Grundlegendes zu Außerkraftsetzungen auf der E-Mail-Entitätsseite in Microsoft Defender for Office 365
Auf der Seite Microsoft Defender for Office 365 E-Mail-Entität gibt es eine Fülle nützlicher Informationen zu einer E-Mail, einschließlich ggf. der Außerkraftsetzungen, die sich auf diese Nachricht auswirkten, und möglicherweise den Speicherort, an dem die Nachricht zugestellt oder in die Postzustellung verschoben wurde.
In diesem Artikel geht es darum, die verschiedenen Außerkraftsetzungen zu verstehen, wie sie ausgelöst werden, und hilfreiche Informationen zur Diagnose, wann die Auswirkungen einer Außerkraftsetzung unerwartet waren, z. B. wenn eine E-Mail blockiert wird, wenn keine Bedrohungen gefunden wurden.
Tabelle "Außerkraftsetzungsdetails"
In der folgenden Tabelle sind alle Außerkraftsetzungen, eine Beschreibung der Bedeutung dieser Außerkraftsetzung und einige Ausgangspunkte für die Problembehandlung aufgeführt. Je nach Umstand werden nicht alle Außerkraftsetzungen berücksichtigt. Beispielsweise wird eine E-Mail, die Schadsoftware enthält, automatisch blockiert, unabhängig davon, ob ein Endbenutzer den Absender als "sicherer Absender" festgelegt hat. Weitere Informationen zur Anwendung von Außerkraftsetzungen finden Sie in dieser Tabelle.
Override | Beschreibung | Anmerkungen |
---|---|---|
Filter von Drittanbietern | Wir haben festgestellt, dass Sie einen Drittanbieter für Ihren MX-Eintrag verwenden und über eine SCL-1-Transportregel verfügen, die filtert und standardmäßig sicher ist. | |
Admin initiierte Zeitreise | Admin ausgelöste Untersuchung, die dazu führt, dass die automatische Löschfunktion (Zero-Hour AutoPurge, ZAP) den Übermittlungsort von Nachrichten ändert. | Erfahren Sie mehr über ZAP. |
Antischadsoftwarerichtlinienblock nach Dateityp | Die Dateierweiterung für eine Anlage innerhalb der Nachricht entspricht einem gesperrten Dateityp, der in der Antischadsoftwarerichtlinie für den Empfänger aufgeführt ist. | Möglicherweise möchten Sie die Dateierweiterungen optimieren, die im Abschnitt Allgemeine Anlagenfilter der Antischadsoftwarerichtlinie aufgeführt sind. Weitere Informationen. |
Antispam-Richtlinieneinstellungen | Die Nachricht entspricht einer benutzerdefinierten Option in der Antispamrichtlinie für den Empfänger. Beispiel: "SPF record: hard fail" oder "Empty messages". | Überprüfen Sie die Optionen "Als Spam markieren" in der Antispamrichtlinie für den betroffenen Empfänger. Weitere Informationen. |
Verbindungsrichtlinie | Die Nachricht stammt von einer zulässigen/blockierten IP-Adresse innerhalb Ihrer Verbindungsfilterrichtlinie. | Überprüfen Sie die "Verbindungsfilterrichtlinie" im Abschnitt Antispamrichtlinien des Sicherheitsportals. Weitere Informationen. |
Exchange-Transportregel | Die Nachricht stimmte mit einer benutzerdefinierten Transportregel überein, die sich auf den endgültigen Übermittlungsort auswirkte. | Sie können die E-Mail-Entitätsseite oder die Exchange-Nachrichtenablaufverfolgung verwenden, um hervorzuheben, welche Transportregel ausgelöst wurde. Weitere Informationen. |
Exklusiver Modus (Benutzerüberschreibung) | Der Empfänger hat sich entschieden, alle Nachrichten als Spam zu markieren, es sei denn, sie werden von einem Absender in seiner Liste der vertrauenswürdigen Kontakte empfangen. | Der Empfänger hat wahrscheinlich In den Junk-E-Mail-Einstellungen in Outlook oder OWA folgendes konfiguriert: "E-Mail nicht vertrauenswürdig, es sei denn, sie stammt von jemandem in meiner Liste sicherer Absender und Empfänger". Weitere Informationen. |
Filterung aufgrund lokaler organization übersprungen | Die Nachricht wurde von Ihrer lokalen Exchange-Umgebung als nichtspam gekennzeichnet, bevor sie an Exchange Online | Überprüfen Sie Ihre lokale Umgebung, um die Quelle der Außerkraftsetzung zu finden. |
IP-Regionsfilter aus richtlinie | Die Nachricht wurde als aus einem Land/einer Region erkannt, die ein Administrator in der Antispamrichtlinie für den Empfänger blockiert hat. | Ändern Sie die Option "Aus diesen Ländern/Regionen" innerhalb der Antispamrichtlinie, die auf den betroffenen Empfänger angewendet wird. Weitere Informationen. |
Sprachfilter aus Richtlinie | Die Nachricht wurde als eine Sprache erkannt, die ein Administrator in der Antispamrichtlinie für den Empfänger blockiert hat. | Ändern Sie die Option "Enthält bestimmte Sprachen" innerhalb der Antispamrichtlinie auf den betroffenen Empfänger. Weitere Informationen. |
Phishing-Simulation | Die Nachricht erfüllt die von einem Administrator definierten Kriterien, um als Phishingsimulationsnachricht zu gelten. | Die Kriterien befinden sich auf der Registerkarte "Phishingsimulation" unter Erweiterte Übermittlung im Sicherheitsportal. Weitere Informationen. |
Release unter Quarantäne stellen | Der Empfänger oder ein Administrator hat diese Nachricht aus der Quarantäne freigegeben. | Weitere Informationen. |
SecOps-Postfach | Die Nachricht wurde an das bestimmte Postfach für Sicherheitsvorgänge gesendet, das von einem Administrator definiert wurde. | Postfächer werden auf der Registerkarte "SecOps-Postfach" unter Erweiterte Übermittlung im Sicherheitsportal definiert. Weitere Informationen. |
Absenderadressenliste (Admin Außerkraftsetzung) | Die Nachricht entspricht einem Eintrag in den zulässigen/blockierten Absendern innerhalb der Antispamrichtlinie für den Empfänger. | Überprüfen Sie den Abschnitt "Zulässige und blockierte Absender und Domänen" der relevanten Antispamrichtlinie. (mit dieser Methode wird nicht empfohlen). Weitere Informationen. |
Absenderadressenliste (Benutzerüberschreibung) | Der Empfänger hat diese Absenderadresse manuell so festgelegt, dass sie in den Posteingang (zulässig) oder junk-E-Mail-Ordner (blockiert) übermittelt wird. | Der Empfänger hat wahrscheinlich "Sichere Absender und Domänen" oder "Blockierte Absender und Domänen" in den Junk-E-Mail-Einstellungen in Outlook oder OWA konfiguriert. Weitere Informationen. |
Absenderdomänenliste (Admin Außerkraftsetzung) | Die Nachricht entspricht einem Eintrag in den zulässigen/blockierten Domänen innerhalb der Antispamrichtlinie für den Empfänger. | Überprüfen Sie den Abschnitt "Zulässige und blockierte Absender und Domänen" der relevanten Antispamrichtlinie. (mit dieser Methode wird nicht empfohlen). Weitere Informationen. |
Absenderdomänenliste (Benutzerüberschreibung) | Der Empfänger hat manuell festgelegt, dass die sendende Domäne an den Posteingang (zulässig) oder junk-E-Mail-Ordner (blockiert) übermittelt wird. | Der Empfänger hat wahrscheinlich "Sichere Absender und Domänen" oder "Blockierte Absender und Domänen" in den Junk-E-Mail-Einstellungen in Outlook oder OWA konfiguriert. Weitere Informationen. |
Mandanten-Zulassungs-/Sperrlistendatei | Ein Eintrag wurde für einen Dateihash abgeglichen, der in der Zulassungs-/Sperrliste des Mandanten aufgeführt ist. | Überprüfen Sie die Gesamten auf der Seite "Mandanten zulassen/blockieren Listen" im Sicherheitsportal. Weitere Informationen. |
E-Mail-Adresse des Mandanten zulassen/Blockieren der Absenderliste | Ein Eintrag wurde mit einer Absenderadresse abgeglichen, die in der Zulassungs-/Sperrliste des Mandanten aufgeführt ist. | Überprüfen Sie die Gesamten auf der Seite "Mandanten zulassen/blockieren Listen" im Sicherheitsportal. Weitere Informationen. |
Mandanten-Zulassungs-/Sperrlisten-Spoof | Ein Eintrag wurde für die Spooferkennung in der Zulassungs-/Sperrliste des Mandanten abgeglichen. | Überprüfen Sie die Gesamten auf der Seite "Mandanten zulassen/blockieren Listen" im Sicherheitsportal. Weitere Informationen. |
Mandanten-URL für Zulassungs-/Sperrliste | Ein Eintrag wurde für eine URL abgeglichen, die in der Zulassungs-/Sperrliste des Mandanten aufgeführt ist. | Überprüfen Sie die Gesamten auf der Seite "Mandanten zulassen/blockieren Listen" im Sicherheitsportal. Weitere Informationen. |
Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung) | Der Empfänger hat sich dafür entschieden, Kontakte in ihrem Kontaktordner automatisch als vertrauenswürdige Absender zu markieren. | Der Empfänger hat wahrscheinlich Folgendes konfiguriert: "E-Mail von meinen Kontakten vertrauen" in den Junk-E-Mail-Einstellungen in Outlook oder OWA. Weitere Informationen. |
Vertrauenswürdige Domäne (Benutzerüberschreibung) | Der Empfänger hat diese Domäne seiner Liste sicherer Empfänger in Outlook hinzugefügt. E-Mails, die an diese Domäne gesendet werden, werden nicht als Junk-E-Mail behandelt. | Der Empfänger hat wahrscheinlich "Sichere Empfänger" in den Junk-E-Mail-Optionen von Outlook konfiguriert. Weitere Informationen. |
Vertrauenswürdiger Empfänger (Benutzerüberschreibung) | Der Empfänger hat diesen Absender zu seiner Liste sicherer Empfänger in Outlook hinzugefügt. E-Mails, die an diesen Absender gesendet werden, werden nicht als Junk-E-Mail behandelt. | Der Empfänger hat wahrscheinlich "Sichere Empfänger" in den Junk-E-Mail-Optionen von Outlook konfiguriert. Weitere Informationen. |
Nur Vertrauenswürdige Absender (Benutzerüberschreibung) | Diese Außerkraftsetzung hat das gleiche Verhalten wie der exklusive Modus (Benutzerüberschreibung), der hauptsächlich in outlook.com verwendet wird. | Siehe "Exklusiver Modus (Benutzerüberschreibung)" |
Nächste Schritte
Eine ähnliche detaillierte Tabelle mit den verschiedenen Erkennungstechnologien finden Sie unter aka.ms/emailtech.