Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.
Gilt für
- Exchange Online Protection
- Microsoft Defender für Office 365 Plan 1 und Plan 2
- Microsoft Defender XDR
Dieser Artikel enthält häufig gestellte Fragen und Antworten zum Schutz vor Antischadsoftware für Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständige eOP-Organisationen (Exchange Online Protection) ohne Exchange Online-Postfächer.
Informationen zu Fragen und Antworten in Bezug auf Quarantäne finden Sie unter Häufig gestellte Fragen (FAQ) zur Quarantäne.
Fragen und Antworten zum Antispamschutz finden Sie unter Häufig gestellte Fragen zum Antispamschutz.
Fragen und Antworten zum Schutz vor Spoofing finden Sie unter Häufig gestellte Fragen zum Schutz vor Spoofing.
Was sind Empfehlungen für bewährte Methoden für die Konfiguration und Verwendung des Diensts zur Bekämpfung von Schadsoftware?
Weitere Informationen finden Sie unter EOP-Richtlinieneinstellungen für Antischadsoftware.
Wie oft werden die Schadsoftwaredefinitionen aktualisiert?
Jeder Server sucht stündlich nach neuen Schadsoftwaredefinitionen von unseren Antischadsoftwarepartnern.
Wie viele Antischadsoftwarepartner haben Sie? Kann ich auswählen, welche Malware-Engines wir verwenden?
Ab Juli 2024 werden Nachrichten nur mit der Microsoft Anti-Malware-Engine gescannt.
Wo findet schadsoftware-Überprüfung statt?
Wir suchen nach Schadsoftware in Nachrichten, die an ein Postfach gesendet oder von diesem gesendet werden (Nachrichten während der Übertragung). Für Exchange Online-Postfächer gibt es auch ZAP (Zero-Hour Auto Purge) für Schadsoftware , um bereits übermittelte Nachrichten zu scannen. Wenn Sie eine Nachricht aus einem Postfach erneut senden, wird sie erneut gescannt (weil sie sich in der Übertragung befindet).
Wie lange dauert es, bis von mir vorgenommene Änderungen an einer Antischadsoftware-Richtlinie übernommen werden?
Es kann bis zu einer Stunde dauern, bis die Änderungen wirksam werden.
Überprüft der Dienst interne Nachrichten auf Schadsoftware?
Für Organisationen mit Exchange Online-Postfächern sucht der Dienst nach Schadsoftware in allen ein- und ausgehenden Nachrichten, einschließlich nachrichten, die zwischen internen Empfängern gesendet werden.
Ein eigenständiges EOP-Abonnement überprüft Nachrichten, wenn sie die lokale E-Mail-Organisation betreten oder verlassen. Nachrichten, die zwischen internen lokalen Empfängern gesendet werden, werden nicht auf Schadsoftware überprüft. Sie können jedoch die integrierten Antischadsoftware-Scanfunktionen von Exchange Server verwenden. Weitere Informationen finden Sie unter Antischadsoftwareschutz in Exchange Server.
Ist die heuristische Überprüfung aktiviert?
Ja. Heuristische Überprüfungen suchen sowohl nach bekannter (Signaturüberstimmung) als auch nach unbekannter (verdächtiger) Schadsoftware.
Kann der Dienst komprimierte Dateien (z. B. .zip Dateien) überprüfen?
Ja. Antischadsoftware kann einen Drilldown in komprimierte Dateien (Archivdateien) durchführen.
Ist die Unterstützung der komprimierten Anlagenüberprüfung rekursiv (.zip innerhalb eines .zip innerhalb eines .zip) und wenn ja, wie tief geht sie?
Ja, das rekursive Scannen komprimierter Dateien durchsucht viele Ebenen tief.
Funktioniert der Dienst mit älteren Exchange-Versionen und Nicht-Exchange-Umgebungen?
Ja, der Dienst ist serverunabhängig.
Was ist ein Zero-Day-Virus und wie wird es vom Dienst behandelt?
Ein Zero-Day-Virus ist eine erste Generation, bisher unbekannte Variante von Schadsoftware, die nie erfasst oder analysiert wurde.
Nachdem eine Zero-Day-Virenprobe von unserer Anti-Malware-Engine erfasst und analysiert wurde, werden eine Definition und eine eindeutige Signatur erstellt, um die Schadsoftware zu erkennen.
Wenn eine Definition oder Signatur für die Schadsoftware vorhanden ist, wird sie nicht mehr als Zero-Day betrachtet.
Wie kann ich den Dienst so konfigurieren, dass bestimmte ausführbare Dateien (z. B. \*.exe) blockiert werden, von denen ich befürchte, dass sie Schadsoftware enthalten könnten?
Sie können den Filter für allgemeine Anlagen (auch als allgemeines Blockieren von Anlagen bezeichnet) aktivieren und konfigurieren, wie unter Allgemeine Anlagenfilter in Antischadsoftwarerichtlinien beschrieben.
Sie können auch eine Exchange-Nachrichtenflussregel (auch als Transportregel bezeichnet) erstellen, die jede E-Mail-Anlage mit ausführbarem Inhalt blockiert.
Führen Sie die Schritte unter Reduzieren von Schadsoftwarebedrohungen durch Blockieren von Dateianlagen in Exchange Online Protection aus, um die Dateitypen zu blockieren, die unter Unterstützte Dateitypen für die Überprüfung von Nachrichtenflussregelinhalten in Exchange Online aufgeführt sind.
Zur Erhöhung des Schutzes empfehlen wir auch die Verwendung der Any attachment file extension includes these words condition in mail flow rules to block some or all of the following extensions: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Warum ist eine bestimmte Schadsoftware über die Filter gekommen?
Die Schadsoftware, die Sie erhalten haben, ist eine neue Variante (siehe Was ist ein Zero-Day-Virus und wie wird es vom Dienst behandelt?). Die Zeit, die für ein Update der Schadsoftwaredefinition benötigt wird, hängt von unseren Antischadsoftwarepartnern ab.
Denken Sie daran, dass keine vom Benutzer oder Administrator konfigurierbare Einstellung E-Mail-Anlagen von der Überprüfung durch Den Anti-Malware-Schutz ausschließen kann.
Wie kann ich Schadsoftware, die es über die Filter geschafft hat, an Microsoft übermitteln? Wie kann ich auch eine Datei übermitteln, von der ich glaube, dass sie fälschlicherweise als Schadsoftware erkannt wurde?
Ich habe eine E-Mail-Nachricht mit einer unbekannten Anlage erhalten. Handelt es sich hierbei um Schadsoftware oder kann ich die Anlage ignorieren?
Wir empfehlen Ihnen dringend, keine Anlagen zu öffnen, die Sie nicht erkennen. Wenn Sie möchten, dass wir die Anlage untersuchen, melden Sie die Datei an Microsoft.
Wo erhalte ich Nachrichten, die von den Schadsoftwarefiltern gelöscht wurden?
Die Nachrichten enthalten aktiven schädlichen Code, weshalb wir den Zugriff auf diese Nachrichten nicht zulassen. Sie werden unaufdinglich gelöscht.
Ich kann keine bestimmte Anlage erhalten, da sie fälschlicherweise als Schadsoftware identifiziert wird. Kann ich diese Anlage über Nachrichtenflussregeln zulassen?
Nein Sie können exchange-Nachrichtenflussregeln nicht verwenden, um die Filterung von Schadsoftware zu überspringen. Die einzige Möglichkeit, die Schadsoftwarefilterung für einen Empfänger zu überspringen, besteht darin, das Postfach als SecOps-Postfach zu identifizieren. Weitere Informationen finden Sie unter Verwenden des Microsoft Defender-Portals zum Konfigurieren von SecOps-Postfächern in der erweiterten Übermittlungsrichtlinie.
Kann ich Berichtsdaten zu Schadsoftwareerkennungen erhalten?
Ja, Sie können im Microsoft Defender-Portal auf Berichte zugreifen. Weitere Informationen finden Sie unter Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Defender-Portal.
Gibt es ein Tool, das ich verwenden kann, um eine von Schadsoftware erkannte Nachricht über den Dienst zu verfolgen?
Ja, mit dem Tool für die Nachrichtenablaufverfolgung können Sie E-Mails verfolgen, während sie den Dienst durchlaufen. Weitere Informationen zur Verwendung des Nachrichtenablaufverfolgungstools, um herauszufinden, warum eine Nachricht Schadsoftware enthält, finden Sie unter Nachrichtenablaufverfolgung im modernen Exchange Admin Center.
Kann ich einen Drittanbieter für Antispam und Antischadsoftware mit Exchange Online verwenden?
Ja. In den meisten Fällen empfiehlt es sich, Ihre MX-Einträge auf EOP zu verweisen (d. h. E-Mails direkt an). Wenn Sie Ihre E-Mails zuerst an eine andere Stelle weiterleiten müssen, müssen Sie die erweiterte Filterung für Connectors aktivieren, damit EOP die wahre Nachrichtenquelle bei Filterentscheidungen verwenden kann.
Werden Spam- und Malwarenachrichten darauf untersucht, wer sie gesendet hat, oder werden sie an Strafverfolgungsbehörden weitergeleitet?
Der Dienst konzentriert sich auf die Erkennung und Entfernung von Spam und Schadsoftware, obwohl wir gelegentlich besonders gefährliche oder schädliche Spam- oder Angriffskampagnen untersuchen und die Täter verfolgen können.
Wir arbeiten häufig mit unseren rechts- und digitalen Kriminalitätseinheiten zusammen, um die folgenden Maßnahmen zu ergreifen:
- Nehmen Sie ein Spam-Botnet herunter.
- Blockieren sie die Verwendung des Diensts durch einen Angreifer.
- Geben Sie die Informationen zur Strafrechtlichen Verfolgung an die Strafverfolgungsbehörden weiter.