Teilen über


E-Mail-Nachrichten in Quarantäne in EOP und Defender für Office 365.

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächern ist Quarantäne verfügbar, um potenziell gefährliche oder unerwünschte Nachrichten zu halten.

Hinweis

In Microsoft 365, betrieben von 21Vianet, ist quarantäne derzeit nicht im Microsoft Defender-Portal verfügbar. Quarantäne ist nur im klassischen Exchange Admin Center (klassisches EAC) verfügbar.

Ob eine erkannte Nachricht standardmäßig unter Quarantäne steht, hängt von den folgenden Faktoren ab:

* Die Filterung von Schadsoftware wird für SecOps-Postfächer übersprungen, die in der erweiterten Übermittlungsrichtlinie identifiziert werden. Weitere Informationen finden Sie unter Konfigurieren der erweiterten Übermittlungsrichtlinie für Phishingsimulationen von Drittanbietern und E-Mail-Übermittlung an SecOps-Postfächer.

Die Standardaktionen für Schutzfunktionen in EOP und Defender for Office 365, einschließlich voreingestellter Sicherheitsrichtlinien, werden in den Featuretabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit beschrieben.

Für den Schutz vor Spam und Phishing können Administratoren auch die Standardrichtlinie ändern oder benutzerdefinierte Richtlinien erstellen, um Nachrichten unter Quarantäne zu stellen, anstatt sie an den Junk-Email-Ordner zu übermitteln. Anweisungen finden Sie in den folgenden Artikeln:

Den Schutzrichtlinien für unterstützte Features sind mindestens eine Quarantänerichtlinie zugewiesen (jede Aktion innerhalb der Schutzrichtlinie verfügt über eine zugeordnete Quarantänerichtlinienzuweisung).

Tipp

Alle Aktionen, die von Administratoren oder Benutzern für unter Quarantäne gestellte Nachrichten ausgeführt werden, werden überwacht. Weitere Informationen zu überwachten Quarantäneereignissen finden Sie unter Quarantäneschema in der Office 365 Management-API.

Quarantäne-Richtlinien

Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne betreffenden Nachrichten tun können oder nicht, und ob Benutzer Quarantänebenachrichtigungen für diese Nachrichten erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Die Standardquarantänerichtlinien, die den Bewertungen von Schutzfeatures zugewiesen sind, erzwingen die verlaufsbezogenen Funktionen, die Benutzer für ihre unter Quarantäne liegenden Nachrichten erhalten (Nachrichten, bei denen sie empfänger sind). Weitere Informationen finden Sie in der Tabelle unter Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in EOP. Beispielsweise können nur Administratoren mit Nachrichten arbeiten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit unter Quarantäne standen. Standardmäßig können Benutzer mit ihren Nachrichten arbeiten, die als Spam, Massen, Phishing, Spoof, Benutzeridentitätswechsel, Domänenidentitätswechsel oder Postfachintelligenz unter Quarantäne gesetzt wurden.

Administratoren können benutzerdefinierte Quarantänerichtlinien erstellen und anwenden, die weniger restriktive oder restriktivere Funktionen für Benutzer definieren, und auch Quarantänebenachrichtigungen aktivieren. Weitere Informationen finden Sie unter Erstellen von Quarantänerichtlinien.

Hinweis

Benutzer können ihre eigenen Nachrichten nicht freigeben, die als Schadsoftware durch Antischadsoftware- oder Sichere Anlagen-Richtlinien oder als Phishing mit hoher Zuverlässigkeit durch Antispamrichtlinien isoliert wurden, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Schadsoftware oder phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .

Sowohl Benutzer als auch Administratoren können mit isolierten Nachrichten arbeiten:

Quarantäneaufbewahrung

Wie lange nachrichten oder dateien unter Quarantäne gestellt werden, bevor sie ablaufen, hängt davon ab, warum die Nachricht oder Datei unter Quarantäne gestellt wurde. Features und die entsprechenden Aufbewahrungszeiträume werden in der folgenden Tabelle beschrieben:

Quarantänegrund Standardaufbewahrungszeitraum Anpassbar? Kommentare
Nachrichten, die von Antispamrichtlinien als Spam, Spam mit hoher Zuverlässigkeit, Phishing, Phishing mit hohem Vertrauen oder Massen unter Quarantäne gesetzt wurden. 15 Tage
  • In der Standardmäßigen Antispamrichtlinie.
  • In Antispamrichtlinien, die Sie in PowerShell erstellen.

30 Tage
Ja* Sie können den Wert zwischen 1 und 30 Tagen in der Standard-Antispamrichtlinie und in benutzerdefinierten Antispamrichtlinien konfigurieren. Weitere Informationen finden Sie unter Beibehalten von Spam in Quarantäne für diese vielen Tage (QuarantineRetentionPeriod) unter Konfigurieren von Antispamrichtlinien.

*Sie können den Wert in den voreingestellten Sicherheitsrichtlinien Standard oder Strict nicht ändern.
Nachrichten, die durch Antiphishingrichtlinien unter Quarantäne gesetzt wurden:
  • EOP: Spoofintelligenz.
  • Defender for Office 365: Schutz vor Benutzeridentitätswechseln, Schutz vor Domänenidentitätswechseln und Schutz vor Postfachintelligenz.
15 Tage oder 30 Tage Ja* Dieser Aufbewahrungszeitraum wird auch durch die Einstellung Spam in Quarantäne für diese vielen Tage beibehalten (QuarantineRetentionPeriod) in Antispamrichtlinien gesteuert. Der verwendete Aufbewahrungszeitraum ist der Wert der ersten übereinstimmenden Antispamrichtlinie , in der der Empfänger definiert ist.
Nachrichten, die durch Antischadsoftwarerichtlinien (Schadsoftwarenachrichten) unter Quarantäne gesetzt werden. 30 Tage Nein Wenn Sie den Filter für allgemeine Anlagen in Antischadsoftwarerichtlinien (in der Standardrichtlinie oder in benutzerdefinierten Richtlinien) aktivieren, werden Dateianlagen in E-Mail-Nachrichten an die betroffenen Empfänger als Schadsoftware behandelt, die ausschließlich auf der Dateierweiterung basiert und den richtigen Typabgleich verwendet. Standardmäßig wird eine vordefinierte Liste mit meist ausführbaren Dateitypen verwendet, aber Sie können die Liste anpassen. Weitere Informationen finden Sie unter Allgemeine Anlagenfilter in Antischadsoftwarerichtlinien.
Nachrichten, die nach Nachrichtenflussregeln unter Quarantäne stehen, wobei die Aktion Die Nachricht in die gehostete Quarantäne übermitteln (Quarantäne) lautet. 30 Tage Nein
Nachrichten, die von Richtlinien für sichere Anlagen in Defender for Office 365 (Schadsoftwarenachrichten) unter Quarantäne gesetzt wurden. 30 Tage Nein
Dateien werden von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams (Schadsoftwaredateien) unter Quarantäne gesetzt. 30 Tage Nein Dateien, die in SharePoint oder OneDrive unter Quarantäne stehen, werden nach 30 Tagen aus der Quarantäne entfernt, aber die blockierten Dateien verbleiben in SharePoint oder OneDrive im blockierten Zustand.
Nachrichten in Chats und Kanälen, die von Zap (Zero-Hour Auto Protection) für Microsoft Teams in Defender for Office 365 30 Tage Nein

Wenn eine Nachricht aus der Quarantäne abläuft, können Sie sie nicht wiederherstellen.

Weitere Informationen zur Quarantäne finden Sie unter Häufig gestellte Fragen zur Quarantäne.