Bearbeiten

Teilen über


Häufig gestellte Fragen zu unter Quarantäne gestellten Nachrichten

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Gilt für

Dieser Artikel enthält häufig gestellte Fragen und Antworten zu isolierten E-Mail-Nachrichten für Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständige eOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer.

Hinweis

In Microsoft 365, betrieben von 21Vianet, ist quarantäne derzeit nicht im Microsoft Defender-Portal verfügbar. Quarantäne ist nur im klassischen Exchange Admin Center (klassisches EAC) verfügbar.

Fragen und Antworten zum Antispamschutz finden Sie unter Häufig gestellte Fragen zum Antispamschutz.

Fragen und Antworten zum Schutz vor Antischadsoftware finden Sie unter Häufig gestellte Fragen zum Schutz vor Schadsoftware.

Fragen und Antworten zum Schutz vor Spoofing finden Sie unter Häufig gestellte Fragen zum Schutz vor Spoofing.

Gewusst wie Nachrichten verwalten, die für Schadsoftware unter Quarantäne standen?

Standardmäßig können nur Administratoren Nachrichten verwalten, die für Schadsoftware unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator.

Administratoren können jedoch Quarantänerichtlinien erstellen und auf Antischadsoftwarerichtlinien anwenden, die mehr Funktionen für Benutzer definieren. Weitere Informationen finden Sie unter Erstellen von Quarantänerichtlinien.

Benutzer können ihre eigenen Nachrichten, die von Antischadsoftwarerichtlinien als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Schadsoftware oder phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .

Gewusst wie Spam unter Quarantäne stellen?

Standardmäßig werden Nachrichten, die als Spam oder Massennachrichten klassifiziert sind, mit den folgenden Antispamrichtlinien in den Ordner Junk Email verschoben:

  • Die Standardmäßige Antispamrichtlinie.
  • Benutzerdefinierte Antispamrichtlinien.
  • Die voreingestellte Sicherheitsrichtlinie Standard.

Administratoren können die standardmäßigen Antispamrichtlinien oder benutzerdefinierten Richtlinien konfigurieren, um stattdessen Spam- oder Massen-E-Mail-Nachrichten unter Quarantäne zu stellen. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Die voreingestellte Sicherheitsrichtlinie Strict isoliert Nachrichten, die als Spam oder Massen klassifiziert sind.

Weitere Informationen finden Sie in den folgenden Artikeln:

Gewusst wie Benutzern Zugriff auf die Quarantäne gewähren?

Ein Benutzer muss über ein gültiges Konto verfügen, um auf seine eigenen Nachrichten in Quarantäne zugreifen zu können. Eigenständiges EOP erfordert, dass Benutzer als E-Mail-Benutzer in EOP dargestellt werden (manuell über die Verzeichnissynchronisierung erstellt oder erstellt). Weitere Informationen zum Verwalten von Benutzern in eigenständigen EOP-Umgebungen finden Sie unter Verwalten von E-Mail-Benutzern in eigenständigem EOP.

Quarantänerichtlinien bestimmen, ob Benutzer auf ihre unter Quarantäne gestellten Nachrichten zugreifen können und was sie mit ihnen tun dürfen. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Wenn die Quarantänerichtlinie erfordert, dass Benutzer die Veröffentlichung von Nachrichten anfordern oder Administratoren Nachrichten freigeben müssen, muss ein Administrator die Releaseanforderung genehmigen oder die Nachricht freigeben , bevor die Nachricht für Benutzer verfügbar ist.

Sie können Quarantänerichtlinien in voreingestellten Sicherheitsrichtlinien nicht anpassen.

Auf welche Nachrichten können Endbenutzer in Quarantäne zugreifen?

Quarantänerichtlinien definieren, ob Benutzer basierend auf dem Grund, warum die Nachricht unter Quarantäne gesetzt wurde, auf unter Quarantäne gestellte Nachrichten zugreifen können.

Informationen zum Standardzugriff auf unter Quarantäne gestellte Nachrichten finden Sie in der Tabelle unter Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in EOP.

Benutzer können ihre eigenen Nachrichten nicht freigeben, die als Schadsoftware durch Antischadsoftware- oder Sichere Anlagen-Richtlinien oder als Phishing mit hoher Zuverlässigkeit durch Antispamrichtlinien isoliert wurden, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Schadsoftware oder phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .

Wie kann ich verhindern, dass Benutzer auf unter Quarantäne gestellte Nachrichten zugreifen?

Die Standardmäßige Quarantänerichtlinie mit dem Namen AdminOnlyAccessPolicy verhindert jegliche Benutzerinteraktion mit ihren in Quarantäne befindlichen Nachrichten. Standardmäßig wird diese Quarantänerichtlinie für Nachrichten verwendet, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit unter Quarantäne standen. In benutzerdefinierten Richtlinien oder der Standardrichtlinie für Schutzfeatures, die das Quarantänen von Nachrichten unterstützen, können Administratoren adminOnlyAccessPolicy als zu verwendende Quarantänerichtlinie angeben.

Sie können nicht verhindern, dass Endbenutzer die Seite Quarantäne unter anzeigen oder darauf https://security.microsoft.com/quarantinezugreifen.

Gewusst wie herausfinden, warum eine Nachricht unter Quarantäne gesetzt wurde?

Die Spalte Quarantänegrund, die auf der Registerkarte Email der Seite Quarantäne im Defender-Portal unter https://security.microsoft.com/quarantine?viewid=Emailverfügbar ist. Häufige Gründe sind Transportregel, Massen, Spam, Schadsoftware, Phishing, Phishing mit hoher Zuverlässigkeit oder Admin Aktion – Dateityp blockieren. Weitere Informationen finden Sie unter Anzeigen von in Quarantäne befindlichen E-Mails.

Nachrichten fehlen in quarantäne. Was ist mit ihnen passiert?

Bevor Sie ein Supportticket zu diesem Thema öffnen, lesen Sie Ermitteln, wer eine in Quarantäne befindliche Nachricht gelöscht hat.

Unter Quarantäne gestellte Nachrichten laufen ebenfalls ab und werden schließlich aus der Quarantäne entfernt, je nachdem, warum die Nachricht unter Quarantäne gesetzt wurde. Weitere Informationen finden Sie unter Quarantäneaufbewahrung.

Der filter common attachments in anti-malware policies identifiziert Nachrichtenanlagen mit den angegebenen Dateierweiterungen (die Verwendung von true type matching war möglich). Die Standardaktion für diese Erkennungen in der Standardmäßigen Antischadsoftwarerichtlinie und in den standardmäßigen und strengen voreingestellten Sicherheitsrichtlinien besteht darin, die Nachricht in einem Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet) abzulehnen. Wenn die freigegebene Nachricht einen der angegebenen Dateianlagetypen enthält, ist es möglich, dass die Nachricht in einem NDR an den Absender zurückgegeben wurde.

Wenn eine Nachricht aus der Quarantäne abläuft, können Sie sie nicht wiederherstellen.

Standardmäßig werden Nachrichten von blockierten Absendern in der Quarantäne ausgeblendet (Quarantäne wird nach Blockierte Absender nicht anzeigen gefiltert). Um Nachrichten von allen Absendern anzuzeigen, wählen Sie Filter und dann Alle Absender anzeigen aus.

Tipp

Wenn ein Absender blockiert ist und Blockierte Absender nicht anzeigen ausgewählt ist (Standardeinstellung), werden Nachrichten von diesen Absendern auf der Seite Quarantäne angezeigt und in Quarantänebenachrichtigungen eingeschlossen, wenn der Wert des Grunds für Absenderadresse außer Kraft gesetzt auf None festgelegt ist. Dieses Verhalten tritt auf, weil die Nachrichten aus anderen Gründen als Aussetzungen der Absenderadresse blockiert wurden.

Eine Nachricht wurde aus der Quarantäne freigegeben, aber der ursprüngliche Empfänger kann sie nicht finden. Wie kann ich feststellen, was mit der Nachricht passiert ist?

  • Antivirenlösungen, Sicherheitsdienste oder ausgehende Connectors von Drittanbietern können die folgenden Probleme bei Nachrichten verursachen, die aus der Quarantäne freigegeben werden:

    • Die Nachricht wird nach der Freigabe unter Quarantäne gestellt.
    • Inhalt wird aus der freigegebenen Nachricht entfernt, bevor er den Posteingang des Empfängers erreicht.
    • Die freigegebene Nachricht kommt nie im Posteingang des Empfängers an.

    Vergewissern Sie sich, dass Sie keine Filterung von Drittanbietern verwenden, bevor Sie ein Supportticket zu diesen Problemen öffnen.

    Wenn ein Filter eines Drittanbieters nicht verhindert, dass die Nachricht den Posteingang des Benutzers erreicht und der erste Releaseversuch nicht funktioniert hat, können Administratoren versuchen, das Cmdlet Release-QuarantineMessage in Exchange Online PowerShell mit dem Schalter Erzwingen zu verwenden, um die Nachricht freizugeben.

    Wenn Release-QuarantineMessage mit der Option Erzwingen nicht funktioniert, sollten Administratoren versuchen, die Nachricht in einem alternativen Postfach freizugeben, nachdem die Filterung nach dem Drittanbieterdienst deaktiviert wurde. Die erzwungene Freigabe kann dazu führen, dass Nachrichten mehrmals freigegeben werden.

    Sie erhalten einen Fehler, wenn Sie versuchen, mehrere Nachrichten per Massenvorgang für alle Empfänger freizugeben, und eine Nachricht auf Empfängerebene wurde für eine der Nachrichten gelöscht. Der Administrator muss diese bestimmte Nachricht nur für den Empfänger freigeben, bei dem das Löschen aus der Quarantäne nicht erfolgt ist.

  • Posteingangsregeln (die von Benutzern in Outlook oder von Administratoren mithilfe der Cmdlets *-InboxRule in Exchange Online PowerShell erstellt wurden) können Nachrichten aus dem Posteingang verschieben oder löschen.

  • Einige Nachrichtenflussregeln, die eine Nachricht unter Quarantäne stellen, können dazu führen, dass die freigegebene Nachricht erneut unter Quarantäne gesetzt wird.

  • Informieren Sie Administratoren darüber, dass das Weiterleiten freigegebener Quarantänenachrichten an lokale Empfänger dazu führen kann, dass Nachrichten Antispamheader verlieren, sodass die Nachrichten nach der Veröffentlichung wieder in Quarantäne landen.

Administratoren können mithilfe der Nachrichtenablaufverfolgung ermitteln, ob eine freigegebene Nachricht an den Posteingang des Empfängers übermittelt wurde.

Nachrichten werden unerwartet aus der Quarantäne freigegeben. Wie kommt das?

Antivirenlösungen oder Sicherheitsdienste von Drittanbietern können nach dem Zufallsprinzip Aktionsschaltflächen in Quarantänebenachrichtigungen auswählen.

Vergewissern Sie sich, dass Sie keine Filterung von Drittanbietern verwenden, bevor Sie ein Supportticket zu diesem Problem öffnen.

In Quarantäne befindliche Nachrichten, die freigegeben wurden, verfügen über den StatuswertFreigegeben und die Eigenschaft Freigegeben von auf der Seite Quarantäne .

Administratoren können auch das Überwachungsprotokoll verwenden, um zu sehen, wer eine Nachricht aus der Quarantäne freigegeben hat. Verwenden Sie unter Aktivitäten – Anzeigenamen den Wert Nachricht "Quarantäne freigegeben". Entsprechende Anweisungen finden Sie unter Ermitteln, wer eine in Quarantäne befindliche Nachricht gelöscht hat.

Kann ich mehr als eine Quarantänenachricht gleichzeitig freigeben oder melden?

Im Microsoft Defender-Portal können Sie bis zu 100 Nachrichten gleichzeitig auswählen und freigeben.

Administratoren können die Cmdlets Get-QuarantineMessage und Release-QuarantineMessage in Exchange Online PowerShell oder eigenständiger EOP PowerShell verwenden, um in Quarantäne befindliche Nachrichten in einem Massenvorgang zu suchen und freizugeben und falsch positive Ergebnisse in massenhafter Form zu melden.

Informationen zu Massenaktionen, die auf der Seite Quarantäne verfügbar sind, finden Sie unter Ergreifen von Aktionen für mehrere unter Quarantäne gestellte E-Mail-Nachrichten.

In Defender for Office 365 Plan 2 können Sie Explorer (Threat Explorer) verwenden, um größere Massenfreigabevorgänge (maximal 200.000 Nachrichten) durchzuführen.

Werden bei der Suche nach in der Quarantäne isolierte Nachrichten Platzhalterzeichen unterstützt? Kann ich für eine bestimmte Domäne nach Nachricht in Quarantäne suchen?

Im Microsoft Defender-Portal werden keine Wildcards unterstützt. Wenn Sie beispielsweise nach einem Absender suchen, müssen Sie die vollständige E-Mail-Adresse angeben. Sie können jedoch Platzhalter in Exchange Online PowerShell oder eigenständiger EOP PowerShell verwenden.

Kopieren Sie beispielsweise den folgenden PowerShell-Code in Editor, und speichern Sie die Datei als .ps1 an einem Speicherort, der leicht zu finden ist (z. B. C:\Data\QuarantineRelease.ps1).

Nachdem Sie eine Verbindung mit Exchange Online PowerShell oder Exchange Online Protection PowerShell hergestellt haben, führen Sie den folgenden Befehl aus, um das Skript auszuführen:

& C:\Data\QuarantineRelease.ps1

Das Skript führt die folgenden Aktionen aus:

  • Suchen sie nach nicht freigegebenen Nachrichten, die als Spam von allen Absendern in der Fabrikam-Domäne unter Quarantäne standen. Die maximale Anzahl von Ergebnissen beträgt 50.000 (50 Seiten mit 1.000 Ergebnissen).
  • Speichern Sie die Ergebnisse in einer CSV-Datei.
  • Geben Sie die übereinstimmenden in Quarantäne befindlichen Nachrichten für alle ursprünglichen Empfänger frei.
$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Nachdem Sie eine Nachricht freigegeben haben, können Sie sie nicht mehr freigeben.

Gewusst wie Endbenutzer über ihre in Quarantäne befindlichen Nachrichten benachrichtigen? Wie häufig werden Quarantänebenachrichtigungen gesendet?

Wenn Quarantänebenachrichtigungen in der zugehörigen Quarantänerichtlinie aktiviert sind, können Sie quarantänebenachrichtigungen so konfigurieren, dass sie alle vier Stunden, täglich oder wöchentlich gesendet werden. Weitere Informationen finden Sie unter Anpassen aller Quarantänebenachrichtigungen.

Tipp

Der schnellste und am häufigsten verfügbare Benachrichtigungszeitplan ist alle vier Stunden.

Wenn Sie alle vier Stunden auswählen und eine Nachricht direkt nach der letzten Benachrichtigungsgenerierung unter Quarantäne gesetzt wird, erhält der Empfänger die Quarantänebenachrichtigung etwas mehr als vier Stunden später.

Für Nachrichten, die per ZAP (Zero-Hour Auto Purge) unter Quarantäne gestellt wurden, werden Quarantänebenachrichtigungen basierend auf dem Zeitpunkt generiert, zu dem die Nachricht unter Quarantäne gestellt wurde, nicht auf dem Zeitpunkt, zu dem die Nachricht an das Postfach übermittelt wurde.

Sie können auch Quarantänebenachrichtigungen für interne (organization) Nachrichten nur in Quarantänerichtlinien einrichten.

Warum erhalten Benutzer keine Benachrichtigungen zu ihren unter Quarantäne stehenden Nachrichten?

Wenn für die für die unterstützte Quarantäneaktion definierte Quarantänerichtlinie keine Benachrichtigungen aktiviert sind, werden die Quarantänebenachrichtigungen nicht gesendet.

Weitere Informationen finden Sie in der letzten Tabelle in Anatomie einer Quarantänerichtlinie und in den einzelnen Featuretabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365, um zu sehen, welche Standardquarantänerichtlinien Quarantänebenachrichtigungen aktiviert haben.

Außerdem werden die Schutzrichtlinien in voreingestellten Sicherheitsrichtlinien immer vor benutzerdefinierten Schutzrichtlinien angewendet. Ein Benutzer, der in der voreingestellten Sicherheitsrichtlinie Standard oder Strict definiert ist, erhält niemals eine benutzerdefinierte Schutzrichtlinie, bei der die Quarantänerichtlinie so angepasst ist, dass Quarantänebenachrichtigungen aktiviert werden. Weitere Informationen finden Sie unter Richtlinieneinstellungen in voreingestellten Sicherheitsrichtlinien.

Quarantänebenachrichtigungen sind nicht für Nachrichten aktiviert, die nach Exchange-Nachrichtenflussregeln (Transportregeln) oder Verhinderung von Datenverlust (DLP) unter Quarantäne stehen. Diese Nachrichten verfügen über die Quarantänerichtlinie AdminOnly. Quarantänebenachrichtigungen werden auch für Nachrichten mit der Quarantänerichtlinie DefaultFullAccess nicht generiert.

Gewusst wie Quarantänebenachrichtigungen anpassen, um ein benutzerdefiniertes Logo hinzuzufügen?

Welche Berechtigungen sind für Administratoren erforderlich, um Nachrichten aus der Quarantäne herunterzuladen oder freizugeben?

Weitere Informationen finden Sie hier im Berechtigungseintrag.

Tipp

Die Möglichkeit, unter Quarantäne gestellte Nachrichten mit Exchange Online Berechtigungen zu verwalten, endete im Februar 2023 pro MC447339.

Gastadministratoren aus anderen Organisationen können unter Quarantäne gestellte Nachrichten nicht verwalten. Der Administrator muss sich im gleichen organization wie die Empfänger befinden.

Ich habe eine benutzerdefinierte Quarantänebenachrichtigung für eine bestimmte Sprache erstellt, aber Benutzern wird sie nicht angezeigt. Was ist los?

Benutzern wird nur dann eine benutzerdefinierte Quarantänebenachrichtigung für eine andere Sprache angezeigt, wenn ihre Konto-/Postfachsprache mit der Sprache in der benutzerdefinierten Quarantänebenachrichtigung übereinstimmt.

Ich kann keine Vorschau einer in Quarantäne befindlichen Microsoft Teams-Nachricht anzeigen. Was ist los?

Wenn ein Benutzer die Nachricht vom Teams-Client löscht, ist die Nachricht nicht mehr verfügbar, sodass die Vorschau für die gelöschte Nachricht nicht unter Quarantäne gestellt wird.

Die Schaltfläche **Absender blockieren** wird in Quarantänebenachrichtigungen oder auf der Seite **Quarantäne** nicht angezeigt. Außerdem wird die Schaltfläche **Release genehmigen** auf der Seite **Quarantäne** nicht angezeigt. Was ist los?

Absender blockieren ist für unter Quarantäne gestellte Nachrichten standardmäßig deaktiviert.

Für Endbenutzer können Administratoren eine benutzerdefinierte Quarantänerichtlinie erstellen und zuweisen, die die Aktion Absender blockieren enthält. Weitere Informationen finden Sie unter [Quarantänerichtlinien](Quarantänerichtlinien).

Administratoren wird nur dann Absender blockieren angezeigt, wenn sie die Quarantäneergebnisse nach Empfänger>nur mich anstelle des Standardwerts Alle Benutzer filtern.

Freigabe genehmigen wurde eingestellt und ist jetzt in Release enthalten.

**Filter** und **Suche** funktionieren nicht. Was ist los?

Das Suchfeld gilt für die sichtbaren Ergebnisse in Quarantäne. Standardmäßig werden nur die ersten 100 Einträge angezeigt, bis Sie zum Ende der Liste scrollen, wodurch weitere Ergebnisse geladen werden.

Um unter Quarantäne gestellte Nachrichten nach Internet Message ID zu filtern, muss der Wert auch in PowerShell spitze Klammern (<>) enthalten.

Freigegebene Quarantänenachrichten werden weiterhin unter Quarantäne angezeigt. Was ist los?

Freigegebene Nachrichten bleiben in Quarantäne mit dem StatuswertFreigegeben sichtbar, bis:

  • Die Quarantäneaufbewahrungsdauer läuft ab, und die Nachricht wird automatisch gelöscht.

    oder

  • Die Nachricht wird manuell aus der Quarantäne gelöscht.

Releaseanforderungswarnungen werden nicht generiert. Was ist los?

Die Überwachungsprotokollierung muss aktiviert sein (standardmäßig aktiviert). Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.

Doppelte oder mehrere Quarantänebenachrichtigungen werden an denselben Benutzer gesendet.

Mehrere oder doppelte Quarantänebenachrichtigungen werden an denselben Benutzer gesendet, wenn der Parameter SendFromAliasEnabled im Cmdlet Set-OrganizationConfig in Exchange Online PowerShell auf den Wert $true festgelegt ist.

Ich kann nicht alle Empfänger einer in Quarantäne befindlichen Nachricht sehen. Was ist los?

Administratoren können die Nachrichtenvorschau oder den Nachrichtenkopf anzeigen verwenden, um die vollständige Liste der Empfänger anzuzeigen.