Freigeben über


Reihenfolge und Rangfolge des E-Mail-Schutzes

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer werden eingehende E-Mails möglicherweise durch mehrere Arten des Schutzes gekennzeichnet. Beispiel: Antispoofingschutz, der für alle Microsoft 365-Kunden verfügbar ist, und Schutz vor Identitätswechseln, der nur für Microsoft Defender for Office 365 Kunden verfügbar ist. Nachrichten durchlaufen auch mehrere Erkennungsscans auf Schadsoftware, Spam, Phishing usw. Angesichts all dieser Aktivitäten kann es einige Unklarheiten darüber geben, welche Richtlinie angewendet wird.

Im Allgemeinen wird eine Richtlinie, die auf eine Nachricht angewendet wird, im X-Forefront-Antispam-Report-Header in der CAT (Category) -Eigenschaft identifiziert. Weitere Informationen finden Sie unter Antispam-Nachrichtenkopfzeilen.

Es gibt zwei Hauptfaktoren, die bestimmen, welche Richtlinie auf eine Nachricht angewendet wird:

  • Die Reihenfolge der Verarbeitung für den E-Mail-Schutztyp: Diese Reihenfolge ist nicht konfigurierbar und wird in der folgenden Tabelle beschrieben:

    Reihenfolge Email Schutz Kategorie Wo ist die Verwaltung?
    1 Schadsoftware CAT:MALW Konfigurieren von Antischadsoftwarerichtlinien in EOP
    2 Hohe Phishingwahrscheinlichkeit CAT:HPHSH Konfigurieren von Antispamrichtlinien in EOP
    3 Phishing CAT:PHSH Konfigurieren von Antispamrichtlinien in EOP
    4 Spam mit hoher Vertrauenswürdigkeit CAT:HSPM Konfigurieren von Antispamrichtlinien in EOP
    5 Spoofing CAT:SPOOF Erkenntnisse zur Spoofintelligenz in EOP
    6* Benutzeridentitätswechsel (geschützte Benutzer) CAT:UIMP Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
    7* Domänenidentitätswechsel (geschützte Domänen) CAT:DIMP Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
    8* Postfachintelligenz (Kontaktdiagramm) CAT:GIMP Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
    9 Spam CAT:SPM Konfigurieren von Antispamrichtlinien in EOP
    10 Masse CAT:BULK Konfigurieren von Antispamrichtlinien in EOP

    *Diese Features sind nur in Antiphishingrichtlinien in Microsoft Defender for Office 365 verfügbar.

  • Die Prioritätsreihenfolge von Richtlinien: Die Reihenfolge der Richtlinienpriorität wird in der folgenden Liste angezeigt:

    1. Die Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links* und sichere Anlagen in der voreingestellten* Sicherheitsrichtlinie Strict (sofern aktiviert).

    2. Die Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links* und sichere Anlagen in der standardvoreingestellten* Sicherheitsrichtlinie (sofern aktiviert).

    3. Benutzerdefinierte Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links* und sichere Anlagen* (wenn erstellt).

      Benutzerdefinierten Richtlinien wird beim Erstellen der Richtlinie ein Standardprioritätswert zugewiesen (neuer ist höher), Sie können den Prioritätswert jedoch jederzeit ändern. Dieser Prioritätswert wirkt sich auf die Reihenfolge aus, in der benutzerdefinierte Richtlinien dieses Typs (Antispam, Antischadsoftware, Antiphishing usw.) angewendet werden, aber nicht, wo benutzerdefinierte Richtlinien in der Gesamtreihenfolge angewendet werden.

    4. Antiphishing, Sichere Links und sichere Anlagen in Defender for Office 365 Auswertungsrichtlinien (sofern aktiviert).

    5. Von gleichem Wert:

      Sie können Ausnahmen für die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" konfigurieren, aber Sie können keine Ausnahmen für die Standardrichtlinien konfigurieren (sie gelten für alle Empfänger, und Sie können sie nicht deaktivieren).

    *Nur Defender for Office 365.

    Die Prioritätsreihenfolge ist wichtig, wenn derselbe Empfänger absichtlich oder unbeabsichtigt in mehreren Richtlinien enthalten ist, da nur die erste Richtlinie dieses Typs (Antispam, Antischadsoftware, Antiphishing usw.) auf diesen Empfänger angewendet wird, unabhängig davon, in wie vielen anderen Richtlinien der Empfänger enthalten ist. Es gibt nie eine Zusammenführung oder Kombination der Einstellungen in mehreren Richtlinien für den Empfänger. Der Empfänger ist von den Einstellungen der verbleibenden Richtlinien dieses Typs nicht betroffen.

Beispielsweise ist die Gruppe "Contoso Executives" in den folgenden Richtlinien enthalten:

  • Die voreingestellte Sicherheitsrichtlinie Strict
  • Eine benutzerdefinierte Antispamrichtlinie mit dem Prioritätswert 0 (höchste Priorität)
  • Eine benutzerdefinierte Antispamrichtlinie mit dem Prioritätswert 1.

Welche Antispamrichtlinieneinstellungen werden auf die Mitglieder von Contoso Executives angewendet? Die voreingestellte Sicherheitsrichtlinie Strict. Die Einstellungen in den benutzerdefinierten Antispamrichtlinien werden für die Mitglieder von Contoso Executives ignoriert, da die voreingestellte Sicherheitsrichtlinie Strict immer zuerst angewendet wird.

Betrachten Sie als weiteres Beispiel die folgenden benutzerdefinierten Antiphishingrichtlinien in Microsoft Defender for Office 365, die für dieselben Empfänger gelten, sowie eine Nachricht, die sowohl Benutzeridentitätswechsel als auch Spoofing enthält:

Richtlinienname Priorität Benutzeridentitätswechsel Antispoofing
Richtlinie A 1 Ein Off
Richtlinie B 2 Off Ein
  1. Die Nachricht wird als Spoofing identifiziert, da Spoofing (5) vor dem Benutzeridentitätswechsel (6) in der Reihenfolge der Verarbeitung für den E-Mail-Schutztyp ausgewertet wird.
  2. Richtlinie A wird zuerst angewendet, da sie eine höhere Priorität hat als Richtlinie B.
  3. Basierend auf den Einstellungen in Richtlinie A wird keine Aktion für die Nachricht ausgeführt, da Antispoofing deaktiviert ist.
  4. Die Verarbeitung von Antiphishingrichtlinien wird für alle eingeschlossenen Empfänger beendet, sodass Richtlinie B niemals auf Empfänger angewendet wird, die sich ebenfalls in Richtlinie A befinden.

Um sicherzustellen, dass Empfänger die gewünschten Schutzeinstellungen erhalten, verwenden Sie die folgenden Richtlinien für Richtlinienmitgliedschaften:

  • Weisen Sie Richtlinien mit höherer Priorität eine kleinere Anzahl von Benutzern und Richtlinien mit niedrigerer Priorität eine größere Anzahl von Benutzern zu. Denken Sie daran, dass Standardrichtlinien immer zuletzt angewendet werden.
  • Konfigurieren Sie Richtlinien mit höherer Priorität, um strengere oder speziellere Einstellungen als Richtlinien mit niedrigerer Priorität zu haben. Sie haben die vollständige Kontrolle über die Einstellungen in benutzerdefinierten Richtlinien und standardrichtlinien, aber keine Kontrolle über die meisten Einstellungen in voreingestellten Sicherheitsrichtlinien.
  • Erwägen Sie die Verwendung weniger benutzerdefinierter Richtlinien (verwenden Sie benutzerdefinierte Richtlinien nur für Benutzer, die speziellere Einstellungen als die voreingestellten Sicherheitsrichtlinien Standard oder Strict oder die Standardrichtlinien benötigen).

Anhang

Es ist wichtig zu verstehen, wie Benutzer zulässt und blockiert, Mandantenberechtigungen und -blöcke sowie Filterstapelbewertungen in EOP und Defender for Office 365 sich ergänzen oder einander widersprechen.

  • Informationen zum Filtern von Stapeln und deren Kombination finden Sie unter Schrittweiser Bedrohungsschutz in Microsoft Defender for Office 365.
  • Nachdem der Filterstapel eine Bewertung bestimmt hat, werden nur dann Mandantenrichtlinien und ihre konfigurierten Aktionen ausgewertet.
  • Wenn die gleiche E-Mail-Adresse oder Domäne in der Liste "Sichere Absender" und "Blockierte Absender" eines Benutzers vorhanden ist, hat die Liste "Sichere Absender" Vorrang.
  • Wenn dieselbe Entität (E-Mail-Adresse, Domäne, gefälschte Sendeinfrastruktur, Datei oder URL) in einem Zulassungseintrag und einem Blockeintrag in der Mandanten-Zulassungs-/Sperrliste vorhanden ist, hat der Blockeintrag Vorrang.

Benutzer lässt zu und blockiert

Einträge in der Sammlung sicherer Listen eines Benutzers (die Liste der sicheren Absender, die Liste der sicheren Empfänger und die Liste blockierte Absender für jedes Postfach) können einige Bewertungen des Filterstapels überschreiben, wie in der folgenden Tabelle beschrieben:

Bewertung des Filterstapels Liste sicherer Absender/Empfänger des Benutzers Liste blockierter Absender des Benutzers
Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
Phishing Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt Mandant gewinnt: Die anwendbare Antispamrichtlinie bestimmt die Aktion.
Spam mit hoher Vertrauenswürdigkeit Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt Mandant gewinnt: Die anwendbare Antispamrichtlinie bestimmt die Aktion.
Spam Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt Mandant gewinnt: Die anwendbare Antispamrichtlinie bestimmt die Aktion.
Masse Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Kein Spam Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  • In Exchange Online funktioniert die Domänen-Zulassung in der Liste des sicheren Absenders möglicherweise nicht, wenn die Nachricht unter einer der folgenden Bedingungen unter Quarantäne gesetzt wird:
    • Die Nachricht wird als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert (Schadsoftware und Phishingnachrichten mit hoher Zuverlässigkeit werden unter Quarantäne gesetzt).
    • Aktionen in Antispamrichtlinien sind so konfiguriert, dass sie unter Quarantäne stellen, anstatt E-Mails in den Junk-Email Ordner zu verschieben.
    • Die E-Mail-Adresse, URL oder Datei in der E-Mail-Nachricht befindet sich ebenfalls in einem Blockeintrag in der Zulassungs-/Sperrliste des Mandanten.

Weitere Informationen zur Sammlung sicherer Listen und zu Antispameinstellungen für Benutzerpostfächer finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer.

Mandant lässt zu und blockiert

Mandantenzugänge und -blöcke können einige Filterstapelbewertungen außer Kraft setzen, wie in den folgenden Tabellen beschrieben:

  • Erweiterte Übermittlungsrichtlinie (Filterung für bestimmte SecOps-Postfächer und Phishingsimulations-URLs überspringen):

    Bewertung des Filterstapels Erweiterte Übermittlungsrichtlinie zulassen
    Schadsoftware Mandant gewinnt: Email an Postfach übermittelt
    Hohe Phishingwahrscheinlichkeit Mandant gewinnt: Email an Postfach übermittelt
    Phishing Mandant gewinnt: Email an Postfach übermittelt
    Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt
    Spam Mandant gewinnt: Email an Postfach übermittelt
    Masse Mandant gewinnt: Email an Postfach übermittelt
    Kein Spam Mandant gewinnt: Email an Postfach übermittelt
  • Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet):

    Bewertung des Filterstapels Nachrichtenflussregel lässt zu* Nachrichtenflussregelblöcke
    Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
    Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email isoliert, außer beim komplexen Routing Filter gewinnt: Email unter Quarantäne
    Phishing Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Phishingaktion in der entsprechenden Antispamrichtlinie
    Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
    Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
    Masse Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
    Kein Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt

    * Organisationen, die einen Sicherheitsdienst oder ein Gerät eines Drittanbieters vor Microsoft 365 verwenden, sollten die Verwendung von Authenticated Received Chain (ARC) (Wenden Sie sich zur Verfügbarkeit an den Drittanbieter) und die erweiterte Filterung für Connectors (auch als Überspringen von Einträgen bezeichnet) anstelle einer SCL=-1-Nachrichtenflussregel in Betracht ziehen. Diese verbesserten Methoden reduzieren Probleme bei der E-Mail-Authentifizierung und fördern eine tiefgehende E-Mail-Sicherheit .

  • Ip-Zulassungsliste und IP-Sperrliste in Verbindungsfilterrichtlinien:

    Bewertung des Filterstapels Liste zugelassener IP-Adressen IP-Sperrliste
    Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
    Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
    Phishing Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht
    Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht
    Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht
    Masse Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht
    Kein Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht
  • Zulassen und Blockieren von Einstellungen in Antispamrichtlinien:

    Bewertung des Filterstapels Antispamrichtlinie lässt zu Antispamrichtlinienblöcke
    Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
    Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
    Phishing Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Phishingaktion in der entsprechenden Antispamrichtlinie
    Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
    Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
    Masse Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
    Kein Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  • Zulassungseinträge in der Mandanten-Zulassungs-/Sperrliste: Es gibt zwei Arten von Zulassungseinträgen:

    • Nachrichtenebene zulassen Einträge wirken auf die gesamte Nachricht, unabhängig von den Entitäten in der Nachricht. Zulässige Einträge für E-Mail-Adressen und Domänen sind Zulässige Einträge auf Nachrichtenebene.
    • Zulassen von Einträgen auf Entitätsebene wirkt sich auf die Filterbewertung von Entitäten aus. Zulassen von Einträgen für URLs, gefälschte Absender und Dateien sind Zulassungseinträge auf Entitätsebene. Um Schadsoftware und Phishingbewertungen mit hoher Zuverlässigkeit außer Kraft zu setzen, müssen Sie Zulassungseinträge auf Entitätsebene verwenden, die Sie nur aufgrund von Secure standardmäßig in Microsoft 365 durch Übermittlung erstellen können.
    Bewertung des Filterstapels Email Adresse/Domäne
    Schadsoftware Filter gewinnt: Email unter Quarantäne
    Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email unter Quarantäne
    Phishing Mandant gewinnt: Email an Postfach übermittelt
    Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt
    Spam Mandant gewinnt: Email an Postfach übermittelt
    Masse Mandant gewinnt: Email an Postfach übermittelt
    Kein Spam Mandant gewinnt: Email an Postfach übermittelt
  • Blockieren von Einträgen in der Zulassungs-/Sperrliste des Mandanten:

    Bewertung des Filterstapels Email Adresse/Domäne Reinlegen File URL
    Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne
    Hohe Phishingwahrscheinlichkeit Mandant gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne
    Phishing Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne
    Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne
    Spam Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne
    Masse Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne
    Kein Spam Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne

Konflikt zwischen Benutzer- und Mandanteneinstellungen

In der folgenden Tabelle wird beschrieben, wie Konflikte gelöst werden, wenn eine E-Mail von den Einstellungen für Benutzer zulassen/blockieren und Mandanten zulassen/blockieren beeinflusst wird:

Typ des Mandanten zulassen/blockieren Liste sicherer Absender/Empfänger des Benutzers Liste blockierter Absender des Benutzers
Blockieren von Einträgen in der Mandanten-Zulassungs-/Sperrliste für:
  • Email Adressen und Domänen
  • Dateien
  • URLs
Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne
Blockieren von Einträgen für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste Mandant gewinnt: Spoofintelligenzaktion in der entsprechenden Antiphishingrichtlinie Mandant gewinnt: Spoofintelligenzaktion in der entsprechenden Antiphishingrichtlinie
Erweiterte Übermittlungsrichtlinie Benutzer gewinnt: Email an postfach übermittelt Mandant gewinnt: Email an Postfach übermittelt
Blockieren von Einstellungen in Antispamrichtlinien Benutzer gewinnt: Email an postfach übermittelt Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
DMARC-Richtlinie berücksichtigen Benutzer gewinnt: Email an postfach übermittelt Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Blöcke nach Nachrichtenflussregeln Benutzer gewinnt: Email an postfach übermittelt Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Ermöglicht Folgendes:
  • Nachrichtenflussregeln
  • Liste zugelassener IP-Adressen (Verbindungsfilterrichtlinie)
  • Liste zulässiger Absender und Domänen (Antispamrichtlinien)
  • Zulassungs-/Sperrliste des Mandanten
Benutzer gewinnt: Email an postfach übermittelt Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt