Schutz vor Schadsoftware in EOP

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für

In Microsoft 365 Organisationen mit Postfächern in Exchange Online- oder eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer werden E-Mail-Nachrichten automatisch durch EOP vor Schadsoftware geschützt. Einige der Hauptkategorien von Schadsoftware sind:

  • Viren , die andere Programme und Daten infizieren und sich über Ihren Computer oder Ihr Netzwerk verbreiten und nach infizierenden Programmen suchen.
  • Spyware , die Ihre persönlichen Daten sammelt, z. B. Anmeldeinformationen und personenbezogene Daten, und diese an den Autor zurücksendet.
  • Ransomware, die Ihre Daten verschlüsselt und eine Zahlung zur Entschlüsselung anfordert. Antischadsoftware hilft Ihnen nicht, verschlüsselte Dateien zu entschlüsseln, aber sie kann die Malware-Nutzlast erkennen und entfernen, die mit der Ransomware verbunden ist.

EOP bietet mehrschichtigen Schutz vor Schadsoftware, der darauf ausgelegt ist, alle bekannten Schadsoftware in Windows, Linux und Mac abzufangen, die in Ihre Organisation oder aus Ihrer Organisation herausreisen. Die folgenden Optionen unterstützen den Antischadsoftwareschutz:

  • mehrstufige Schutzmaßnahmen gegen Schadsoftware: Mehrere Antischadsoftware-Scan-Engines helfen beim Schutz vor bekannten und unbekannten Bedrohungen. Diese Module beinhalten leistungsstarke heuristische Erkennungsfunktionen, um bereits frühzeitig Schutz bei Schadsoftwareausbrüchen zu bieten. Durch den Einsatz mehrerer Module kann deutlich mehr Schutz bereitgestellt werden als mit nur einem einzigen Antischadsoftwaremodul.
  • Reaktion auf Bedrohungen in Echtzeit: Während einiger Ausbrüche hat das Antischadsoftware-Team möglicherweise genügend Informationen über einen Virus oder eine andere Form von Schadsoftware, um komplexe Richtlinienregeln zu schreiben, die die Bedrohung erkennen, noch bevor eine Definition von einem der vom Dienst verwendeten Scanmodule verfügbar ist. Diese Regeln werden alle zwei Stunden im globalen Netzwerk veröffentlicht, um Ihrer Organisation eine zusätzliche Schutzebene gegen Angriffe bereitzustellen.
  • Schnelle Bereitstellung von Antischadsoftwaredefinitionen: Das Antischadsoftware-Team unterhält enge Beziehungen zu Partnern, die Antischadsoftwaremodule entwickeln. Dadurch erhält und integriert der Dienst Schadsoftwaredefinitionen und Patches, bevor diese veröffentlicht werden. Durch unsere Verbindungen zu diesen Partnern sind wir zudem häufig in der Lage, selbst Maßnahmen zu entwickeln. Der Dienst prüft stündlich auf aktualisierte Definitionen für sämtliche Antischadsoftwaremodule.

In EOP werden Nachrichten, die Schadsoftware in allen Anlagen enthalten, unter Quarantäne gesetzt. Ob die Empfänger die isolierten Nachrichten anzeigen oder anderweitig mit ihnen interagieren können, wird durch Quarantänerichtlinien gesteuert. Standardmäßig können Nachrichten, die aufgrund von Schadsoftware in Quarantäne gesetzt wurden, nur von Administratoren angezeigt und freigegeben werden. Weitere Informationen finden Sie in den folgenden Themen:

Weitere Informationen zum Schutz vor Schadsoftware finden Sie in den häufig gestellten Fragen zum Schutz vor Schadsoftware.

Informationen zum Konfigurieren von Antischadsoftwarerichtlinien finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien.

Informationen zum Übermitteln von Schadsoftware an Microsoft finden Sie unter "Melden von Nachrichten und Dateien an Microsoft".

Antischadsoftwarerichtlinien

Antischadsoftwarerichtlinien steuern die Einstellungen und Benachrichtigungsoptionen für Schadsoftwareerkennungen. Die wichtigen Einstellungen in Anti-Malware-Richtlinien sind:

  • Empfängerbenachrichtigungen: Standardmäßig wird einem Nachrichtenempfänger nicht mitgeteilt, dass eine für sie vorgesehene Nachricht aufgrund von Schadsoftware unter Quarantäne gesetzt wurde. Sie können jedoch Empfängerbenachrichtigungen in Form der Zustellung der ursprünglichen Nachricht aktivieren, wobei alle Anlagen entfernt und durch eine einzige Datei namens Malware Alert Text.txt ersetzt werden, die den folgenden Text enthält:

    Schadsoftware wurde in einer oder mehreren Anlagen erkannt, die in dieser E-Mail-Nachricht enthalten sind.
    Aktion: Alle Anlagen wurden entfernt.
    <Original malware attachment name> <Malware detection result>

    Sie können den Standardtext in der Datei "Malware Alert Text.txt " durch Ihren eigenen benutzerdefinierten Text ersetzen.

  • Filter für allgemeine Anlagen: Es gibt bestimmte Dateitypen, die Sie wirklich nicht per E-Mail senden sollten (z. B. ausführbare Dateien). Warum sollten Sie diese Dateitypen auf Schadsoftware überprüfen, wenn Sie sie wahrscheinlich alle blockieren sollten? Hier kommt der allgemeine Anlagenfilter ins Ziel. Es ist standardmäßig deaktiviert, aber wenn Sie es aktivieren, werden die von Ihnen angegebenen Dateitypen automatisch als Schadsoftware behandelt. Sie können die Standardliste der Dateitypen verwenden oder die Liste anpassen. Die Standarddateitypen sind: ace, ani, app, cab, docm, exe, iso, jar, jnlp, reg, scr, vbe, vbs.

    Der Filter für allgemeine Anlagen verwendet best effort true-typing, um den Dateityp unabhängig von der Dateinamenerweiterung zu erkennen. Wenn die True-Eingabe fehlschlägt oder für den angegebenen Dateityp nicht unterstützt wird, wird ein einfacher Erweiterungsabgleich verwendet.

  • Zero-Hour Auto Purge (ZAP) for malware: ZAP for malware quarantines messages that are found to contain malware after they've been delivered to Exchange Online mailboxes. Standardmäßig ist ZAP für Schadsoftware aktiviert, und es wird empfohlen, es aktiviert zu lassen.

  • Absenderbenachrichtigungen: Standardmäßig wird einem Nachrichtensender nicht mitgeteilt, dass seine Nachricht aufgrund von Schadsoftware unter Quarantäne gesetzt wurde. Sie können jedoch Benachrichtigungen für Absender basierend darauf aktivieren, ob der Absender intern oder extern ist. Die Standardbenachrichtigung sieht wie folgt aus:

    Von: Postmaster postmaster@<defaultdomain>.com
    Betreff: Nicht zustellbare Nachricht

    „Diese Nachricht wurde von E-Mail-Zustellungssoftware automatisch erstellt. Ihre E-Mail wurde nicht an die gewünschten Empfänger übermittelt, da Schadsoftware erkannt wurde.“ Alle Anlagen wurden gelöscht.

    --- zusätzliche Informationen ---:

    Betreff: <message subject>
    Absender: <message sender>

    Empfangszeit: <date/time>
    Nachrichten-ID: <message id>
    Gefundene Erkennungen:
    <attachment name> <malware detection result>

    Sie können die Absenderadresse, den Betreff und den Nachrichtentext für interne und externe Benachrichtigungen anpassen.

    Sie können auch einen zusätzlichen Empfänger (einen Administrator) angeben, der Benachrichtigungen über Schadsoftware empfängt, die in Nachrichten von internen oder externen Absendern erkannt wurde.

    Hinweis

    Administratorbenachrichtigungen werden nur für Anlagen gesendet, die als Schadsoftware klassifiziert sind.

  • Empfängerfilter: Für benutzerdefinierte Antischadsoftwarerichtlinien können Sie Empfängerbedingungen und Ausnahmen angeben, die bestimmen, für wen die Richtlinie gilt. Sie können die folgenden Eigenschaften für Bedingungen und Ausnahmen verwenden:

    • Der Empfänger ist
    • Die Empfängerdomäne ist
    • Der Empfänger ist Mitglied von

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, die Bedingung oder Ausnahme kann aber mehrere Werte enthalten. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

  • Priorität: Wenn Sie mehrere benutzerdefinierte Antischadsoftwarerichtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Keine zwei Richtlinien können die gleiche Priorität aufweisen, und die Richtlinienverarbeitung endet, nachdem die erste Richtlinie angewendet wurde.

    Weitere Informationen über die Prioritätsreihenfolge und darüber, wie mehrere Richtlinien ausgewertet und angewendet werden, finden Sie unter Reihenfolge und Priorität beim E-Mail-Schutz.

Antischadsoftwarerichtlinien im Microsoft 365 Defender-Portal im Vergleich zu PowerShell

Die grundlegenden Elemente einer Antischadsoftwarerichtlinie sind:

  • Die Schadsoftwarefilterrichtlinie: Gibt die Empfängerbenachrichtigung, die Absender- und Administratorbenachrichtigung, ZAP und die allgemeinen Anlagenfiltereinstellungen an.
  • Die Schadsoftwarefilterregel: Gibt die Prioritäts- und Empfängerfilter (für die die Richtlinie gilt) für eine Schadsoftwarefilterrichtlinie an.

Der Unterschied zwischen diesen beiden Elementen ist nicht offensichtlich, wenn Sie Anti-Malware-Richtlinien im Microsoft 365 Defender-Portal verwalten:

  • Wenn Sie eine Antischadsoftwarerichtlinie erstellen, erstellen Sie tatsächlich eine Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie gleichzeitig mit demselben Namen für beide.
  • Wenn Sie eine Antischadsoftwarerichtlinie ändern, ändern Einstellungen im Zusammenhang mit dem Namen, der Priorität, aktivierten oder deaktivierten Und Empfängerfiltern die Schadsoftwarefilterregel. Andere Einstellungen (Empfängerbenachrichtigung, Absender- und Administratorbenachrichtigung, ZAP und der Filter für allgemeine Anlagen) ändern die zugeordnete Schadsoftwarefilterrichtlinie.
  • Wenn Sie eine Antischadsoftwarerichtlinie entfernen, werden die Schadsoftwarefilterregel und die zugehörige Schadsoftwarefilterrichtlinie entfernt.

In Exchange Online PowerShell oder der eigenständigen EOP PowerShell ist der Unterschied zwischen Schadsoftwarefilterrichtlinien und Schadsoftwarefilterregeln offensichtlich. Richtlinien für den Schadsoftwarefilter werden mithilfe der *-MalwareFilterPolicy -Cmdlets verwaltet, Regeln für Schadsoftwarefilter hingegen mit den *-MalwareFilterRule -Cmdlets.

  • In PowerShell erstellen Sie zuerst die Malwarefilterrichtlinie und dann die Schadsoftwarefilterregel, die die Richtlinie identifiziert, für die die Regel gilt.
  • In PowerShell ändern Sie die Einstellungen in der Schadsoftwarefilterrichtlinie und der Schadsoftwarefilterregel separat.
  • Wenn Sie eine Schadsoftwarefilterrichtlinie aus PowerShell entfernen, wird die entsprechende Schadsoftwarefilterregel nicht automatisch entfernt und umgekehrt.

Standardmäßige Antischadsoftwarerichtlinie

Jede Organisation verfügt über eine integrierte Antischadsoftwarerichtlinie mit dem Namen "Standard", die über die folgenden Eigenschaften verfügt:

  • Die Richtlinie wird auf alle Empfänger in der Organisation angewendet, obwohl der Richtlinie keine Schadsoftwarefilterregel (Empfängerfilter) zugeordnet ist.
  • Die Richtlinie weist den benutzerdefinierten Prioritätswert Niedrigster auf, der nicht geändert werden kann (die Richtlinie wird immer als letztes angewendet). Alle benutzerdefinierten Antischadsoftwarerichtlinien, die Sie erstellen, haben immer eine höhere Priorität als die Richtlinie mit dem Namen "Standard".
  • Die Richtlinie ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert True), und die Standardrichtlinie kann nicht gelöscht werden.