Antiphishingrichtlinien in Microsoft 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Richtlinien zum Konfigurieren von Antiphishingschutzeinstellungen sind in Microsoft 365-Organisationen mit Exchange Online Postfächern, eigenständigen EOP-Organisationen (Standalone Exchange Online Protection) ohne Exchange Online Postfächer verfügbar. Microsoft Defender for Office 365 Organisationen.

Beispiele für Microsoft Defender for Office 365 Organisationen:

Die allgemeinen Unterschiede zwischen Anti-Phishing-Richtlinien in EOP und Antiphishing-Richtlinien in Defender for Office 365 werden in der folgenden Tabelle beschrieben:

Feature Antiphishing-Richtlinien
in EOP		 Antiphishing-Richtlinien
in Defender for Office 365
Automatisch erstellte Standardrichtlinie
Erstellen Sie benutzerdefinierte Richtlinien
Allgemeine Richtlinieneinstellungen*
Spoofeinstellungen
Sicherheitstipp für den ersten Kontakt
Identitätswechseleinstellungen
Erweiterte Phishingschwellenwerte

* In der Standardrichtlinie sind der Richtlinienname und die Beschreibung schreibgeschützt (die Beschreibung ist leer), und Sie können nicht angeben, für wen die Richtlinie gilt (die Standardrichtlinie gilt für alle Empfänger).

Informationen zum Konfigurieren von Antiphishingrichtlinien finden Sie in den folgenden Artikeln:

Im weiteren Verlauf dieses Artikels werden die Einstellungen beschrieben, die in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar sind.

Allgemeine Richtlinieneinstellungen

Die folgenden Richtlinieneinstellungen sind in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar:

  • Name: Sie können die Standardmäßige Antiphishingrichtlinie nicht umbenennen. Nachdem Sie eine benutzerdefinierte Antiphishingrichtlinie erstellt haben, können Sie die Richtlinie im Microsoft Defender Portal nicht umbenennen.

  • Beschreibung Sie können der Standardmäßigen Antiphishingrichtlinie keine Beschreibung hinzufügen, aber Sie können die Beschreibung für benutzerdefinierte Richtlinien, die Sie erstellen, hinzufügen und ändern.

  • Benutzer, Gruppen und Domänen und Diese Benutzer, Gruppen und Domänen ausschließen: Empfängerfilter, um die internen Empfänger zu identifizieren, für die die Richtlinie gilt. In benutzerdefinierten Richtlinien ist mindestens eine Bedingung erforderlich. Bedingungen und Ausnahmen sind in der Standardrichtlinie nicht verfügbar (die Standardrichtlinie gilt für alle Empfänger). Sie können die folgenden Empfängerfilter für Bedingungen und Ausnahmen verwenden:

    • Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte im organization.
    • Gruppen:
      • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
      • Die angegebene Microsoft 365-Gruppen.
    • Domänen: Mindestens eine der konfigurierten akzeptierten Domänen in Microsoft 365. Die primäre E-Mail-Adresse des Empfängers befindet sich in der angegebenen Domäne.

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten:

    • Mehrere Wertederselben Bedingung oder Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>):

      • Bedingungen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf diese angewendet.
      • Ausnahmen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

    • Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

    • Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

      • Benutzer: romain@contoso.com
      • Gruppen: Führungskräfte

      Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

    Tipp

    In benutzerdefinierten Antiphishingrichtlinien ist mindestens eine Auswahl in den Einstellungen Benutzer, Gruppen und Domänen erforderlich, um die Nachrichtenempfänger zu identifizieren, für die die Richtlinie gilt. Antiphishingrichtlinien in Defender for Office 365 verfügen auch über Identitätswechseleinstellungen, in denen Sie Absender-E-Mail-Adressen oder Absenderdomänen angeben können, die den Identitätswechselschutz erhalten, wie weiter unten in diesem Artikel beschrieben.

Spoofeinstellungen

Spoofing ist der Fall, wenn die From-Adresse in einer E-Mail-Nachricht (die Absenderadresse, die in E-Mail-Clients angezeigt wird) nicht mit der Domäne der E-Mail-Quelle übereinstimmt. Weitere Informationen zum Spoofing finden Sie unter Schutz vor Spoofing in Microsoft 365.

Die folgenden Spoofeinstellungen sind in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar:

  • Spoofintelligenz aktivieren: Aktiviert oder deaktiviert die Spoofintelligenz. Es wird empfohlen, die Option aktiviert zu lassen.

    Wenn Spoofintelligenz aktiviert ist, zeigt die Erkenntnis der Spoofintelligenz spoofierte Absender an, die automatisch erkannt und durch Spoofintelligenz zugelassen oder blockiert wurden. Sie können die Spoofintelligenz-Bewertung manuell überschreiben, um die erkannten gefälschten Absender aus der Erkenntnis zuzulassen oder zu blockieren. Wenn Sie dies jedoch tun, verschwindet der gefälschte Absender aus der Spoofintelligenz-Erkenntnis und wird nur auf der Registerkarte Spoofed Senders auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemangezeigt. Sie können auch manuell Zulassungs- oder Sperreinträge für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste erstellen, auch wenn sie von der Spoofintelligenz-Erkenntnis nicht erkannt werden. Weitere Informationen finden Sie in den folgenden Artikeln:

    Hinweis

    • Der Schutz vor Spoofing ist in den voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" aktiviert und standardmäßig in der Standardmäßigen Antiphishingrichtlinie und in neuen benutzerdefinierten Antiphishingrichtlinien aktiviert, die Sie erstellen.
    • Sie müssen den Anti-Spoofing-Schutz nicht deaktivieren, wenn Ihr MX-Eintrag nicht auf Microsoft 365 verweist. sie stattdessen die erweiterte Filterung für Connectors aktivieren. Anweisungen hierzu finden Sie unter Erweiterte Filterung für Connectors in Exchange Online.
    • Das Deaktivieren des Antispoofingschutzes deaktiviert nur den impliziten Spoofingschutz vor zusammengesetzten Authentifizierungsprüfungen . Informationen dazu, wie sich expliziteDMARC-Überprüfungen vom Antispoofingschutz und der Konfiguration der DMARC-Richtlinie der Quelldomäne (p=quarantine oder p=reject im DMARC TXT-Eintrag) auswirken, finden Sie im Abschnitt Spoofschutz- und Absender-DMARC-Richtlinien .

  • Nicht authentifizierte Absenderindikatoren: Sind nur im Abschnitt Sicherheitstipps & Indikatoren verfügbar, wenn Spoofintelligenz aktiviert ist. Weitere Informationen finden Sie im nächsten Abschnitt.

  • Aktionen: Für Nachrichten von blockierten gefälschten Absendern (automatisch durch Spoofintelligenz blockiert (Verbundauthentifizierungsfehler plus böswillige Absicht) oder manuell blockiert in der Mandantenliste Zulassen/Blockieren), können Sie auch die Aktion angeben, die für die Nachrichten ausgeführt werden soll:

Dmarc-Richtlinien für Spoofschutz und Absender

In Antiphishingrichtlinien können Sie steuern, ob p=quarantine die Werte oder p=reject in den DMARC-Richtlinien des Absenders berücksichtigt werden. Wenn eine Nachricht dmarc-Überprüfungen nicht erfolgreich ist, können Sie separate Aktionen für p=quarantine oder p=reject in der DMARC-Richtlinie des Absenders angeben. Die folgenden Einstellungen sind beteiligt:

  • DMARC-Datensatzrichtlinie berücksichtigen, wenn die Nachricht als Spoof erkannt wird: Mit dieser Einstellung wird die DMARC-Richtlinie des Absenders bei expliziten E-Mail-Authentifizierungsfehlern berücksichtigt. Wenn diese Einstellung ausgewählt ist, sind die folgenden Einstellungen verfügbar:

    • Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=quarantine festgelegt ist: Die verfügbaren Aktionen sind:
      • Quarantäne der Nachricht
      • Verschieben der Nachricht in die Junk-Email Ordner der Empfänger
    • Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=reject festgelegt ist: Die verfügbaren Aktionen sind:
      • Quarantäne der Nachricht
      • Ablehnen der Nachricht

    Wenn Sie Die Nachricht als Aktion unter Quarantäne stellen auswählen, wird die Quarantänerichtlinie verwendet, die für den Schutz vor Spoofintelligenz ausgewählt ist.

DMARC-Einstellungen in einer Antiphishingrichtlinie.

Die Beziehung zwischen Spoofintelligenz und ob DMARC-Richtlinien des Absenders berücksichtigt werden, wird in der folgenden Tabelle beschrieben:

  DMARC-Richtlinie berücksichtigen ein DMARC-Richtlinie berücksichtigen Aus
Spoofintelligenz ein Separate Aktionen für implizite und explizite E-Mail-Authentifizierungsfehler:
  • Implizite Fehler: Verwenden Sie die Aktion Wenn die Nachricht als Spoof durch Spoofintelligenz erkannt wird in der Antiphishingrichtlinie.
  • Explizite Fehler:
    • DMARC-Richtlinie p=quarantine: Verwenden Sie die Aktion Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie als p=quarantäne-Aktion in der Anti-Phishing-Richtlinie festgelegt ist.
    • DMARC-Richtlinie p=reject: Verwenden Sie die Aktion Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie in der Anti-Phishing-Richtlinie auf p=reject festgelegt ist .
    • DMARC-Richtlinie p=none: Microsoft 365 wendet keine Aktion an, aber andere Schutzfunktionen im Filterstapel können weiterhin auf die Nachricht reagieren.
 Die Aktion If the message is detected as spoof by spoof intelligence in the anti-phishing policy is used for implicit and explicit email authentication failures. Explizite E-Mail-Authentifizierungsfehler ignorieren p=quarantine, p=reject, p=noneoder andere Werte in der DMARC-Richtlinie.
Spoofintelligenz aus Implizite E-Mail-Authentifizierungsprüfungen werden nicht verwendet.

Explizite E-Mail-Authentifizierungsfehler:
  • DMARC-Richtlinie p=quarantine: Verwenden Sie die Aktion Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie als p=quarantäne-Aktion in der Anti-Phishing-Richtlinie festgelegt ist.
  • DMARC-Richtlinie p=reject: Verwenden Sie die Aktion Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie in der Anti-Phishing-Richtlinie auf p=reject festgelegt ist .
  • DMARC-Richtlinie p=none: Die Nachricht wird von Microsoft 365 nicht als Spoofing identifiziert, aber andere Schutzfunktionen im Filterstapel können weiterhin auf die Nachricht reagieren.
 Implizite E-Mail-Authentifizierungsprüfungen werden nicht verwendet.

Explizite E-Mail-Authentifizierungsfehler:
  • DMARC-Richtlinie p=quarantine: Nachrichten werden unter Quarantäne gesetzt.
  • DMARC-Richtlinie p=reject: Nachrichten werden unter Quarantäne gesetzt.
  • DMARC-Richtlinie p=none: Microsoft 365 wendet keine Aktion an, aber andere Schutzfunktionen im Filterstapel können weiterhin auf die Nachricht reagieren.

Hinweis

Wenn der MX-Eintrag für die Microsoft 365-Domäne auf einen Drittanbieterdienst oder ein Gerät verweist, das sich vor Microsoft 365 befindet, wird die Richtlinieneinstellung DMARC honor nur angewendet, wenn die erweiterte Filterung für Connectors für den Connector aktiviert ist, der eingehende Nachrichten empfängt.

Kunden können die Einstellung DMARC-Richtlinien für bestimmte E-Mail-Nachrichten und/oder Absender mit den folgenden Methoden außer Kraft setzen:

  • Administratoren oder Benutzer können die Absender der Liste sicherer Absender im Postfach des Benutzers hinzufügen.
  • Administratoren können den Einblick in die Spoofintelligenz oder die Mandantenzulassungsliste/-sperrliste verwenden, um Nachrichten von dem gefälschten Absender zuzulassen.
  • Administratoren erstellen eine Exchange-Nachrichtenflussregel (auch bekannt als Transportregel) für alle Benutzer, die Nachrichten dieser bestimmten Absender zulassen.
  • Administratoren erstellen eine Exchange-Nachrichtenflussregel für alle Benutzer für abgelehnte E-Mails, die die DMARC-Richtlinie des organization nicht erfüllt.

Indikatoren für nicht authentifizierte Absender

Indikatoren für nicht authentifizierte Absender sind Teil der Spoof-Einstellungen, die im Abschnitt Sicherheitstipps & Indikatoren unter Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar sind. Die folgenden Einstellungen sind nur verfügbar, wenn Spoofintelligenz aktiviert ist:

  • Anzeigen (?) für nicht authentifizierte Absender für Spoofs: Fügt dem Foto des Absenders im Feld Von ein Fragezeichen hinzu, wenn die Nachricht SPF- oder DKIM-Überprüfungen nicht besteht und die Nachricht keine DMARC- oder zusammengesetzte Authentifizierung besteht. Wenn diese Einstellung deaktiviert ist, wird das Fragezeichen nicht zum Foto des Absenders hinzugefügt.

  • Tag "via" anzeigen: Fügt das "via"-Tag (chris@contoso.comüber fabrikam.com) im Feld Von hinzu, wenn sich die Domäne in der From-Adresse (der Nachrichtensender, der in E-Mail-Clients angezeigt wird) von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Weitere Informationen zu diesen Adressen finden Sie unter Eine Übersicht über E-Mail-Nachrichtenstandards.

Um zu verhindern, dass das Fragezeichen oder das "via"-Tag nachrichten von bestimmten Absendern hinzugefügt wird, haben Sie die folgenden Optionen:

  • Lassen Sie den gefälschten Absender in der Spoof Intelligence-Erkenntnis oder manuell in der Mandanten-Zulassungs-/Sperrliste zu. Das Zulassen des gefälschten Absenders verhindert, dass das "via"-Tag in Nachrichten des Absenders angezeigt wird, auch wenn die Einstellung "Via" anzeigen in der Richtlinie aktiviert ist.
  • Konfigurieren Sie die E-Mail-Authentifizierung für die Absenderdomäne.
    • Für das Fragezeichen auf dem Foto des Absenders sind SPF oder DKIM die wichtigsten.
    • Vergewissern Sie sich für das "via"-Tag, dass die Domäne in der DKIM-Signatur oder die MAIL FROM-Adresse mit der Domäne in der Von-Adresse übereinstimmt (oder eine Unterdomäne von ist).

Weitere Informationen finden Sie unter Identifizieren verdächtiger Nachrichten in Outlook.com und Outlook im Web

Sicherheitstipp für den ersten Kontakt

Die Einstellung Sicherheitstipps für den ersten Kontakt anzeigen ist in EOP und Defender for Office 365 Organisationen verfügbar und ist nicht von Den Einstellungen für Spoofintelligenz oder Identitätswechselschutz abhängig. Der Sicherheitstipp wird empfängern in den folgenden Szenarien angezeigt:

  • Wenn sie zum ersten Mal eine Nachricht von einem Absender erhalten
  • Sie erhalten nicht oft Nachrichten vom Absender.

Diese Funktion fügt eine zusätzliche Schutzebene vor potenziellen Identitätswechselangriffen hinzu, daher wird empfohlen, sie zu aktivieren.

Die erste Kontaktsicherheitsinfo wird durch den Wert 9,25 des SFTY Felds im X-Forefront-Antispam-Report-Header der Nachricht gesteuert. Diese Funktion ersetzt die Notwendigkeit, Nachrichtenflussregeln (auch als Transportregeln bezeichnet) zu erstellen, die einen Header namens X-MS-Exchange-EnableFirstContactSafetyTip mit dem Wert Enable für Nachrichten hinzufügen, obwohl diese Funktion weiterhin verfügbar ist.

Abhängig von der Anzahl der Empfänger in der Nachricht kann der erste Kontakt-Sicherheitstipp einen der folgenden Werte aufweisen:

  • Einzelner Empfänger:

    Sie erhalten nicht häufig E-Mails von der <E-Mail-Adresse>.

    Der Erste Kontakt-Sicherheitstipp für Nachrichten mit einem Empfänger

  • Mehrere Empfänger:

    Einige Personen, die diese Nachricht erhalten, erhalten nicht häufig E-Mails von der <E-Mail-Adresse>.

    Der Erste Kontakt-Sicherheitstipp für Nachrichten mit mehreren Empfängern

Hinweis

Wenn die Nachricht mehrere Empfänger enthält, gibt an, ob der Tipp angezeigt wird und wem ein Mehrheitsmodell zugrunde liegt. Wenn die Mehrheit der Empfänger noch nie oder nicht häufig Nachrichten vom Absender empfangen hat, erhalten die betroffenen Empfänger den Tipp Einige Personen, die diese Nachricht erhalten haben... . Wenn Sie befürchten, dass dieses Verhalten die Kommunikationsgewohnheiten eines Empfängers für einen anderen verfügbar macht, sollten Sie den Sicherheitstipp für den ersten Kontakt nicht aktivieren und stattdessen weiterhin Nachrichtenflussregeln und den X-MS-Exchange-EnableFirstContactSafetyTip-Header verwenden.

Der erste Kontaktsicherheits-Tipp ist in S/MIME-signierten Nachrichten nicht gestempelt.

Exklusive Einstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365

In diesem Abschnitt werden die Richtlinieneinstellungen beschrieben, die nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar sind.

Hinweis

Die Standardmäßige Antiphishingrichtlinie in Defender for Office 365 bietet Spoofschutz und Postfachintelligenz für alle Empfänger. Die anderen verfügbaren Features für den Identitätswechselschutz und die erweiterten Einstellungen sind jedoch in der Standardrichtlinie nicht konfiguriert oder aktiviert. Um alle Schutzfunktionen zu aktivieren, ändern Sie die Standardmäßige Antiphishingrichtlinie, oder erstellen Sie zusätzliche Antiphishingrichtlinien.

Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365

Beim Identitätswechsel sieht der Absender oder die E-Mail-Domäne des Absenders in einer Nachricht ähnlich wie ein echter Absender oder eine Domäne aus:

  • Ein Beispiel für einen Identitätswechsel der Domäne contoso.com ist ćóntoso.com.
  • Ein Identitätswechsel ist eine Kombination aus dem Anzeigenamen und der E-Mail-Adresse des Benutzers. Beispielsweise kann Valeria Barrios (vbarrios@contoso.com) als Valeria Barrios angenommen werden, aber mit einer anderen E-Mail-Adresse.

Hinweis

Der Identitätswechselschutz sucht nach ähnlichen Domänen. Wenn Ihre Domäne beispielsweise contoso.com ist, suchen wir nach verschiedenen Domänen der obersten Ebene (.com, .biz usw.), aber auch nach Domänen, die sich sogar etwas ähneln. Beispielsweise können contosososo.com oder contoabcdef.com als Identitätswechselversuche von contoso.com angesehen werden.

Eine identitätswechselte Domäne kann andernfalls als legitim angesehen werden (die Domäne ist registriert, DNS-Einträge für die E-Mail-Authentifizierung sind konfiguriert usw.), mit dem Unterschied, dass die Domäne empfänger täuscht.

Die in den folgenden Abschnitten beschriebenen Identitätswechseleinstellungen sind nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar.

Schutz vor Benutzeridentitätswechseln

Der Schutz vor Benutzeridentitätswechseln verhindert, dass bestimmte interne oder externe E-Mail-Adressen als Nachrichtenabsender angenommen werden. Beispielsweise erhalten Sie eine E-Mail vom Vice President Ihres Unternehmens, in der Sie aufgefordert werden, ihr interne Unternehmensinformationen zu senden. Würdest du es tun? Viele Leute würden die Antwort senden, ohne nachzudenken.

Sie können geschützte Benutzer verwenden, um interne und externe Absender-E-Mail-Adressen hinzuzufügen, um vor Identitätswechseln zu schützen. Diese Liste der Absender, die vor Benutzeridentitätswechseln geschützt sind, unterscheidet sich von der Liste der Empfänger , für die die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung Benutzer, Gruppen und Domänen im Abschnitt Allgemeine Richtlinieneinstellungen konfiguriert).

Hinweis

Sie können für den Schutz vor Benutzeridentitätswechseln in jeder Antiphishingrichtlinie maximal 350 Benutzer angeben.

Der Schutz vor Benutzeridentitätswechseln funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn Absender und Empfänger noch nie per E-Mail kommuniziert haben, kann die Nachricht als Identitätswechselversuch identifiziert werden.

Möglicherweise wird die Fehlermeldung "Die E-Mail-Adresse ist bereits vorhanden" angezeigt, wenn Sie versuchen, einen Benutzer zum Schutz vor Benutzeridentitätswechseln hinzuzufügen, wenn diese E-Mail-Adresse bereits für den Schutz vor Benutzeridentitätswechseln in einer anderen Antiphishingrichtlinie angegeben ist. Dieser Fehler tritt nur im Defender-Portal auf. Sie erhalten den Fehler nicht, wenn Sie den entsprechenden TargetedUsersToProtect-Parameter in den Cmdlets New-AntiPhishPolicy oder Set-AntiPhishPolicy in Exchange Online PowerShell verwenden.

Standardmäßig sind keine Absender-E-Mail-Adressen für den Identitätswechselschutz konfiguriert, entweder in der Standardrichtlinie oder in benutzerdefinierten Richtlinien.

Wenn Sie der Liste Zu schützende Benutzer interne oder externe E-Mail-Adressen hinzufügen, unterliegen Nachrichten von diesen Absendern überprüfungen des Identitätswechselschutzes. Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn ein Identitätswechsel in der E-Mail-Adresse des Absenders erkannt wird, wird die Aktion für benutzeridentitätswechsel auf die Nachricht angewendet.

Für erkannte Benutzeridentitätswechselversuche sind die folgenden Aktionen verfügbar:

Schutz vor Domänenidentitätswechsel

Der Schutz vor Domänenidentitätswechsel verhindert, dass bestimmte Domänen in der E-Mail-Adresse des Absenders imitiert werden. Beispielsweise alle Domänen, die Sie besitzen (akzeptierte Domänen) oder bestimmte benutzerdefinierte Domänen (Domänen, die Sie besitzen oder Partnerdomänen). Absenderdomänen , die vor Identitätswechseln geschützt sind, unterscheiden sich von der Liste der Empfänger , auf die die Richtlinie angewendet wird (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung Benutzer, Gruppen und Domänen im Abschnitt Allgemeine Richtlinieneinstellungen konfiguriert).

Hinweis

Sie können maximal 50 benutzerdefinierte Domänen für den Schutz vor Domänenidentitätswechsel in jeder Antiphishingrichtlinie angeben.

Nachrichten von Absendern in den angegebenen Domänen unterliegen überprüfungen des Identitätswechselschutzes. Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn in der Domäne der E-Mail-Adresse des Absenders ein Identitätswechsel erkannt wird, wird die Aktion für den Domänenidentitätswechsel auf die Nachricht angewendet.

Standardmäßig sind keine Absenderdomänen für den Identitätswechselschutz konfiguriert, weder in der Standardrichtlinie noch in benutzerdefinierten Richtlinien.

Für erkannte Domänenidentitätswechselversuche sind die folgenden Aktionen verfügbar:

Schutz vor Identitätswechseln von Postfachintelligenz

Postfachintelligenz verwendet künstliche Intelligenz (KI), um E-Mail-Muster von Benutzern mit ihren häufigen Kontakten zu bestimmen.

Gabriela Laureano (glaureano@contoso.com) ist beispielsweise die GESCHÄFTSFÜHRERin Ihres Unternehmens, sodass Sie sie als geschützte Absenderin in den Einstellungen der Richtlinie Benutzern den Schutz ermöglichen hinzufügen. Einige der Empfänger in der Richtlinie kommunizieren jedoch regelmäßig mit einem Anbieter, der auch Gabriela Laureano (glaureano@fabrikam.com) genannt wird. Da diese Empfänger über einen Kommunikationsverlauf mit glaureano@fabrikam.comverfügen, identifiziert Postfachintelligenz nachrichten von glaureano@fabrikam.com nicht als Identitätswechselversuch für glaureano@contoso.com diese Empfänger.

Hinweis

Der Schutz von Postfachintelligenz funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn absender und empfänger noch nie per E-Mail kommuniziert haben, kann die Nachricht von postfach intelligence als Identitätswechselversuch identifiziert werden.

Postfachintelligenz verfügt über zwei spezifische Einstellungen:

  • Postfachintelligenz aktivieren: Aktivieren oder Deaktivieren der Postfachintelligenz Diese Einstellung hilft der KI, zwischen Nachrichten von legitimen absendern und imitierten Absendern zu unterscheiden. Diese Einstellung ist standardmäßig aktiviert.
  • Intelligenz für identitätswechselschutz aktivieren: Diese Einstellung ist standardmäßig deaktiviert. Verwenden Sie den Kontaktverlauf, der von Der Postfachintelligenz (sowohl häufige Kontakte als auch kein Kontakt) gelernt wurde, um Benutzer vor Identitätswechselangriffen zu schützen. Damit Postfachintelligenz bei erkannten Nachrichten Maßnahmen ergreifen kann, müssen diese Einstellung und die Einstellung Postfachintelligenz aktivieren aktiviert sein.

Für Identitätswechselversuche, die von Postfachintelligenz erkannt werden, sind die folgenden Aktionen verfügbar:

  • Keine Aktion anwenden: Dies ist der Standardwert. Diese Aktion hat das gleiche Ergebnis wie, wenn Postfachintelligenz aktivieren aktiviert ist, aber der Schutz vor Identitätswechseln aktivieren deaktiviert ist.
  • Umleiten der Nachricht an andere E-Mail-Adressen
  • Verschieben der Nachricht in die Junk-Email Ordner der Empfänger
  • Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, können Sie auch die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die per Postfachintelligenzschutz unter Quarantäne stehen. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
  • Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu.
  • Löschen der Nachricht vor der Übermittlung

Sicherheitstipps zum Identitätswechsel

Sicherheitstipps für den Identitätswechsel werden Benutzern angezeigt, wenn Nachrichten als Identitätswechselversuche identifiziert werden. Die folgenden Sicherheitstipps sind verfügbar:

  • Sicherheitstipp "Benutzeridentitätswechsel anzeigen": Die From-Adresse enthält einen Benutzer, der im Benutzeridentitätsschutz angegeben ist. Nur verfügbar, wenn Benutzer schützen aktivieren aktiviert und konfiguriert ist.

    Dieser Sicherheitstipp wird durch den Wert 9,20 des SFTY Felds im X-Forefront-Antispam-Report-Header der Nachricht gesteuert. Der Text lautet:

    Dieser Absender ähnelt einer Person, die Ihnen zuvor eine E-Mail gesendet hat, ist aber möglicherweise nicht diese Person.

  • Sicherheitstipp zum Identitätswechsel anzeigen: Die From-Adresse enthält eine Domäne, die im Schutz vor Domänenidentitätswechsel angegeben ist. Nur verfügbar, wenn Zu schützende Domänen aktivieren aktiviert und konfiguriert ist.

    Dieser Sicherheitstipp wird durch den Wert 9,19 des SFTY Felds im X-Forefront-Antispam-Report-Header der Nachricht gesteuert. Der Text lautet:

    Dieser Absender gibt möglicherweise die Identität einer Domäne an, die Ihrem organization zugeordnet ist.

  • Sicherheitstipp Ungewöhnliche Zeichen für Benutzeridentitätswechsel anzeigen: Die From-Adresse enthält ungewöhnliche Zeichensätze (z. B. mathematische Symbole und Text oder eine Mischung aus Groß- und Kleinbuchstaben) in einem Absender, der im Benutzeridentitätsschutz angegeben ist. Nur verfügbar, wenn Benutzer schützen aktivieren aktiviert und konfiguriert ist. Der Text lautet:

    Die E-Mail-Adresse <email address> enthält unerwartete Buchstaben oder Zahlen. Es wird empfohlen, nicht mit dieser Nachricht zu interagieren.

Hinweis

Sicherheitstipps werden in den folgenden Nachrichten nicht gestempelt:

  • Signierte S/MIME-Nachrichten.
  • Nachrichten, die von Ihren Organisationseinstellungen zulässig sind.

Vertrauenswürdige Absender und Domänen

Vertrauenswürdige Absender und Domäne sind Ausnahmen von den Einstellungen für den Identitätswechselschutz. Nachrichten von den angegebenen Absendern und Absenderdomänen werden von der Richtlinie nie als identitätsbasierte Angriffe klassifiziert. Anders ausgedrückt: Die Aktion für geschützte Absender, geschützte Domänen oder Postfachintelligenzschutz wird nicht auf diese vertrauenswürdigen Absender oder Absenderdomänen angewendet. Der maximale Grenzwert für diese Listen beträgt 1024 Einträge.

Hinweis

Vertrauenswürdige Domäneneinträge enthalten keine Unterdomänen der angegebenen Domäne. Sie müssen für jede Unterdomäne einen Eintrag hinzufügen.

Wenn Microsoft 365-Systemnachrichten von den folgenden Absendern als Identitätswechselversuche identifiziert werden, können Sie die Absender der Liste der vertrauenswürdigen Absender hinzufügen:

  • noreply@email.teams.microsoft.com
  • noreply@emeaemail.teams.microsoft.com
  • no-reply@sharepointonline.com

Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender for Office 365

Die folgenden erweiterten Phishingschwellenwerte sind nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar. Diese Schwellenwerte steuern die Vertraulichkeit für die Anwendung von Machine Learning-Modellen auf Nachrichten, um ein Phishing-Urteil zu bestimmen:

  • 1 – Standard: Dies ist der Standardwert. Der Schweregrad der Aktion, die für die Nachricht ausgeführt wird, hängt vom Grad der Zuverlässigkeit ab, dass es sich bei der Nachricht um Phishing handelt (niedrige, mittlere, hohe oder sehr hohe Zuverlässigkeit). Beispielsweise werden für Nachrichten, die als Phishing mit einem sehr hohen Maß an Vertrauen identifiziert werden, die schwerwiegendsten Aktionen angewendet, während nachrichten, die als Phishing mit einem geringen Vertrauensgrad identifiziert werden, weniger schwerwiegende Aktionen angewendet werden.
  • 2 - Aggressiv: Nachrichten, die als Phishing mit einem hohen Maß an Vertrauen identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.
  • 3 - Aggressiver: Nachrichten, die als Phishing mit einem mittleren oder hohen Maß an Zuverlässigkeit identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.
  • 4 - Am aggressivsten: Nachrichten, die als Phishing mit einem niedrigen, mittleren oder hohen Grad an Vertrauen identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.

Die Wahrscheinlichkeit falsch positiver Ergebnisse (gute Nachrichten, die als schlecht gekennzeichnet sind) steigt, wenn Sie diese Einstellung erhöhen. Informationen zu den empfohlenen Einstellungen finden Sie unter Antiphishing-Richtlinieneinstellungen in Microsoft Defender for Office 365.