Standardmäßig sicher in Office 365
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
"Standardmäßig sicher" ist ein Begriff, der verwendet wird, um die Standardeinstellungen zu definieren, die so sicher wie möglich sind.
Sicherheit muss jedoch mit Produktivität im Gleichgewicht stehen. Dies kann den Ausgleich über Folgendes umfassen:
- Benutzerfreundlichkeit: Einstellungen sollten die Benutzerproduktivität nicht beeinträchtigen.
- Risiko: Die Sicherheit kann wichtige Aktivitäten blockieren.
- Legacyeinstellungen: Einige Konfigurationen für ältere Produkte und Features müssen möglicherweise aus geschäftlichen Gründen beibehalten werden, auch wenn neue, moderne Einstellungen verbessert werden.
Microsoft 365-Organisationen mit Postfächern in Exchange Online werden durch Exchange Online Protection (EOP) geschützt. Dieser Schutz umfasst Folgendes:
- Email mit vermuteter Schadsoftware werden automatisch unter Quarantäne gesetzt. Ob Empfänger über unter Quarantäne gestellte Schadsoftwarenachrichten benachrichtigt werden, wird durch die Quarantänerichtlinie und die Einstellungen in der Antischadsoftwarerichtlinie gesteuert. Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.
- Email, die als phishing mit hoher Zuverlässigkeit identifiziert wurden, werden gemäß der Antispam-Richtlinienaktion behandelt. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.
Weitere Informationen zu EOP finden Sie unter Exchange Online Protection Übersicht.
Da Microsoft unsere Kunden standardmäßig schützen möchte, werden einige Mandantenüberschreibungen nicht für Schadsoftware oder Phishing mit hoher Zuverlässigkeit angewendet. Zu diesen Außerkraftsetzungen gehören:
- Listen zulässiger Absender oder Listen zulässiger Domänen (Antispamrichtlinien)
- Outlook Safe Senders (Sichere Absender in Outlook)
- Liste zugelassener IP-Adressen (Verbindungsfilterung)
- Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet)
Wenn Sie bestimmte Nachrichten vorübergehend zulassen möchten, die weiterhin von Microsoft blockiert werden, verwenden Sie dazu Administratorübermittlungen.
Weitere Informationen zu diesen Außerkraftsetzungen finden Sie unter Erstellen von Listen sicherer Absender.
Hinweis
Wir haben die Aktion Nachricht in Junk-Email Ordner verschieben für ein E-Mail-Urteil mit hoher Vertrauenswürdigkeit in EOP-Antispamrichtlinien als veraltet gekennzeichnet. Antispamrichtlinien, die diese Aktion für phishing-Nachrichten mit hoher Zuverlässigkeit verwenden, werden in Quarantäne-Nachricht konvertiert. Die Aktion Nachricht an E-Mail-Adresse umleiten für phishing-Nachrichten mit hoher Zuverlässigkeit ist nicht betroffen.
"Sicher" ist standardmäßig keine Einstellung, die aktiviert oder deaktiviert werden kann, sondern ist die Art und Weise, wie unsere Filterung sofort funktioniert, um potenziell gefährliche oder unerwünschte Nachrichten aus Ihren Postfächern herauszuhalten. Schadsoftware und Phishingnachrichten mit hoher Zuverlässigkeit sollten unter Quarantäne gesetzt werden. Standardmäßig können nur Administratoren Nachrichten verwalten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit unter Quarantäne stehen, und sie können auch falsch positive Ergebnisse an Microsoft melden. Weitere Informationen finden Sie unter Verwalten von isolierten Nachrichten und Dateien als Administrator in EOP.
Weitere Informationen dazu, warum wir dies tun
Der Geist der Sicherheit ist standardmäßig: Wir führen dieselbe Aktion für die Nachricht aus, die Sie ausführen würden, wenn Sie die Nachricht böswillig kennen, auch wenn eine konfigurierte Ausnahme andernfalls die Zustellung der Nachricht ermöglichen würde. Dies ist der gleiche Ansatz, den wir schon immer für Schadsoftware verwendet haben, und jetzt erweitern wir dieses Verhalten auf Phishingnachrichten mit hoher Zuverlässigkeit.
Unsere Daten deuten darauf hin, dass ein Benutzer 30 mal häufiger auf einen schädlichen Link in Nachrichten im Junk-Email-Ordner klickt als in Quarantäne. Unsere Daten zeigen auch, dass die Falsch-Positiv-Rate (gute Nachrichten, die als schlecht gekennzeichnet sind) für Phishing-Nachrichten mit hohem Vertrauen sehr niedrig ist, und Administratoren können alle falsch positiven Ergebnisse mit Administratorübermittlungen beheben.
Wir haben auch festgestellt, dass die Zulässigen Absender- und Zulässigen Domänenlisten in Antispamrichtlinien und Sicheren Absendern in Outlook zu breit waren und mehr Schaden als Nutzen verursachten.
Anders ausgedrückt: Als Sicherheitsdienst handeln wir in Ihrem Namen, um zu verhindern, dass Ihre Benutzer kompromittiert werden.
Ausnahmen
Sie sollten die Verwendung von Außerkraftsetzungen nur in den folgenden Szenarien in Betracht ziehen:
- Phishing-Simulationen: Simulierte Angriffe können Ihnen helfen, anfällige Benutzer zu identifizieren, bevor sich ein echter Angriff auf Ihre organization auswirkt. Informationen dazu, wie Sie verhindern möchten, dass Nachrichten von Phishingsimulationen gefiltert werden, finden Sie unter Konfigurieren von Phishingsimulationen von Drittanbietern in der erweiterten Übermittlungsrichtlinie.
- Sicherheit/SecOps-Postfächer: Dedizierte Postfächer, die von Sicherheitsteams verwendet werden, um ungefilterte Nachrichten (sowohl gute als auch schlechte) zu erhalten. Teams können dann überprüfen, ob sie schädliche Inhalte enthalten. Weitere Informationen finden Sie unter Konfigurieren von SecOps-Postfächern in der erweiterten Übermittlungsrichtlinie.
- Filter von Drittanbietern: "Sicher" gilt standardmäßig nur, wenn der MX-Eintrag für Ihre Domäne auf Microsoft 365 (contoso.mail.protection.outlook.com) verweist. Wenn der MX-Eintrag für Ihre Domäne auf einen anderen Dienst oder ein anderes Gerät verweist, bevor E-Mails an Microsoft 365 übermittelt werden, können die folgenden Methoden dazu führen, dass Nachrichten übermittelt werden, die von Der Microsoft 365-Antispamfilterung als Phishing mit hoher Zuverlässigkeit erkannt werden:
- Exchange-Nachrichtenflussregeln zur Umgehung der Spamfilterung.
- In der Liste "Sichere Absender " in Benutzerpostfächern identifizierte Absender.
- Zulassungseinträge in der Zulassungs-/Sperrliste des Mandanten.
- Absender, die in der Liste der zulässigen Absender und der Liste der zulässigen Domänen in Antispamrichtlinien identifiziert wurden.
- Falsch positive Ergebnisse: Verwenden Sie Administratorübermittlungen, um bestimmte Nachrichten vorübergehend zuzulassen, die noch von Microsoft blockiert werden. Standardmäßig sind Einträge für Domänen und E-Mail-Adressen, Dateien und URLs 30 Tage lang vorhanden. Während dieser 30 Tage lernt Microsoft aus den Zulassungseinträgen und entfernt sie oder erweitert sie automatisch. Standardmäßig dürfen Einträge für gefälschte Absender nie ablaufen.