Reihenfolge und Rangfolge des E-Mail-Schutzes

• Gilt für::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer werden eingehende E-Mails möglicherweise durch mehrere Arten des Schutzes gekennzeichnet. Beispiel: Antispoofingschutz, der für alle Microsoft 365-Kunden verfügbar ist, und Schutz vor Identitätswechseln, der nur für Microsoft Defender for Office 365 Kunden verfügbar ist. Nachrichten durchlaufen auch mehrere Erkennungsscans auf Schadsoftware, Spam, Phishing usw. Angesichts all dieser Aktivitäten kann es einige Unklarheiten darüber geben, welche Richtlinie angewendet wird.

Im Allgemeinen wird eine Richtlinie, die auf eine Nachricht angewendet wird, im X-Forefront-Antispam-Report-Header in der CAT (Category) -Eigenschaft identifiziert. Weitere Informationen finden Sie unter Antispam-Nachrichtenkopfzeilen.

Es gibt zwei Hauptfaktoren, die bestimmen, welche Richtlinie auf eine Nachricht angewendet wird:

• Die Reihenfolge der Verarbeitung für den E-Mail-Schutztyp: Diese Reihenfolge ist nicht konfigurierbar und wird in der folgenden Tabelle beschrieben:

  Reihenfolge	Email Schutz	Kategorie	Wo ist die Verwaltung?
  1	Schadsoftware	CAT:MALW	Konfigurieren von Antischadsoftwarerichtlinien in EOP
  2	Hohe Phishingwahrscheinlichkeit	CAT:HPHSH	Konfigurieren von Antispamrichtlinien in EOP
  3	Phishing	CAT:PHSH	Konfigurieren von Antispamrichtlinien in EOP
  4	Spam mit hoher Vertrauenswürdigkeit	CAT:HSPM	Konfigurieren von Antispamrichtlinien in EOP
  5	Spoofing	CAT:SPOOF	Erkenntnisse zur Spoofintelligenz in EOP
  6*	Benutzeridentitätswechsel (geschützte Benutzer)	CAT:UIMP	Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
  7*	Domänenidentitätswechsel (geschützte Domänen)	CAT:DIMP	Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
  8*	Postfachintelligenz (Kontaktdiagramm)	CAT:GIMP	Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
  9	Spam	CAT:SPM	Konfigurieren von Antispamrichtlinien in EOP
  10	Masse	CAT:BULK	Konfigurieren von Antispamrichtlinien in EOP

  ^*Diese Features sind nur in Antiphishingrichtlinien in Microsoft Defender for Office 365 verfügbar.

• Die Prioritätsreihenfolge von Richtlinien: Die Reihenfolge der Richtlinienpriorität wird in der folgenden Liste angezeigt:

  1. Die Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links^* und sichere Anlagen in der voreingestellten^* Sicherheitsrichtlinie Strict (sofern aktiviert).

  2. Die Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links^* und sichere Anlagen in der standardvoreingestellten^* Sicherheitsrichtlinie (sofern aktiviert).

  3. Antiphishing, Sichere Links und sichere Anlagen in Defender for Office 365 Auswertungsrichtlinien (sofern aktiviert).

  4. Benutzerdefinierte Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links^* und sichere Anlagen^* (wenn erstellt).

     Benutzerdefinierten Richtlinien wird beim Erstellen der Richtlinie ein Standardprioritätswert zugewiesen (neuer ist höher), Sie können den Prioritätswert jedoch jederzeit ändern. Dieser Prioritätswert wirkt sich auf die Reihenfolge aus, in der benutzerdefinierte Richtlinien dieses Typs (Antispam, Antischadsoftware, Antiphishing usw.) angewendet werden, aber nicht, wo benutzerdefinierte Richtlinien in der Gesamtreihenfolge angewendet werden.

  5. Von gleichem Wert:

     • Die Richtlinien "Sichere Links" und "Sichere Anlagen" in der voreingestellten Sicherheitsrichtlinie "Integrierter Schutz"^*.
     • Die Standardrichtlinien für Antischadsoftware, Antispam und Antiphishing.

     Sie können Ausnahmen für die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" konfigurieren, aber Sie können keine Ausnahmen für die Standardrichtlinien konfigurieren (sie gelten für alle Empfänger, und Sie können sie nicht deaktivieren).

  ^*Nur Defender for Office 365.

  Die Prioritätsreihenfolge ist wichtig, wenn derselbe Empfänger absichtlich oder unbeabsichtigt in mehreren Richtlinien enthalten ist, da nur die erste Richtlinie dieses Typs (Antispam, Antischadsoftware, Antiphishing usw.) auf diesen Empfänger angewendet wird, unabhängig davon, in wie vielen anderen Richtlinien der Empfänger enthalten ist. Es gibt nie eine Zusammenführung oder Kombination der Einstellungen in mehreren Richtlinien für den Empfänger. Der Empfänger ist von den Einstellungen der verbleibenden Richtlinien dieses Typs nicht betroffen.

Beispielsweise ist die Gruppe "Contoso Executives" in den folgenden Richtlinien enthalten:

• Die voreingestellte Sicherheitsrichtlinie Strict
• Eine benutzerdefinierte Antispamrichtlinie mit dem Prioritätswert 0 (höchste Priorität)
• Eine benutzerdefinierte Antispamrichtlinie mit dem Prioritätswert 1.

Welche Antispamrichtlinieneinstellungen werden auf die Mitglieder von Contoso Executives angewendet? Die voreingestellte Sicherheitsrichtlinie Strict. Die Einstellungen in den benutzerdefinierten Antispamrichtlinien werden für die Mitglieder von Contoso Executives ignoriert, da die voreingestellte Sicherheitsrichtlinie Strict immer zuerst angewendet wird.

Betrachten Sie als weiteres Beispiel die folgenden benutzerdefinierten Antiphishingrichtlinien in Microsoft Defender for Office 365, die für dieselben Empfänger gelten, sowie eine Nachricht, die sowohl Benutzeridentitätswechsel als auch Spoofing enthält:

Richtlinienname	Priorität	Benutzeridentitätswechsel	Antispoofing
Richtlinie A	1	Ein	Off
Richtlinie B	2	Aus	Ein

1. Die Nachricht wird als Spoofing identifiziert, da Spoofing (5) vor dem Benutzeridentitätswechsel (6) in der Reihenfolge der Verarbeitung für den E-Mail-Schutztyp ausgewertet wird.
2. Richtlinie A wird zuerst angewendet, da sie eine höhere Priorität hat als Richtlinie B.
3. Basierend auf den Einstellungen in Richtlinie A wird keine Aktion für die Nachricht ausgeführt, da Antispoofing deaktiviert ist.
4. Die Verarbeitung von Antiphishingrichtlinien wird für alle eingeschlossenen Empfänger beendet, sodass Richtlinie B niemals auf Empfänger angewendet wird, die sich ebenfalls in Richtlinie A befinden.

Um sicherzustellen, dass Empfänger die gewünschten Schutzeinstellungen erhalten, verwenden Sie die folgenden Richtlinien für Richtlinienmitgliedschaften:

• Weisen Sie Richtlinien mit höherer Priorität eine kleinere Anzahl von Benutzern und Richtlinien mit niedrigerer Priorität eine größere Anzahl von Benutzern zu. Denken Sie daran, dass Standardrichtlinien immer zuletzt angewendet werden.
• Konfigurieren Sie Richtlinien mit höherer Priorität, um strengere oder speziellere Einstellungen als Richtlinien mit niedrigerer Priorität zu haben. Sie haben die vollständige Kontrolle über die Einstellungen in benutzerdefinierten Richtlinien und standardrichtlinien, aber keine Kontrolle über die meisten Einstellungen in voreingestellten Sicherheitsrichtlinien.
• Erwägen Sie die Verwendung weniger benutzerdefinierter Richtlinien (verwenden Sie benutzerdefinierte Richtlinien nur für Benutzer, die speziellere Einstellungen als die voreingestellten Sicherheitsrichtlinien Standard oder Strict oder die Standardrichtlinien benötigen).

Anhang

Es ist wichtig zu verstehen, wie Benutzer zulässt und blockiert, Mandantenberechtigungen und -blöcke sowie Filterstapelbewertungen in EOP und Defender for Office 365 sich ergänzen oder einander widersprechen.

• Informationen zum Filtern von Stapeln und deren Kombination finden Sie unter Schrittweiser Bedrohungsschutz in Microsoft Defender for Office 365.
• Nachdem der Filterstapel eine Bewertung bestimmt hat, werden nur dann Mandantenrichtlinien und ihre konfigurierten Aktionen ausgewertet.
• Wenn die gleiche E-Mail-Adresse oder Domäne in der Liste "Sichere Absender" und "Blockierte Absender" eines Benutzers vorhanden ist, hat die Liste "Sichere Absender" Vorrang.
• Wenn dieselbe Entität (E-Mail-Adresse, Domäne, gefälschte Sendeinfrastruktur, Datei oder URL) in einem Zulassungseintrag und einem Blockeintrag in der Mandanten-Zulassungs-/Sperrliste vorhanden ist, hat der Blockeintrag Vorrang.

Benutzer lässt zu und blockiert

Einträge in der Sammlung sicherer Listen eines Benutzers (die Liste der sicheren Absender, die Liste der sicheren Empfänger und die Liste blockierte Absender für jedes Postfach) können einige Bewertungen des Filterstapels überschreiben, wie in der folgenden Tabelle beschrieben:

Bewertung des Filterstapels	Liste sicherer Absender/Empfänger des Benutzers	Liste blockierter Absender des Benutzers
Schadsoftware	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
Hohe Phishingwahrscheinlichkeit	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
Phishing	Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt	Mandant gewinnt: Die anwendbare Antispamrichtlinie bestimmt die Aktion.
Spam mit hoher Vertrauenswürdigkeit	Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Spam	Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Masse	Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Kein Spam	Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt

Weitere Informationen zur Sammlung sicherer Listen und zu Antispameinstellungen für Benutzerpostfächer finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer.

Mandant lässt zu und blockiert

Mandantenzugänge und -blöcke können einige Filterstapelbewertungen außer Kraft setzen, wie in den folgenden Tabellen beschrieben:

• Erweiterte Übermittlungsrichtlinie (Filterung für bestimmte SecOps-Postfächer und Phishingsimulations-URLs überspringen):

  Bewertung des Filterstapels	Erweiterte Übermittlungsrichtlinie zulassen
  Schadsoftware	Mandant gewinnt: Email an Postfach übermittelt
  Hohe Phishingwahrscheinlichkeit	Mandant gewinnt: Email an Postfach übermittelt
  Phishing	Mandant gewinnt: Email an Postfach übermittelt
  Spam mit hoher Vertrauenswürdigkeit	Mandant gewinnt: Email an Postfach übermittelt
  Spam	Mandant gewinnt: Email an Postfach übermittelt
  Masse	Mandant gewinnt: Email an Postfach übermittelt
  Kein Spam	Mandant gewinnt: Email an Postfach übermittelt

• Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet):

  Bewertung des Filterstapels	Nachrichtenflussregel lässt zu*	Nachrichtenflussregelblöcke
  Schadsoftware	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
  Hohe Phishingwahrscheinlichkeit	Filter gewinnt: Email isoliert, außer beim komplexen Routing	Filter gewinnt: Email unter Quarantäne
  Phishing	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Phishingaktion in der entsprechenden Antispamrichtlinie
  Spam mit hoher Vertrauenswürdigkeit	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  Spam	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  Masse	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  Kein Spam	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt

  ^* Organisationen, die einen Sicherheitsdienst oder ein Gerät eines Drittanbieters vor Microsoft 365 verwenden, sollten die Verwendung von Authenticated Received Chain (ARC) (Wenden Sie sich zur Verfügbarkeit an den Drittanbieter) und die erweiterte Filterung für Connectors (auch als Überspringen von Einträgen bezeichnet) anstelle einer SCL=-1-Nachrichtenflussregel in Betracht ziehen. Diese verbesserten Methoden reduzieren Probleme bei der E-Mail-Authentifizierung und fördern eine tiefgehende E-Mail-Sicherheit .

• Ip-Zulassungsliste und IP-Sperrliste in Verbindungsfilterrichtlinien:

  Bewertung des Filterstapels	Liste zugelassener IP-Adressen	IP-Sperrliste
  Schadsoftware	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
  Hohe Phishingwahrscheinlichkeit	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
  Phishing	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email automatisch gelöscht
  Spam mit hoher Vertrauenswürdigkeit	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email automatisch gelöscht
  Spam	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email automatisch gelöscht
  Masse	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email automatisch gelöscht
  Kein Spam	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email automatisch gelöscht

• Zulassen und Blockieren von Einstellungen in Antispamrichtlinien:

  • Liste zulässiger Absender und Domäne.
  • Liste blockierter Absender und Domänen.
  • Blockieren von Nachrichten aus bestimmten Ländern/Regionen oder in bestimmten Sprachen.
  • Blockieren von Nachrichten basierend auf den Einstellungen des erweiterten Spamfilters (ADVANCED Spam Filter, ASF).

  Bewertung des Filterstapels	Antispamrichtlinie lässt zu	Antispamrichtlinienblöcke
  Schadsoftware	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
  Hohe Phishingwahrscheinlichkeit	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
  Phishing	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Phishingaktion in der entsprechenden Antispamrichtlinie
  Spam mit hoher Vertrauenswürdigkeit	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  Spam	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  Masse	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
  Kein Spam	Mandant gewinnt: Email an Postfach übermittelt	Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt

• Zulassungseinträge in der Zulassungs-/Sperrliste des Mandanten:

  Bewertung des Filterstapels	Email Adresse/Domäne
  Schadsoftware	Filter gewinnt: Email unter Quarantäne
  Hohe Phishingwahrscheinlichkeit	Filter gewinnt: Email unter Quarantäne
  Phishing	Mandant gewinnt: Email an Postfach übermittelt
  Spam mit hoher Vertrauenswürdigkeit	Mandant gewinnt: Email an Postfach übermittelt
  Spam	Mandant gewinnt: Email an Postfach übermittelt
  Masse	Mandant gewinnt: Email an Postfach übermittelt
  Kein Spam	Mandant gewinnt: Email an Postfach übermittelt

• Blockieren von Einträgen in der Zulassungs-/Sperrliste des Mandanten:

  Bewertung des Filterstapels	Email Adresse/Domäne	Spoof	File	URL
  Schadsoftware	Filter gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne
  Hohe Phishingwahrscheinlichkeit	Mandant gewinnt: Email unter Quarantäne	Filter gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne
  Phishing	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne
  Spam mit hoher Vertrauenswürdigkeit	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne
  Spam	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne
  Masse	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne
  Kein Spam	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne

Konflikt zwischen Benutzer- und Mandanteneinstellungen

In der folgenden Tabelle wird beschrieben, wie Konflikte gelöst werden, wenn eine E-Mail von den Einstellungen für Benutzer zulassen/blockieren und Mandanten zulassen/blockieren beeinflusst wird:

Typ des Mandanten zulassen/blockieren	Liste sicherer Absender/Empfänger des Benutzers	Liste blockierter Absender des Benutzers
Blockieren von Einträgen in der Mandanten-Zulassungs-/Sperrliste für: Email Adressen und Domänen Dateien URLs	Mandant gewinnt: Email unter Quarantäne	Mandant gewinnt: Email unter Quarantäne
Blockieren von Einträgen für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste	Mandant gewinnt: Spoofintelligenzaktion in der entsprechenden Antiphishingrichtlinie	Mandant gewinnt: Spoofintelligenzaktion in der entsprechenden Antiphishingrichtlinie
Erweiterte Übermittlungsrichtlinie	Benutzer gewinnt: Email an postfach übermittelt	Mandant gewinnt: Email an Postfach übermittelt
Blockieren von Einstellungen in Antispamrichtlinien	Benutzer gewinnt: Email an postfach übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
DMARC-Richtlinie berücksichtigen	Benutzer gewinnt: Email an postfach übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Blöcke nach Nachrichtenflussregeln	Benutzer gewinnt: Email an postfach übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt
Ermöglicht Folgendes: Nachrichtenflussregeln Liste zugelassener IP-Adressen (Verbindungsfilterrichtlinie) Liste zulässiger Absender und Domänen (Antispamrichtlinien) Zulassungs-/Sperrliste des Mandanten	Benutzer gewinnt: Email an postfach übermittelt	Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt