Antiphishingrichtlinien in Microsoft 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Richtlinien zum Konfigurieren von Antiphishingschutzeinstellungen sind in Microsoft 365 Organisationen mit Exchange Online Postfächern, eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer verfügbar. Microsoft Defender for Office 365 Organisationen.

Beispiele für Microsoft Defender for Office 365 Organisationen:

Die allgemeinen Unterschiede zwischen Anti-Phishing-Richtlinien in EOP und Antiphishing-Richtlinien in Defender for Office 365 werden in der folgenden Tabelle beschrieben:

Feature Antiphishingrichtlinien in EOP Antiphishingrichtlinien in Defender for Office 365
Automatisch erstellte Standardrichtlinie Häkchen Häkchen
Erstellen Sie benutzerdefinierte Richtlinien Häkchen Häkchen
Allgemeine Richtlinieneinstellungen* Häkchen Häkchen
Spoofeinstellungen Häkchen Häkchen
Sicherheitstipp für den ersten Kontakt Häkchen Häkchen
Identitätswechseleinstellungen Häkchen
Erweiterte Phishingschwellenwerte Häkchen

* In der Standardrichtlinie sind der Richtlinienname und die Beschreibung schreibgeschützt (die Beschreibung ist leer), und Sie können nicht angeben, für wen die Richtlinie gilt (die Standardrichtlinie gilt für alle Empfänger).

Informationen zum Konfigurieren von Antiphishingrichtlinien finden Sie in den folgenden Artikeln:

Im weiteren Verlauf dieses Artikels werden die Einstellungen beschrieben, die in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar sind.

Allgemeine Richtlinieneinstellungen

Die folgenden Richtlinieneinstellungen sind in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar:

  • Name: Sie können die Standardmäßige Antiphishingrichtlinie nicht umbenennen. Nachdem Sie eine benutzerdefinierte Antiphishingrichtlinie erstellt haben, können Sie die Richtlinie im Microsoft 365 Defender Portal nicht umbenennen.

  • Beschreibung Sie können der Standardmäßigen Antiphishingrichtlinie keine Beschreibung hinzufügen, aber Sie können die Beschreibung für benutzerdefinierte Richtlinien, die Sie erstellen, hinzufügen und ändern.

  • Benutzer, Gruppen und Domänen: Identifiziert interne Empfänger, für die die Antiphishingrichtlinie gilt. Dieser Wert ist in benutzerdefinierten Richtlinien erforderlich und nicht in der Standardrichtlinie verfügbar (die Standardrichtlinie gilt für alle Empfänger).

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber Sie können mehrere Werte für die Bedingung oder Ausnahme angeben. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

    • Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte in Ihrer Organisation.

    • Gruppen: Eine oder mehrere Gruppen in Ihrer Organisation.

    • Domänen: Mindestens eine der konfigurierten akzeptierten Domänen in Microsoft 365.

    • Ausschließen dieser Benutzer, Gruppen und Domänen: Ausnahmen für die Richtlinie. Die Einstellungen und das Verhalten entsprechen genau den Bedingungen:

      • Benutzer
      • Gruppen
      • Domänen

    Hinweis

    In benutzerdefinierten Antiphishingrichtlinien ist mindestens eine Auswahl in den Einstellungen Benutzer, Gruppen und Domänen erforderlich, um die Nachrichtenempfänger zu identifizieren, für die die Richtlinie gilt. Antiphishingrichtlinien in Defender for Office 365 verfügen auch über Identitätswechseleinstellungen, in denen Sie einzelne Absender-E-Mail-Adressen oder Absenderdomänen angeben können, die den Identitätswechselschutz erhalten, wie weiter unten in diesem Artikel beschrieben.

    Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

Spoofeinstellungen

Spoofing ist der Fall, wenn die Von-Adresse in einer E-Mail-Nachricht (die Absenderadresse, die in E-Mail-Clients angezeigt wird) nicht mit der Domäne der E-Mail-Quelle übereinstimmt. Weitere Informationen zum Spoofing finden Sie unter Antispoofingschutz in Microsoft 365.

Die folgenden Spoofeinstellungen sind in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar:

  • Spoofintelligenz aktivieren: Aktiviert oder deaktiviert die Spoofintelligenz. Es wird empfohlen, die Option aktiviert zu lassen.

    Wenn Spoofintelligenz aktiviert ist, zeigt die Erkenntnis der Spoofintelligenz spoofierte Absender an, die automatisch erkannt und durch Spoofintelligenz zugelassen oder blockiert wurden. Sie können die Spoofintelligenzbewertung manuell überschreiben, um die erkannten spoofierten Absender innerhalb der Erkenntnis zuzulassen oder zu blockieren. Wenn Sie dies jedoch tun, verschwindet der gefälschte Absender aus der Spoofintelligenz-Erkenntnis und ist jetzt nur auf der Registerkarte Spoofed senders in der Mandanten-Zulassungs-/Sperrliste sichtbar. Sie können auch manuell Zulassungs- oder Sperreinträge für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste erstellen. Weitere Informationen finden Sie in den folgenden Artikeln:

    Hinweis

    • Der Schutz vor Spoofing ist standardmäßig in der Standardmäßigen Antiphishingrichtlinie und in allen neuen benutzerdefinierten Antiphishingrichtlinien aktiviert, die Sie erstellen.
    • Sie müssen den Antispoofingschutz nicht deaktivieren, wenn Ihr MX-Eintrag nicht auf Microsoft 365 verweist. Stattdessen aktivieren Sie die erweiterte Filterung für Connectors. Anweisungen finden Sie unter Erweiterte Filterung für Connectors in Exchange Online.
    • Das Deaktivieren des Antispoofingschutzes deaktiviert nur den impliziten Spoofingschutz vor zusammengesetzten Authentifizierungsprüfungen . Wenn der Absender expliziteDMARC-Überprüfungen fehlschlägt, bei denen die Richtlinie unter Quarantäne gestellt oder abgelehnt wird, wird die Nachricht weiterhin unter Quarantäne gestellt oder abgelehnt.
  • Nicht authentifizierte Absenderindikatoren: Sind nur im Abschnitt Indikatoren für Sicherheitstipps & verfügbar, wenn Spoofintelligenz aktiviert ist. Weitere Informationen finden Sie im nächsten Abschnitt.

  • Aktionen: Für Nachrichten von blockierten gefälschten Absendern (automatisch durch Spoofintelligenz oder manuell blockiert in der Mandantenliste Zulassen/Blockieren) können Sie auch die Aktion angeben, die für die Nachrichten ausgeführt werden soll:

Indikatoren für nicht authentifizierte Absender

Indikatoren für nicht authentifizierte Absender sind Teil der Spoof-Einstellungen, die im Abschnitt Indikatoren für Sicherheitstipps & in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar sind. Die folgenden Einstellungen sind nur verfügbar, wenn Spoofintelligenz aktiviert ist:

  • Anzeigen (?) für nicht authentifizierte Absender für Spoof: Fügt dem Foto des Absenders im Feld Von ein Fragezeichen hinzu, wenn die Nachricht die SPF- oder DKIM-Überprüfungen nicht besteht und die Nachricht dmarc oder die zusammengesetzte Authentifizierung nicht besteht. Wenn diese Einstellung deaktiviert ist, wird das Fragezeichen nicht zum Foto des Absenders hinzugefügt.

  • Tag "via" anzeigen: Fügt das via-Tag (chris@contoso.comüber fabrikam.com) im Feld Von hinzu, wenn sich die Domäne in der From-Adresse (der Nachrichtensender, der in E-Mail-Clients angezeigt wird) von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Weitere Informationen zu diesen Adressen finden Sie unter Eine Übersicht über E-Mail-Nachrichtenstandards.

Um zu verhindern, dass das Fragezeichen oder das Tag nachrichten von bestimmten Absendern hinzugefügt wird, haben Sie die folgenden Optionen:

  • Lassen Sie den gefälschten Absender in der Spoof Intelligence-Erkenntnis oder manuell in der Mandanten-Zulassungs-/Sperrliste zu. Wenn Sie den gefälschten Absender zulassen, wird verhindert, dass das via-Tag in Nachrichten des Absenders angezeigt wird, auch wenn die Einstellung "Via" anzeigen in der Richtlinie aktiviert ist.
  • Konfigurieren Sie die E-Mail-Authentifizierung für die Absenderdomäne.
    • Für das Fragezeichen auf dem Foto des Absenders sind SPF oder DKIM die wichtigsten.
    • Vergewissern Sie sich für das Via-Tag, dass die Domäne in der DKIM-Signatur oder die MAIL FROM-Adresse mit der Domäne in der Von-Adresse übereinstimmt (oder eine Unterdomäne von ist).

Weitere Informationen finden Sie unter Identifizieren verdächtiger Nachrichten in Outlook.com und Outlook im Web

Sicherheitstipp für den ersten Kontakt

Die Einstellungen für Sicherheitstipps für den ersten Kontakt anzeigen sind in EOP und Defender for Office 365 Organisationen verfügbar und sind nicht von Den Einstellungen für Spoofintelligenz oder Identitätswechselschutz abhängig. Der Sicherheitstipp wird empfängern in den folgenden Szenarien angezeigt:

  • Wenn sie zum ersten Mal eine Nachricht von einem Absender erhalten
  • Sie erhalten nicht oft Nachrichten vom Absender.

Der Erste Kontakt-Sicherheitstipp für Nachrichten mit einem Empfänger

Der Erste Kontakt-Sicherheitstipp für Nachrichten mit mehreren Empfängern

Diese Funktion fügt eine zusätzliche Sicherheitsebene vor potenziellen Identitätswechselangriffen hinzu, daher wird empfohlen, sie zu aktivieren.

Der erste Kontaktsicherheits-Tipp ersetzt auch die Notwendigkeit, Nachrichtenflussregeln (auch als Transportregeln bezeichnet) zu erstellen, die den Header namens X-MS-Exchange-EnableFirstContactSafetyTip durch den Wert Aktivieren für Nachrichten hinzufügen (obwohl diese Funktion noch verfügbar ist).

Hinweis

Wenn die Nachricht mehrere Empfänger enthält, gibt an, ob der Tipp angezeigt wird und wem ein Mehrheitsmodell zugrunde liegt. Wenn die Mehrheit der Empfänger noch nie oder nicht häufig Nachrichten vom Absender empfangen hat, erhalten die betroffenen Empfänger den Tipp Einige Personen, die diese Nachricht erhalten haben... . Wenn Sie besorgt sind, dass dieses Verhalten die Kommunikationsgewohnheiten eines Empfängers für einen anderen verfügbar macht, sollten Sie den Sicherheitstipp für den ersten Kontakt nicht aktivieren und stattdessen weiterhin Nachrichtenflussregeln verwenden.

Exklusive Einstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365

In diesem Abschnitt werden die Richtlinieneinstellungen beschrieben, die nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar sind.

Hinweis

Die Standardmäßige Antiphishingrichtlinie in Defender for Office 365 bietet Spoofschutz und Postfachintelligenz für alle Empfänger. Die anderen verfügbaren Features für den Identitätswechselschutz und die erweiterten Einstellungen sind jedoch in der Standardrichtlinie nicht konfiguriert oder aktiviert. Um alle Schutzfunktionen zu aktivieren, ändern Sie die Standardmäßige Antiphishingrichtlinie, oder erstellen Sie zusätzliche Antiphishingrichtlinien.

Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365

Beim Identitätswechsel sieht der Absender oder die E-Mail-Domäne des Absenders in einer Nachricht einem echten Absender oder einer Domäne ähnlich aus:

  • Ein Beispiel für einen Identitätswechsel der Domäne contoso.com ist ćóntoso.com.
  • Ein Identitätswechsel ist eine Kombination aus dem Anzeigenamen und der E-Mail-Adresse des Benutzers. Beispielsweise könnte Valeria Barrios (vbarrios@contoso.com) als Valeria Barrios imitiert werden, aber mit einer völlig anderen E-Mail-Adresse.

Hinweis

Der Identitätswechselschutz sucht nach ähnlichen Domänen. Wenn Ihre Domäne beispielsweise contoso.com ist, suchen wir nach verschiedenen Domänen der obersten Ebene (.com, .biz usw.) als Identitätswechselversuchen, aber auch nach Domänen, die sogar etwas ähnlich sind. Beispielsweise können contosososo.com oder contoabcdef.com als Identitätswechselversuche von contoso.com angesehen werden.

Eine imitierte Domäne kann ansonsten als seriös gelten (registrierte Domäne, konfigurierte E-Mail-Authentifizierungseinträge usw.). Der Unterschied besteht darin, dass damit Empfänger getäuscht werden sollen.

Die folgenden Identitätswechseleinstellungen sind nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar:

  • Schützen von Benutzern ermöglichen: Verhindert, dass die angegebenen internen oder externen E-Mail-Adressen als Nachrichtensender angenommen werden. Beispielsweise erhalten Sie eine E-Mail vom Vice President Ihres Unternehmens, in der Sie aufgefordert werden, ihr interne Unternehmensinformationen zu senden. Würdest du es tun? Viele Leute würden die Antwort senden, ohne nachzudenken.

    Sie können geschützte Benutzer verwenden, um interne und externe Absender-E-Mail-Adressen hinzuzufügen, um vor Identitätswechseln zu schützen. Diese Liste der Absender, die vor Benutzeridentitätswechseln geschützt sind, unterscheidet sich von der Liste der Empfänger , für die die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung Benutzer, Gruppen und Domänen im Abschnitt Allgemeine Richtlinieneinstellungen konfiguriert).

    Hinweis

    • In jeder Antiphishingrichtlinie können Sie maximal 350 geschützte Benutzer (Absender-E-Mail-Adressen) angeben. Sie können nicht denselben geschützten Benutzer in mehreren Richtlinien angeben. Unabhängig davon, wie viele Richtlinien für einen Empfänger gelten, beträgt die maximale Anzahl geschützter Benutzer (Absender-E-Mail-Adressen) für jeden einzelnen Empfänger 350. Weitere Informationen zur Richtlinienpriorität und dazu, wie die Richtlinienverarbeitung beendet wird, nachdem die erste Richtlinie angewendet wurde, finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.
    • Der Schutz vor Benutzeridentitätswechseln funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn Absender und Empfänger noch nie per E-Mail kommuniziert haben, wird die Nachricht als Identitätswechselversuch identifiziert.

    Standardmäßig sind keine Absender-E-Mail-Adressen für den Identitätswechselschutz in zu schützenden Benutzern konfiguriert. Daher werden standardmäßig keine Absender-E-Mail-Adressen vom Identitätswechselschutz abgedeckt, entweder in der Standardrichtlinie oder in benutzerdefinierten Richtlinien.

    Wenn Sie der Liste Zu schützende Benutzer interne oder externe E-Mail-Adressen hinzufügen, unterliegen Nachrichten von diesen Absendern überprüfungen des Identitätswechselschutzes. Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn ein Identitätswechsel in der E-Mail-Adresse des Absenders erkannt wird, werden die Aktionen zum Schutz der Identität für Benutzer auf die Nachricht angewendet (was mit der Nachricht zu tun ist, ob Sicherheitstipps für imitierte Benutzer angezeigt werden sollen usw.).

  • Zu schützende Domänen aktivieren: Verhindert, dass die angegebenen Domänen in der Domäne des Nachrichtensenders imitiert werden. Beispielsweise alle Domänen, die Sie besitzen (akzeptierte Domänen) oder bestimmte benutzerdefinierte Domänen (Domänen, die Sie besitzen oder Partnerdomänen). Diese Liste der Absenderdomänen , die vor Identitätswechseln geschützt sind, unterscheidet sich von der Liste der Empfänger, für die die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung Benutzer, Gruppen und Domänen im Abschnitt Allgemeine Richtlinieneinstellungen konfiguriert).

    Hinweis

    Sie können in jeder Antiphishingrichtlinie maximal 50 benutzerdefinierte Domänen angeben.

    Standardmäßig sind keine Absenderdomänen für den Identitätswechselschutz unter Schützende Domänen aktivieren konfiguriert. Daher werden standardmäßig keine Absenderdomänen durch den Identitätswechselschutz abgedeckt, entweder in der Standardrichtlinie oder in benutzerdefinierten Richtlinien.

    Wenn Sie Domänen zur Liste Schützen von Domänen aktivieren hinzufügen, werden Nachrichten von Absendern in diesen Domänen dem Schutz vor Identitätswechseln unterzogen. Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn in der Domäne des Absenders ein Identitätswechsel erkannt wird, werden die Aktionen zum Schutz vor Identitätswechseln für Domänen auf die Nachricht angewendet (was mit der Nachricht zu tun ist, ob Sicherheitstipps für imitierte Benutzer angezeigt werden sollen usw.).

  • Aktionen: Wählen Sie die Aktion aus, die für eingehende Nachrichten ausgeführt werden soll, die Identitätswechselversuche gegen die geschützten Benutzer und geschützten Domänen in der Richtlinie enthalten. Sie können verschiedene Aktionen für den Identitätswechsel geschützter Benutzer im Vergleich zum Identitätswechsel von geschützten Domänen angeben:

  • Sicherheitstipps zum Identitätswechsel: Aktivieren oder deaktivieren Sie die folgenden Sicherheitstipps für den Identitätswechsel, die Meldungen angezeigt werden, die bei Identitätswechselprüfungen fehlschlagen:

    • Zeigetipp für benutzer imitierte Benutzer: Die From-Adresse enthält eine Option Benutzerschutz ermöglichen . Nur verfügbar, wenn Benutzer schützen aktivieren aktiviert und konfiguriert ist.
    • Tipp für Identitätswechseldomänen anzeigen: Die Von-Adresse enthält eine Option Domänenschutz aktivieren . Nur verfügbar, wenn Zu schützende Domänen aktivieren aktiviert und konfiguriert ist.
    • Tipp für ungewöhnliche Zeichen anzeigen: Die From-Adresse enthält ungewöhnliche Zeichensätze (z. B. mathematische Symbole und Text oder eine Mischung aus Groß- und Kleinbuchstaben) in einer Aktivieren von Benutzern zum Schützen von Absendern oder Domänen zum Schutz von Absenderdomänen aktivieren. Nur verfügbar, wenn Benutzer schützen aktivierenoderDomänen schützen aktivieren aktiviert und konfiguriert ist.
  • Aktivieren von Postfachintelligenz: Aktiviert oder deaktiviert künstliche Intelligenz (KI), die E-Mail-Muster von Benutzern mit ihren häufigen Kontakten bestimmt. Diese Einstellung hilft der KI, zwischen Nachrichten von legitimen absendern und imitierten Absendern zu unterscheiden.

    Gabriela Laureano (glaureano@contoso.com) ist beispielsweise die GESCHÄFTSFÜHRERin Ihres Unternehmens, sodass Sie sie als geschützte Absenderin in den Einstellungen der Richtlinie Benutzern den Schutz ermöglichen hinzufügen. Aber einige der Empfänger, die die Richtlinie gilt, um regelmäßig mit einem Anbieter zu kommunizieren, der auch gabriela Laureano (glaureano@fabrikam.com) genannt wird. Da diese Empfänger über einen Kommunikationsverlauf mit glaureano@fabrikam.comverfügen, identifiziert Postfachintelligenz keine Nachrichten von glaureano@fabrikam.com als Identitätswechselversuch für glaureano@contoso.com diese Empfänger.

    Wenn Sie häufige Kontakte verwenden möchten, die von der Postfachintelligenz gelernt wurden (ohne diese), um Benutzer vor Identitätswechselangriffen zu schützen, können Sie den Schutz vor Identitätswechseln aktivieren aktivieren, nachdem Sie Postfachintelligenz aktivieren aktiviert haben.

  • Schutz vor Identitätswechseln aktivieren: Aktivieren Sie diese Einstellung, um die Aktion anzugeben, die für Nachrichten für Identitätswechselerkennungen aus Den Ergebnissen der Postfachintelligenz ausgeführt werden soll:

    • Keine Aktion anwenden: Beachten Sie, dass dieser Wert dasselbe Ergebnis hat wie das Aktivieren der Postfachintelligenz , aber das Deaktivieren des Schutzes von Identitätswechseln für Intelligenz aktivieren.
    • Umleiten einer Nachricht an andere E-Mail-Adressen
    • Verschieben einer Nachricht in die Junk-Email Ordner der Empfänger
    • Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, können Sie auch die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die per Postfachintelligenzschutz unter Quarantäne stehen. Mithilfe von Quarantänerichtlinien wird definiert, welche Aktionen Benutzer mit in Quarantäne befindlichen Nachrichten ausführen können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.
    • Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu.
    • Löschen der Nachricht vor der Übermittlung
  • Hinzufügen vertrauenswürdiger Absender und Domänen: Ausnahmen für die Einstellungen für den Identitätswechselschutz. Nachrichten von den angegebenen Absendern und Absenderdomänen werden von der Richtlinie nie als identitätsbasierte Angriffe klassifiziert. Anders ausgedrückt: Die Aktion für geschützte Absender, geschützte Domänen oder Postfachintelligenzschutz wird nicht auf diese vertrauenswürdigen Absender oder Absenderdomänen angewendet. Der maximale Grenzwert für diese Listen beträgt 1024 Einträge.

    Hinweis

    • Wenn Microsoft 365-Systemnachrichten von den folgenden Absendern als Identitätswechselversuche identifiziert werden, können Sie die Absender der Liste der vertrauenswürdigen Absender hinzufügen:

      • noreply@email.teams.microsoft.com
      • noreply@emeaemail.teams.microsoft.com
      • no-reply@sharepointonline.com
    • Vertrauenswürdige Domäneneinträge enthalten keine Unterdomänen der angegebenen Domäne. Sie müssen für jede Unterdomäne einen Eintrag hinzufügen.

Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender for Office 365

Die folgenden erweiterten Phishingschwellenwerte sind nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar. Diese Schwellenwerte steuern die Vertraulichkeit für die Anwendung von Machine Learning-Modellen auf Nachrichten, um ein Phishing-Urteil zu bestimmen:

  • 1 – Standard: Dies ist der Standardwert. Der Schweregrad der Aktion, die für die Nachricht ausgeführt wird, hängt vom Grad der Zuverlässigkeit ab, dass es sich bei der Nachricht um Phishing handelt (niedrige, mittlere, hohe oder sehr hohe Zuverlässigkeit). Beispielsweise werden bei Nachrichten, die als Phishing mit einem sehr hohen Maß an Vertrauen identifiziert werden, die schwerwiegendsten Aktionen angewendet, während für Nachrichten, die als Phishing mit einem geringen Maß an Vertrauen identifiziert werden, weniger schwerwiegende Aktionen angewendet werden.
  • 2 - Aggressiv: Nachrichten, die als Phishing mit einem hohen Maß an Vertrauen identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.
  • 3 - Aggressiver: Nachrichten, die als Phishing mit einem mittleren oder hohen Maß an Zuverlässigkeit identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.
  • 4 - Am aggressivsten: Nachrichten, die als Phishing mit einem niedrigen, mittleren oder hohen Grad an Vertrauen identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.

Die Wahrscheinlichkeit falsch positiver Ergebnisse (gute Nachrichten, die als schlecht gekennzeichnet sind) steigt, wenn Sie diese Einstellung erhöhen. Informationen zu den empfohlenen Einstellungen finden Sie unter Antiphishingrichtlinie in Microsoft Defender for Office 365 Einstellungen.