Bearbeiten

Häufig gestellte Fragen zu unter Quarantäne gestellten Nachrichten

  • FAQ

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Dieser Artikel enthält häufig gestellte Fragen und Antworten zu isolierten E-Mail-Nachrichten für Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständige eOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer.

Hinweis

In Microsoft 365, betrieben von 21Vianet, ist quarantäne derzeit nicht im Microsoft Defender-Portal verfügbar. Quarantäne ist nur im klassischen Exchange Admin Center (klassisches EAC) verfügbar.

Fragen und Antworten zum Antispamschutz finden Sie unter Häufig gestellte Fragen zum Antispamschutz.

Fragen und Antworten zum Schutz vor Antischadsoftware finden Sie unter Häufig gestellte Fragen zum Schutz vor Schadsoftware.

Fragen und Antworten zum Schutz vor Spoofing finden Sie unter Häufig gestellte Fragen zum Schutz vor Spoofing.

Gewusst wie Nachrichten verwalten, die für Schadsoftware unter Quarantäne standen?

Standardmäßig können nur Administratoren Nachrichten verwalten, die für Schadsoftware unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator.

Administratoren können jedoch Quarantänerichtlinien erstellen und auf Antischadsoftwarerichtlinien anwenden, die mehr Funktionen für Benutzer definieren. Weitere Informationen finden Sie unter Create Quarantänerichtlinien.

Benutzer können ihre eigenen Nachrichten, die von Antischadsoftwarerichtlinien als Schadsoftware isoliert wurden, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Schadsoftware oder phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .

Gewusst wie Spam unter Quarantäne stellen?

Standardmäßig werden Nachrichten, die als Spam oder Massennachrichten klassifiziert sind, mit den folgenden Antispamrichtlinien in den Ordner Junk Email verschoben:

  • Die Standardmäßige Antispamrichtlinie.
  • Benutzerdefinierte Antispamrichtlinien.
  • Die voreingestellte Sicherheitsrichtlinie Standard.

Administratoren können die standardmäßigen Antispamrichtlinien oder benutzerdefinierten Richtlinien konfigurieren, um stattdessen Spam- oder Massen-E-Mail-Nachrichten unter Quarantäne zu stellen. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien in EOP.

Die voreingestellte Sicherheitsrichtlinie Strict isoliert Nachrichten, die als Spam oder Massen klassifiziert sind.

Weitere Informationen finden Sie in den folgenden Artikeln:

Gewusst wie Benutzern Zugriff auf die Quarantäne gewähren?

Ein Benutzer muss über ein gültiges Konto verfügen, um auf seine eigenen Nachrichten in Quarantäne zugreifen zu können. Eigenständiges EOP erfordert, dass Benutzer als E-Mail-Benutzer in EOP dargestellt werden (manuell über die Verzeichnissynchronisierung erstellt oder erstellt). Weitere Informationen zum Verwalten von Benutzern in eigenständigen EOP-Umgebungen finden Sie unter Verwalten von E-Mail-Benutzern in eigenständigem EOP.

Quarantänerichtlinien bestimmen, ob Benutzer auf ihre unter Quarantäne gestellten Nachrichten zugreifen können und was sie mit ihnen tun dürfen. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Wenn die Quarantänerichtlinie erfordert, dass Benutzer die Veröffentlichung von Nachrichten anfordern oder Administratoren Nachrichten freigeben müssen, muss ein Administrator die Releaseanforderung genehmigen oder die Nachricht freigeben , bevor die Nachricht für Benutzer verfügbar ist.

Auf welche Nachrichten können Endbenutzer in Quarantäne zugreifen?

Quarantänerichtlinien definieren, ob Benutzer basierend auf dem Grund, warum die Nachricht unter Quarantäne gesetzt wurde, auf unter Quarantäne gestellte Nachrichten zugreifen können.

Informationen zum Standardzugriff auf unter Quarantäne gestellte Nachrichten finden Sie in der Tabelle unter Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in EOP.

Benutzer können ihre eigenen Nachrichten nicht freigeben, die als Schadsoftware durch Antischadsoftware- oder Sichere Anlagen-Richtlinien oder als Phishing mit hoher Zuverlässigkeit durch Antispamrichtlinien isoliert wurden, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer in Quarantäne befindlichen Schadsoftware oder phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .

Wie kann ich verhindern, dass Benutzer auf unter Quarantäne gestellte Nachrichten zugreifen?

Die Standardmäßige Quarantänerichtlinie mit dem Namen AdminOnlyAccessPolicy verhindert jegliche Benutzerinteraktion mit ihren in Quarantäne befindlichen Nachrichten. Standardmäßig wird diese Quarantänerichtlinie für Nachrichten verwendet, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit unter Quarantäne standen. In benutzerdefinierten Richtlinien oder der Standardrichtlinie für Schutzfeatures, die das Quarantänen von Nachrichten unterstützen, können Administratoren adminOnlyAccessPolicy als zu verwendende Quarantänerichtlinie angeben.

Gewusst wie herausfinden, warum eine Nachricht unter Quarantäne gesetzt wurde?

Die Spalte Quarantänegrund, die auf der Registerkarte Email der Seite Quarantäne im Defender-Portal unter https://security.microsoft.com/quarantine?viewid=Emailverfügbar ist. Häufige Gründe sind Transportregel, Massen, Spam, Schadsoftware, Phishing, Phishing mit hoher Zuverlässigkeit oder Admin Aktion – Dateityp blockieren. Weitere Informationen finden Sie unter Anzeigen von in Quarantäne befindlichen E-Mails.

Nachrichten fehlen in quarantäne. Was ist mit ihnen passiert?

Bevor Sie ein Supportticket zu diesem Thema öffnen, lesen Sie Ermitteln, wer eine in Quarantäne befindliche Nachricht gelöscht hat.

Unter Quarantäne gestellte Nachrichten laufen ebenfalls ab und werden schließlich aus der Quarantäne entfernt, je nachdem, warum die Nachricht unter Quarantäne gesetzt wurde. Weitere Informationen finden Sie unter Quarantäneaufbewahrung.

Der filter common attachments in anti-malware policies identifiziert Nachrichtenanlagen mit den angegebenen Dateierweiterungen (die Verwendung von true type matching war möglich). Die Standardaktion für diese Erkennungen in der Standardmäßigen Antischadsoftwarerichtlinie und in den standardmäßigen und strengen voreingestellten Sicherheitsrichtlinien besteht darin, die Nachricht in einem Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet) abzulehnen. Wenn die freigegebene Nachricht einen der angegebenen Dateianlagetypen enthält, ist es möglich, dass die Nachricht in einem NDR an den Absender zurückgegeben wurde.

Wenn eine Nachricht aus der Quarantäne abläuft, können Sie sie nicht wiederherstellen.

Eine Nachricht wurde aus der Quarantäne freigegeben, aber der ursprüngliche Empfänger kann sie nicht finden. Wie kann ich feststellen, was mit der Nachricht passiert ist?

  • Antivirenlösungen, Sicherheitsdienste oder ausgehende Connectors von Drittanbietern können die folgenden Probleme bei Nachrichten verursachen, die aus der Quarantäne freigegeben werden:

    • Die Nachricht wird nach der Freigabe unter Quarantäne gestellt.
    • Inhalt wird aus der freigegebenen Nachricht entfernt, bevor er den Posteingang des Empfängers erreicht.
    • Die freigegebene Nachricht kommt nie im Posteingang des Empfängers an.

    Vergewissern Sie sich, dass Sie keine Filterung von Drittanbietern verwenden, bevor Sie ein Supportticket zu diesen Problemen öffnen.

  • Posteingangsregeln (die von Benutzern in Outlook oder von Administratoren mithilfe der Cmdlets *-InboxRule in Exchange Online PowerShell erstellt wurden) können Nachrichten aus dem Posteingang verschieben oder löschen.

Administratoren können mithilfe der Nachrichtenablaufverfolgung ermitteln, ob eine freigegebene Nachricht an den Posteingang des Empfängers übermittelt wurde.

Nachrichten werden unerwartet aus der Quarantäne freigegeben. Wie kommt das?

Antivirenlösungen oder Sicherheitsdienste von Drittanbietern können nach dem Zufallsprinzip Aktionsschaltflächen in Quarantänebenachrichtigungen auswählen.

Vergewissern Sie sich, dass Sie keine Filterung von Drittanbietern verwenden, bevor Sie ein Supportticket zu diesem Problem öffnen.

Kann ich mehr als eine Quarantänenachricht gleichzeitig freigeben oder melden?

Im Microsoft Defender-Portal können Sie bis zu 100 Nachrichten gleichzeitig auswählen und freigeben.

Administratoren können die Cmdlets Get-QuarantineMessage und Release-QuarantineMessage in Exchange Online PowerShell oder eigenständiger EOP PowerShell verwenden, um in Quarantäne befindliche Nachrichten in einem Massenvorgang zu suchen und freizugeben und falsch positive Ergebnisse in massenhafter Form zu melden.

Werden bei der Suche nach in der Quarantäne isolierte Nachrichten Platzhalterzeichen unterstützt? Kann ich für eine bestimmte Domäne nach Nachricht in Quarantäne suchen?

Im Microsoft Defender-Portal werden keine Wildcards unterstützt. Wenn Sie beispielsweise nach einem Absender suchen, müssen Sie die vollständige E-Mail-Adresse angeben. Sie können jedoch Platzhalter in Exchange Online PowerShell oder eigenständiger EOP PowerShell verwenden.

Kopieren Sie beispielsweise den folgenden PowerShell-Code in Editor, und speichern Sie die Datei als .ps1 an einem Speicherort, der leicht zu finden ist (z. B. C:\Data\QuarantineRelease.ps1).

Nachdem Sie eine Verbindung mit Exchange Online PowerShell oder Exchange Online Protection PowerShell hergestellt haben, führen Sie den folgenden Befehl aus, um das Skript auszuführen:

& C:\Data\QuarantineRelease.ps1

Das Skript führt die folgenden Aktionen aus:

  • Suchen sie nach nicht freigegebenen Nachrichten, die als Spam von allen Absendern in der Fabrikam-Domäne unter Quarantäne standen. Die maximale Anzahl von Ergebnissen beträgt 50.000 (50 Seiten mit 1.000 Ergebnissen).
  • Speichern Sie die Ergebnisse in einer CSV-Datei.
  • Geben Sie die übereinstimmenden in Quarantäne befindlichen Nachrichten für alle ursprünglichen Empfänger frei.
$Page = 1
$List = $null

Do
{
Write-Host "Getting Page " $Page

$List = (Get-QuarantineMessage -Type Spam -PageSize 1000 -Page $Page | where {$_.Released -like "False" -and $_.SenderAddress -like "*fabrikam.com"})
Write-Host "                     " $List.count " rows in this page match"
Write-Host "                                                             Exporting list to appended CSV for logging"
$List | Export-Csv -Path "C:\Data\Quarantined Message Matches.csv" -Append -NoTypeInformation

Write-Host "Releasing page " $Page
$List | foreach {Release-QuarantineMessage -Identity $_.Identity -ReleaseToAll}

$Page = $Page + 1

} Until ($Page -eq 50)

Nachdem Sie eine Nachricht freigegeben haben, können Sie sie nicht mehr freigeben.

Gewusst wie Endbenutzer über ihre in Quarantäne befindlichen Nachrichten benachrichtigen? Wie häufig werden Quarantänebenachrichtigungen gesendet?

Wenn Quarantänebenachrichtigungen in der zugehörigen Quarantänerichtlinie aktiviert sind, können Sie quarantänebenachrichtigungen so konfigurieren, dass sie alle vier Stunden, täglich oder wöchentlich gesendet werden. Weitere Informationen finden Sie unter Anpassen aller Quarantänebenachrichtigungen.

Tipp

Der schnellste und am häufigsten verfügbare Benachrichtigungszeitplan ist alle vier Stunden.

Wenn Sie alle vier Stunden auswählen und eine Nachricht direkt nach der letzten Benachrichtigungsgenerierung unter Quarantäne gesetzt wird, erhält der Empfänger die Quarantänebenachrichtigung etwas mehr als vier Stunden später.

Warum erhalten Benutzer keine Benachrichtigungen zu ihren unter Quarantäne stehenden Nachrichten?

Wenn für die für die unterstützte Quarantäneaktion definierte Quarantänerichtlinie keine Benachrichtigungen aktiviert sind, werden die Quarantänebenachrichtigungen nicht gesendet.

Weitere Informationen finden Sie in der letzten Tabelle in Anatomie einer Quarantänerichtlinie und in den einzelnen Featuretabellen unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365, um zu sehen, welche Standardquarantänerichtlinien Quarantänebenachrichtigungen aktiviert haben.

Außerdem werden die Schutzrichtlinien in voreingestellten Sicherheitsrichtlinien immer vor benutzerdefinierten Schutzrichtlinien angewendet. Ein Benutzer, der in der voreingestellten Sicherheitsrichtlinie Standard oder Strict definiert ist, erhält niemals eine benutzerdefinierte Schutzrichtlinie, bei der die Quarantänerichtlinie so angepasst ist, dass Quarantänebenachrichtigungen aktiviert werden. Weitere Informationen finden Sie unter Richtlinieneinstellungen in voreingestellten Sicherheitsrichtlinien.

Gewusst wie Quarantänebenachrichtigungen anpassen, um ein benutzerdefiniertes Logo hinzuzufügen?

Weitere Informationen finden Sie unter Anpassen aller Quarantänebenachrichtigungen.

Welche Berechtigungen sind für Administratoren erforderlich, um Nachrichten aus der Quarantäne herunterzuladen oder freizugeben?

Weitere Informationen finden Sie hier im Berechtigungseintrag.

Tipp

Die Möglichkeit, unter Quarantäne gestellte Nachrichten mit Exchange Online Berechtigungen zu verwalten, endete im Februar 2023 pro MC447339.

Gastadministratoren aus anderen Organisationen können unter Quarantäne gestellte Nachrichten nicht verwalten. Der Administrator muss sich im gleichen organization wie die Empfänger befinden.

Ich habe eine benutzerdefinierte Quarantänebenachrichtigung für eine bestimmte Sprache erstellt, aber Benutzern wird sie nicht angezeigt. Was ist los?

Benutzern wird nur dann eine benutzerdefinierte Quarantänebenachrichtigung für eine andere Sprache angezeigt, wenn ihre Konto-/Postfachsprache mit der Sprache in der benutzerdefinierten Quarantänebenachrichtigung übereinstimmt.

Ich kann keine Vorschau einer in Quarantäne befindlichen Microsoft Teams-Nachricht anzeigen. Was ist los?

Wenn ein Benutzer die Nachricht vom Teams-Client löscht, ist die Nachricht nicht mehr verfügbar, sodass die Vorschau für die gelöschte Nachricht nicht unter Quarantäne gestellt wird.