Zero-Hour Auto Purge (ZAP) in Exchange Online

Gilt für

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Grundlagen der automatischen Bereinigung (Zero-Hour Auto Purge, ZAP)

In Microsoft 365 Organisationen mit Postfächern in Exchange Online ist ZAP (Zero-Hour Auto Purge) ein E-Mail-Schutzfeature, das schädliche Phishing-, Spam- oder Schadsoftwarenachrichten, die bereits an Exchange Online Postfächer übermittelt wurden, rückwirkend erkennt und neutralisiert.

ZAP funktioniert nicht in eigenständigen Exchange Online Protection (EOP)-Umgebungen, die lokale Exchange-Postfächer schützen.

Funktionsweise von ZAP

Spam- und Schadsoftwaresignaturen werden im Dienst täglich in Echtzeit aktualisiert. Benutzer können jedoch weiterhin schädliche Nachrichten aus einer Vielzahl von Gründen empfangen, z. B. wenn Inhalte nach der Übermittlung an Benutzer bewaffnet werden. ZAP behebt dieses Problem durch kontinuierliche Überwachung von Updates der Spam- und Schadsoftwaresignaturen im Dienst. ZAP kann Nachrichten finden und entfernen, die sich bereits im Postfach eines Benutzers befinden.

Die ZAP-Aktion ist für den Benutzer nahtlos; sie werden nicht benachrichtigt, wenn eine Nachricht erkannt und verschoben wird.

Listen sicherer Absender, Nachrichtenflussregeln (auch als Transportregeln bezeichnet), Posteingangsregeln oder zusätzliche Filter haben Vorrang vor ZAP. Ähnlich wie beim Nachrichtenfluss bedeutet dies, dass selbst wenn der Dienst feststellt, dass zap für die Nachricht aufgrund der Konfiguration des sicheren Absenders nicht reagiert wird. Dies ist ein weiterer Grund, bei der Konfiguration von Nachrichten zur Umgehung der Filterung vorsichtig zu sein.

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie ZAP in Microsoft Defender for Office 365 Automatisch Bedrohungen in E-Mails erkennt und neutralisiert.

Zero-Hour Auto Purge (ZAP) für Schadsoftware

Für gelesene oder ungelesene Nachrichten , die nach der Übermittlung Schadsoftware enthalten, isoliert ZAP die Nachricht, die die Schadsoftwareanlage enthält. Standardmäßig können nur Administratoren in Quarantäne befindliche Schadsoftwarenachrichten anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit Nachrichten tun dürfen, die als Schadsoftware unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

ZAP für Schadsoftware ist in Anti-Malware-Richtlinien standardmäßig aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishing

Bei gelesenen oder ungelesenen Nachrichten , die nach der Zustellung als Phishing identifiziert werden, hängt das ZAP-Ergebnis von der Aktion ab, die für eine Phishing-E-Mail-Filterung in der geltenden Antispamrichtlinie konfiguriert ist. Die verfügbaren Filterbewertungsaktionen für Phishing und ihre möglichen ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

Standardmäßig ist ZAP für Phishing in Antispamrichtlinien aktiviert, und die Standardaktion für die Phishing-E-Mail-Filterung ist Quarantänenachricht, was bedeutet, dass ZAP für Phishing die Nachricht standardmäßig unter Quarantäne stellt.

Weitere Informationen zum Konfigurieren von Spamfilterungsbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

Zero-Hour Auto Purge (ZAP) für Phishing mit hoher Zuverlässigkeit

Für gelesene oder ungelesene Nachrichten , die nach der Übermittlung als Phishing mit hoher Zuverlässigkeit identifiziert werden, wird die Nachricht von ZAP unter Quarantäne gesetzt. Standardmäßig können nur Administratoren in Quarantäne befindliche Phishingnachrichten mit hoher Zuverlässigkeit anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit Nachrichten tun dürfen, die als Phishing mit hohem Vertrauen unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

ZAP für hoch konfidenzfähigen Phish ist standardmäßig aktiviert. Weitere Informationen finden Sie unter Secure by Default in Office 365.

Zero-Hour Auto Purge (ZAP) für Spam

Bei ungelesenen Nachrichten , die nach der Zustellung als Spam identifiziert werden, hängt das ZAP-Ergebnis von der Aktion ab, die für die Bewertung der Spamfilterung in der geltenden Antispamrichtlinie konfiguriert ist. Die verfügbaren Filterbewertungsaktionen für Spam und ihre möglichen ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

  • X-Header hinzufügen, Betreffzeile mit Text voranstellen, Nachricht an E-Mail-Adresse umleiten, Nachricht löschen: ZAP führt keine Aktion für die Nachricht aus.

  • Nachricht in Junk-Email verschieben: ZAP verschiebt die Nachricht in den Ordner Junk Email. Weitere Informationen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Microsoft 365.

  • Nachricht unter Quarantäne stellen: ZAP isoliert die Nachricht. Standardmäßig können Endbenutzer spamquarantäne Nachrichten anzeigen und verwalten, bei denen sie empfänger sind. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer mit Nachrichten tun dürfen, die als Spam unter Quarantäne gesetzt wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

Standardmäßig ist SPAM-ZAP in Antispamrichtlinien aktiviert, und die Standardaktion für die Spamfilterungsbewertung lautet Nachricht in Junk-Email Ordner verschieben. Dies bedeutet, dass spam-ZAP ungelesene Nachrichten standardmäßig in den Ordner Junk Email verschiebt.

Weitere Informationen zum Konfigurieren von Spamfilterungsbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

Überlegungen zur automatischen Löschung (Zero-Hour Auto Purge, ZAP) für Microsoft Defender for Office 365

ZAP isoliert keine Nachrichten, die sich im Prozess der dynamischen Übermittlung in der Richtlinienüberprüfung sicherer Anlagen befinden. Wenn ein Phishing- oder Spamsignal für Nachrichten in diesem Zustand empfangen wird und das Filterurteil in der Antispamrichtlinie so festgelegt ist, dass eine Aktion für die Nachricht ausgeführt wird (In Junk verschieben, Umleiten, Löschen oder Quarantäne), dann verwendet ZAP standardmäßig die Aktion "In Junk verschieben".

So überprüfen Sie, ob ZAP Ihre Nachricht verschoben hat

Um festzustellen, ob ZAP Ihre Nachricht verschoben hat, haben Sie die folgenden Optionen:

Hinweis

ZAP wird in den Überwachungsprotokollen des Exchange-Postfachs nicht als Systemaktion protokolliert.

Häufig gestellte Fragen zur automatischen Bereinigung (Zero-Hour Auto Purge, ZAP)

Was geschieht, wenn eine legitime Nachricht in den Ordner Junk Email verschoben wird?

Sie sollten den normalen Berichtsprozess für falsch positive Ergebnisse befolgen. Der einzige Grund, warum die Nachricht aus dem Posteingang in den Junk-Email Ordner verschoben wird, ist, dass der Dienst festgestellt hat, dass die Nachricht Spam oder böswillig war.

Was geschieht, wenn ich den Quarantäneordner anstelle des Junk-E-Mail-Ordners verwende?

ZAP ergreift Maßnahmen für eine Nachricht basierend auf der Konfiguration Ihrer Antispamrichtlinien, wie weiter oben in diesem Artikel beschrieben.

Was geschieht, wenn ich sichere Absender, Nachrichtenflussregeln oder Listen zugelassener/blockierter Absender verwende?

Sichere Absender, Nachrichtenflussregeln oder Blockieren und Zulassen von Organisationseinstellungen haben Vorrang. Diese Nachrichten werden von ZAP ausgeschlossen, da der Dienst die von Ihnen konfigurierten Aufgaben ausführt. Dies ist ein weiterer Grund, bei der Konfiguration von Nachrichten zur Umgehung der Filterung vorsichtig zu sein.

Was sind die Lizenzierungsanforderungen für die automatische Zero-Hour-Bereinigung (ZAP) für die Arbeit?

Es gibt keine Einschränkungen für Lizenzen. ZAP arbeitet mit allen Postfächern, die in Exchange Online gehostet werden. ZAP funktioniert nicht in eigenständigen Exchange Online Protection (EOP)-Umgebungen, die lokale Exchange-Postfächer schützen.

Was geschieht, wenn eine Nachricht in einen anderen Ordner verschoben wird (z. B. Posteingangsregeln)?

Die automatische Löschdauer für die Stunde funktioniert weiterhin, solange die Nachricht nicht gelöscht wurde oder die gleiche oder stärkere Aktion nicht bereits angewendet wurde. Wenn die Antiphishingrichtlinie beispielsweise auf Quarantäne festgelegt ist und sich die Nachricht bereits im Junk-Email befindet, wird ZAP maßnahmen ergreifen, um die Nachricht unter Quarantäne zu stellen.

Wie wirkt sich ZAP auf postfächer im Warteschleifen aus?

Bei der automatischen Löschung von 0 Stunden werden Nachrichten aus Postfächern im Haltestatus unter Quarantäne gesetzt. ZAP kann Nachrichten basierend auf der Aktion, die für eine Spam- oder Phishingbewertung in Antispamrichtlinien konfiguriert ist, in den Ordner Junk-Email verschieben.

Weitere Informationen zu Haltebereichen in Exchange Online finden Sie unter In-Situ-Aufbewahrung und Beweissicherungsverfahren in Exchange Online.