Erstellen von Listen sicherer Absender in EOP
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Wenn Sie ein Microsoft 365-Kunde mit Postfächern in Exchange Online oder ein eigenständiger EOP-Kunde (Exchange Online Protection) ohne Exchange Online Postfächer sind, bietet EOP mehrere Möglichkeiten, um sicherzustellen, dass Benutzer E-Mails von vertrauenswürdigen Absendern erhalten. Zusammenfassend können Sie sich diese Optionen als Listen sicherer Absender vorstellen.
Die folgende Liste enthält die verfügbaren Methoden, um Absender in EOP von den am meisten empfohlenen bis zu den am wenigsten empfohlenen zuzulassen:
- Zulassen von Einträgen für Domänen und E-Mail-Adressen (einschließlich gefälschter Absender) in der Zulassungs-/Sperrliste für Mandanten.
- Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet).
- Sichere Outlook-Absender (die Liste der sicheren Absender in jedem Postfach, die sich nur auf dieses Postfach auswirkt).
- Liste zugelassener IP-Adressen (Verbindungsfilterung)
- Listen zulässiger Absender oder Listen zulässiger Domänen (Antispamrichtlinien)
Der Rest dieses Artikels enthält Einzelheiten zu den einzelnen Methoden.
Wichtig
Nachrichten, die als Schadsoftware* oder Phishing mit hoher Zuverlässigkeit identifiziert werden, werden immer unter Quarantäne gesetzt, unabhängig von der von Ihnen verwendeten Option für die Liste sicherer Absender. Weitere Informationen finden Sie unter Standardmäßige Sicherheit in Office 365.
* Die Filterung von Schadsoftware wird für SecOps-Postfächer übersprungen, die in der erweiterten Übermittlungsrichtlinie identifiziert werden. Weitere Informationen finden Sie unter Konfigurieren der erweiterten Übermittlungsrichtlinie für Phishingsimulationen von Drittanbietern und E-Mail-Übermittlung an SecOps-Postfächer.
Achten Sie darauf, jede Ausnahme, die Sie bei der Spamfilterung mit Listen sicherer Absender machen, genau zu überwachen.
Senden Sie Nachrichten in Ihren Listen sicherer Absender immer zur Analyse an Microsoft. Anweisungen finden Sie unter Melden einer guten E-Mail an Microsoft. Wenn die Nachrichten oder Nachrichtenquellen als unbedenklich eingestuft werden, kann Microsoft die Nachrichten automatisch zulassen, und Sie müssen den Eintrag nicht manuell in listen sicherer Absender verwalten.
Anstatt E-Mails zuzulassen, haben Sie auch mehrere Optionen, um E-Mails aus bestimmten Quellen mithilfe von Listen blockierter Absender zu blockieren. Weitere Informationen finden Sie unter Erstellen von Listen blockierter Absender in EOP.
Verwenden von Zulassungseinträgen in der Mandanten-Zulassungs-/Sperrliste
Unsere nummer-1 empfohlene Option zum Zulassen von E-Mails von Absendern oder Domänen ist die Mandanten-Zulassungs-/Sperrliste. Anweisungen finden Sie unter Erstellen von Zulassungseinträgen für Domänen und E-Mail-Adressen und Erstellen von Zulassungseinträgen für gefälschte Absender.
Nur wenn Sie die Mandanten-Zulassungs-/Sperrliste aus irgendeinem Grund nicht verwenden können, sollten Sie eine andere Methode zum Zulassen von Absendern in Betracht ziehen.
Verwenden von Nachrichtenflussregeln
Hinweis
Sie können Nachrichtenkopfzeilen und Nachrichtenflussregeln nicht verwenden, um einen internen Absender als sicheren Absender festzulegen. Die Verfahren in diesem Abschnitt funktionieren nur für externe Absender.
Nachrichtenflussregeln in Exchange Online und eigenständigem EOP verwenden Bedingungen und Ausnahmen, um Nachrichten zu identifizieren, und Aktionen, um anzugeben, was mit diesen Nachrichten geschehen soll. Weitere Informationen finden Sie unter Mail flow rules (transport rules) in Exchange Online.
Im folgenden Beispiel wird davon ausgegangen, dass Sie E-Mails von contoso.com, um die Spamfilterung zu überspringen. Konfigurieren Sie die folgenden Einstellungen:
Wenden Sie diese Regel an, wenn (Bedingung): Die Absenderdomäne>ist> contoso.com.
Konfigurieren Sie eine der folgenden Einstellungen:
Wenden Sie diese Regel an, wenn (zusätzliche Bedingung): Die Nachrichtenkopfzeilen>enthalten eines der folgenden Wörter:
-
Geben Sie Text (Headername) ein:
Authentication-Results
-
Geben Sie Wörter (Headerwert) ein:
dmarc=pass
oderdmarc=bestguesspass
(fügen Sie beide Werte hinzu).
Diese Bedingung überprüft die E-Mail-Authentifizierung status der sendenden E-Mail-Domäne, um sicherzustellen, dass die sendende Domäne nicht gespooft wird. Weitere Informationen zur E-Mail-Authentifizierung finden Sie unter Email-Authentifizierung in Microsoft 365.
-
Geben Sie Text (Headername) ein:
Liste zugelassener IP-Adressen: Geben Sie die IP-Quelladresse oder den Adressbereich in der Verbindungsfilterrichtlinie an. Anweisungen finden Sie unter Konfigurieren der Verbindungsfilterung.
Verwenden Sie diese Einstellung, wenn die sendenden Domäne keine E-Mail-Authentifizierung verwendet. Seien Sie im Bereich der IP-Quelladressen in der Liste zugelassener IP-Adressen so restriktiv wie möglich. Wir empfehlen einen IP-Adressbereich von /24 oder weniger (weniger ist besser). Verwenden Sie keine IP-Adressbereiche, die zu Consumerdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören.
Wichtig
Konfigurieren Sie niemals Nachrichtenflussregeln mit nur der Absenderdomäne als Bedingung zum Überspringen der Spamfilterung. Dadurch erhöht sich erheblich die Wahrscheinlichkeit, dass Angreifer die sendende Domäne spoofen (oder die Identität der vollständigen E-Mail-Adresse ändern), alle Spamfilter überspringen und die Überprüfungen der Absenderauthentifizierung überspringen, damit die Nachricht im Posteingang des Empfängers eintrifft.
Verwenden Sie keine Domänen, die Sie besitzen (auch als akzeptierte Domänen bezeichnet) oder beliebte Domänen (z. B. microsoft.com) als Bedingungen in E-Mail-Flussregeln, da sie Angreifern die Möglichkeit bieten, E-Mails zu senden, die andernfalls gefiltert würden.
Wenn Sie eine IP-Adresse zulassen, die sich hinter einem NAT-Gateway (Network Address Translation) befindet, müssen Sie die Server kennen, die am NAT-Pool beteiligt sind. IP-Adressen und NAT-Teilnehmer können sich ändern. Sie müssen die Einträge in der Liste zugelassener IP-Adressen regelmäßig im Rahmen der standardmäßigen Wartungsverfahren überprüfen.
Optionale Bedingungen:
- Der Absender>ist intern/extern>Außerhalb des organization: Diese Bedingung ist implizit, aber es ist in Ordnung, sie zu verwenden, um lokale E-Mail-Server zu berücksichtigen, die möglicherweise nicht ordnungsgemäß konfiguriert sind.
- Betreff oder Text>Betreff oder Text enthält eines dieser Wörter><keywords>: Wenn Sie die Nachrichten nach Schlüsselwörtern oder Ausdrücken in der Betreffzeile oder im Nachrichtentext weiter einschränken können, können Sie diese Wörter als Bedingung verwenden.
Führen Sie die folgenden Aktionen (Aktionen) aus: Konfigurieren Sie die beiden folgenden Aktionen in der Regel:
Ändern der Nachrichteneigenschaften>Festlegen des Spam-Konfidenzniveaus (SCL)>Umgehen Sie die Spamfilterung.
Ändern der Nachrichteneigenschaften>Legen Sie einen Nachrichtenheader fest:
-
Geben Sie Text (Headername) ein: Beispiel:
X-ETR
. -
Geben Sie Wörter (Headerwert) ein: Beispiel:
Bypass spam filtering for authenticated sender 'contoso.com'
.
Für mehr als eine Domäne in der Regel können Sie den Headertext entsprechend anpassen.
-
Geben Sie Text (Headername) ein: Beispiel:
Wenn eine Nachricht aufgrund einer Nachrichtenflussregel die Spamfilterung überspringt, wird der SFV:SKN
-Wert in der Kopfzeile X-Forefront-Antispam-Report gekennzeichnet. Wenn die Nachricht von einer Quelle stammt, die in der Liste zugelassener IP-Adressen aufgeführt ist, wird auch der IPV:CAL
-Wert hinzugefügt. Diese Werte können Ihnen bei der Problembehandlung helfen.
Verwenden von Outlook Safe Senders (Sichere Absender in Outlook)
Achtung
Diese Methode schafft ein hohes Risiko, dass Angreifer erfolgreich E-Mails an den Posteingang übermitteln, die andernfalls gefiltert würden. Nachrichten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit ermittelt werden, werden gefiltert. Weitere Informationen finden Sie unter Benutzer- und Mandanteneinstellungskonflikt.
Statt einer Organisationseinstellung können Benutzer oder Administratoren die E-Mail-Adressen des Absenders der Liste sicherer Absender im Postfach hinzufügen. Listeneinträge für sichere Absender im Postfach wirken sich nur auf dieses Postfach aus. Anweisungen finden Sie in den folgenden Artikeln:
- Benutzer: Fügen Sie Empfänger meiner E-Mail-Nachrichten zur Liste der sicheren Absender hinzu.
- Administratoren: Konfigurieren Sie Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Microsoft 365.
Diese Methode ist in den meisten Situationen nicht wünschenswert, da Absender Teile des Filterstapels umgehen. Obwohl der Absender vertrauenswürdig ist, kann er weiterhin kompromittiert werden und böswillige Inhalte senden. Sie sollten unsere Filter jede Nachricht überprüfen lassen und dann die falsch positive/negative Nachricht an Microsoft melden , wenn wir es falsch verstanden haben. Das Umgehen des Filterstapels beeinträchtigt auch die automatische Bereinigung (Zero-Hour Auto Purge, ZAP).
Wenn Nachrichten die Spamfilterung aufgrund von Einträgen in der Liste sicherer Absender eines Benutzers überspringen, enthält das X-Forefront-Antispam-Report-Headerfeld den Wert SFV:SFE
, der angibt, dass die Filterung nach Spam, Spoof und Phishing (kein Phishing mit hohem Vertrauen) umgangen wurde.
- In Exchange Online hängt davon ab, ob Einträge in der Liste der sicheren Absender funktionieren oder nicht funktionieren, vom Urteil und der Aktion in der Richtlinie, die die Nachricht identifiziert hat:
- Verschieben von Nachrichten in den Junk-Email Ordner: Domäneneinträge und Absender-E-Mail-Adressen werden berücksichtigt. Nachrichten von diesen Absendern werden nicht in den Ordner Junk Email verschoben.
-
Quarantäne: Domäneneinträge werden nicht berücksichtigt (Nachrichten von diesen Absendern werden unter Quarantäne gesetzt). Email Adresseinträge werden berücksichtigt (Nachrichten von diesen Absendern werden nicht unter Quarantäne gesetzt), wenn eine der folgenden Aussagen zutrifft:
- Die Nachricht wird nicht als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert (Schadsoftware und Phishingnachrichten mit hoher Zuverlässigkeit werden unter Quarantäne gesetzt).
- Die E-Mail-Adresse, URL oder Datei in der E-Mail-Nachricht befindet sich nicht auch in einem Blockeintrag in der Zulassungs-/Sperrliste des Mandanten.
- Einträge für blockierte Absender und blockierte Domänen werden berücksichtigt (Nachrichten von diesen Absendern werden in den Junk-Email Ordner verschoben). Einstellungen für sichere Adressenlisten werden ignoriert.
Verwenden der Liste zugelassener IP-Adressen
Achtung
Ohne zusätzliche Überprüfung wie Nachrichtenflussregeln werden bei E-Mails von Quellen in der Liste zugelassener IP-Adressen die Spamfilterung und die Absenderauthentifizierung (SPF, DKIM, DMARC) übersprungen. Diese Methode schafft ein hohes Risiko, dass Angreifer erfolgreich E-Mails an den Posteingang übermitteln, die andernfalls gefiltert würden. Nachrichten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit ermittelt werden, werden gefiltert. Weitere Informationen finden Sie unter Benutzer- und Mandanteneinstellungskonflikt.
Die nächstbeste Option besteht darin, die Quell-E-Mail-Server der Liste zugelassener IP-Adressen in der Verbindungsfilterrichtlinie hinzuzufügen. Weitere Details finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter in EOP.
- Es ist wichtig, die Anzahl zulässiger IP-Adressen möglichst zu beschränken. Vermeiden Sie daher nach Möglichkeit die Verwendung ganzer IP-Adressbereiche.
- Verwenden Sie keine IP-Adressbereiche, die zu Consumerdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören.
- Überprüfen Sie regelmäßig die Einträge in der Liste zugelassener IP-Adressen, und entfernen Sie nicht mehr benötigte Einträge.
Verwendung von Listen zulässiger Absender oder Listen zulässiger Domänen
Achtung
Diese Methode schafft ein hohes Risiko, dass Angreifer erfolgreich E-Mails an den Posteingang übermitteln, die andernfalls gefiltert würden. Nachrichten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit ermittelt werden, werden gefiltert. Weitere Informationen finden Sie unter Benutzer- und Mandanteneinstellungskonflikt.
Verwenden Sie keine beliebten Domänen (z. B. microsoft.com) in Listen zulässiger Domänen.
Die am wenigsten wünschenswerte Option ist die Verwendung der Listen zulässiger Absender oder zulässiger Domänen in benutzerdefinierten Antispamrichtlinien oder in der Standardmäßigen Antispamrichtlinie. Sie sollten diese Option nach Möglichkeit vermeiden, da Absender alle Spam-, Spoof-, Phishing-Schutz (mit Ausnahme von Phishing mit hoher Zuverlässigkeit) und Absenderauthentifizierung (SPF, DKIM, DMARC) umgehen. Diese Methode eignet sich nur für temporäre Tests. Die ausführlichen Schritte finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.
Die maximale Obergrenze für diese Listen beträgt ungefähr 1.000 Einträge, Sie können jedoch maximal 30 Einträge im Microsoft Defender-Portal eingeben. Verwenden Sie PowerShell, um mehr als 30 Einträge hinzuzufügen.
Hinweis
Wenn sich ab September 2022 ein zulässiger Absender, eine domäne oder eine unterdomäne in einer akzeptierten Domäne in Ihrem organization befindet, muss dieser Absender, diese Domäne oder Unterdomäne E-Mail-Authentifizierungsprüfungen bestehen, um die Antispamfilterung zu überspringen.
Überlegungen für Massen-E-Mail
Eine STANDARD-SMTP-E-Mail-Nachricht kann unterschiedliche Absender-E-Mail-Adressen enthalten, wie unter Warum Internet-E-Mail-Authentifizierung erforderlich ist beschrieben. Wenn E-Mails im Namen einer anderen Person gesendet werden, können die Adressen unterschiedlich sein. Diese Bedingung tritt häufig bei Massen-E-Mail-Nachrichten auf.
Angenommen, Blue Yonder Airlines hat Margie es Travel beauftragt, Werbe-E-Mail-Nachrichten zu senden. Die Nachricht, die Sie in Ihrem Posteingang empfangen, hat die folgenden Eigenschaften:
- Die MAIL FROM-Adresse (auch als
5321.MailFrom
Adresse, P1-Absender oder Umschlagsender bezeichnet) istblueyonder.airlines@margiestravel.com
. - Die Von-Adresse (auch als
5322.From
Adresse oder P2-Absender bezeichnet) istblueyonder@news.blueyonderairlines.com
, was in Outlook angezeigt wird.
Listen sicherer Absender und Listen sicherer Domänen in Antispamrichtlinien in EOP überprüfen nur die Von-Adressen. Dieses Verhalten ähnelt Outlook Safe Senders, die die Von-Adresse verwenden.
Um zu verhindern, dass diese Nachricht gefiltert wird, können Sie die folgenden Schritte ausführen:
- Fügen Sie (die Von-Adresse) als sicheren Outlook-Absender hinzu
blueyonder@news.blueyonderairlines.com
. -
Verwenden Sie eine E-Mail-Flussregel mit einer Bedingung, die nach Nachrichten von
blueyonder@news.blueyonderairlines.com
(Von-Adresse),blueyonder.airlines@margiestravel.com
(mail FROM-Adresse) oder beidem sucht.