Teilen über


Konfigurieren der erweiterten Übermittlungsrichtlinie für Phishingsimulationen von Drittanbietern und E-Mail-Übermittlung an SecOps-Postfächer

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Um Ihre organization standardmäßig sicher zu halten, lässt Exchange Online Protection (EOP) keine sicheren Listen oder Filterumgehungen für Nachrichten zu, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert werden. Es gibt jedoch bestimmte Szenarien, in denen die Übermittlung ungefilterter Nachrichten erforderlich ist. Zum Beispiel:

  • Phishingsimulationen von Drittanbietern: Simulierte Angriffe können Ihnen helfen, anfällige Benutzer zu identifizieren und zu trainieren, bevor sich ein echter Angriff auf Ihre organization auswirkt.
  • Security Operations(SecOps)-Postfächer: Dedizierte Postfächer, die von Sicherheitsteams verwendet werden, um ungefilterte Nachrichten zu sammeln und zu analysieren (sowohl gut als auch schlecht).

Verwenden Sie die erweiterte Übermittlungsrichtlinie in EOP, um zu verhindern, dass eingehende Nachrichten in diesen spezifischen Szenarien gefiltert werden¹. Die erweiterte Übermittlungsrichtlinie stellt sicher, dass Nachrichten in diesen Szenarien die folgenden Ergebnisse erzielen:

  • Filter in EOP und Defender for Office 365 keine Aktion für diese Nachrichten ausführen. Die Filterung von Schadsoftware wird nur für SecOps-Postfächer umgangen.
  • Zero-Hour Purge (ZAP) für Spam und Phishing ergreifen keine Maßnahmen für diese Nachrichten. ZAP für Schadsoftware wird nur für SecOps-Postfächer umgangen.
  • Sichere Links in Defender for Office 365 blockiert oder detoniert die angegebenen URLs in diesen Nachrichten zum Zeitpunkt des Klickens nicht. URLs sind weiterhin umschlossen, aber nicht blockiert.
  • Sichere Anlagen in Defender for Office 365 detonieren keine Anlagen in diesen Nachrichten.
  • Standardsystemwarnungen werden für diese Szenarien nicht ausgelöst.
  • AIR und Clustering in Defender for Office 365 ignorieren diese Nachrichten.
  • Speziell für Phishing-Simulationen von Drittanbietern:
    • Admin Übermittlung generiert eine automatische Antwort, die besagt, dass die Nachricht Teil einer Phishingsimulationskampagne ist und keine echte Bedrohung darstellt. Warnungen und AIR werden nicht ausgelöst. Die Benutzeroberfläche für Administratorübermittlungen zeigt diese Nachrichten als simulierte Bedrohung an.
    • Wenn ein Benutzer eine Phishingsimulationsnachricht über die integrierte Schaltfläche Bericht in Outlook oder die Add-Ins Microsoft Report Message oder Report Phishing meldet, generiert das System keine Warnung, Untersuchung oder einen Incident. Die Links oder Dateien werden nicht detoniert, aber die Meldung wird auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen angezeigt.

Nachrichten, die von der erweiterten Übermittlungsrichtlinie identifiziert werden, stellen keine Sicherheitsbedrohungen dar, sodass die Nachrichten mit Systemüberschreibungen gekennzeichnet sind. Admin werden diese Nachrichten als Phishingsimulation oder SecOps-Postfachsystemüberschreibungen angezeigt. Administratoren können diese Werte verwenden, um Nachrichten in den folgenden Umgebungen zu filtern und zu analysieren:

  • Bedrohungserkennungen in Explorer (Explorer) oder Echtzeiterkennungen in Defender for Office 365: Administratoren können nach Quelle für Systemüberschreibung filtern und Phishingsimulation oder SecOps-Postfach auswählen.
  • Seite Email Entität: Administratoren können eine Nachricht anzeigen, die durch organization Richtlinie des SecOps-Postfachs oder der Phishing-Simulation unter Mandantenüberschreibung im Abschnitt Außerkraftsetzung zugelassen wurde.
  • Der Bericht Threat Protection status: Admin können nach Anzeigen von Daten nach Systemüberschreibung im Dropdownmenü filtern und auswählen, um Nachrichten anzuzeigen, die aufgrund einer Außerkraftsetzung des Phishingsimulationssystems zulässig sind. Um nachrichten anzuzeigen, die durch die Außerkraftsetzung des SecOps-Postfachs zulässig sind, können Sie in der Dropdownliste Diagrammaufschlüsselung nach Grund eine Diagrammaufschlüsselung nach Zustellungsort auswählen.
  • Erweiterte Suche in Microsoft Defender for Endpoint: Phishingsimulation und SecOps-Postfachsystemüberschreibungen sind Optionen in OrgLevelPolicy in EmailEvents.
  • Kampagnenansichten: Admin können nach Quelle für Systemüberschreibung filtern und entweder Phishingsimulation oder SecOps-Postfach auswählen.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Erweiterte Übermittlung zu wechseln, verwenden Sie https://security.microsoft.com/advanceddelivery.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

    • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal und Exchange Online Berechtigungen:

      • Erstellen, Ändern oder Entfernen konfigurierter Einstellungen in der erweiterten Übermittlungsrichtlinie: Mitgliedschaft in den Rollengruppen "Sicherheitsadministrator" in Email & RBAC für die Zusammenarbeit und Mitgliedschaft in der Rollengruppe "Organisationsverwaltung" in Exchange Online RBAC.
      • Schreibgeschützter Zugriff auf die erweiterte Übermittlungsrichtlinie: Mitgliedschaft in den Rollengruppen "Globaler Leser" oder "Sicherheitsleseberechtigter" in Email & RBAC für die Zusammenarbeit.
        • Ansichtsgeschützte Organisationsverwaltung in Exchange Online RBAC.
    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Verwenden des Microsoft Defender-Portals zum Konfigurieren von SecOps-Postfächern in der erweiterten Übermittlungsrichtlinie

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Erweiterte Übermittlung im Abschnitt Regeln. Oder verwenden Sie https://security.microsoft.com/advanceddelivery, um direkt zur Seite Erweiterte Übermittlung zu wechseln.

    Überprüfen Sie auf der Seite Erweiterte Zustellung , ob die Registerkarte SecOps-Postfach ausgewählt ist.

  2. Wählen Sie auf der Registerkarte SecOps-Postfach im Bereich Keine SecOps-Postfächer konfiguriert auf der Seite die Schaltfläche Hinzufügen aus.

    Wenn auf der Registerkarte SecOps-Postfach bereits Einträge vorhanden sind, wählen Sie Bearbeiten aus (die Schaltfläche Hinzufügen ist nicht verfügbar).

  3. Geben Sie im geöffneten Flyout SecOps-Postfächer hinzufügen ein vorhandenes Exchange Online Postfach ein, das Sie als SecOps-Postfach festlegen möchten, indem Sie einen der folgenden Schritte ausführen:

    • Klicken Sie in das Feld, lassen Sie die Liste der Postfächer auflösen, und wählen Sie dann das Postfach aus.

    • Klicken Sie in das Feld Beginnen Sie mit der Eingabe eines Bezeichners für das Postfach (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), und wählen Sie das Postfach (Anzeigename) aus den Ergebnissen aus.

      Wiederholen Sie diesen Schritt so oft wie nötig. Verteilergruppen sind nicht zulässig.

      Um einen vorhandenen Wert zu entfernen, wählen Sie entfernen neben dem Wert aus .

  4. Wenn Sie das Flyout SecOps-Postfächer hinzufügen fertig sind, wählen Sie Hinzufügen aus.

  5. Überprüfen Sie die Informationen im Flyout Änderungen an SecOps-Postfach überschreiben gespeicherte Flyouts, und wählen Sie dann Schließen aus.

Auf der Registerkarte SecOps-Postfach werden nun die von Ihnen konfigurierten SecOps-Postfacheinträge aufgelistet:

  • Die Spalte Anzeigename enthält den Anzeigenamen der Postfächer.
  • Die Spalte Email enthält die E-Mail-Adresse für jeden Eintrag.
  • Wenn Sie die Liste der Einträge von normal in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Verwenden des Microsoft Defender-Portals zum Ändern oder Entfernen von SecOps-Postfächern in der erweiterten Übermittlungsrichtlinie

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Erweiterte Übermittlung im Abschnitt Regeln. Oder verwenden Sie https://security.microsoft.com/advanceddelivery, um direkt zur Seite Erweiterte Übermittlung zu wechseln.

    Überprüfen Sie auf der Seite Erweiterte Zustellung , ob die Registerkarte SecOps-Postfach ausgewählt ist.

  2. Wählen Sie auf der Registerkarte SecOps-Postfachdie Option Bearbeiten aus.

  3. Fügen Sie im geöffneten Flyout SecOps-Postfächer bearbeiten Postfächer wie in Schritt 3 im Abschnitt Verwenden des Microsoft Defender-Portals zum Konfigurieren von SecOps-Postfächern im Abschnitt Erweiterte Übermittlungsrichtlinie beschrieben postfächer hinzu oder entfernen Sie sie.

    Um alle Postfächer zu entfernen, wählen Sie entfernen neben jedem Wert aus , bis keine weiteren Postfächer ausgewählt sind.

  4. Wenn Sie im Flyout SecOps-Postfächer bearbeiten fertig sind, wählen Sie Speichern aus.

  5. Überprüfen Sie die Informationen im Flyout Änderungen an SecOps-Postfach überschreiben gespeicherte Flyouts, und wählen Sie dann Schließen aus.

Zurück auf der Registerkarte SecOps-Postfach werden die von Ihnen konfigurierten SecOps-Postfacheinträge angezeigt. Wenn Sie alle Einträge entfernt haben, ist die Liste leer.

Verwenden des Microsoft Defender-Portals zum Konfigurieren von Phishingsimulationen von Drittanbietern in der erweiterten Übermittlungsrichtlinie

Zum Konfigurieren einer Phishingsimulation eines Drittanbieters müssen Sie die folgenden Informationen angeben:

  • Mindestens eine Domäne: Die Domäne aus der MAIL FROM-Adresse (auch als 5321.MailFrom Adresse, P1-Absender oder Umschlagsender bezeichnet), die bei der SMTP-Übertragung der Nachricht oder einer DKIM-Domäne verwendet wird, wie vom Anbieter der Phishingsimulation angegeben.
  • Mindestens eine sendenden IP-Adresse.
  • Für Nicht-E-Mail-Phishingsimulationen (z. B. Microsoft Teams-Nachrichten, Word-Dokumente oder Excel-Tabellen) können Sie optional die Simulations-URLs identifizieren, damit diese beim Klicken nicht als echte Bedrohungen behandelt werden sollten: Die URLs werden nicht blockiert oder detoniert, und es werden keine URL-Klickwarnungen oder daraus resultierende Vorfälle generiert. Die URLs werden beim Klicken umschlossen, aber nicht blockiert.

Es muss eine Übereinstimmung für mindestens eine Domäne und eine sendenden IP-Adresse vorhanden sein, aber es wird keine Zuordnung zwischen Werten beibehalten.

Wenn Ihr MX-Eintrag nicht auf Microsoft 365 verweist, muss die IP-Adresse im Authentication-results Header mit der IP-Adresse in der erweiterten Übermittlungsrichtlinie übereinstimmen. Wenn die IP-Adressen nicht übereinstimmen, müssen Sie möglicherweise die erweiterte Filterung für Connectors konfigurieren, damit die richtige IP-Adresse erkannt wird.

Hinweis

Die erweiterte Filterung für Connectors funktioniert nicht für Phishingsimulationen von Drittanbietern in E-Mail-Routingszenarien, bei denen E-Mails zweimal an Exchange Online gesendet werden (z. B. Internet-E-Mails, die an Microsoft 365 weitergeleitet werden, dann an eine lokale Umgebung oder einen Sicherheitsdienst eines Drittanbieters und dann zurück zu Microsoft 365). EOP kann die wahre IP-Adresse der Nachrichtenquelle nicht identifizieren. Versuchen Sie nicht, diese Einschränkung zu umgehen, indem Sie die IP-Adressen der lokalen oder drittanbieterseitigen Sendeinfrastruktur zur Phishingsimulation eines Drittanbieters hinzufügen. Auf diese Weise wird die Spamfilterung für jeden Internet-Absender umgangen, der die Identität der Domäne annimmt, die in der Phishingsimulation von Drittanbietern angegeben ist. Routingszenarien, in denen der MX-Eintrag auf einen Drittanbieterdienst verweist und dann E-Mails an Exchange Online weitergeleitet werden, werden unterstützt, wenn die erweiterte Filterung für Connectors konfiguriert ist.

Derzeit unterstützt die erweiterte Übermittlungsrichtlinie für Phishingsimulationen von Drittanbietern keine Simulationen innerhalb desselben organization (DIR:INT), insbesondere wenn E-Mails über ein Exchange Server Gateway vor Microsoft 365 im Hybrid-E-Mail-Fluss weitergeleitet werden. Um dieses Problem zu umgehen, haben Sie die folgenden Optionen:

  • Erstellen Sie einen dedizierten Sendeconnector , der die Phishingsimulationsnachrichten nicht als intern authentifiziert.
  • Konfigurieren Sie die Phishingsimulation so, dass die Exchange Server-Infrastruktur umgangen und E-Mails direkt an Ihren Microsoft 365 MX-Eintrag weitergeleitet werden (z. B. contoso-com.mail.protection.outlook.com).
  • Obwohl Sie die organization Nachrichtenüberprüfung in Antispamrichtlinien auf Keine festlegen können, empfehlen wir diese Option nicht, da sie sich auf andere E-Mail-Nachrichten auswirkt.

Wenn Sie die sicherheitsvoreingestellte Sicherheitsrichtlinie "Integrierten Schutz" verwenden oder Ihre benutzerdefinierten Richtlinien für sichere Links die Einstellung UrLs nicht umschreiben, Überprüfungen nur über die SafeLinks-API ausführen, der Zeitpunkt des Klickschutzes keine Phishingsimulationslinks in E-Mails als Bedrohungen in Outlook im Web, Outlook für iOS und Android, Outlook für Windows v16.0.15317.10000 oder höher behandelt und Outlook für Mac v16.74 (23061100) oder höher. Wenn Sie ältere Versionen von Outlook verwenden, sollten Sie erwägen, die Einstellung UrLs nicht neu schreiben, Überprüfungen nur über die SafeLinks-API in benutzerdefinierten Richtlinien für sichere Links zu deaktivieren.

Das Hinzufügen von Phishingsimulations-URLs zum Abschnitt Die folgenden URLs in E-Mail nicht umschreiben in Richtlinien für sichere Links kann zu unerwünschten Warnungen für URL-Klicks führen. Phishingsimulations-URLs in E-Mail-Nachrichten sind sowohl während des E-Mail-Flusses als auch zum Zeitpunkt des Klickens automatisch zulässig.

Derzeit unterstützt die erweiterte Übermittlungsrichtlinie für SecOps-Postfächer keine organisationsinternen Nachrichten (DIR:INT), und diese Nachrichten werden unter Quarantäne gesetzt. Als Problemumgehung können Sie eine separate Antispamrichtlinie für SecOps-Postfächer verwenden, die keine organisationsinternen Nachrichten unter Quarantäne stellt. Es wird nicht empfohlen, den organisationsinternen Schutz für alle Postfächer zu deaktivieren.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Erweiterte Übermittlung im Abschnitt Regeln. Oder verwenden Sie https://security.microsoft.com/advanceddelivery, um direkt zur Seite Erweiterte Übermittlung zu wechseln.

    Wählen Sie auf der Seite Erweiterte Zustellung die Registerkarte Phishingsimulation aus.

  2. Wählen Sie auf der Registerkarte Phishingsimulation im Bereich Keine Phishingsimulationen von Drittanbietern konfiguriert auf der Seite die Schaltfläche Hinzufügen aus.

    Wenn auf der Registerkarte Phishingsimulation bereits Einträge vorhanden sind, wählen Sie Bearbeiten aus (die Schaltfläche Hinzufügen ist nicht verfügbar).

  3. Konfigurieren Sie im geöffneten Flyout Phishingsimulationen von Drittanbietern hinzufügen die folgenden Einstellungen:

    • Domäne: Erweitern Sie diese Einstellung, und geben Sie mindestens eine E-Mail-Adressdomäne ein, indem Sie in das Feld klicken, einen Wert eingeben (z. B. contoso.com), und dann die EINGABETASTE drücken oder den Wert auswählen, der unter dem Feld angezeigt wird. Wiederholen Sie diesen Schritt so oft wie nötig. Sie können bis zu 50 Einträge hinzufügen. Verwenden Sie einen der folgenden Werte:

      • Die Domäne in der 5321.MailFrom Adresse (auch als MAIL FROM-Adresse , P1-Absender oder Umschlagsender bezeichnet), die bei der SMTP-Übertragung der Nachricht verwendet wird.
      • Die DKIM-Domäne, wie vom Anbieter der Phishingsimulation angegeben.
    • Ip senden: Erweitern Sie diese Einstellung, und geben Sie mindestens eine gültige IPv4-Adresse ein, indem Sie in das Feld klicken, einen Wert eingeben und dann die EINGABETASTE drücken oder den Wert auswählen, der unter dem Feld angezeigt wird. Wiederholen Sie diesen Schritt so oft wie nötig. Sie können bis zu 10 Einträge hinzufügen. Gültige Werte sind:

      • Einzelne IP-Adresse: Beispiel: 192.168.1.1.
      • IP-Bereich: Beispiel: 192.168.0.1-192.168.0.254.
      • CIDR-IP: Beispiel: 192.168.0.1/25.
    • Zuzulassende Simulations-URLs: Diese Einstellung ist für Links in E-Mail-Phishing-Simulationen nicht erforderlich. Verwenden Sie diese Einstellung, um optional Links in Nicht-E-Mail-Phishing-Simulationen (Links in Teams-Nachrichten oder in Office-Dokumenten) zu identifizieren, die zum Zeitpunkt des Klickens nicht als echte Bedrohungen behandelt werden sollten.

      Fügen Sie URL-Einträge hinzu, indem Sie diese Einstellung erweitern, in das Feld klicken, einen Wert eingeben und dann die EINGABETASTE drücken oder den Wert auswählen, der unter dem Feld angezeigt wird. Sie können bis zu 30 Einträge hinzufügen. Informationen zur URL-Syntax finden Sie unter URL-Syntax für die Mandanten-Zulassungs-/Sperrliste.

    Um einen vorhandenen Domänen-, IP- oder URL-Wert zu entfernen, wählen Sie entfernen neben dem Wert aus .

    Betrachten Sie das folgende Beispiel:

    Authentication-Results: spf=pass (sender IP is 172.17.17.7)
    smtp.mailfrom=contoso.com; dkim=pass (signature was verified)
    header.d=contoso-simulation.com; dmarc=pass action=none header.from=contoso-simulation.com;
    
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=contoso-simulation.com;
    s=selector1;
    h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
    bh=UErATeHehIIPIXPeUAfZWiKo0w2cSsOhb9XM9ulqTX0=;
    
    • Die VERBINDUNGS-IP-Adresse ist 172.17.17.7.
    • Die Domäne in der MAIL FROM-Adresse (smtp.mailfrom) ist contoso.com.
    • Die DKIM-Domäne (header.d) ist contoso-simulation.com.

    Im Beispiel können Sie eine der folgenden Kombinationen verwenden, um eine Phishingsimulation eines Drittanbieters zu konfigurieren:

    Domäne: contoso.com
    Senden der IP-Adresse: 172.17.17.7

    Domäne: contoso-simulation.com
    Senden der IP-Adresse: 172.17.17.7

  4. Wenn Sie im Flyout Phishingsimulationen von Drittanbietern hinzufügen fertig sind, wählen Sie Hinzufügen aus.

  5. Überprüfen Sie die Informationen im Flyout Änderungen an Phishingsimulationen überschreiben gespeicherte Flyouts, und wählen Sie dann Schließen aus.

Zurück auf der Registerkarte Phishingsimulation werden die von Ihnen konfigurierten Phishingsimulationseinträge von Drittanbietern aufgelistet:

  • Die Spalte Wert enthält die Domäne, DIE IP-Adresse oder den URL-Eintrag.
  • Die Spalte Typ enthält den Wert Sende-IP, Domäne oder Zulässige Simulations-URL für jeden Eintrag.
  • In der Spalte Datum wird angezeigt, wann der Eintrag erstellt wurde.
  • Wenn Sie die Liste der Einträge von normal in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Verwenden des Microsoft Defender-Portals zum Ändern oder Entfernen von Phishingsimulationen von Drittanbietern in der erweiterten Übermittlungsrichtlinie

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Erweiterte Übermittlung im Abschnitt Regeln. Oder verwenden Sie https://security.microsoft.com/advanceddelivery, um direkt zur Seite Erweiterte Übermittlung zu wechseln.

    Wählen Sie auf der Seite Erweiterte Zustellung die Registerkarte Phishingsimulation aus.

  2. Wählen Sie auf der Registerkarte Phishingsimulationdie Option Bearbeiten aus.

  3. Im Flyout Bearbeiten der Phishingsimulation von Drittanbietern, das Einträge für Domäne, Senden von IP-Adressen und Simulations-URLs öffnet, hinzufügen oder entfernen, wie in Schritt 3 im Abschnitt Verwenden des Microsoft Defender-Portals zum Konfigurieren von SecOps-Postfächern im Abschnitt erweiterte Übermittlungsrichtlinie beschrieben.

    Um alle Einträge zu entfernen, wählen Sie entfernen neben jedem Wert aus , bis keine Domänen, IP-Adressen oder URLs mehr ausgewählt sind.

  4. Wenn Sie mit dem Flyout Bearbeiten der Phishingsimulation von Drittanbietern fertig sind, wählen Sie Speichern aus.

  5. Überprüfen Sie die Informationen im Flyout Änderungen an Phishingsimulationen überschreiben gespeicherte Flyouts, und wählen Sie dann Schließen aus.

Auf der Registerkarte Phishingsimulation werden die von Ihnen konfigurierten Phishingsimulationseinträge von Drittanbietern angezeigt. Wenn Sie alle Einträge entfernt haben, ist die Liste leer.

Zusätzliche Szenarien, die eine Filterumgehung erfordern

Zusätzlich zu den beiden Szenarien, bei denen Die erweiterte Übermittlungsrichtlinie Ihnen helfen kann, gibt es weitere Szenarien, in denen Sie die Filterung für Nachrichten umgehen müssen:

  • Filter von Drittanbietern: Wenn der MX-Eintrag Ihrer Domäne nicht auf Office 365 verweist (Nachrichten werden zuerst an eine andere Stelle weitergeleitet), ist die Sicherheit standardmäßignicht verfügbar. Wenn Sie Schutz hinzufügen möchten, müssen Sie die erweiterte Filterung für Connectors (auch als Überspringen von Einträgen bezeichnet) aktivieren. Weitere Informationen finden Sie unter Verwalten des Nachrichtenflusses mithilfe eines Clouddiensts eines Drittanbieters mit Exchange Online. Wenn Sie keine erweiterte Filterung für Connectors wünschen, verwenden Sie Nachrichtenflussregeln (auch als Transportregeln bezeichnet), um die Microsoft-Filterung für Nachrichten zu umgehen, die bereits von Drittanbieterfiltern ausgewertet wurden. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen der SCL in Nachrichten.

  • Falsch positive Ergebnisse werden überprüft: Möglicherweise möchten Sie vorübergehend gute Nachrichten zulassen, die fälschlicherweise als schlecht (falsch positive Ergebnisse) identifiziert wurden, die Sie über Administratorübermittlungen gemeldet haben, aber die Nachrichten werden weiterhin von Microsoft analysiert. Wie bei allen Außerkraftsetzungen empfehlen wir dringend , dass diese Zertifikate vorübergehend sind.

PowerShell-Verfahren für SecOps-Postfächer in der erweiterten Übermittlungsrichtlinie

In PowerShell sind die grundlegenden Elemente von SecOps-Postfächern in der erweiterten Übermittlungsrichtlinie:

  • Die SecOps-Überschreibungsrichtlinie: Wird von den Cmdlets *-SecOpsOverridePolicy gesteuert.
  • Die SecOps-Überschreibungsregel: Wird von den Cmdlets *-ExoSecOpsOverrideRule gesteuert.

Dieses Verhalten hat die folgenden Ergebnisse:

  • Sie erstellen zuerst die Richtlinie und dann die Regel, die die Richtlinie identifiziert, auf die die Regel angewendet wird.
  • Wenn Sie eine Richtlinie aus PowerShell entfernen, wird auch die entsprechende Regel entfernt.
  • Wenn Sie eine Regel aus PowerShell entfernen, wird die entsprechende Richtlinie nicht entfernt. Sie müssen die entsprechende Richtlinie manuell entfernen.

Verwenden von PowerShell zum Konfigurieren von SecOps-Postfächern

Das Konfigurieren eines SecOps-Postfachs in der erweiterten Übermittlungsrichtlinie in PowerShell ist ein zweistufiger Prozess:

  1. Erstellen Sie die SecOps-Überschreibungsrichtlinie.
  2. Erstellen Sie die SecOps-Überschreibungsregel, die die Richtlinie angibt, für die die Regel gilt.

Schritt 1: Verwenden von PowerShell zum Erstellen der SecOps-Außerkraftsetzungsrichtlinie

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>

Unabhängig vom angegebenen Name-Wert lautet der Richtlinienname SecOpsOverridePolicy, sodass Sie auch diesen Wert verwenden können.

In diesem Beispiel wird die SecOps-Postfachrichtlinie erstellt.

New-SecOpsOverridePolicy -Name SecOpsOverridePolicy -SentTo secops@contoso.com

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-SecOpsOverridePolicy.

Schritt 2: Erstellen der SecOps-Überschreibungsregel mithilfe von PowerShell

Führen Sie Exchange Online PowerShell den folgenden Befehl aus:

New-ExoSecOpsOverrideRule -Name SecOpsOverrideRule -Policy SecOpsOverridePolicy

Unabhängig vom angegebenen Name-Wert lautet _Exe:SecOpsOverrid:<GUID\> der Regelname [sic], wobei <GUID> ein eindeutiger GUID-Wert ist (z. B. 312c23cf-0377-4162-b93d-6548a9977efb9).

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ExoSecOpsOverrideRule.

Verwenden von PowerShell zum Anzeigen der SecOps-Außerkraftsetzungsrichtlinie

In Exchange Online PowerShell gibt dieses Beispiel detaillierte Informationen zur einzigen SecOps-Postfachrichtlinie zurück.

Get-SecOpsOverridePolicy

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-SecOpsOverridePolicy.

Verwenden von PowerShell zum Anzeigen von SecOps-Überschreibungsregeln

In Exchange Online PowerShell gibt dieses Beispiel ausführliche Informationen zu SecOps-Überschreibungsregeln zurück.

Get-ExoSecOpsOverrideRule

Obwohl der vorherige Befehl nur eine Regel zurückgeben sollte, kann eine Regel, deren Löschvorgang aussteht, auch in den Ergebnissen enthalten sein.

In diesem Beispiel werden die gültige Regel (1) und alle ungültigen Regeln identifiziert.

Get-ExoSecOpsOverrideRule | Format-Table Name,Mode

Nachdem Sie die ungültigen Regeln identifiziert haben, können Sie sie mithilfe des Cmdlets Remove-ExoSecOpsOverrideRule entfernen, wie weiter unten in diesem Artikel beschrieben.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ExoSecOpsOverrideRule.

Verwenden von PowerShell zum Ändern der SecOps-Außerkraftsetzungsrichtlinie

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy [-AddSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>] [-RemoveSentTo <EmailAddress1>,<EmailAddress2>,...<EmailAddressN>]

In diesem Beispiel wird der SecOps-Überschreibungsrichtlinie hinzugefügt secops2@contoso.com .

Set-SecOpsOverridePolicy -Identity SecOpsOverridePolicy -AddSentTo secops2@contoso.com

Hinweis

Wenn eine zugeordnete, gültige SecOps-Überschreibungsregel vorhanden ist, werden auch die E-Mail-Adressen in der Regel aktualisiert.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-SecOpsOverridePolicy.

Verwenden von PowerShell zum Ändern einer SecOps-Überschreibungsregel

Das Cmdlet Set-ExoSecOpsOverrideRule ändert die E-Mail-Adressen in der SecOps-Überschreibungsregel nicht. Verwenden Sie das Cmdlet Set-SecOpsOverridePolicy , um die E-Mail-Adressen in der SecOps-Überschreibungsregel zu ändern.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ExoSecOpsOverrideRule.

Verwenden von PowerShell zum Entfernen der SecOps-Außerkraftsetzungsrichtlinie

In Exchange Online PowerShell entfernt dieses Beispiel die SecOps-Postfachrichtlinie und die entsprechende Regel.

Remove-SecOpsOverridePolicy -Identity SecOpsOverridePolicy

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-SecOpsOverridePolicy.

Verwenden von PowerShell zum Entfernen von SecOps-Überschreibungsregeln

Verwenden Sie in Exchange Online PowerShell die folgenden Befehle:

  • Entfernen Sie alle SecOps-Überschreibungsregeln:

    Get-ExoSecOpsOverrideRule | Remove-ExoSecOpsOverrideRule
    
  • Entfernen Sie die angegebene SecOps-Überschreibungsregel:

    Remove-ExoSecOpsOverrideRule -Identity "_Exe:SecOpsOverrid:312c23cf-0377-4162-b93d-6548a9977efb"
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-ExoSecOpsOverrideRule.

PowerShell-Verfahren für Phishingsimulationen von Drittanbietern in der erweiterten Übermittlungsrichtlinie

In PowerShell sind die grundlegenden Elemente von Phishingsimulationen von Drittanbietern in der erweiterten Übermittlungsrichtlinie:

  • Die Richtlinie zur Außerkraftsetzung der Phishingsimulation: Wird von den Cmdlets *-PhishSimOverridePolicy gesteuert.
  • Die Überschreibungsregel für die Phishingsimulation: Wird von den Cmdlets *-ExoPhishSimOverrideRule gesteuert.
  • Die zulässigen (nicht blockierten) Phishingsimulations-URLs: Werden von den Cmdlets *-TenantAllowBlockListItems gesteuert.

Hinweis

Wie bereits beschrieben, ist die Identifizierung von URLs für Links in E-Mail-basierten Phishingsimulationen nicht erforderlich. Sie können optional Links in Nicht-E-Mail-Phishing-Simulationen (Links in Teams-Nachrichten oder in Office-Dokumenten) identifizieren, die zum Zeitpunkt des Klickens nicht als echte Bedrohungen behandelt werden sollten.

Dieses Verhalten hat die folgenden Ergebnisse:

  • Sie erstellen zuerst die Richtlinie und dann die Regel, die die Richtlinie identifiziert, auf die die Regel angewendet wird.
  • Sie ändern die Einstellungen in der Richtlinie und der Regel separat.
  • Wenn Sie eine Richtlinie aus PowerShell entfernen, wird auch die entsprechende Regel entfernt.
  • Wenn Sie eine Regel aus PowerShell entfernen, wird die entsprechende Richtlinie nicht entfernt. Sie müssen die entsprechende Richtlinie manuell entfernen.

Verwenden von PowerShell zum Konfigurieren von Phishingsimulationen von Drittanbietern

Das Konfigurieren einer Phishingsimulation eines Drittanbieters in PowerShell ist ein mehrstufiger Prozess:

  1. Erstellen Sie die Überschreibungsrichtlinie für die Phishingsimulation.
  2. Erstellen Sie die Überschreibungsregel für die Phishingsimulation, die Folgendes angibt:
    • Die Richtlinie, für die die Regel gilt.
    • Die Quell-IP-Adresse der Phishingsimulationsnachrichten.
  3. Optional können Sie die URLs der Phishingsimulation in Nicht-E-Mail-Phishingsimulationen (Links in Teams-Nachrichten oder in Office-Dokumenten) identifizieren, die zum Zeitpunkt des Klickens nicht als echte Bedrohungen behandelt werden sollten.

Schritt 1: Erstellen der Außerkraftsetzungsrichtlinie für die Phishingsimulation mithilfe von PowerShell

In Exchange Online PowerShell erstellt dieses Beispiel die Richtlinie zum Außerkraftsetzen der Phishingsimulation.

New-PhishSimOverridePolicy -Name PhishSimOverridePolicy

Unabhängig vom angegebenen Name-Wert lautet der Richtlinienname PhishSimOverridePolicy, sodass Sie auch diesen Wert verwenden können.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-PhishSimOverridePolicy.

Schritt 2: Verwenden von PowerShell zum Erstellen der Überschreibungsregel für die Phishingsimulation

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

New-ExoPhishSimOverrideRule -Name <ArbitraryTextValue> -Policy PhishSimOverridePolicy -Domains <Domain1>,<Domain2>,...<Domain10> -SenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntry10>

Unabhängig vom angegebenen Name-Wert lautet _Exe:PhishSimOverr:<GUID\> der Regelname [sic], wobei <GUID> ein eindeutiger GUID-Wert ist (z. B. 6fed4b63-3563-495d-a481-b24a311f8329).

Ein gültiger IP-Adresseintrag ist einer der folgenden Werte:

  • Einzelne IP-Adresse: Beispiel: 192.168.1.1.
  • IP-Bereich: Beispiel: 192.168.0.1-192.168.0.254.
  • CIDR-IP: Beispiel: 192.168.0.1/25.

In diesem Beispiel wird die Überschreibungsregel für die Phishingsimulation mit den angegebenen Einstellungen erstellt.

New-ExoPhishSimOverrideRule -Policy PhishSimOverridePolicy -Domains fabrikam.com,wingtiptoys.com -SenderIpRanges 192.168.1.55

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ExoPhishSimOverrideRule.

Schritt 3: (Optional) Verwenden Sie PowerShell, um die URLs der Phishingsimulation zu identifizieren, die zugelassen werden sollen.

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries "<URL1>","<URL2>",..."<URL10>" <[-NoExpiration] | [-ExpirationDate <DateTime>]>

Ausführliche Informationen zur URL-Syntax finden Sie unter URL-Syntax für die Mandanten-Zulassungs-/Sperrliste.

In diesem Beispiel wird ein URL-Zulassungseintrag für die angegebene Phishingsimulations-URL eines Drittanbieters ohne Ablauf hinzugefügt.

New-TenantAllowBlockListItems -Allow -ListType Url -ListSubType AdvancedDelivery -Entries *.fabrikam.com -NoExpiration

Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-TenantAllowBlockListItems.

Verwenden von PowerShell zum Anzeigen der Außerkraftsetzungsrichtlinie für die Phishingsimulation

In Exchange Online PowerShell gibt dieses Beispiel detaillierte Informationen zur einzigen Richtlinie zur Außerkraftsetzung der Phishingsimulation zurück.

Get-PhishSimOverridePolicy

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-PhishSimOverridePolicy.

Verwenden von PowerShell zum Anzeigen von Außerkraftsetzungsregeln für die Phishingsimulation

In Exchange Online PowerShell) werden in diesem Beispiel ausführliche Informationen zu Außerkraftsetzungsregeln für die Phishingsimulation zurückgegeben.

Get-ExoPhishSimOverrideRule

Obwohl der vorherige Befehl nur eine Regel zurückgeben sollte, können alle Regeln, deren Löschung aussteht, auch in die Ergebnisse einbezogen werden.

In diesem Beispiel werden die gültige Regel (1) und alle ungültigen Regeln identifiziert.

Get-ExoPhishSimOverrideRule | Format-Table Name,Mode

Nachdem Sie die ungültigen Regeln identifiziert haben, können Sie sie mithilfe des Cmdlets Remove-ExoPhishSimOverrideRule entfernen, wie weiter unten in diesem Artikel beschrieben.

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ExoPhishSimOverrideRule.

Verwenden von PowerShell zum Anzeigen der zulässigen URL-Einträge für die Phishingsimulation

Führen Sie Exchange Online PowerShell den folgenden Befehl aus:

Get-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-TenantAllowBlockListItems.

Verwenden von PowerShell zum Ändern der Außerkraftsetzungsrichtlinie für die Phishingsimulation

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy [-Comment "<DescriptiveText>"] [-Enabled <$true | $false>]

In diesem Beispiel wird die Überschreibungsrichtlinie für die Phishingsimulation deaktiviert.

Set-PhishSimOverridePolicy -Identity PhishSimOverridePolicy -Enabled $false

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-PhishSimOverridePolicy.

Verwenden von PowerShell zum Ändern von Außerkraftsetzungsregeln für die Phishingsimulation

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

oder

Set-ExoPhishSimOverrideRule -Identity <PhishSimOverrideRuleIdentity> [-Comment "<DescriptiveText>"] [-AddSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-RemoveSenderDomainIs <DomainEntry1>,<DomainEntry2>,...<DomainEntryN>] [-AddSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>] [-RemoveSenderIpRanges <IPAddressEntry1>,<IPAddressEntry2>,...<IPAddressEntryN>]

Verwenden Sie das Cmdlet Get-ExoPhishSimOverrideRule , um die <PhishSimOverrideRuleIdentity-Werte> zu suchen. Der Name der Regel verwendet die folgende Syntax: _Exe:PhishSimOverr:<GUID\> [sic], wobei <GUID> ein eindeutiger GUID-Wert ist (z. B. 6fed4b63-3563-495d-a481-b24a311f8329).

In diesem Beispiel wird die Überschreibungsregel für die Phishingsimulation (vermutlich nur) mit den folgenden Einstellungen geändert:

  • Fügen Sie den Domäneneintrag blueyonderairlines.com hinzu.
  • Entfernen Sie den IP-Adresseintrag 192.168.1.55.

Diese Änderungen wirken sich nicht auf vorhandene Einträge in der Regel aus.

Get-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule| Set-ExoPhishSimOverrideRule -AddSenderDomainIs blueyonderairlines.com -RemoveSenderIpRanges 192.168.1.55

Ausführliche Syntax- und Parameterinformationen finden Sie unter Set-ExoPhishSimOverrideRule.

Verwenden von PowerShell zum Ändern der zulässigen URL-Einträge für die Phishingsimulation

Sie können die URL-Werte nicht direkt ändern. Sie können vorhandene URL-Einträge entfernen und neue URL-Einträge hinzufügen , wie in diesem Artikel beschrieben.

Verwenden Sie in Exchange Online PowerShell die folgende Syntax, um andere Eigenschaften eines zulässigen URL-Eintrags für die Phishingsimulation zu ändern (z. B. das Ablaufdatum oder Kommentare):

Set-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery <[-NoExpiration] | [-ExpirationDate <DateTime>]> [-Notes <String>]

Sie identifizieren den zu ändernden Eintrag anhand seiner URL-Werte (der Entries-Parameter ) oder anhand des Identity-Werts aus der Ausgabe des Cmdlets Get-TenantAllowBlockListItems ( ids-Parameter ).

In diesem Beispiel wurde das Ablaufdatum des angegebenen Eintrags geändert.

Set-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-TenantAllowBlockListItems.

Verwenden von PowerShell zum Entfernen einer Außerkraftsetzungsrichtlinie für eine Phishingsimulation

In Exchange Online PowerShell entfernt dieses Beispiel die Richtlinie zum Überschreiben der Phishingsimulation und die entsprechende Regel.

Remove-PhishSimOverridePolicy -Identity PhishSimOverridePolicy

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-PhishSimOverridePolicy.

Verwenden von PowerShell zum Entfernen von Außerkraftsetzungsregeln für die Phishingsimulation

Verwenden Sie in Exchange Online PowerShell die folgenden Befehle:

  • Entfernen Sie alle Außerkraftsetzungsregeln für die Phishingsimulation:

    Get-ExoPhishSimOverrideRule | Remove-ExoPhishSimOverrideRule
    
  • Entfernen Sie die angegebene Überschreibungsregel für die Phishingsimulation:

    Remove-ExoSPhishSimOverrideRule -Identity "_Exe:PhishSimOverr:6fed4b63-3563-495d-a481-b24a311f8329"
    

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-ExoPhishSimOverrideRule.

Verwenden von PowerShell zum Entfernen der zulässigen URL-Einträge für die Phishingsimulation

Verwenden Sie in Exchange Online PowerShell die folgende Syntax:

Remove-TenantAllowBlockListItems <-Entries "<URL1>","<URL2>",..."<URLN>" | -Ids <Identity> -ListType URL -ListSubType AdvancedDelivery

Sie identifizieren den zu ändernden Eintrag anhand seiner URL-Werte (der Entries-Parameter ) oder anhand des Identity-Werts aus der Ausgabe des Cmdlets Get-TenantAllowBlockListItems ( ids-Parameter ).

In diesem Beispiel wurde das Ablaufdatum des angegebenen Eintrags geändert.

Remove-TenantAllowBlockListItems -ListType Url -ListSubType AdvancedDelivery -Entries "*.fabrikam.com" -ExpirationDate 9/11/2021

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-TenantAllowBlockListItems.