Schutz vor ausgehenden Spam in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächern nehmen wir die Verwaltung ausgehender Spams ernst. Selbst wenn ein Kunde absichtlich oder unbeabsichtigt Spam von seiner organization sendet, kann diese Aktion den Ruf des gesamten Diensts beeinträchtigen und die E-Mail-Zustellung für andere Kunden beeinträchtigen.

In diesem Artikel werden die Steuerelemente und Benachrichtigungen beschrieben, die dazu dienen, ausgehenden Spam zu verhindern, und was Sie tun können, wenn Sie Massensendungen senden müssen.

Was Administratoren tun können, um ausgehenden Spam zu steuern

  • Verwenden integrierter Benachrichtigungen: Wenn ein Benutzer die Sendegrenzwerte des Diensts oder der Richtlinien für ausgehenden Spam überschreitet und das Senden von E-Mails eingeschränkt ist, sendet die Standardwarnungsrichtlinie Benutzer, die auf das Senden von E-Mails beschränkt ist, E-Mail-Benachrichtigungen an Mitglieder der Gruppe TenantAdmins (Globale Administratoren). Informationen zum Konfigurieren, wer diese Benachrichtigungen sonst noch empfängt, finden Sie unter Überprüfen der Warnungseinstellungen für eingeschränkte Benutzer. Außerdem wurden die Standardwarnungsrichtlinien Email Sendegrenzwert überschritten und Verdächtige E-Mail-Sendemuster erkannt, die E-Mail-Benachrichtigungen an Mitglieder der Gruppe Mandantenadministratoren (globale Administratoren) senden. Weitere Informationen zu Warnungsrichtlinien finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.

  • Spambeschwerden von E-Mail-Drittanbietern überprüfen: Viele E-Mail-Dienste wie Outlook.com, Yahoo und AOL bieten eine Feedbackschleife, in der wir unsere Nachrichten überprüfen, die von ihren Benutzern als Spam identifiziert werden. Weitere Informationen zur Absenderunterstützung für Outlook.com finden Sie unter https://sendersupport.olc.protection.outlook.com/pm/services.aspx.

So steuert EOP ausgehenden Spam

  • Trennung des ausgehenden E-Mail-Datenverkehrs: Jede ausgehende Nachricht, die über den Dienst gesendet wird, wird auf Spam überprüft. Wenn die Nachricht als Spam eingestuft wird, wird sie von einem sekundären, weniger seriösen IP-Adresspool mit dem Namen " Übermittlungspool mit hohem Risiko" zugestellt. Weitere Informationen finden Sie unter Zustellungspool mit höherem Risiko für ausgehende Nachrichten.

  • Überwachen unserer Quell-IP-Adressreputation: Microsoft 365 fragt verschiedene IP-Sperrlisten von Drittanbietern ab. Eine Warnung wird generiert, wenn eine der IP-Adressen, die wir für ausgehende E-Mails verwenden, in diesen Listen angezeigt wird. Diese Überwachung ermöglicht es uns, schnell zu reagieren, wenn Spam unseren Ruf verschlechtert hat. Wenn eine Warnung generiert wird, verfügen wir über eine interne Dokumentation, in der beschrieben wird, wie Sie unsere IP-Adressen aus Sperrlisten entfernen (delistet).

  • Konten deaktivieren, die zu viel Spam* senden: Obwohl wir ausgehenden Spam in den Zustellpool mit hohem Risiko aufteilen, können wir nicht zulassen, dass ein Konto (häufig ein kompromittiertes Konto) Spam auf unbestimmte Zeit sendet. Wir überwachen Konten, die Spam senden, und wenn sie einen nicht offengelegten Grenzwert überschreiten, wird das Senden von E-Mails für das Konto blockiert. Es gibt unterschiedliche Schwellenwerte für einzelne Benutzer und den gesamten Mandanten.

  • Deaktivieren von Konten, die zu viele E-Mails zu schnell* senden: Zusätzlich zu den Grenzwerten, die nach als Spam gekennzeichneten Nachrichten suchen, gibt es auch Grenzwerte, die Konten blockieren, wenn sie einen allgemeinen Grenzwert für ausgehende Nachrichten erreichen, unabhängig von der Spamfilterung für die ausgehenden Nachrichten. Ein kompromittiertes Konto könnte Zero-Day-Spam (bisher unbekannt) senden, der vom Spamfilter übersehen wird. Da es schwierig sein kann, eine legitime Massensendungskampagne im Vergleich zu einer Spam-Kampagne zu identifizieren, helfen diese Grenzwerte, potenzielle Schäden zu minimieren.

* Wir kündigen nicht die genauen Grenzwerte an, damit Spammer das System nicht spielen können, und daher können wir die Grenzwerte nach Bedarf erhöhen oder verringern. Die Grenzwerte sind hoch genug, um zu verhindern, dass ein durchschnittlicher Geschäftsbenutzer sie jemals überschreitet, und niedrig genug, um den durch einen Spammer verursachten Schaden zu begrenzen.

Empfehlungen für Kunden, die Massensendungen über EOP versenden möchten

Es ist schwierig, ein Gleichgewicht zwischen Kunden zu finden, die eine große Anzahl von E-Mails senden möchten, im Vergleich zum Schutz des Diensts vor kompromittierten Konten und Massen-E-Mail-Absendern mit schlechten Methoden zum Abrufen von Empfängern. Es ist besser für uns, einen Benutzer zu blockieren, der zu viele E-Mails sendet, als Massenaktivitäten zuzulassen, die dazu führen, dass Microsoft 365-E-Mail-Server auf einer IP-Sperrliste eines Drittanbieters landen. Die damit verbundenen Kosten und Risiken für den Dienst sind einfach zu groß.

Wie in der Exchange Online Dienstbeschreibung beschrieben, ist die Verwendung von EOP zum Senden von Massen-E-Mails keine unterstützte Verwendung des Diensts und nur auf "Best-Effort"-Basis zulässig. Für Kunden, die Massen-E-Mails mithilfe von EOP senden möchten, haben wir die folgenden Empfehlungen:

  • Senden Sie keine große E-Mail-Rate oder -Menge, die dazu führt, dass Sie die Sendegrenzwerte im Dienst nicht überschreiten. Diese Empfehlung schließt auch das Senden von E-Mails an eine große Liste von Bcc-Empfängern ein.
  • Vermeiden Sie die Verwendung von Adressen in Ihrer primären E-Mail-Domäne (z. B. contoso.com) als Absender für Massen-E-Mails. Dies kann sich auf die Zustellung regulärer E-Mails von Absendern in der Domäne auswirken. Erwägen Sie die Verwendung einer benutzerdefinierten Unterdomäne ausschließlich für Massen-E-Mails. Verwenden Sie m.contoso.com beispielsweise für Marketing-E-Mails und t.contoso.com für Transaktions-E-Mails.
  • Konfigurieren Sie alle benutzerdefinierten Unterdomänen mit E-Mail-Authentifizierungseinträgen in DNS (SPF, DKIM und DMARC). Viele E-Mail-Dienstanbieter (z. B. Gmail, Yahoo! und Outlook.com) sind so konfiguriert, dass Nachrichten abgelehnt werden, die nicht den E-Mail-Authentifizierungsstandards entsprechen.
  • Marketing-E-Mails (insbesondere Newsletter) sollten immer eine Möglichkeit enthalten, sich von zukünftigen Nachrichten abzumelden. Einige Absender erfordern, dass Empfänger eine E-Mail an einen angegebenen Alias mit dem Wert "Unsubscribe" in der Betreffzeile senden. Für einen reibungsloseren Prozess ist jedoch eine 1-Klick-Option zum Abmelden vorzuziehen.
  • Entfernen Sie falsche und nicht vorhandene E-Mail-Aliase aus Ihren Datenbanken. Jeder E-Mail-Alias, der einen Rücksprung verursacht, ist nicht nur unnötig, sondern stellt auch ein Risiko für Ihre ausgehenden E-Mails dar, was möglicherweise zu einer verstärkten Überprüfung durch E-Mail-Filterdienste führt. Halten Sie Ihre E-Mail-Datenbank aktuell und frei von redundanten oder nutzlosen E-Mail-Adressen, um die Zustellbarkeit und Reputation zu gewährleisten.

Verwenden Sie die folgenden Ressourcen außerhalb von EOP, um Massen-E-Mails zu senden:

  • Senden von Massen-E-Mails über lokale E-Mail-Server: Kunden verwalten ihre eigene E-Mail-Infrastruktur für Massensendungen.

  • Verwenden eines Drittanbieters für Massen-E-Mail: Es gibt mehrere Drittanbieter für Massen-E-Mail-Lösungen, die Sie zum Senden von Massensendungen verwenden können. Diese Unternehmen haben ein berechtigtes Interesse daran, mit Kunden zusammenzuarbeiten, um gute Verfahren zum Senden von E-Mails sicherzustellen.

    Die Messaging, Mobile, Malware Anti-Abuse Working Group (MAAWG) veröffentlicht ihre Mitgliederliste unter https://www.maawg.org/about/roster. Mehrere Massen-E-Mail-Anbieter stehen auf der Liste und sind bekannt als verantwortungsbewusste Internetbürger.