Verwenden des Übermittlungsportals zum Übermitteln von verdächtigem Spam, Phishing, URLs und Dateien an Microsoft

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Oberfläche bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Gilt für

In Microsoft 365 Organisationen mit Exchange Online Postfächern können Administratoren das Übermittlungsportal im Microsoft 365 Defender-Portal verwenden, um E-Mail-Nachrichten, URLs und Anlagen zur Überprüfung an Microsoft zu übermitteln.

Wenn Sie eine E-Mail-Nachricht zur Analyse übermitteln, erhalten Sie Folgendes:

  • E-Mail-Authentifizierungsprüfung: Details dazu, ob die E-Mail-Authentifizierung bei der Zustellung erfolgreich war oder fehlgeschlagen ist.
  • Richtlinientreffer: Informationen zu allen Richtlinien, die eingehende E-Mails möglicherweise in Ihrem Mandanten zugelassen oder blockiert haben, und überschreiben unsere Dienstfilterbewertungen.
  • Nutzlastzuverlässigkeit/-detonation: Aktuelle Untersuchung aller URLs und Anlagen in der Nachricht.
  • Benotungsanalyse: Überprüfung durch Benotungsprüfer, um zu überprüfen, ob Nachrichten bösartig sind oder nicht.

Wichtig

Nutzlastreputation/-detonation und Bewertungsanalyse werden nicht in allen Mandanten durchgeführt. Informationen werden daran gehindert, sich außerhalb der Organisation zu befinden, wenn Daten die Mandantengrenze nicht zu Compliancezwecken verlassen sollen.

Weitere Möglichkeiten zum Übermitteln von E-Mail-Nachrichten, URLs und Anlagen an Microsoft finden Sie unter "Melden von Nachrichten und Dateien an Microsoft".

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft 365 Defender-Portal unter https://security.microsoft.com/. Um direkt zur Seite "Übermittlungen" zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission .

  • Um Nachrichten und Dateien an Microsoft zu übermitteln, müssen Sie Mitglied einer der folgenden Rollengruppen sein:

  • Administratoren können Nachrichten bis zu 30 Tage lang übermitteln, wenn sie weiterhin im Postfach verfügbar sind und nicht vom Benutzer oder einem anderen Administrator gelöscht werden.

  • Administratorübermittlungen werden mit den folgenden Geschwindigkeiten gedrosselt:

    • Maximale Übermittlungen in einem Zeitraum von 15 Minuten: 150 Übermittlungen
    • Gleiche Übermittlungen in einem Zeitraum von 24 Stunden: 3 Übermittlungen
    • Gleiche Übermittlungen in einem Zeitraum von 15 Minuten: 1 Übermittlungen
  • Weitere Informationen dazu, wie Benutzer Nachrichten und Dateien an Microsoft übermitteln können, finden Sie unter "Melden von Nachrichten und Dateien an Microsoft".

Melden verdächtiger Inhalte an Microsoft

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.com "Übermittlungen" zur Seite "Übermittlungen" unter "E-Mail & > Übermittlungen zur Zusammenarbeit". Um direkt zur Seite "Übermittlungen" zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission .

  2. Überprüfen Sie auf der Seite "Übermittlungen", ob die Registerkarte "Für Analyse übermittelt" ausgewählt ist, wählen Sie die E-Mail aus, die Sie melden möchten, und klicken Sie dann auf  "Zur Analyse an Microsoft übermitteln". Übermitteln Sie sie zur Analyse an Microsoft.

  3. Verwenden Sie das Flyout "An Microsoft übermitteln" für Analyse-Flyouts, das die E-Mail, URL oder E-Mail-Anlage wie in den folgenden Abschnitten beschrieben zu übermitteln scheint.

    Hinweis

    Datei- und URL-Übermittlungen sind in den Clouds nicht verfügbar, die nicht zulassen, dass Daten die Umgebung verlassen. Die Möglichkeit, Datei oder URL auszuwählen, ist abgeblendet.

Benutzer innerhalb des Portals benachrichtigen

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.com "Übermittlungen" zur Seite "Übermittlungen" unter "E-Mail & > Übermittlungen zur Zusammenarbeit". Um direkt zur Seite "Übermittlungen" zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission .

  2. Wählen Sie auf der Seite "Übermittlungen" die Registerkarte "Benutzer gemeldete Nachrichten" aus, und wählen Sie dann die Nachricht aus, die Sie markieren und benachrichtigen möchten.

  3. Wählen Sie die Dropdownliste "Markieren als" und "Benachrichtigen" aus, und wählen Sie dann "Keine Bedrohungen > gefunden, Phishing oder Junk" aus.

    Senden von Nachrichten aus dem Portal.

Die gemeldete Nachricht wird als falsch positiv oder falsch negativ markiert. Eine E-Mail-Benachrichtigung wird automatisch aus dem Portal an den Benutzer gesendet, der die Nachricht gemeldet hat.

Senden einer fragebaren E-Mail an Microsoft

  1. Überprüfen Sie im Feld "Übermittlungstyp auswählen", ob "E-Mail" in der Dropdownliste ausgewählt ist.

  2. Verwenden Sie im Abschnitt "Netzwerknachrichten-ID hinzufügen" oder "E-Mail-Datei hochladen" eine der folgenden Optionen:

    • Fügen Sie die E-Mail-Netzwerknachrichten-ID hinzu: Dies ist ein GUID-Wert, der im X-MS-Exchange-Organization-Network-Message-Id-Header in der Nachricht oder im X-MS-Office365-Filtering-Correlation-Id-Header in isolierten Nachrichten verfügbar ist.
    • Hochladen die E-Mail-Datei (MSG oder EML): Klicken Sie auf "Dateien durchsuchen". Suchen Sie im daraufhin geöffneten Dialogfeld die EML- oder MSG-Datei, und wählen Sie sie aus, und klicken Sie dann auf "Öffnen".
  3. Geben Sie im Feld "Empfänger auswählen, der ein Problem hatte" den Empfänger an, für den Sie eine Richtlinienüberprüfung ausführen möchten. Die Richtlinienüberprüfung bestimmt, ob die Überprüfung durch die E-Mail aufgrund von Benutzer- oder Organisationsrichtlinien umgangen wurde.

  4. Wählen Sie im Abschnitt "Auswählen eines Grunds für die Übermittlung an Microsoft" eine der folgenden Optionen aus:

    • Sollte nicht blockiert worden sein (Falsch positiv)
    • Sollte blockiert worden sein (Falsch negativ): In der E-Mail sollte als angezeigter Abschnitt kategorisiert worden sein, wählen Sie einen der folgenden Werte aus (wenn Sie nicht sicher sind, verwenden Sie Ihre beste Bewertung):
      • Phishing
      • Schadsoftware
      • Spam
  5. Klicken Sie nach Abschluss des Vorgangs auf Senden.

    Beispiel für neue URL-Übermittlung.

Senden einer verdächtigen URL an Microsoft

  1. Wählen Sie im Feld "Übermittlungstyp auswählen" die URL aus der Dropdownliste aus.

  2. Geben Sie in das angezeigte URL-Feld die vollständige URL ein (z. B. https://www.fabrikam.com/marketing.html ).

  3. Wählen Sie im Abschnitt "Auswählen eines Grunds für die Übermittlung an Microsoft" eine der folgenden Optionen aus:

    • Sollte nicht blockiert worden sein (Falsch positiv)
    • Sollte blockiert worden sein (Falsch negativ): In der URL sollte als angezeigter Abschnitt kategorisiert worden sein, wählen Sie Phishing oder Schadsoftware aus.
  4. Klicken Sie nach Abschluss des Vorgangs auf Senden.

    Beispiel für neue E-Mail-Übermittlung.

Übermitteln einer verdächtigen E-Mail-Anlage an Microsoft

  1. Wählen Sie im Feld "Übermittlungstyp auswählen" in der Dropdownliste die Option "E-Mail-Anlage" aus.

  2. Klicken Sie im angezeigten Abschnitt "Datei" auf "Dateien durchsuchen". Suchen Sie im daraufhin geöffneten Dialogfeld die Datei, wählen Sie sie aus, und klicken Sie dann auf "Öffnen".

  3. Wählen Sie im Abschnitt "Auswählen eines Grunds für die Übermittlung an Microsoft" eine der folgenden Optionen aus:

    • Sollte nicht blockiert worden sein (Falsch positiv)
    • Sollte blockiert worden sein (Falsch negativ): In der Datei sollte diese Datei als angezeigter Abschnitt kategorisiert worden sein, Schadsoftware ist die einzige Wahl und wird automatisch ausgewählt.
  4. Klicken Sie nach Abschluss des Vorgangs auf Senden.

    Beispiel für die Übermittlung an neue Anlagen.

Hinweis

Wenn die Schadsoftwarefilterung die Nachrichtenanlagen durch die Datei "Schadsoftwarewarnung Text.txt" ersetzt hat, müssen Sie die ursprüngliche Nachricht aus der Quarantäne senden, die die ursprünglichen Anlagen enthält. Weitere Informationen zur Quarantäne und zum Freigeben von Nachrichten mit falsch positiven Schadsoftware finden Sie unter Verwalten von isolierten Nachrichten und Dateien als Administrator.

Anzeigen von Administratorübermittlungen an Microsoft

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.com "Übermittlungen" zur Seite "Übermittlungen" unter "E-Mail & > Übermittlungen zur Zusammenarbeit". Um direkt zur Seite "Übermittlungen" zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission .

  2. Überprüfen Sie auf der Seite "Übermittlungen", ob die Registerkarte "E-Mails", "URL" oder "E-Mail-Anlage" ausgewählt ist.

    • Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Klicken Sie auf Spalten anpassen, um maximal sieben Spalten anzuzeigen. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:

      • Übermittlungsname*
      • Absender*
      • Empfänger
      • Übermitteltes Datum*
      • Grund für die Übermittlung*
      • Status des erneuten Scannens*
      • Erneutes Scanergebnis*
      • Filterbewertung
      • Grund für Übermittlung/Blockierung
      • Übermittlungs-ID
      • Netzwerknachrichten-ID/Objekt-ID
      • Richtung
      • Sender-IP
      • Massenkonforme Ebene (Bulk Compliant Level, BCL)
      • Ziel
      • Richtlinienaktion
      • Übermittelt von
      • Phishing-Simulation
      • Schilder*
      • Zulassen

      Wenn Sie fertig sind, klicken Sie auf Anwenden.

      Neue Spaltenoptionen für Administratorübermittlungen anpassen.

    • Klicken Sie zum Filtern der Einträge auf "Filtern". Die verfügbaren Filter sind:

      • Übermitteltes Datum: Startdatum und Enddatum.
      • Übermittlungs-ID: Ein GUID-Wert, der jeder Übermittlung zugewiesen wird.
      • Netzwerknachrichten-ID
      • Sender
      • Empfänger
      • Name
      • Übermittelt von

      Wenn Sie fertig sind, klicken Sie auf Anwenden.

      Neue Filteroptionen für Administratorübermittlungen.

    • Klicken Sie zum Gruppieren der Einträge auf "Gruppieren", und wählen Sie einen der folgenden Werte aus der Dropdownliste aus:

      • Keine
      • Typ
      • Grund
      • Status
      • Erneutes Scanergebnis
      • Tags
    • Klicken Sie zum Exportieren der Einträge auf "Exportieren". Speichern Sie im daraufhin angezeigten Dialogfeld die .csv Datei.

Details zur erneuten Überprüfung der Administratorübermittlung

Nachrichten, die in Administratorübermittlungen übermittelt werden, werden überprüft, und die Ergebnisse werden im Flyout "Übermittlungsdetails" angezeigt:

  • Mögliche Fehler in der E-Mail-Authentifizierung des Absenders zum Zeitpunkt der Auslieferung.
  • Informationen zu Richtlinientreffern, welche die Bewertung über einer Nachricht beeinflusst oder überschrieben haben könnten.
  • Aktuelle Detonationsergebnisse, um festzustellen, ob die in der Nachricht enthaltenen URLs oder Dateien böswillig waren oder nicht.
  • Feedback von Benotungsprüfern.

Wenn eine Überschreibung gefunden wurde, sollte der erneute Scan in einigen Minuten abgeschlossen sein. Wenn es kein Problem bei der E-Mail-Authentifizierung gab oder die Zustellung nicht von einer Außerkraftsetzung betroffen war, kann das Feedback von Bewertern bis zu einem Tag dauern.

Anzeigen von Benutzerübermittlungen an Microsoft

Wenn Sie das Add-In "Nachricht melden",das Add-In "Phishing melden"bereitgestellt haben oder Personen die integrierte Berichterstellung in Outlook im Webverwenden, können Sie sehen, welche Benutzer auf der Registerkarte "Benutzer gemeldete Nachrichten" berichtigen.

  1. Wechseln Sie im Microsoft 365 Defender Portal unter https://security.microsoft.com "Übermittlungen" zur Seite "Übermittlungen" unter "E-Mail & > Übermittlungen zur Zusammenarbeit". Um direkt zur Seite "Übermittlungen" zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission .

  2. Wählen Sie auf der Seite "Übermittlungen" die Registerkarte "Vom Benutzer gemeldete Nachrichten" aus.

    • Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Klicken Sie auf Spalten anpassen, um die Optionen anzuzeigen. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:

      • E-Mail-Betreff*
      • Gemeldet von*
      • Gemeldetes Datum*
      • Absender*
      • Gemeldeter Grund*
      • Erneutes Scanergebnis*
      • Gemeldete ID der Nachricht
      • Netzwerknachrichten-ID
      • Sender-IP
      • Gemeldet von
      • Phishing-Simulation
      • Schilder*
      • Markiert als*
      • Markiert durch
      • Datum markiert

      Wenn Sie fertig sind, klicken Sie auf Anwenden.

    • Klicken Sie zum Filtern der Einträge auf "Filtern". Die verfügbaren Filter sind:

      • Gemeldetes Datum: Startdatum und Enddatum.
      • Berichtet von
      • E-Mail-Betreff
      • Gemeldete ID der Nachricht
      • Netzwerknachrichten-ID
      • Sender
      • Gemeldeter Grund: keine Junk-, Phishing- oder Spam-Nachrichten.
      • Phishing-Simulation: Ja oder Nein
      • Tags

      Wenn Sie fertig sind, klicken Sie auf Anwenden.

      Neue Filteroptionen für Benutzerübermittlungen.

    • Klicken Sie zum Gruppieren der Einträge auf "Gruppieren", und wählen Sie einen der folgenden Werte aus der Dropdownliste aus:

      • Keine
      • Grund
      • Sender
      • Berichtet von
      • Erneutes Scanergebnis
      • Gemeldet von
      • Phishing-Simulation
      • Tags
    • Klicken Sie zum Exportieren der Einträge auf "Exportieren". Speichern Sie im daraufhin angezeigten Dialogfeld die .csv Datei.

Hinweis

Wenn Organisationen so konfiguriert sind, dass von Benutzern gemeldete Nachrichten nur an das benutzerdefinierte Postfach gesendet werden, werden gemeldete Nachrichten nicht zur erneuten Überprüfung gesendet, und die Ergebnisse in den vom Benutzer gemeldeten Nachrichten sind immer leer.

Rückgängigmachen von Benutzerübermittlungen

Sobald ein Benutzer eine verdächtige E-Mail an das benutzerdefinierte Postfach sendet, haben der Benutzer und der Administrator keine Möglichkeit, die Übermittlung rückgängig zu machen. Wenn der Benutzer die E-Mail wiederherstellen möchte, steht sie für die Wiederherstellung in den Ordnern "Gelöschte Elemente" oder "Junk-E-Mail" zur Verfügung.

Konvertieren von vom Benutzer gemeldeten Nachrichten aus dem benutzerdefinierten Postfach in eine Administratorübermittlung

Wenn Sie das benutzerdefinierte Postfach so konfiguriert haben, dass von Benutzern gemeldete Nachrichten abgefangen werden, ohne die Nachrichten an Microsoft zu senden, können Sie bestimmte Nachrichten zur Analyse suchen und an Microsoft senden.

Wählen Sie auf der Registerkarte "Vom Benutzer gemeldete Nachrichten" eine Nachricht in der Liste aus, klicken Sie auf "Zur Analyse an Microsoft übermitteln", und wählen Sie dann einen der folgenden Werte aus der Dropdownliste aus:

  • Bericht sauber
  • Melden von Phishing
  • Melden von Schadsoftware
  • Melden von Spam
  • Untersuchung auslösen

Neue Optionen auf der Schaltfläche "Aktion".