So behandeln Sie legitime E-Mails, die blockiert werden (falsch positiv), mit Microsoft Defender for Office 365

  • Artikel

Microsoft Defender for Office 365 hilft beim Umgang mit wichtigen legitimen Geschäfts-E-Mails, die fälschlicherweise als Bedrohungen (False Positives) blockiert werden. Defender for Office 365 können Administratoren dabei helfen, zu verstehen, warum legitime E-Mails blockiert werden, wie sie die Situation schnell beheben und ähnliche Situationen in Zukunft verhindern können.

Was Sie benötigen

  • Microsoft Defender for Office 365 Plan 1 oder 2 (im Rahmen von E5 enthalten). Exchange Online Kunden können dieses Feature auch nutzen.
  • Ausreichende Berechtigungen (Rolle "Sicherheitsadministrator").
  • 5-10 Minuten, um die folgenden Schritte auszuführen.

Umgang mit legitimen E-Mails im Junk-Ordner von Endbenutzern

  1. Bitten Sie Endbenutzer, die E-Mail mithilfe des Microsoft-Nachrichten-Add-Ins oder der Outlook-Schaltflächen als nicht junk zu melden.
  2. Endbenutzer können den Absender auch der Liste der sicheren Absender in Outlook hinzufügen, um zu verhindern, dass die E-Mails von diesen Absendern im Junk-Ordner landen.
  3. Administratoren können die vom Benutzer gemeldeten Nachrichten auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlung selektieren.
  4. Von diesen gemeldeten Nachrichten können Administratoren zur Analyse an Microsoft übermitteln und verstehen, warum diese E-Mail überhaupt blockiert wurde.
  5. Bei Bedarf können Administratoren bei der Übermittlung an Microsoft zur Analyse einen Zulassungseintrag für den Absender erstellen , um das Problem zu beheben.
  6. Sobald die Ergebnisse der Administratorübermittlung verfügbar sind, lesen Sie es, um zu verstehen, warum E-Mails blockiert wurden und wie Ihr Mandantensetup verbessert werden kann, um zu verhindern, dass ähnliche Situationen in Zukunft auftreten.

Umgang mit legitimen E-Mails, die sich im Quarantäneordner von Endbenutzern befinden

  1. Ein Endbenutzer erhält einen E-Mail-Digest zu unter Quarantäne geschalteten Nachrichten gemäß den von Sicherheitsadministratoren aktivierten Einstellungen.
  2. Endbenutzer können eine Vorschau der Nachrichten in Quarantäne anzeigen, den Absender blockieren, die Nachrichten freigeben, diese Nachrichten zur Analyse an Microsoft übermitteln und die Veröffentlichung dieser E-Mails von Administratoren anfordern.

Umgang mit legitimen E-Mails im Quarantäneordner eines Administrators

  1. Administratoren können die unter Quarantäne gestellten E-Mails (einschließlich derer, die die Berechtigung zum Anfordern der Freigabe anfordern) auf der Überprüfungsseite anzeigen.
  2. Administratoren können die Nachricht aus der Quarantäne freigeben, während sie sie zur Analyse an Microsoft übermitteln, und eine temporäre Zulassung erstellen, um die Situation zu entschärfen.
  3. Sobald die Ergebnisse für Übermittlungen verfügbar sind, sollten Administratoren das Urteil lesen, um den Grund zu verstehen.
    • Wenn falsch positive Ergebnisse auf die Mandantenkonfiguration zurückzuführen sind, können Administratoren dies korrigieren, um das Problem zu beheben.
    • Wenn falsch positive Ergebnisse auf andere Faktoren zurückzuführen sind, lernt Microsoft aus der Übermittlung, und ähnliche Nachrichten werden nicht mehr unter Quarantäne gestellt. Weitere Informationen finden Sie unter Automatische Verwaltung des Ablaufs von Zulassungs-/Sperrlisten für Mandanten.

Hinweis

Administratoren müssen ähnliche Nachrichten, die bereits unter Quarantäne gestellt wurden, manuell freigeben, da die unter Quarantäne gestellten Nachrichten nicht automatisch freigegeben werden. Informationen zum Suchen und Freigeben von in Quarantäne befindlichen Nachrichten in einem Massenvorgang finden Sie unter Kann ich mehrere unter Quarantäne gestellte Nachrichten gleichzeitig freigeben oder melden?