之间发送的邮件(即其中一个账号是发件人,另一个账号是收件人),请输入 from:(email_address_1 OR email_address_2) AND to:(email_address_1 OR email_address_2)
    • 要查找从一个账号发送至另一个账号的邮件,请输入 from:sender_email_address AND to:receiver_email_address。注意:如果您关注的用户有许多账号,请务必按照上述示例匹配所有电子邮件,然后输入所有账号。
查找发送到或接收自特定外部网域的邮件

您可以查看哪些账号向其他公司的用户发送了邮件以及哪些账号接收了其他公司用户的邮件。开始搜索时,请使用以下参数:

  • 对于源数据,请选择所有数据
  • 对于实体,请选择所有账号
  • 您可以使用以下字词来优化搜索:
    • 要查找发送给其他公司中的任意用户的邮件,请输入 to:*@example.com。此搜索会返回特定网域中任何账号位于“收件人”、“抄送”或“密送”字段中的电子邮件。
    • 要查找从其他公司中的任何用户向贵组织的用户发送的邮件,请输入 from:*@example.com
查找发送至群组的邮件

对 Gmail 进行搜索时,如要查找群组邮件,请勿将群组电子邮件地址指定为要搜索的账号。请改为使用以下参数:

  • 对于实体,请选择所有账号
  • 在字词部分输入 from:group_address。例如,要查找发送至群组 sales@solarmora.com 的邮件,请输入 from:sales@solarmora.com

注意:仅当一个或多个用户已订阅该群组、他们收到删节版汇总或摘要电子邮件,且相应邮件仍然可供保险柜访问(不遭到删除和完全清除)时,此方法才会返回邮件。

查找包含特定字词或文件附件的邮件

您可以查看哪些账号收发了包含特定字词、词组或附件的邮件。开始搜索时,请使用以下参数:

  • 对于源数据,请选择所有数据
  • 对于实体,请选择所有账号
  • 您可以使用以下字词来优化搜索:
    • 要查找包含特定字词的邮件,请输入 word。如果您输入大量字词,搜索只会返回包含所有字词的邮件。保险柜会从头搜索约 1 MB 的邮件文本和所有附件。您无法仅搜索附件文本或邮件文本。
    • 要查找包含特定词组的邮件,请输入相应字词并用双引号括住,例如 ”project alpha”。由于搜索不区分大小写,因此包含 Project AlphaProject alphaproject Alphaproject alpha 的邮件都会返回。
    • 要查找带附件的邮件,请输入 has:attachment。要查找文件附件文件名包含特定关键字的邮件,请输入 filename:word

搜索 Gmail 邮件

  1. 登录 vault.google.com
  2. 点击诉讼或调查。您可以在“诉讼或调查”(即保险柜项目的工作区)中搜索数据。在“诉讼或调查”部分中,您可以将彼此相关的保全、搜索和导出归为一组。诉讼或调查不会限制您可以搜索哪些数据,也就是说,您可以在任何诉讼或调查中搜索您有权访问的所有数据。
  3. 如果您要从中执行搜索查询的诉讼或调查已存在,请点击它以将它打开。否则,请创建一个诉讼或调查:
    1. 点击创建诉讼或调查
    2. 输入诉讼或调查的名称以及说明(可选)。
    3. 点击创建

    系统会打开搜索标签页。

  4. 选择 Gmail 服务。
  5. 选择要搜索的来源数据:
    • 所有数据 - 搜索组织中的所有消息。
    • 保全的数据 - 仅搜索为该诉讼或调查保全的邮件/消息。
    • 未处理的数据 - 仅搜索 Gmail 仍在处理或无法编入索引的邮件/消息。有关详情,请参阅本页中的为什么搜索未处理的数据?
  6. 选择要搜索的实体:
    • 所有账号 - 搜索单位中的所有账号。
    • 特定账号 - 最多可输入 500 个账号电子邮件地址。保险柜会搜索指定账号的信包发件人和收件人地址。要按标头、发件人或收件人地址进行搜索,请在字词字段中输入查询字词。
    • 单位部门 - 搜索特定单位部门中的账号。如果您选择的单位部门包含下级单位部门,那么系统也会搜索下级单位部门中的账号。
  7. (可选)选择时区
  8. (可选)输入发送日期范围。
    • 如果您输入开始日期,保险柜会返回在该日期当天或之后发送的所有邮件/消息。
    • 如果您输入结束日期,保险柜会返回在该日期当天或之前发送的所有邮件/消息。
  9. (可选)在字词字段中,输入一个或多个搜索字词:
    • 要在邮件/消息中搜索一个或多个关键字,请输入字词,并用空格分隔。例如 project goals
    • 要搜索某个词组,请将其中的字词用英文引号引起来。例如 "project goals"注意:搜索操作会忽略引号中词组的大小写和标点符号。
    • 要按账号、日期、帖子属性或主题进行搜索,请使用搜索运算符

    搜索字词不能超过 2000 个字符。

  10. (可选)要将邮件草稿从搜索范围中排除,请启用排除电子邮件草稿。若停用此选项,保险柜会返回符合查询条件的所有邮件草稿,包括自动保存的草稿。
  11. (可选)要仅搜索客户端加密邮件或将其从搜索中排除,请点击客户端加密状态下的高级选项 接着点击,然后选择客户端加密
    注意:只有在启用了 Google Workspace 客户端加密功能的情况下,您才能使用此选项。
  12. 点击下列选项之一:
    • 搜索 - 进行搜索并返回符合查询条件的邮件/消息列表。
    • 计数 - 计算符合查询条件的帖子数量,以及含有匹配帖子的账号数量。要下载包含查询计数数据的 CSV 文件,请点击下载包含匹配项的账号。不妨详细了解如何评估查询的命中范围
    • 导出 - 跳过预览,直接导出搜索结果。详细了解导出
  13. 完成搜索、计数或导出后,您可以执行以下操作:
    • 要修改搜索条件,请点击展开
    • 要打开邮件/消息及其所在会话的预览页面,请点击相应邮件/消息。
    • 要为搜索结果创建导出任务,请点击导出了解详情
    • 要保存查询,请点击保存了解详情
    • 要清除所有字段并开始新的搜索,请点击清除

预览搜索结果中的邮件/消息

执行搜索后,您可以检查和打印符合查询条件的邮件/消息,以及查看和下载附件。

  1. 在搜索结果列表中,点击相应邮件/消息。系统会打开会话中的邮件/消息列表,并自动显示会话中最新邮件/消息的内容。
    • 带有  图标的邮件包含一个或多个附件。点击帖子即可下载或查看附件。
    • 通过 Gmail 机密模式发送的邮件带有  图标。您可以在预览和打印这些邮件时隐藏或显示邮件内容。了解详情
    • 带有 "Encrypted" 图标的邮件是客户端加密的电子邮件。
    • 对于较长的会话,预览中只会提供最近的 100 个帖子。不过在导出搜索结果时,所有符合查询条件的帖子都会包括在内,预览页面中未出现的帖子也不例外。
  2. 要显示个别帖子的内容,请点击该帖子。要显示会话中所有帖子的内容,请点击“全部展开”图标 
  3. 要查看帖子及其所有标头内容,请点击原始链接
  4. 要打印个别邮件/消息,请点击打印。要打印会话中的所有邮件/消息,请点击“打印会话”图标 

导出客户端加密电子邮件

搜索客户端加密电子邮件后,您可以导出数据副本并下载,以供进一步分析。要解密 mbox 邮件,请使用解密工具实用程序(Beta 版)

如果加密邮件中包含指向 Google 云端硬盘文件的链接,那么即使您为导出操作启用了“导出链接的云端硬盘文件”,保险柜也无法导出链接的文件。保险柜无权访问加密邮件的内容。

如要导出数据,您必须拥有管理诉讼或调查管理搜索内容管理导出内容权限。

  1. 点击导出
  2. 为导出内容输入名称。
  3. 如果您的单位有数据区域政策,请为导出操作选择数据区域。

    详细了解保险柜导出功能和数据区域

  4. 选择下载文件的格式。
  5. 点击导出

该内容对您有帮助吗?

您有什么改进建议?
true
搜索
清除搜索内容
关闭搜索框
主菜单
8662609930072088498
true
搜索支持中心
true
true
true
true
true
96539
false
false