Häufig gestellte Fragen – Antispamschutz

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Gilt für

• Integrierte Sicherheitsfeatures für alle Cloudpostfächer
• Microsoft Defender für Office 365 Plan 1 und Plan 2
• Microsoft Defender XDR

Dieser Artikel enthält häufig gestellte Fragen und Antworten zum Antispamschutz für Microsoft 365-Organisationen mit Cloudpostfächern.

Informationen zu Fragen und Antworten in Bezug auf Quarantäne finden Sie unter Häufig gestellte Fragen (FAQ) zur Quarantäne.

Fragen und Antworten zum Schutz vor Antischadsoftware finden Sie unter Häufig gestellte Fragen: Schutz vor Schadsoftware.

Fragen und Antworten zum Schutz vor Spoofing finden Sie unter Häufig gestellte Fragen zum Schutz vor Spoofing.

Was geschieht standardmäßig mit einer Nachricht, die als Spam erkannt wird?

• Eingehende Nachrichten: Der größte Teil von Spam wird über die Verbindungsfilterung am Rand des Diensts erkannt, die auf der IP-Adresse des Quell-E-Mail-Servers basiert. Antispamrichtlinien (auch als Spamfilterrichtlinien oder Inhaltsfilterrichtlinien bezeichnet) überprüfen und klassifizieren Nachrichten als Massen-, Spam-, Spam-Spam mit hoher Zuverlässigkeit, Phishing oder Phishing mit hoher Zuverlässigkeit.

  Antispamrichtlinien werden in den voreingestellten Sicherheitsrichtlinien Standard und Strict verwendet. Sie können benutzerdefinierte Antispamrichtlinien erstellen, die für bestimmte Benutzergruppen gelten. Es gibt auch eine Standardmäßige Antispamrichtlinie, die für alle Empfänger gilt, die nicht in den voreingestellten Sicherheitsrichtlinien Standard und Strict oder in benutzerdefinierten Richtlinien angegeben sind.

  Standardmäßig werden Nachrichten, die als Spam identifiziert werden, durch die Standard voreingestellte Sicherheitsrichtlinie, benutzerdefinierte Antispamrichtlinien (konfigurierbar) und die Standard-Antispamrichtlinie (konfigurierbar) in den Ordner Junk-Email verschoben. In der voreingestellten Sicherheitsrichtlinie Strict werden Spamnachrichten unter Quarantäne gesetzt.

  Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien und Empfohlene Einstellungen für Antispamrichtlinien.

  Wichtig

  In Umgebungen, in denen die integrierten Sicherheitsfeatures für alle Cloudpostfächer lokale Exchange-Postfächer schützen, müssen Sie Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) in Ihrem lokalen Exchange-organization konfigurieren, um die Spamfilterungsurteile aus der Cloud zu erkennen. Weitere Informationen finden Sie unter Übermitteln von in der Cloud erkannter Spam an den Junk-Email-Ordner in lokalen Postfächern.

  Nachdem Sie die Regel in Microsoft 365 manuell so erstellt haben, dass sie der Regel in lokalem Exchange entspricht, wird die Regel in Hybridumgebungen repliziert.

• Ausgehende Nachrichten: Die Nachricht wird entweder über den Übermittlungspool mit hohem Risiko weitergeleitet oder in einem Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet) an den Absender zurückgegeben. Weitere Informationen finden Sie unter Schutz vor ausgehendem Spam.

Was ist eine Zero-Day-Spam-Variante und wie wird sie vom Dienst behandelt?

Eine Zero-Day-Spam-Variante ist eine bisher unbekannte Spam-Variante der ersten Generation, die nie erfasst oder analysiert wurde, sodass unsere Antispamfilter sie noch nicht erkennen können. Nachdem eine Zero-Day-Spam-Stichprobe von unseren Spamanalysten erfasst und analysiert wurde, werden unsere Antispamfilter aktualisiert, um sie zu erkennen, und es wird nicht mehr als "Null-Tag" betrachtet.

Hinweis

Wenn Sie eine Nachricht erhalten, bei der es sich möglicherweise um eine Zero-Day-Spam-Variante handelt, übermitteln Sie die Nachricht mithilfe einer der unter Melden von Nachrichten und Dateien an Microsoft beschriebenen Methoden an Microsoft, um den Dienst zu verbessern.

Muss ich den Dienst für Antispamschutz konfigurieren?

Nein Die Standardmäßige Antispamrichtlinie schützt alle aktuellen und zukünftigen Cloudempfänger in Ihrer Microsoft 365-organization, nachdem Sie sich für den Dienst angemeldet und Ihre Domäne hinzugefügt haben.

Als Administrator können Sie die folgenden Methoden verwenden, um den Antispamschutz weiter zu verfeinern:

• Fügen Sie den voreingestellten Sicherheitsrichtlinien Standard und Strict Benutzer hinzu.
• Bearbeiten Sie die Standardeinstellungen für die Spamfilterung in der Standardmäßigen Antispamrichtlinie.
• Erstellen Sie Antispamrichtlinien, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrem organization gelten.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Empfohlene Antispamrichtlinieneinstellungen
• Konfigurieren von Antispamrichtlinien
• Voreingestellte Sicherheitsrichtlinien

Wie lange dauert es, bis die Änderungen wirksam werden, wenn ich eine Antispamrichtlinie ändere?

Es kann bis zu einer Stunde dauern, bis Änderungen wirksam werden, nachdem Sie sie gespeichert haben.

Wie lange dauert es, bis die Änderungen für hinzugefügte oder entfernte Gruppenmitglieder wirksam werden, wenn ich eine Verteilergruppe ändere, die für den Bereich einer Antispamrichtlinie verwendet wird?

Diese Verzögerung wird nicht durch die Latenz von Richtlinienupdates verursacht. Stattdessen wird die Verzögerung durch die Erweiterung der Gruppenmitgliedschaft und die Zwischenspeicherungslatenz verursacht. Antispam- und andere Bedrohungsrichtlinienregelobjekte basieren auf derselben Regel-Engine, die von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwendet wird, und erben daher dasselbe Verhalten bei der Auswertung der Gruppenmitgliedschaft.

Zwei Wartezeiten gelten, wenn sich die Gruppenmitgliedschaft ändert:

• Es kann bis zu 2 Stunden dauern, bis Gruppenänderungen von Microsoft Entra zu Exchange Online synchronisiert wurden.
• Es kann bis zu drei weitere Stunden dauern, bis die zwischengespeicherte Gruppenmitgliedschaft in der Transportregel-Engine aktualisiert wird.

Während die meisten Änderungen der Gruppenmitgliedschaft innerhalb von 2 Stunden widergespiegelt werden, kann die kombinierte Latenz im schlimmsten Fall bis zu 5 Stunden betragen. Wenn eine Richtlinienänderung für einen bestimmten Benutzer schnell wirksam werden muss, können Sie die Richtlinie auf Einzelpersonen und nicht auf Gruppen festlegen.

Ist die Filterung von Massen-E-Mails automatisch aktiviert?

Ja. Weitere Informationen zu Massen-E-Mails finden Sie unter Was ist der Unterschied zwischen Junk-E-Mails und Massen-E-Mails? und Massenbeschwerdeebene (Bulk Complaint Level, BCL).

Bietet der Dienst die URL-Filterung?

Ja, der Dienst verfügt über einen URL-Filter, der in Nachrichten nach URLs sucht. Wenn URLs erkannt werden, die bekannten Spam- oder schädlichen Inhalten zugeordnet sind, wird die Nachricht als Spam gekennzeichnet.

Kunden mit Microsoft Defender für Office 365 Lizenzen erhalten auch Schutz vor sicheren Links. Weitere Informationen finden Sie unter Sichere Links in Microsoft Defender für Office 365.

Wie können Microsoft 365-Kunden falsch positive (schlecht) und falsch negative (gut) Nachrichten an Microsoft senden?

Siehe Melden von Nachrichten und Dateien an Microsoft.

Kann ich Spamberichte abrufen?

Ja. Die folgenden Berichte sind verfügbar:

• Spamerkennungsbericht
• Threat Protection-Statusbericht
• Übermittlungsbericht (Administratoren)
• Bericht über vom Benutzer gemeldete Nachrichten

Jemand hat mir eine Nachricht gesendet, und ich kann sie nicht finden. Ich vermute, dass sie als Spam erkannt wurde. Gibt es ein Tool, mit dem ich das herausfinden kann?

Ja, mit dem Nachrichtenablaufverfolgungstool können Sie E-Mail-Nachrichten verfolgen, während sie den Dienst durchlaufen, um herauszufinden, was mit ihnen passiert ist. Weitere Informationen zur Verwendung des Nachrichtenablaufverfolgungstools, um herauszufinden, warum eine Nachricht als Spam gekennzeichnet wurde, finden Sie unter Wurde eine Nachricht als Spam gekennzeichnet?.

Drosselt der Dienst meine E-Mails (Ratenbegrenzung), wenn Benutzer ausgehenden Spam senden?

Wenn mehr als die Hälfte der von einem Benutzer innerhalb eines bestimmten Zeitrahmens (z. B. pro Stunde) gesendeten E-Mails als Spam identifiziert wird, wird der Benutzer am Senden von Nachrichten gehindert. In den meisten Fällen wird ausgehender Spam über den Übermittlungspool mit hohem Risiko weitergeleitet, wodurch die Wahrscheinlichkeit verringert wird, dass der normale ausgehende IP-Pool zu Blocklisten hinzugefügt wird.

Benachrichtigungen werden automatisch gesendet, wenn Benutzer aufgrund von ausgehendem Spam oder Überschreiten von Sendegrenzwerten blockiert werden. Weitere Informationen finden Sie unter Schutz vor ausgehendem Spam.

Kann ich einen nicht von Microsoft stammenden Antispam- und Antischadsoftwareanbieter mit Microsoft 365 verwenden?

Ja. Obwohl wir empfehlen, Ihren MX-Eintrag direkt an Microsoft zu verweisen, ist uns bewusst, dass es legitime geschäftliche Gründe gibt, Ihre E-Mails zuerst an einen anderen Ort als Microsoft weiterzuleiten.

• Eingehend: Ändern Sie Ihre MX-Einträge so, dass sie auf den Nicht-Microsoft-Anbieter verweisen, der die Nachrichten dann zur Übermittlung an Microsoft 365 weitergibt. Weitere Informationen finden Sie unter Erweiterte Filterung für Connectors in Exchange Online.
• Ausgehend: Konfigurieren Sie das Smarthostrouting von Microsoft 365 zum Zielanbieter, der nicht von Microsoft stammt.

Bietet Microsoft Informationen, wie ich mich gegen betrügerische Phishing-Versuche schützen kann?

Ja. Weitere Informationen finden Sie unter Schützen Ihrer Privatsphäre im Internet.

Werden Spam- und Malwarenachrichten darauf untersucht, wer sie gesendet hat, oder werden sie an Strafverfolgungsbehörden weitergeleitet?

Der Dienst konzentriert sich auf die Erkennung und Entfernung von Spam und Schadsoftware, obwohl wir gelegentlich besonders gefährliche oder schädliche Kampagnen untersuchen und die Täter verfolgen können. Diese Verfolgung kann darin bestehen, mit unseren Rechts- und Digitalkriminellen zusammenzuarbeiten, um ein Botnet zu schließen, den Spammer an der Nutzung des Diensts zu hindern (wenn er ihn zum Senden ausgehender E-Mails verwendet) und die Informationen zur Strafrechtlichen Verfolgung an die Strafverfolgungsbehörden weiterzuverwenden.

Was sind die bewährten Methoden für ausgehende E-Mails, um sicherzustellen, dass meine E-Mails zugestellt werden?

Die Richtlinien unter Externe Absender – Problembehandlung bei E-Mails, die an Microsoft 365 gesendet wurden , und die folgenden Richtlinien sind bewährte Methoden für das Senden ausgehender E-Mail-Nachrichten:

• Die Quell-E-Mail-Domäne sollte in DNS aufgelöst werden: Wenn der Absender beispielsweise user@fabrikam ist, wird die Domäne fabrikam in die IP-Adresse 192.168.43.10 aufgelöst.

  Wenn eine sendende Domäne keinen A-Eintrag und keinen MX-Eintrag im DNS aufweist, leitet der Dienst die Nachricht unabhängig vom Nachrichteninhalt über den Übermittlungspool mit höherem Risiko weiter. Weitere Informationen zum Übermittlungspool mit hohem Risiko finden Sie unter Übermittlungspool mit hohem Risiko für ausgehende Nachrichten.

• Der Quell-E-Mail-Server sollte über einen PTR-Eintrag (Reverse DNS) verfügen: Wenn die E-Mail-Quell-IP-Adresse z. B. 192.168.43.10 ist, wäre 43-10.any.icann.orgder Reverse-DNS-Eintrag .

• Die Befehle HELO/EHLO und MAIL FROM sollten konsistent und vorhanden sein und einen Domänennamen anstelle einer IP-Adresse verwenden: Der HELO/EHLO-Befehl sollte so konfiguriert werden, dass er mit dem Reverse-DNS der sendenden IP-Adresse übereinstimmt. Diese Einstellung trägt dazu bei, dass die Domäne in den verschiedenen Teilen der Nachrichtenheader gleich bleibt.

• Stellen Sie sicher, dass die richtigen SPF-Einträge im DNS eingerichtet sind: SPF-Einträge sind ein Mechanismus, um zu überprüfen, ob E-Mails, die von einer Domäne gesendet werden, wirklich von dieser Domäne stammen und nicht gespooft werden. Weitere Informationen zu SPF-Einträgen finden Sie unter den folgenden Links:

  • Einrichten von SPF zum Identifizieren gültiger E-Mail-Quellen für Ihre benutzerdefinierten Clouddomänen
  • Häufig gestellte Fragen zu Domänen

• Signieren von E-Mails mit DKIM, Signieren mit gelockerten Kanonisierungen: Wenn ein Absender seine Nachrichten mithilfe von Domain Keys Identified Mail (DKIM) signieren möchte und ausgehende E-Mails über den Dienst senden möchte, sollte er mit dem Gelockerten Kanonisierungsalgorithmus für Kopfzeilen signieren. Wenn Sie sich mit strenger Kanonisierung der Kopfzeilen anmelden, wird die Signatur beim Durchlaufen des Diensts möglicherweise als ungültig erklärt.

• Domänenbesitzer sollten über genaue Informationen in der WHOIS-Datenbank verfügen: Diese Konfiguration identifiziert die Besitzer der Domäne und gibt an, wie sie sie kontaktieren können, indem sie das stabile Mutterunternehmen, die Kontaktstelle und die Namenserver eingeben.

• Formatieren ausgehender Unzustellbarkeitsnachrichten: Wenn Nachrichten Nichtzustellbarkeitsberichte (auch als NDRs oder Unzustellbarkeitsnachrichten bezeichnet) generieren, sollten Absender das in RFC 3464 angegebene Format einer Unzustellbarkeit verwenden.

• Unzustellbarkeits-E-Mail-Adressen für nicht vorhandene Benutzer entfernen: Wenn Sie einen NDR erhalten, der angibt, dass eine E-Mail-Adresse nicht mehr verwendet wird, entfernen Sie den nicht vorhandenen E-Mail-Alias aus Ihrer Liste. E-Mail-Adressen ändern sich mit der Zeit, und manchmal verwerfen die Benutzer sie.

• Verwenden Sie das SNDS-Programm (Smart Network Data Services) von Outlook.com: Weitere Informationen finden Sie unter Smart Network Data Service.

Gewusst wie Spamfilter deaktivieren?

Wenn Sie einen Nicht-Microsoft-Schutzdienst oder ein Gerät verwenden, um E-Mails zu scannen, bevor sie an Microsoft 365 übermittelt werden, können Sie eine Nachrichtenflussregel (auch als Transportregel bezeichnet) verwenden, um die meisten Spamfilter für eingehende Nachrichten zu umgehen. Anweisungen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen des Spam-Konfidenzniveaus (SCL) in Nachrichten. Die Überprüfung auf Schadsoftware und Phishingnachrichten mit hoher Zuverlässigkeit kann nicht übersprungen werden.

Wenn Sie einen Nicht-Microsoft-Schutzdienst oder ein Gerät verwenden, um E-Mails zu scannen, bevor sie an Microsoft 365 übermittelt werden, sollten Sie auch die erweiterte Filterung für Connectors (auch als Skip Listing bezeichnet) aktivieren, damit Erkennungs-, Berichterstellungs- und Untersuchungsfeatures in Microsoft 365 Nachrichtenquellen ordnungsgemäß identifizieren können. Weitere Informationen finden Sie unter Erweiterte Filterung für Connectors.

Wenn Sie die Spamfilterung für SecOps-Postfächer oder Phishingsimulationen umgehen müssen, verwenden Sie keine Nachrichtenflussregeln. Weitere Informationen finden Sie unter Konfigurieren der Übermittlung von Nicht-Microsoft-Phishingsimulationen an Benutzer und ungefilterte Nachrichten an SecOps-Postfächer.

Warum wurde meine legitime E-Mail als Spam gekennzeichnet?

Legitime E-Mails können aus verschiedenen Gründen fälschlicherweise als Spam ( falsch positiv) gekennzeichnet werden. In der folgenden Tabelle werden die häufigsten Ursachen und deren Vorgehensweise beschrieben:

Ursache	Details	Lösung
Email Authentifizierungsfehler	Die Nachricht hat SPF-, DKIM- oder DMARC-Überprüfungen fehlgeschlagen, was dazu führte, dass die zusammengesetzte Authentifizierung (compauth) fehlschlug. Microsoft 365 behandelt nicht authentifizierte Nachrichten mit höherem Verdacht.	Vergewissern Sie sich, dass SPF, DKIM und DMARC für die sendenden Domäne ordnungsgemäß konfiguriert sind.
Absenderzuverlässigkeit	Die sendende IP-Adresse oder Domäne hat aufgrund historischer Spambeschwerden, Sperrlisteneinträge oder geringem Sendevolumen einen schlechten Ruf.	Überprüfen Sie, ob sich die sendende IP-Adresse in nicht von Microsoft stammenden Sperrlisten befindet. Überprüfen Sie, ob die IP-Adresse des Absenders über einen gültigen Reverse-DNS-Eintrag (PTR) verfügt. Wenn der Absender extern ist, bitten Sie ihn, seinen Ruf bei Microsoft SNDS zu überprüfen.
Nachrichteninhaltstrigger	Der Nachrichtentext, der Betreff oder die Anlagen enthalten Merkmale, die mit Spam verknüpft sind. Zum Beispiel: Übermäßige Links URL-Verkürzungen Formulartags Eingebettete Skripts Nur Bildinhalte	Überprüfen Sie den Nachrichteninhalt. Überprüfen Sie, ob die Einstellungen für den erweiterten Spamfilter (Advanced Spam Filter, ASF) in der entsprechenden Antispamrichtlinie aktiviert sind, die den Inhalt kennzeichnen könnte. Zum Beispiel: Leere Nachrichten Embed-Tags in HTML JavaScript oder VBScript in HTML
Schwellenwert für Massenbeschwerde (Bulk Complaint Level, BCL)	Die Nachricht wurde als Massenvorgang klassifiziert, da die BCL des Absenders den in der Antispamrichtlinie konfigurierten Schwellenwert erreicht oder überschritten hat. Massensendungen (auch als graue E-Mail bezeichnet) umfassen Newsletter, Werbeaktionen und Marketing-E-Mails, für die sich der Benutzer zuvor angemeldet hat.	Massen-E-Mails sind nicht identisch mit Spam. Weitere Informationen finden Sie unter How to fix bulk email going to the Junk Email folder? in diesem Artikel.
Außerkraftsetzungen von Benutzern oder organization	Eine Exchange-Nachrichtenflussregel (Transportregel), eine Antispamrichtlinie oder eine Liste blockierter Outlook-Absender ist so konfiguriert, dass der Absender oder die Domäne als Spam behandelt wird.	Überprüfen Sie die Nachrichtenflussregeln auf der Seite Regeln im Exchange Admin Center unter https://admin.exchange.microsoft.com/#/transportrules. Überprüfen Sie die anwendbare Antispamrichtlinie für blockierte Absender/Domänen. Bitten Sie den Benutzer, seine Liste blockierter Absender in Outlook zu überprüfen.
Nicht von Microsoft stammende Filterungsstörungen	Ein nicht von Microsoft stammender E-Mail-Sicherheitsdienst leitet Nachrichten an Microsoft 365 weiter, aber die ursprünglichen Quell-IP-Informationen gehen verloren. Microsoft 365 wertet die IP-Adresse des Vermittlers anstelle der wahren Quelle aus, was zu SPF- und Authentifizierungsfehlern führen kann.	Konfigurieren Sie die erweiterte Filterung für Connectors (auch als Überspringen der Auflistung bezeichnet) für den eingehenden Connector, um die ursprüngliche Quell-IP-Adresse beizubehalten.

Untersuchen eines falsch positiven Ergebnisses

1. Überprüfen Sie die Nachrichtenheader: Sehen Sie sich den X-Forefront-Antispam-Report Header für die Spam-Konfidenzstufe (Spam Confidence Level, SCL), die Massenbeschwerdeebene (Bulk Complaint Level, BCL) und die Filterbewertung an. Überprüfen Sie den Authentication-Results Header auf SPF-, DKIM- und DMARC-Ergebnisse.

   Weitere Informationen zum Interpretieren von Antispam-Headern finden Sie unter Antispam-Nachrichtenheader.

2. Nachrichtenablaufverfolgung verwenden: Wechseln Sie im Exchange Admin Center zu Nachrichtenfluss>Nachrichtenablaufverfolgung , um die Nachricht nachzuverfolgen und zu sehen, welche Filterregel oder Richtlinie sie gekennzeichnet hat.

3. Überprüfen Sie bedrohungsbasierte Explorer oder Echtzeiterkennungen (erfordert Microsoft Defender für Office 365): Verwenden Sie Threat Explorer, um die Nachricht zu finden und die Erkennungstechnologie, die Übermittlungsaktion und die Außerkraftsetzungsdetails zu überprüfen.

4. Übermitteln Sie die Nachricht an Microsoft: Melden Sie das falsch positive Ergebnis zur Analyse an Microsoft. Weitere Informationen finden Sie unter Melden von Nachrichten und Dateien an Microsoft.

Verhindern zukünftiger falsch positiver Ergebnisse

Achtung

Positivlisten stellen ein hohes Risiko dar, dass Angreifer schädliche E-Mails erfolgreich übermitteln, die andernfalls gefiltert würden. Verwenden Sie Allow-Einträge sorgfältig und nur bei Bedarf. Nachrichten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert werden, werden unabhängig von Zulassungslisteneinträgen immer gefiltert.

Verwenden Sie die folgenden Methoden (in der Reihenfolge der Präferenz), um zu verhindern, dass legitime E-Mails gekennzeichnet werden:

1. Beheben der Grundursache: Wenn das falsch positive Ergebnis durch Authentifizierungsfehler verursacht wird, korrigieren Sie die SPF-, DKIM- oder DMARC-Konfiguration. Wenn dies durch Inhalte verursacht wird, arbeiten Sie mit dem Absender zusammen, um den Nachrichteninhalt anzupassen.

2. Falsch positiv melden: Verwenden Sie die Seite Übermittlungen im Microsoft Defender-Portal, um die Nachricht an Microsoft zu übermitteln. Falls zutreffend, erstellt Microsoft einen Zulassungseintrag in der Mandanten-Zulassungs-/Sperrliste. Weitere Informationen finden Sie unter Melden guter E-Mails an Microsoft.

3. Erstellen eines Mandanteneintrags für Zulassungs-/Sperrliste: Lassen Sie den Absender, die Domäne oder die URL vorübergehend zu, während Microsoft die Übermittlung überprüft. Weitere Informationen finden Sie unter Zulassungs-/Sperrliste für Mandanten.

4. Verwenden von Nachrichtenflussregeln (mit Vorsicht): Erstellen Sie eine Nachrichtenflussregel, um die SCL für Nachrichten von bestimmten Absendern auf -1 festzulegen, aber nur, wenn Sie sicher sind, dass der Absender legitim ist. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen der SCL in Nachrichten.

Eine vollständige Schritt-für-Schritt-Anleitung finden Sie unter So behandeln Sie legitime E-Mails, die blockiert werden (falsch positive Ergebnisse).

Worin liegt der Unterschied zwischen Spam und Hochzuversichts-Spam?

Die Microsoft 365-Spamfilterung weist jeder eingehenden Nachricht einen Spam-Konfidenzgrad (SCL) zu. Nachrichten mit SCL 5 oder 6 werden als Spam klassifiziert, während Nachrichten mit SCL 7, 8 oder 9 als Spam mit hoher Zuverlässigkeit klassifiziert werden. Eine vollständige Aufschlüsselung der SCL-Werte und deren Standardaktionen finden Sie unter Spam Confidence Level (SCL).

Wichtige Unterschiede

	Spam (SCL 5-6)	Spam mit hoher Zuverlässigkeit (SCL 7-9)
Zuverlässigkeitsstufe	Moderate Wahrscheinlichkeit, Spam zu sein.	Hohe Wahrscheinlichkeit, Spam zu sein.
Standardaktion (Standardrichtlinie)	Wechseln Sie in den Junk-Email Ordner.	Wechseln Sie in den Junk-Email Ordner.
Standardaktion (Standard voreingestellte Richtlinie)	Wechseln Sie in den Junk-Email Ordner.	Quarantäne.
Standardaktion (Strenge voreingestellte Richtlinie)	Quarantäne.	Quarantäne.
Benutzeraußerkraftsetzungen	Benutzer können aus Junk-Email abrufen und zu "Sichere Absender" hinzufügen.	Benutzer können aus Junk-Email (Standardrichtlinie) abrufen oder die Freigabe aus der Quarantäne anfordern (voreingestellte Richtlinien).
Admin konfigurierbar	Ja. Die Aktion kann in Antispamrichtlinien konfiguriert werden.	Ja. Die Aktion kann in Antispamrichtlinien konfiguriert werden.
Häufige Trigger	Werbeinhaltsmuster, verdächtige Links, niedrige Absenderreputation.	Bekannte Spamsignaturen, Phishing-ähnliche Merkmale, eingebettete Skripts, ASF-Regelabgleiche (z. B. leere Nachrichten, Formulartags, JavaScript in HTML).

Die Aktion für spam - und hochvertraute Spambewertungen ist in Antispamrichtlinien konfigurierbar. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien und Empfohlene Einstellungen für Antispamrichtlinien.

Wie kann man Massen-E-Mails beheben, die in den Junk-Email-Ordner verschoben werden?

Massen-E-Mails (auch als graue E-Mail bezeichnet) umfasst Newsletter, Marketingnachrichten und Werbeaktionen, für die Benutzer sich für den Empfang entschieden haben. Im Gegensatz zu Spam stammen Massen-E-Mails in der Regel von legitimen Absendern, aber das Volumen und die Inhaltseigenschaften können Spam ähneln.

Microsoft 365 weist jeder eingehenden Nachricht eine Massenbeschwerdeebene (BCL) zu. Der BCL-Wert reicht von 0 (unwahrscheinlicher Massenwert) bis 9 (höchstwahrscheinlich massenhaft). Die vollständige Aufschlüsselung des BCL-Werts finden Sie unter Massenbeschwerdegrad (BCL).

Wenn die BCL einer Nachricht den in der entsprechenden Antispamrichtlinie festgelegten Schwellenwert für Massen-E-Mails erreicht oder überschreitet, wird die Nachricht als Massenvorgang behandelt, und die konfigurierte Aktion wird angewendet (standardmäßig in junk Email Ordner verschieben).

Schritt 1: Identifizieren des BCL-Schwellenwerts und der Nachrichten-BCL

1. Suchen Sie den aktuellen BCL-Schwellenwert: Überprüfen Sie den Schwellenwert für Massen-E-Mails in der entsprechenden Antispamrichtlinie. Informationen zu den Standardmäßigen BCL-Schwellenwerten in den einzelnen Richtlinientypen finden Sie unter Massenbeschwerdeebene (BCL). Anweisungen zum Anzeigen des Schwellenwerts finden Sie unter Öffnen des Massensender-Einblicks im Microsoft Defender-Portal.

2. Suchen Sie den BCL-Wert der Nachricht: Überprüfen Sie die Nachrichtenheader, und suchen Sie nach dem X-Microsoft-Antispam Header. Der BCL: Wert gibt die Der Nachricht zugewiesene Massenbeschwerdeebene an. Zum Beispiel:

   X-Microsoft-Antispam: BCL:5;
   

Schritt 2: Auswählen einer Lösung

Verwenden Sie je nach Situation eine oder mehrere der folgenden Methoden:

Option A: Anpassen des BCL-Schwellenwerts (empfohlen für organization-weite Optimierung)

Wenn zu viele legitime Massennachrichten in den Ordner Junk Email gelangen, erhöhen Sie den BCL-Schwellenwert in der geltenden Antispamrichtlinie. Ein höherer Wert bedeutet, dass weniger Nachrichten als Massen klassifiziert werden. Sie können auch die Erkenntnisse zu Massensendern verwenden, um die Auswirkungen von Schwellenwertänderungen zu simulieren, bevor Sie sie anwenden. Weitere Informationen finden Sie unter Optimieren von Massen-E-Mails und Konfigurieren von Antispamrichtlinien.

Hinweis

Einstellungen im Standard oder Strict voreingestellte Sicherheitsrichtlinien überschreiben benutzerdefinierte Antispamrichtlinieneinstellungen für Empfänger, die in diesen Richtlinien enthalten sind.

Option B: Ändern der Massen-E-Mail-Aktion

Nachrichten, die den Massenschwellenwert erfüllen, werden standardmäßig in den Ordner Junk-Email verschoben. Sie können diese Aktion in Keine Aktion ändern, wenn Massen-E-Mails an den Posteingang übermittelt werden sollen. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.

• Microsoft Defender Portal: Legen Sie in der Antispamrichtlinie >Aktionen> die Aktion Massenbeschwerde (Bulk complaint level, BCL) erfüllt oder überschritten auf Keine Aktion oder eine andere bevorzugte Aktion fest.

• PowerShell:

  Set-HostedContentFilterPolicy -Identity "<Policy Name>" -BulkSpamAction NoAction
  

Option C: Bestimmte Massensender zulassen

Wenn das Problem auf einen bestimmten Absender beschränkt ist:

1. Organisationsebene: Melden Sie die Nachricht als keine Junk-Nachricht: Verwenden Sie die Seite Übermittlungen im Microsoft Defender Portal unterhttps://security.microsoft.com/reportsubmission, um die Nachricht als falsch positiv zu melden. Während der Übermittlung können Sie auch einen Zulassungseintrag für den Absender in der Mandanten-Zulassungs-/Sperrliste erstellen. Weitere Informationen finden Sie unter Melden guter E-Mails an Microsoft.

2. Benutzerebene: Zu sicheren Absendern hinzufügen: Der Benutzer kann den Absender seiner Liste sicherer Absender in Outlook oder Outlook im Web hinzufügen. Nachrichten von sicheren Absendern werden nicht an den Junk-Email Ordner übermittelt. Weitere Informationen finden Sie unter Verwenden von Junk-Email Filtern zum Steuern der angezeigten Nachrichten.

   Administratoren können PowerShell verwenden, um absender zur Liste sicherer Absender in Cloudpostfächern hinzuzufügen. Weitere Informationen finden Sie unter Konfigurieren der Sammlung sicherer Listen für ein Postfach.

   Achtung

   Fügen Sie keine Domänen zu Listen sicherer Absender hinzu. Angreifer könnten dann erfolgreich E-Mails aus diesen Domänen übermitteln, die andernfalls gefiltert würden.

Option D: Verwenden des Ordners "Promotions" (Vorschau)

Falls in Ihrem organization verfügbar, können Sie Massen-E-Mails, die unter den BCL-Schwellenwert fallen, an einen dedizierten Ordner "Promotions" anstelle des Posteingangs weiterleiten.

Weitere Informationen finden Sie unter Übermitteln von Massensendungen unterhalb des BCL-Schwellenwerts im Ordner "Promotions".

Option E: Verwenden der Erkenntnis "Massensender"

Verwenden Sie die Erkenntnis Massensender im Microsoft Defender-Portal, um die wichtigsten Massenabsender zu identifizieren, die E-Mails an Ihre organization übermitteln. Anhand dieser Erkenntnisse können Sie ermitteln, für welche Absender Schwellenwerte zugelassen, blockiert oder optimiert werden sollen.

Weitere Informationen finden Sie unter Erkenntnisse zu Massensendern.

Diagnoseworkflow

Verwenden Sie den folgenden Workflow, um Probleme beim Massenrouting von E-Mails zu diagnostizieren und zu beheben:

Is the email going to Junk Email folder?
│
├─ Yes → Check message headers for BCL value
│        │
│        ├─ BCL ≥ threshold → Message classified as Bulk
│        │   │
│        │   ├─ Raise BCL threshold in anti-spam policy (Option A)
│        │   ├─ Change Bulk action to No action (Option B)
│        │   └─ Allow specific sender (Option C)
│        │
│        └─ BCL < threshold → Not a bulk issue; check SCL value
│            │
│            ├─ SCL 5-6 → Classified as Spam (see "Why was my legitimate email flagged as spam?")
│            └─ SCL 7-9 → Classified as High confidence spam
│
└─ No → Email is delivering correctly

Verwandte Massen-E-Mail-Ressourcen

• Worin besteht der Unterschied zwischen Junk-E-Mail und Massen-E-Mail?
• BCL-Werte (Bulk Complaint Level, Massenbeschwerdeebene)
• Optimieren der Massen-E-Mail-Filterung
• Erkenntnisse zu Massenabsendern
• Konfigurieren von Antispamrichtlinien

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Gilt für

• Integrierte Sicherheitsfeatures für alle Cloudpostfächer
• Microsoft Defender für Office 365 Plan 1 und Plan 2
• Microsoft Defender XDR

Dieser Artikel enthält häufig gestellte Fragen und Antworten zum Antispamschutz für Microsoft 365-Organisationen mit Cloudpostfächern.

Informationen zu Fragen und Antworten in Bezug auf Quarantäne finden Sie unter Häufig gestellte Fragen (FAQ) zur Quarantäne.

Fragen und Antworten zum Schutz vor Antischadsoftware finden Sie unter Häufig gestellte Fragen: Schutz vor Schadsoftware.

Fragen und Antworten zum Schutz vor Spoofing finden Sie unter Häufig gestellte Fragen zum Schutz vor Spoofing.

• Eingehende Nachrichten: Der größte Teil von Spam wird über die Verbindungsfilterung am Rand des Diensts erkannt, die auf der IP-Adresse des Quell-E-Mail-Servers basiert. Antispamrichtlinien (auch als Spamfilterrichtlinien oder Inhaltsfilterrichtlinien bezeichnet) überprüfen und klassifizieren Nachrichten als Massen-, Spam-, Spam-Spam mit hoher Zuverlässigkeit, Phishing oder Phishing mit hoher Zuverlässigkeit.

  Antispamrichtlinien werden in den voreingestellten Sicherheitsrichtlinien Standard und Strict verwendet. Sie können benutzerdefinierte Antispamrichtlinien erstellen, die für bestimmte Benutzergruppen gelten. Es gibt auch eine Standardmäßige Antispamrichtlinie, die für alle Empfänger gilt, die nicht in den voreingestellten Sicherheitsrichtlinien Standard und Strict oder in benutzerdefinierten Richtlinien angegeben sind.

  Standardmäßig werden Nachrichten, die als Spam identifiziert werden, durch die Standard voreingestellte Sicherheitsrichtlinie, benutzerdefinierte Antispamrichtlinien (konfigurierbar) und die Standard-Antispamrichtlinie (konfigurierbar) in den Ordner Junk-Email verschoben. In der voreingestellten Sicherheitsrichtlinie Strict werden Spamnachrichten unter Quarantäne gesetzt.

  Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien und Empfohlene Einstellungen für Antispamrichtlinien.

  Wichtig

  In Umgebungen, in denen die integrierten Sicherheitsfeatures für alle Cloudpostfächer lokale Exchange-Postfächer schützen, müssen Sie Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) in Ihrem lokalen Exchange-organization konfigurieren, um die Spamfilterungsurteile aus der Cloud zu erkennen. Weitere Informationen finden Sie unter Übermitteln von in der Cloud erkannter Spam an den Junk-Email-Ordner in lokalen Postfächern.

  Nachdem Sie die Regel in Microsoft 365 manuell so erstellt haben, dass sie der Regel in lokalem Exchange entspricht, wird die Regel in Hybridumgebungen repliziert.

• Ausgehende Nachrichten: Die Nachricht wird entweder über den Übermittlungspool mit hohem Risiko weitergeleitet oder in einem Nichtzustellbarkeitsbericht (auch als NDR- oder Unzustellbarkeitsnachricht bezeichnet) an den Absender zurückgegeben. Weitere Informationen finden Sie unter Schutz vor ausgehendem Spam.

Eine Zero-Day-Spam-Variante ist eine bisher unbekannte Spam-Variante der ersten Generation, die nie erfasst oder analysiert wurde, sodass unsere Antispamfilter sie noch nicht erkennen können. Nachdem eine Zero-Day-Spam-Stichprobe von unseren Spamanalysten erfasst und analysiert wurde, werden unsere Antispamfilter aktualisiert, um sie zu erkennen, und es wird nicht mehr als "Null-Tag" betrachtet.

Hinweis

Wenn Sie eine Nachricht erhalten, bei der es sich möglicherweise um eine Zero-Day-Spam-Variante handelt, übermitteln Sie die Nachricht mithilfe einer der unter Melden von Nachrichten und Dateien an Microsoft beschriebenen Methoden an Microsoft, um den Dienst zu verbessern.

Nein Die Standardmäßige Antispamrichtlinie schützt alle aktuellen und zukünftigen Cloudempfänger in Ihrer Microsoft 365-organization, nachdem Sie sich für den Dienst angemeldet und Ihre Domäne hinzugefügt haben.

Als Administrator können Sie die folgenden Methoden verwenden, um den Antispamschutz weiter zu verfeinern:

• Fügen Sie den voreingestellten Sicherheitsrichtlinien Standard und Strict Benutzer hinzu.
• Bearbeiten Sie die Standardeinstellungen für die Spamfilterung in der Standardmäßigen Antispamrichtlinie.
• Erstellen Sie Antispamrichtlinien, die für bestimmte Benutzer, Gruppen oder Domänen in Ihrem organization gelten.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Empfohlene Antispamrichtlinieneinstellungen
• Konfigurieren von Antispamrichtlinien
• Voreingestellte Sicherheitsrichtlinien

Es kann bis zu einer Stunde dauern, bis Änderungen wirksam werden, nachdem Sie sie gespeichert haben.

Diese Verzögerung wird nicht durch die Latenz von Richtlinienupdates verursacht. Stattdessen wird die Verzögerung durch die Erweiterung der Gruppenmitgliedschaft und die Zwischenspeicherungslatenz verursacht. Antispam- und andere Bedrohungsrichtlinienregelobjekte basieren auf derselben Regel-Engine, die von Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwendet wird, und erben daher dasselbe Verhalten bei der Auswertung der Gruppenmitgliedschaft.

Zwei Wartezeiten gelten, wenn sich die Gruppenmitgliedschaft ändert:

• Es kann bis zu 2 Stunden dauern, bis Gruppenänderungen von Microsoft Entra zu Exchange Online synchronisiert wurden.
• Es kann bis zu drei weitere Stunden dauern, bis die zwischengespeicherte Gruppenmitgliedschaft in der Transportregel-Engine aktualisiert wird.

Während die meisten Änderungen der Gruppenmitgliedschaft innerhalb von 2 Stunden widergespiegelt werden, kann die kombinierte Latenz im schlimmsten Fall bis zu 5 Stunden betragen. Wenn eine Richtlinienänderung für einen bestimmten Benutzer schnell wirksam werden muss, können Sie die Richtlinie auf Einzelpersonen und nicht auf Gruppen festlegen.

Ja. Weitere Informationen zu Massen-E-Mails finden Sie unter Was ist der Unterschied zwischen Junk-E-Mails und Massen-E-Mails? und Massenbeschwerdeebene (Bulk Complaint Level, BCL).

Ja, der Dienst verfügt über einen URL-Filter, der in Nachrichten nach URLs sucht. Wenn URLs erkannt werden, die bekannten Spam- oder schädlichen Inhalten zugeordnet sind, wird die Nachricht als Spam gekennzeichnet.

Kunden mit Microsoft Defender für Office 365 Lizenzen erhalten auch Schutz vor sicheren Links. Weitere Informationen finden Sie unter Sichere Links in Microsoft Defender für Office 365.

Siehe Melden von Nachrichten und Dateien an Microsoft.

Ja. Die folgenden Berichte sind verfügbar:

• Spamerkennungsbericht
• Threat Protection-Statusbericht
• Übermittlungsbericht (Administratoren)
• Bericht über vom Benutzer gemeldete Nachrichten

Ja, mit dem Nachrichtenablaufverfolgungstool können Sie E-Mail-Nachrichten verfolgen, während sie den Dienst durchlaufen, um herauszufinden, was mit ihnen passiert ist. Weitere Informationen zur Verwendung des Nachrichtenablaufverfolgungstools, um herauszufinden, warum eine Nachricht als Spam gekennzeichnet wurde, finden Sie unter Wurde eine Nachricht als Spam gekennzeichnet?.

Wenn mehr als die Hälfte der von einem Benutzer innerhalb eines bestimmten Zeitrahmens (z. B. pro Stunde) gesendeten E-Mails als Spam identifiziert wird, wird der Benutzer am Senden von Nachrichten gehindert. In den meisten Fällen wird ausgehender Spam über den Übermittlungspool mit hohem Risiko weitergeleitet, wodurch die Wahrscheinlichkeit verringert wird, dass der normale ausgehende IP-Pool zu Blocklisten hinzugefügt wird.

Benachrichtigungen werden automatisch gesendet, wenn Benutzer aufgrund von ausgehendem Spam oder Überschreiten von Sendegrenzwerten blockiert werden. Weitere Informationen finden Sie unter Schutz vor ausgehendem Spam.

Ja. Obwohl wir empfehlen, Ihren MX-Eintrag direkt an Microsoft zu verweisen, ist uns bewusst, dass es legitime geschäftliche Gründe gibt, Ihre E-Mails zuerst an einen anderen Ort als Microsoft weiterzuleiten.

• Eingehend: Ändern Sie Ihre MX-Einträge so, dass sie auf den Nicht-Microsoft-Anbieter verweisen, der die Nachrichten dann zur Übermittlung an Microsoft 365 weitergibt. Weitere Informationen finden Sie unter Erweiterte Filterung für Connectors in Exchange Online.
• Ausgehend: Konfigurieren Sie das Smarthostrouting von Microsoft 365 zum Zielanbieter, der nicht von Microsoft stammt.

Ja. Weitere Informationen finden Sie unter Schützen Ihrer Privatsphäre im Internet.

Der Dienst konzentriert sich auf die Erkennung und Entfernung von Spam und Schadsoftware, obwohl wir gelegentlich besonders gefährliche oder schädliche Kampagnen untersuchen und die Täter verfolgen können. Diese Verfolgung kann darin bestehen, mit unseren Rechts- und Digitalkriminellen zusammenzuarbeiten, um ein Botnet zu schließen, den Spammer an der Nutzung des Diensts zu hindern (wenn er ihn zum Senden ausgehender E-Mails verwendet) und die Informationen zur Strafrechtlichen Verfolgung an die Strafverfolgungsbehörden weiterzuverwenden.

Die Richtlinien unter Externe Absender – Problembehandlung bei E-Mails, die an Microsoft 365 gesendet wurden , und die folgenden Richtlinien sind bewährte Methoden für das Senden ausgehender E-Mail-Nachrichten:

• Die Quell-E-Mail-Domäne sollte in DNS aufgelöst werden: Wenn der Absender beispielsweise user@fabrikam ist, wird die Domäne fabrikam in die IP-Adresse 192.168.43.10 aufgelöst.

  Wenn eine sendende Domäne keinen A-Eintrag und keinen MX-Eintrag im DNS aufweist, leitet der Dienst die Nachricht unabhängig vom Nachrichteninhalt über den Übermittlungspool mit höherem Risiko weiter. Weitere Informationen zum Übermittlungspool mit hohem Risiko finden Sie unter Übermittlungspool mit hohem Risiko für ausgehende Nachrichten.

• Der Quell-E-Mail-Server sollte über einen PTR-Eintrag (Reverse DNS) verfügen: Wenn die E-Mail-Quell-IP-Adresse z. B. 192.168.43.10 ist, wäre 43-10.any.icann.orgder Reverse-DNS-Eintrag .

• Die Befehle HELO/EHLO und MAIL FROM sollten konsistent und vorhanden sein und einen Domänennamen anstelle einer IP-Adresse verwenden: Der HELO/EHLO-Befehl sollte so konfiguriert werden, dass er mit dem Reverse-DNS der sendenden IP-Adresse übereinstimmt. Diese Einstellung trägt dazu bei, dass die Domäne in den verschiedenen Teilen der Nachrichtenheader gleich bleibt.

• Stellen Sie sicher, dass die richtigen SPF-Einträge im DNS eingerichtet sind: SPF-Einträge sind ein Mechanismus, um zu überprüfen, ob E-Mails, die von einer Domäne gesendet werden, wirklich von dieser Domäne stammen und nicht gespooft werden. Weitere Informationen zu SPF-Einträgen finden Sie unter den folgenden Links:

  • Einrichten von SPF zum Identifizieren gültiger E-Mail-Quellen für Ihre benutzerdefinierten Clouddomänen
  • Häufig gestellte Fragen zu Domänen

• Signieren von E-Mails mit DKIM, Signieren mit gelockerten Kanonisierungen: Wenn ein Absender seine Nachrichten mithilfe von Domain Keys Identified Mail (DKIM) signieren möchte und ausgehende E-Mails über den Dienst senden möchte, sollte er mit dem Gelockerten Kanonisierungsalgorithmus für Kopfzeilen signieren. Wenn Sie sich mit strenger Kanonisierung der Kopfzeilen anmelden, wird die Signatur beim Durchlaufen des Diensts möglicherweise als ungültig erklärt.

• Domänenbesitzer sollten über genaue Informationen in der WHOIS-Datenbank verfügen: Diese Konfiguration identifiziert die Besitzer der Domäne und gibt an, wie sie sie kontaktieren können, indem sie das stabile Mutterunternehmen, die Kontaktstelle und die Namenserver eingeben.

• Formatieren ausgehender Unzustellbarkeitsnachrichten: Wenn Nachrichten Nichtzustellbarkeitsberichte (auch als NDRs oder Unzustellbarkeitsnachrichten bezeichnet) generieren, sollten Absender das in RFC 3464 angegebene Format einer Unzustellbarkeit verwenden.

• Unzustellbarkeits-E-Mail-Adressen für nicht vorhandene Benutzer entfernen: Wenn Sie einen NDR erhalten, der angibt, dass eine E-Mail-Adresse nicht mehr verwendet wird, entfernen Sie den nicht vorhandenen E-Mail-Alias aus Ihrer Liste. E-Mail-Adressen ändern sich mit der Zeit, und manchmal verwerfen die Benutzer sie.

• Verwenden Sie das SNDS-Programm (Smart Network Data Services) von Outlook.com: Weitere Informationen finden Sie unter Smart Network Data Service.

Wenn Sie einen Nicht-Microsoft-Schutzdienst oder ein Gerät verwenden, um E-Mails zu scannen, bevor sie an Microsoft 365 übermittelt werden, können Sie eine Nachrichtenflussregel (auch als Transportregel bezeichnet) verwenden, um die meisten Spamfilter für eingehende Nachrichten zu umgehen. Anweisungen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen des Spam-Konfidenzniveaus (SCL) in Nachrichten. Die Überprüfung auf Schadsoftware und Phishingnachrichten mit hoher Zuverlässigkeit kann nicht übersprungen werden.

Wenn Sie einen Nicht-Microsoft-Schutzdienst oder ein Gerät verwenden, um E-Mails zu scannen, bevor sie an Microsoft 365 übermittelt werden, sollten Sie auch die erweiterte Filterung für Connectors (auch als Skip Listing bezeichnet) aktivieren, damit Erkennungs-, Berichterstellungs- und Untersuchungsfeatures in Microsoft 365 Nachrichtenquellen ordnungsgemäß identifizieren können. Weitere Informationen finden Sie unter Erweiterte Filterung für Connectors.

Wenn Sie die Spamfilterung für SecOps-Postfächer oder Phishingsimulationen umgehen müssen, verwenden Sie keine Nachrichtenflussregeln. Weitere Informationen finden Sie unter Konfigurieren der Übermittlung von Nicht-Microsoft-Phishingsimulationen an Benutzer und ungefilterte Nachrichten an SecOps-Postfächer.

Legitime E-Mails können aus verschiedenen Gründen fälschlicherweise als Spam ( falsch positiv) gekennzeichnet werden. In der folgenden Tabelle werden die häufigsten Ursachen und deren Vorgehensweise beschrieben:

Ursache	Details	Lösung
Email Authentifizierungsfehler	Die Nachricht hat SPF-, DKIM- oder DMARC-Überprüfungen fehlgeschlagen, was dazu führte, dass die zusammengesetzte Authentifizierung (compauth) fehlschlug. Microsoft 365 behandelt nicht authentifizierte Nachrichten mit höherem Verdacht.	Vergewissern Sie sich, dass SPF, DKIM und DMARC für die sendenden Domäne ordnungsgemäß konfiguriert sind.
Absenderzuverlässigkeit	Die sendende IP-Adresse oder Domäne hat aufgrund historischer Spambeschwerden, Sperrlisteneinträge oder geringem Sendevolumen einen schlechten Ruf.	Überprüfen Sie, ob sich die sendende IP-Adresse in nicht von Microsoft stammenden Sperrlisten befindet. Überprüfen Sie, ob die IP-Adresse des Absenders über einen gültigen Reverse-DNS-Eintrag (PTR) verfügt. Wenn der Absender extern ist, bitten Sie ihn, seinen Ruf bei Microsoft SNDS zu überprüfen.
Nachrichteninhaltstrigger	Der Nachrichtentext, der Betreff oder die Anlagen enthalten Merkmale, die mit Spam verknüpft sind. Zum Beispiel: Übermäßige Links URL-Verkürzungen Formulartags Eingebettete Skripts Nur Bildinhalte	Überprüfen Sie den Nachrichteninhalt. Überprüfen Sie, ob die Einstellungen für den erweiterten Spamfilter (Advanced Spam Filter, ASF) in der entsprechenden Antispamrichtlinie aktiviert sind, die den Inhalt kennzeichnen könnte. Zum Beispiel: Leere Nachrichten Embed-Tags in HTML JavaScript oder VBScript in HTML
Schwellenwert für Massenbeschwerde (Bulk Complaint Level, BCL)	Die Nachricht wurde als Massenvorgang klassifiziert, da die BCL des Absenders den in der Antispamrichtlinie konfigurierten Schwellenwert erreicht oder überschritten hat. Massensendungen (auch als graue E-Mail bezeichnet) umfassen Newsletter, Werbeaktionen und Marketing-E-Mails, für die sich der Benutzer zuvor angemeldet hat.	Massen-E-Mails sind nicht identisch mit Spam. Weitere Informationen finden Sie unter How to fix bulk email going to the Junk Email folder? in diesem Artikel.
Außerkraftsetzungen von Benutzern oder organization	Eine Exchange-Nachrichtenflussregel (Transportregel), eine Antispamrichtlinie oder eine Liste blockierter Outlook-Absender ist so konfiguriert, dass der Absender oder die Domäne als Spam behandelt wird.	Überprüfen Sie die Nachrichtenflussregeln auf der Seite Regeln im Exchange Admin Center unter https://admin.exchange.microsoft.com/#/transportrules. Überprüfen Sie die anwendbare Antispamrichtlinie für blockierte Absender/Domänen. Bitten Sie den Benutzer, seine Liste blockierter Absender in Outlook zu überprüfen.
Nicht von Microsoft stammende Filterungsstörungen	Ein nicht von Microsoft stammender E-Mail-Sicherheitsdienst leitet Nachrichten an Microsoft 365 weiter, aber die ursprünglichen Quell-IP-Informationen gehen verloren. Microsoft 365 wertet die IP-Adresse des Vermittlers anstelle der wahren Quelle aus, was zu SPF- und Authentifizierungsfehlern führen kann.	Konfigurieren Sie die erweiterte Filterung für Connectors (auch als Überspringen der Auflistung bezeichnet) für den eingehenden Connector, um die ursprüngliche Quell-IP-Adresse beizubehalten.

Untersuchen eines falsch positiven Ergebnisses

1. Überprüfen Sie die Nachrichtenheader: Sehen Sie sich den X-Forefront-Antispam-Report Header für die Spam-Konfidenzstufe (Spam Confidence Level, SCL), die Massenbeschwerdeebene (Bulk Complaint Level, BCL) und die Filterbewertung an. Überprüfen Sie den Authentication-Results Header auf SPF-, DKIM- und DMARC-Ergebnisse.

   Weitere Informationen zum Interpretieren von Antispam-Headern finden Sie unter Antispam-Nachrichtenheader.

2. Nachrichtenablaufverfolgung verwenden: Wechseln Sie im Exchange Admin Center zu Nachrichtenfluss>Nachrichtenablaufverfolgung , um die Nachricht nachzuverfolgen und zu sehen, welche Filterregel oder Richtlinie sie gekennzeichnet hat.

3. Überprüfen Sie bedrohungsbasierte Explorer oder Echtzeiterkennungen (erfordert Microsoft Defender für Office 365): Verwenden Sie Threat Explorer, um die Nachricht zu finden und die Erkennungstechnologie, die Übermittlungsaktion und die Außerkraftsetzungsdetails zu überprüfen.

4. Übermitteln Sie die Nachricht an Microsoft: Melden Sie das falsch positive Ergebnis zur Analyse an Microsoft. Weitere Informationen finden Sie unter Melden von Nachrichten und Dateien an Microsoft.

Verhindern zukünftiger falsch positiver Ergebnisse

Achtung

Positivlisten stellen ein hohes Risiko dar, dass Angreifer schädliche E-Mails erfolgreich übermitteln, die andernfalls gefiltert würden. Verwenden Sie Allow-Einträge sorgfältig und nur bei Bedarf. Nachrichten, die als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert werden, werden unabhängig von Zulassungslisteneinträgen immer gefiltert.

Verwenden Sie die folgenden Methoden (in der Reihenfolge der Präferenz), um zu verhindern, dass legitime E-Mails gekennzeichnet werden:

1. Beheben der Grundursache: Wenn das falsch positive Ergebnis durch Authentifizierungsfehler verursacht wird, korrigieren Sie die SPF-, DKIM- oder DMARC-Konfiguration. Wenn dies durch Inhalte verursacht wird, arbeiten Sie mit dem Absender zusammen, um den Nachrichteninhalt anzupassen.

2. Falsch positiv melden: Verwenden Sie die Seite Übermittlungen im Microsoft Defender-Portal, um die Nachricht an Microsoft zu übermitteln. Falls zutreffend, erstellt Microsoft einen Zulassungseintrag in der Mandanten-Zulassungs-/Sperrliste. Weitere Informationen finden Sie unter Melden guter E-Mails an Microsoft.

3. Erstellen eines Mandanteneintrags für Zulassungs-/Sperrliste: Lassen Sie den Absender, die Domäne oder die URL vorübergehend zu, während Microsoft die Übermittlung überprüft. Weitere Informationen finden Sie unter Zulassungs-/Sperrliste für Mandanten.

4. Verwenden von Nachrichtenflussregeln (mit Vorsicht): Erstellen Sie eine Nachrichtenflussregel, um die SCL für Nachrichten von bestimmten Absendern auf -1 festzulegen, aber nur, wenn Sie sicher sind, dass der Absender legitim ist. Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen der SCL in Nachrichten.

Eine vollständige Schritt-für-Schritt-Anleitung finden Sie unter So behandeln Sie legitime E-Mails, die blockiert werden (falsch positive Ergebnisse).

Die Microsoft 365-Spamfilterung weist jeder eingehenden Nachricht einen Spam-Konfidenzgrad (SCL) zu. Nachrichten mit SCL 5 oder 6 werden als Spam klassifiziert, während Nachrichten mit SCL 7, 8 oder 9 als Spam mit hoher Zuverlässigkeit klassifiziert werden. Eine vollständige Aufschlüsselung der SCL-Werte und deren Standardaktionen finden Sie unter Spam Confidence Level (SCL).

Wichtige Unterschiede

	Spam (SCL 5-6)	Spam mit hoher Zuverlässigkeit (SCL 7-9)
Zuverlässigkeitsstufe	Moderate Wahrscheinlichkeit, Spam zu sein.	Hohe Wahrscheinlichkeit, Spam zu sein.
Standardaktion (Standardrichtlinie)	Wechseln Sie in den Junk-Email Ordner.	Wechseln Sie in den Junk-Email Ordner.
Standardaktion (Standard voreingestellte Richtlinie)	Wechseln Sie in den Junk-Email Ordner.	Quarantäne.
Standardaktion (Strenge voreingestellte Richtlinie)	Quarantäne.	Quarantäne.
Benutzeraußerkraftsetzungen	Benutzer können aus Junk-Email abrufen und zu "Sichere Absender" hinzufügen.	Benutzer können aus Junk-Email (Standardrichtlinie) abrufen oder die Freigabe aus der Quarantäne anfordern (voreingestellte Richtlinien).
Admin konfigurierbar	Ja. Die Aktion kann in Antispamrichtlinien konfiguriert werden.	Ja. Die Aktion kann in Antispamrichtlinien konfiguriert werden.
Häufige Trigger	Werbeinhaltsmuster, verdächtige Links, niedrige Absenderreputation.	Bekannte Spamsignaturen, Phishing-ähnliche Merkmale, eingebettete Skripts, ASF-Regelabgleiche (z. B. leere Nachrichten, Formulartags, JavaScript in HTML).

Die Aktion für spam - und hochvertraute Spambewertungen ist in Antispamrichtlinien konfigurierbar. Weitere Informationen finden Sie unter Konfigurieren von Antispamrichtlinien und Empfohlene Einstellungen für Antispamrichtlinien.

Massen-E-Mails (auch als graue E-Mail bezeichnet) umfasst Newsletter, Marketingnachrichten und Werbeaktionen, für die Benutzer sich für den Empfang entschieden haben. Im Gegensatz zu Spam stammen Massen-E-Mails in der Regel von legitimen Absendern, aber das Volumen und die Inhaltseigenschaften können Spam ähneln.

Microsoft 365 weist jeder eingehenden Nachricht eine Massenbeschwerdeebene (BCL) zu. Der BCL-Wert reicht von 0 (unwahrscheinlicher Massenwert) bis 9 (höchstwahrscheinlich massenhaft). Die vollständige Aufschlüsselung des BCL-Werts finden Sie unter Massenbeschwerdegrad (BCL).

Wenn die BCL einer Nachricht den in der entsprechenden Antispamrichtlinie festgelegten Schwellenwert für Massen-E-Mails erreicht oder überschreitet, wird die Nachricht als Massenvorgang behandelt, und die konfigurierte Aktion wird angewendet (standardmäßig in junk Email Ordner verschieben).

Schritt 1: Identifizieren des BCL-Schwellenwerts und der Nachrichten-BCL

1. Suchen Sie den aktuellen BCL-Schwellenwert: Überprüfen Sie den Schwellenwert für Massen-E-Mails in der entsprechenden Antispamrichtlinie. Informationen zu den Standardmäßigen BCL-Schwellenwerten in den einzelnen Richtlinientypen finden Sie unter Massenbeschwerdeebene (BCL). Anweisungen zum Anzeigen des Schwellenwerts finden Sie unter Öffnen des Massensender-Einblicks im Microsoft Defender-Portal.

2. Suchen Sie den BCL-Wert der Nachricht: Überprüfen Sie die Nachrichtenheader, und suchen Sie nach dem X-Microsoft-Antispam Header. Der BCL: Wert gibt die Der Nachricht zugewiesene Massenbeschwerdeebene an. Zum Beispiel:

   X-Microsoft-Antispam: BCL:5;
   

Schritt 2: Auswählen einer Lösung

Verwenden Sie je nach Situation eine oder mehrere der folgenden Methoden:

Option A: Anpassen des BCL-Schwellenwerts (empfohlen für organization-weite Optimierung)

Wenn zu viele legitime Massennachrichten in den Ordner Junk Email gelangen, erhöhen Sie den BCL-Schwellenwert in der geltenden Antispamrichtlinie. Ein höherer Wert bedeutet, dass weniger Nachrichten als Massen klassifiziert werden. Sie können auch die Erkenntnisse zu Massensendern verwenden, um die Auswirkungen von Schwellenwertänderungen zu simulieren, bevor Sie sie anwenden. Weitere Informationen finden Sie unter Optimieren von Massen-E-Mails und Konfigurieren von Antispamrichtlinien.

Hinweis

Einstellungen im Standard oder Strict voreingestellte Sicherheitsrichtlinien überschreiben benutzerdefinierte Antispamrichtlinieneinstellungen für Empfänger, die in diesen Richtlinien enthalten sind.

Option B: Ändern der Massen-E-Mail-Aktion

Nachrichten, die den Massenschwellenwert erfüllen, werden standardmäßig in den Ordner Junk-Email verschoben. Sie können diese Aktion in Keine Aktion ändern, wenn Massen-E-Mails an den Posteingang übermittelt werden sollen. Weitere Informationen finden Sie unter Konfigurieren von Anti-Spam-Richtlinien.

• Microsoft Defender Portal: Legen Sie in der Antispamrichtlinie >Aktionen> die Aktion Massenbeschwerde (Bulk complaint level, BCL) erfüllt oder überschritten auf Keine Aktion oder eine andere bevorzugte Aktion fest.

• PowerShell:

  Set-HostedContentFilterPolicy -Identity "<Policy Name>" -BulkSpamAction NoAction
  

Option C: Bestimmte Massensender zulassen

Wenn das Problem auf einen bestimmten Absender beschränkt ist:

1. Organisationsebene: Melden Sie die Nachricht als keine Junk-Nachricht: Verwenden Sie die Seite Übermittlungen im Microsoft Defender Portal unterhttps://security.microsoft.com/reportsubmission, um die Nachricht als falsch positiv zu melden. Während der Übermittlung können Sie auch einen Zulassungseintrag für den Absender in der Mandanten-Zulassungs-/Sperrliste erstellen. Weitere Informationen finden Sie unter Melden guter E-Mails an Microsoft.

2. Benutzerebene: Zu sicheren Absendern hinzufügen: Der Benutzer kann den Absender seiner Liste sicherer Absender in Outlook oder Outlook im Web hinzufügen. Nachrichten von sicheren Absendern werden nicht an den Junk-Email Ordner übermittelt. Weitere Informationen finden Sie unter Verwenden von Junk-Email Filtern zum Steuern der angezeigten Nachrichten.

   Administratoren können PowerShell verwenden, um absender zur Liste sicherer Absender in Cloudpostfächern hinzuzufügen. Weitere Informationen finden Sie unter Konfigurieren der Sammlung sicherer Listen für ein Postfach.

   Achtung

   Fügen Sie keine Domänen zu Listen sicherer Absender hinzu. Angreifer könnten dann erfolgreich E-Mails aus diesen Domänen übermitteln, die andernfalls gefiltert würden.

Option D: Verwenden des Ordners "Promotions" (Vorschau)

Falls in Ihrem organization verfügbar, können Sie Massen-E-Mails, die unter den BCL-Schwellenwert fallen, an einen dedizierten Ordner "Promotions" anstelle des Posteingangs weiterleiten.

Weitere Informationen finden Sie unter Übermitteln von Massensendungen unterhalb des BCL-Schwellenwerts im Ordner "Promotions".

Option E: Verwenden der Erkenntnis "Massensender"

Verwenden Sie die Erkenntnis Massensender im Microsoft Defender-Portal, um die wichtigsten Massenabsender zu identifizieren, die E-Mails an Ihre organization übermitteln. Anhand dieser Erkenntnisse können Sie ermitteln, für welche Absender Schwellenwerte zugelassen, blockiert oder optimiert werden sollen.

Weitere Informationen finden Sie unter Erkenntnisse zu Massensendern.

Diagnoseworkflow

Verwenden Sie den folgenden Workflow, um Probleme beim Massenrouting von E-Mails zu diagnostizieren und zu beheben:

Is the email going to Junk Email folder?
│
├─ Yes → Check message headers for BCL value
│        │
│        ├─ BCL ≥ threshold → Message classified as Bulk
│        │   │
│        │   ├─ Raise BCL threshold in anti-spam policy (Option A)
│        │   ├─ Change Bulk action to No action (Option B)
│        │   └─ Allow specific sender (Option C)
│        │
│        └─ BCL < threshold → Not a bulk issue; check SCL value
│            │
│            ├─ SCL 5-6 → Classified as Spam (see "Why was my legitimate email flagged as spam?")
│            └─ SCL 7-9 → Classified as High confidence spam
│
└─ No → Email is delivering correctly

Verwandte Massen-E-Mail-Ressourcen

• Worin besteht der Unterschied zwischen Junk-E-Mail und Massen-E-Mail?
• BCL-Werte (Bulk Complaint Level, Massenbeschwerdeebene)
• Optimieren der Massen-E-Mail-Filterung
• Erkenntnisse zu Massenabsendern
• Konfigurieren von Antispamrichtlinien