Erstellen von Listen sicherer Absender in EOP

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Umgebung integriert Microsoft Defender für Endpunkt, Microsoft Defender für Office, 365 Microsoft 365 Defender und mehr in das Microsoft 365 Security Center. Erfahren Sie, was es Neues gibt.

Gilt für

Wenn Sie ein Microsoft 365 Kunde mit Postfächern in Exchange Online oder ein EOP-Kunde (Standalone Exchange Online Protection) ohne Exchange Online Postfächer sind, bietet EOP mehrere Möglichkeiten, um sicherzustellen, dass Benutzer E-Mails von vertrauenswürdigen Absendern erhalten. Diese Optionen umfassen Exchange Nachrichtenflussregeln (auch als Transportregeln bezeichnet), Outlook Tresor Absender, die IP-Zulassungsliste (Verbindungsfilterung) und Listen zulässiger Absender oder zulässiger Domänen in Antispamrichtlinien. Zusammenfassend können Sie sich diese Optionen als Listen sicherer Absender vorstellen.

Die verfügbaren Listen sicherer Absender werden in der folgenden Liste von den am häufigsten empfohlenen bis zu den am wenigsten empfohlenen Listen beschrieben:

  1. Nachrichtenflussregeln
  2. Outlook Tresor Absender
  3. IP-Zulassungsliste (Verbindungsfilterung)
  4. Listen zulässiger Absender oder listen zugelassener Domänen (Antispamrichtlinien)

Nachrichtenflussregeln ermöglichen die größte Flexibilität, um sicherzustellen, dass nur die richtigen Nachrichten zulässig sind. Listen zulässiger Absender und zulässiger Domänen in Antispamrichtlinien sind nicht so sicher wie die Liste zugelassener IP-Adressen, da die E-Mail-Domäne des Absenders leicht gefälscht wird. Die IP-Zulassungsliste stellt jedoch auch ein Risiko dar, da E-Mails von jeder Domäne, die von dieser IP-Adresse gesendet wird, die Spamfilterung umgehen.

Wichtig

  • Nachrichten, die als Schadsoftware oder Phishing mit hoher Vertrauenswürdigkeit identifiziert werden, werden unabhängig von der von Ihnen verwendeten Option für die Liste der sicheren Absender immer unter Quarantäne gestellt.

  • Achten Sie darauf, alle Ausnahmen, die Sie für die Spamfilterung vornehmen, mithilfe von Listen sicherer Absender genau zu überwachen.

  • Sie können Listen sicherer Absender zwar verwenden, um bei falsch positiven Ergebnissen zu helfen (gute E-Mails sind als schlecht markiert), sie sollten jedoch die Verwendung von Listen sicherer Absender als temporäre Lösung in Betracht ziehen, die nach Möglichkeit vermieden werden sollte. Es wird nicht empfohlen, falsch positive Ergebnisse mithilfe von Listen sicherer Absender zu verwalten, da Ausnahmen von der Spamfilterung Ihre Organisation für Spoofing und andere Angriffe öffnen können. Wenn Sie sich auf die Verwendung von Listen sicherer Absender zur Verwaltung falsch positiver Ergebnisse beschränken, müssen Sie vorsichtig sein und das Thema "Nachrichten und Dateien an Microsoft melden" bereit halten.

  • Damit eine Domäne nicht authentifizierte E-Mails senden kann (Antispoofingschutz umgehen), aber keine Antispam- und Antischadsoftwareüberprüfungen umgehen, können Sie den Einblick in die Spoofintelligenz und die Mandanten-Zulassungs-/Sperrlisteverwenden.

  • EOP und Outlook verschiedene Nachrichteneigenschaften überprüfen, um den Absender der Nachricht zu ermitteln. Weitere Informationen finden Sie im Abschnitt "Überlegungen für Massen-E-Mails" weiter unten in diesem Artikel.

Im Gegensatz dazu haben Sie auch mehrere Optionen, um E-Mails aus bestimmten Quellen mithilfe von Listen blockierter Absender zu blockieren. Weitere Informationen finden Sie unter Erstellen von Listen blockierter Absender in EOP.

Nachrichtenflussregeln in Exchange Online und eigenständigen EOP verwenden Bedingungen und Ausnahmen, um Nachrichten zu identifizieren, und Aktionen, um anzugeben, was mit diesen Nachrichten geschehen soll. Weitere Informationen finden Sie unter Mail flow rules (transport rules) in Exchange Online.

Im folgenden Beispiel wird davon ausgegangen, dass Sie E-Mails von contoso.com benötigen, um die Spamfilterung zu überspringen. Konfigurieren Sie dazu die folgenden Einstellungen:

  1. Bedingung: Die > Absenderdomäne ist > contoso.com.

  2. Konfigurieren Sie eine der folgenden Einstellungen:

    • Nachrichtenflussregelbedingung: Eine Nachrichtenkopfzeile > enthält eines der folgenden > Wörter: Headername: Authentication-Results > Headerwert: dmarc=pass oder dmarc=bestguesspass .

      Diese Bedingung überprüft den E-Mail-Authentifizierungsstatus der sendenden E-Mail-Domäne, um sicherzustellen, dass die sendende Domäne nicht gefälscht wird. Weitere Informationen zur E-Mail-Authentifizierung finden Sie unter SPF, DKIMund DMARC.

    • IP-Zulassungsliste: Geben Sie die QUELL-IP-Adresse oder den Adressbereich in der Verbindungsfilterrichtlinie an.

      Verwenden Sie diese Einstellung, wenn die sendende Domäne keine E-Mail-Authentifizierung verwendet. Seien Sie so restriktiv wie möglich, wenn es um die Quell-IP-Adressen in der LISTE zugelassener IP-Adressen geht. Wir empfehlen einen IP-Adressbereich von /24 oder weniger (weniger ist besser). Verwenden Sie keine IP-Adressbereiche, die zu Verbraucherdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören.

    Wichtig

    • Konfigurieren Sie Nachrichtenflussregeln niemals nur mit der Absenderdomäne als Bedingung, um die Spamfilterung zu überspringen. Dies erhöht die Wahrscheinlichkeit, dass Angreifer die sendende Domäne spoofen (oder die vollständige E-Mail-Adresse imitieren), alle Spamfilterung überspringen und Absenderauthentifizierungsprüfungen überspringen können, damit die Nachricht im Posteingang des Empfängers eintrifft.

    • Verwenden Sie keine Domänen, die Sie besitzen (auch als akzeptierte Domänen bezeichnet) oder beliebte Domänen (z. B. microsoft.com), als Bedingungen in Nachrichtenflussregeln. Dies gilt als hohes Risiko, da es Angreifern die Möglichkeit bietet, E-Mails zu senden, die andernfalls gefiltert würden.

    • Wenn Sie eine IP-Adresse zulassen, die sich hinter einem NAT-Gateway (Network Address Translation) befindet, müssen Sie die Server kennen, die am NAT-Pool beteiligt sind, um den Umfang Ihrer IP-Zulassungsliste zu kennen. IP-Adressen und NAT-Teilnehmer können sich ändern. Sie müssen ihre IP-Zulassungslisteneinträge im Rahmen Ihrer standardmäßigen Wartungsprozeduren regelmäßig überprüfen.

  3. Optionale Bedingungen:

    • Der Absender > ist intern/extern > Außerhalb der Organisation: Diese Bedingung ist implizit, aber es ist in Ordnung, sie zu verwenden, um lokale E-Mail-Server zu berücksichtigen, die möglicherweise nicht ordnungsgemäß konfiguriert sind.

    • Betreff oder Textkörper > Betreff oder Text enthält eines dieser Wörter > <keywords>: Wenn Sie die Nachrichten weiter durch Schlüsselwörter oder Ausdrücke in der Betreffzeile oder im Nachrichtentext einschränken können, können Sie diese Wörter als Bedingung verwenden.

  4. Aktion: Konfigurieren Sie beide Aktionen in der Regel:

    a. Ändern der Nachrichteneigenschaften > Festlegen der Spam-Konfidenzstufe (Spam Confidence Level, SCL) > Umgehen der Spamfilterung.

    b. Ändern der Nachrichteneigenschaften > legen Sie einen Nachrichtenkopf fest: Legen Sie den Nachrichtenkopf <CustomHeaderName> auf den Wert <CustomHeaderValue> fest.

    Beispiel: X-ETR: Bypass spam filtering for authenticated sender 'contoso.com'. Wenn mehr als eine Domäne in der Regel vorhanden ist, können Sie den Kopfzeilentext entsprechend anpassen.

    Wenn eine Nachricht die Spamfilterung aufgrund einer Nachrichtenflussregel überspringt, wird der Wert SFV:SKN im X-Forefront-Antispam-Report-Header gestempelt. Wenn die Nachricht von einer Quelle stammt, die sich in der Liste zugelassener IP-Adressen befindet, wird der Wert IPV:CAL ebenfalls hinzugefügt. Diese Werte können Ihnen bei der Problembehandlung helfen.

Nachrichtenflussregeleinstellungen im EAC zum Umgehen der Spamfilterung.

Verwenden von Outlook Tresor Absendern

Achtung

Diese Methode erzeugt ein hohes Risiko, dass Angreifer erfolgreich E-Mails an den Posteingang übermitteln, die andernfalls gefiltert würden. Die Listen Tresor Absender oder Tresor Domänen des Benutzers verhindern jedoch nicht, dass Schadsoftware oder Phishingnachrichten mit hoher Vertrauenswürdigkeit gefiltert werden.

Anstelle einer Organisationseinstellung können Benutzer oder Administratoren die E-Mail-Adressen des Absenders der Liste der Tresor Absender im Postfach hinzufügen. Anweisungen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Office 365. Dies ist in den meisten Situationen nicht wünschenswert, da Absender Teile des Filterstapels umgehen. Obwohl Sie dem Absender vertrauen, kann der Absender weiterhin kompromittiert werden und schädliche Inhalte senden. Es empfiehlt sich, dass Sie unsere Filter die erforderlichen Aktionen ausführen lassen, um jede Nachricht zu überprüfen und dann das falsch positive/negative Ergebnis an Microsoft zu melden, wenn die Filter falsch sind. Das Umgehen des Filterstapels wirkt sich ebenfalls auf ZAPaus.

Wenn Nachrichten die Spamfilterung aufgrund der Liste der Tresor Absender eines Benutzers überspringen, enthält das Headerfeld "X-Forefront-Antispam-Report" den SFV:SFE Wert, der angibt, dass die Filterung nach Spam, Spoofing und Phishing umgangen wurde.

Verwenden der IP-Zulassungsliste

Wenn Sie nachrichtenflussregeln nicht wie zuvor beschrieben verwenden können, besteht die nächste beste Option darin, den Quell-E-Mail-Server oder -Server der IP-Zulassungsliste in der Verbindungsfilterrichtlinie hinzuzufügen. Ausführliche Informationen finden Sie unter Konfigurieren der Verbindungsfilterung in EOP.

Hinweise:

  • Es ist wichtig, dass Sie die Anzahl der zulässigen IP-Adressen auf ein Minimum beschränken. Vermeiden Sie daher nach Möglichkeit die Verwendung ganzer IP-Adressbereiche.

  • Verwenden Sie keine IP-Adressbereiche, die zu Verbraucherdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören.

  • Überprüfen Sie regelmäßig die Einträge in der Liste zugelassener IP-Adressen, und entfernen Sie die Einträge, die Sie nicht mehr benötigen.

Achtung

Ohne zusätzliche Überprüfung wie Nachrichtenflussregeln überspringt E-Mail aus Quellen in der IP-Zulassungsliste die Spamfilterung und Absenderauthentifizierungsprüfungen (SPF, DKIM, DMARC). Dies führt zu einem hohen Risiko, dass Angreifer E-Mails erfolgreich an den Posteingang übermitteln, die andernfalls gefiltert würden. Die IP-Zulassungsliste verhindert jedoch nicht, dass Schadsoftware oder Phishing-Nachrichten mit hoher Konfidenz gefiltert werden.

Verwenden von Listen zulässiger Absender oder listen zulässiger Domänen

Die am wenigsten wünschenswerte Option ist die Verwendung der Liste der zulässigen Absender oder der liste zulässiger Domänen in Antispamrichtlinien. Sie sollten diese Option möglichst vermeiden, da Absender alle Spam-, Spoof- und Phishing-Schutzfunktionen sowie die Absenderauthentifizierung (SPF, DKIM, DMARC) umgehen. Diese Methode eignet sich nur für temporäre Tests. Die detaillierten Schritte finden Sie im Thema "Konfigurieren von Antispamrichtlinien" in EOP.

Der höchstzulässige Grenzwert für diese Listen beträgt ca. 1000 Einträge. Sie können jedoch nur 30 Einträge in das Portal eingeben. Sie müssen PowerShell verwenden, um mehr als 30 Einträge hinzuzufügen.

Achtung

  • Diese Methode erzeugt ein hohes Risiko, dass Angreifer erfolgreich E-Mails an den Posteingang übermitteln, die andernfalls gefiltert würden. Die Listen zugelassener Absender oder zulässiger Domänen verhindern jedoch nicht, dass Schadsoftware oder Phishingnachrichten mit hoher Konfidenz gefiltert werden.

  • Verwenden Sie keine Domänen, die Sie besitzen (auch als akzeptierte Domänen bezeichnet) oder beliebte Domänen (z. B. microsoft.com) in zulässigen Domänenlisten.

Überlegungen für Massen-E-Mails

Eine standardmäßige SMTP-E-Mail besteht aus einem Nachrichten-Envelope und dem Nachrichteninhalt. Der Nachrichtenumschlag enthält Informationen, die zum Übertragen und Übermitteln der Nachricht zwischen SMTP-Servern erforderlich sind. Der Nachrichteninhalt enthält Nachrichtenkopffelder (zusammenfassend als Nachrichtenkopf bezeichnet) sowie den Nachrichtentext. Der Nachrichtenumschlag wird in RFC 5321 und der Nachrichtenkopf in RFC 5322 beschrieben. Empfänger sehen den tatsächlichen Nachrichtenumschlag nie, da er vom Nachrichtenübertragungsprozess generiert wird und nicht tatsächlich Teil der Nachricht ist.

  • Die 5321.MailFrom Adresse (auch als MAIL FROM-Adresse, P1-Absender oder Umschlagssender bezeichnet) ist die E-Mail-Adresse, die bei der SMTP-Übertragung der Nachricht verwendet wird. Diese E-Mail-Adresse wird in der Regel im Kopfzeilenfeld "Rückgabepfad" im Nachrichtenkopf aufgezeichnet (obwohl es möglich ist, dass der Absender eine andere E-Mail-Adresse für den Rückgabepfad angibt). Wenn die Nachricht nicht zugestellt werden kann, ist sie der Empfänger für den Unzustellbarkeitsbericht (auch als Unzustellbarkeitsbericht oder Unzustellbarkeitsnachricht bezeichnet).

  • The 5322.From (also known as the From address or P2 sender) is the email address in the From header field, and is the sender's email address that's displayed in email clients.

Häufig sind die 5321.MailFrom 5322.From Adressen identisch (Persönliche Kommunikation). Wenn E-Mails jedoch im Auftrag einer anderen Person gesendet werden, können die Adressen unterschiedlich sein. Dies geschieht am häufigsten bei Massen-E-Mail-Nachrichten.

Nehmen wir beispielsweise an, dass Blue Yonder Airlines Margie's Travel eingestellt hat, um seine E-Mail-Werbung zu senden. Die Nachricht, die Sie in Ihrem Posteingang erhalten, hat die folgenden Eigenschaften:

  • Die 5321.MailFrom Adresse ist blueyonder.airlines@margiestravel.com.

  • Die 5322.From Adresse ist blueyonder@news.blueyonderairlines.com, was in Outlook angezeigt wird.

Tresor Absenderlisten und Listen sicherer Domänen in Antispamrichtlinien in EOP nur die 5322.From Adressen überprüfen, ähnelt dies Outlook Tresor Absendern, die die 5322.From Adresse verwenden.

Um zu verhindern, dass diese Nachricht gefiltert wird, können Sie die folgenden Schritte ausführen:

  • Fügen Sie blueyonder@news.blueyonderairlines.com (die 5322.From Adresse) als Outlook Tresor Absender hinzu.

  • Verwenden Sie eine Nachrichtenflussregel mit einer Bedingung, die nach Nachrichten von blueyonder@news.blueyonderairlines.com (die 5322.From Adresse, blueyonder.airlines@margiestravel.com (die 5321.MailFrom ) oder beides sucht.

Weitere Informationen finden Sie unter Erstellen von Listen sicherer Absender in EOP.