Antiphishingrichtlinien in Microsoft 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender für Office 365-Testversion im Microsoft 365 Defender Portal-Testversionen-Hub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

Richtlinien zum Konfigurieren von Antiphishingschutzeinstellungen sind in Microsoft 365 Organisationen mit Exchange Online Postfächern, eigenständigen Exchange Online Protection (EOP)-Organisationen ohne Exchange Online Postfächer und Microsoft Defender für Office 365 Organisationen.

Beispiele für Microsoft Defender für Office 365 Organisationen sind:

Die allgemeinen Unterschiede zwischen Antiphishingrichtlinien in EOP und Antiphishingrichtlinien in Defender für Office 365 werden in der folgenden Tabelle beschrieben:

Feature Antiphishingrichtlinien in EOP Antiphishingrichtlinien in Defender für Office 365
Automatisch erstellte Standardrichtlinie Häkchen Häkchen
Erstellen Sie benutzerdefinierte Richtlinien Häkchen Häkchen
Allgemeine Richtlinieneinstellungen* Häkchen Häkchen
Spoof-Einstellungen Häkchen Häkchen
Erster Kontakt Sicherheitstipp Häkchen Häkchen
Identitätswechseleinstellungen Häkchen
Erweiterte Phishingschwellenwerte Häkchen

* In der Standardrichtlinie sind der Richtlinienname und die Beschreibung schreibgeschützt (die Beschreibung ist leer), und Sie können nicht angeben, für wen die Richtlinie gilt (die Standardrichtlinie gilt für alle Empfänger).

Informationen zum Konfigurieren von Antiphishingrichtlinien finden Sie in den folgenden Artikeln:

Der Rest dieses Artikels beschreibt die Einstellungen, die in Antiphishingrichtlinien in EOP und Defender für Office 365 verfügbar sind.

Allgemeine Richtlinieneinstellungen

Die folgenden Richtlinieneinstellungen sind in Antiphishingrichtlinien in EOP und Defender für Office 365 verfügbar:

  • Name: Sie können die Standardmäßige Antiphishingrichtlinie nicht umbenennen. Nachdem Sie eine benutzerdefinierte Antiphishingrichtlinie erstellt haben, können Sie die Richtlinie im Microsoft 365 Defender Portal nicht umbenennen.

  • Beschreibung Sie können der Standardmäßigen Antiphishingrichtlinie keine Beschreibung hinzufügen, aber Sie können die Beschreibung für benutzerdefinierte Richtlinien hinzufügen und ändern, die Sie erstellen.

  • Benutzer, Gruppen und Domänen: Identifiziert interne Empfänger, für die die Antiphishingrichtlinie gilt. Dieser Wert ist in benutzerdefinierten Richtlinien erforderlich und nicht in der Standardrichtlinie verfügbar (die Standardrichtlinie gilt für alle Empfänger).

    Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber Sie können mehrere Werte für die Bedingung oder Ausnahme angeben. Bei mehreren Werten derselben Bedingung oder Ausnahme wird ODER-Logik verwendet (z. B. <recipient1> oder <recipient2>). Bei unterschiedlichen Bedingungen oder Ausnahmen wird UND-Logik verwendet (z. B. <recipient1> und <member of group 1>).

    • Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte in Ihrer Organisation.

    • Gruppen: Eine oder mehrere Gruppen in Ihrer Organisation.

    • Domänen: Eine oder mehrere der konfigurierten akzeptierten Domänen in Microsoft 365.

    • Schließen Sie diese Benutzer, Gruppen und Domänen aus: Ausnahmen für die Richtlinie. Die Einstellungen und das Verhalten sind genau wie die Bedingungen:

      • Benutzer
      • Gruppen
      • Domänen

    Hinweis

    Mindestens eine Auswahl in den Einstellungen für Benutzer, Gruppen und Domänen ist in benutzerdefinierten Antiphishingrichtlinien erforderlich, um die Nachrichtenempfänger zu identifizieren , für die die Richtlinie gilt. Antiphishingrichtlinien in Defender für Office 365 verfügen auch über Identitätswechseleinstellungen, in denen Sie einzelne Absender-E-Mail-Adressen oder Absenderdomänen angeben können, die Identitätswechselschutz erhalten, wie weiter unten in diesem Artikel beschrieben.

    Mehrere unterschiedliche Bedingungen oder Ausnahmen sind nicht additiv; sie sind inklusiv. Die Richtlinie wird nur auf die Empfänger angewendet, die mit allen angegebenen Empfängerfiltern übereinstimmen. Beispielsweise konfigurieren Sie eine Empfängerfilterbedingung in der Richtlinie mit den folgenden Werten:

    • Der Empfänger ist: romain@contoso.com
    • Der Empfänger ist Mitglied von: Executives

    Die Richtlinie wird nur dann auf romain@contoso.com angewendet, wenn er auch Mitglied der Executives-Gruppen ist. Wenn er kein Mitglied der Gruppe ist, wird die Richtlinie nicht auf ihn angewendet.

    Wenn Sie denselben Empfängerfilter auch als Ausnahme für die Richtlinie verwenden, wird die Richtlinie nicht nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Executives-Gruppen ist. Wenn er kein Mitglied der Gruppe ist, gilt die Richtlinie dennoch für ihn.

Spoof-Einstellungen

Spoofing ist, wenn die Absenderadresse in einer E-Mail-Nachricht (die Absenderadresse, die in E-Mail-Clients angezeigt wird) nicht mit der Domäne der E-Mail-Quelle übereinstimmt. Weitere Informationen zum Spoofing finden Sie unter Antispoofingschutz in Microsoft 365.

Die folgenden Spoofingeinstellungen sind in Antiphishingrichtlinien in EOP und Defender für Office 365 verfügbar:

  • Spoofingintelligenz aktivieren: Aktiviert oder deaktiviert Spoofingintelligenz. Es wird empfohlen, die Option aktiviert zu lassen.

    Wenn Spoofing intelligence aktiviert ist, zeigt der Einblick in die Spoofintelligenz gefälschte Absender an, die automatisch erkannt und von Spoofing intelligence erkannt und zugelassen oder blockiert wurden. Sie können die Spoofingintelligenzbewertung manuell überschreiben, um die erkannten gefälschten Absender aus der Erkenntnis heraus zuzulassen oder zu blockieren. Wenn Sie dies tun, verschwindet der gefälschte Absender jedoch aus dem Einblick in die Spoofintelligenz und ist jetzt nur auf der Registerkarte Spoof in der Mandanten-Zulassungs-/Sperrliste sichtbar. Sie können auch manuell Zulassungs- oder Blockeinträge für gefälschte Absender in der Mandanten-Zulassungs-/Blockliste erstellen. Weitere Informationen finden Sie in den folgenden Artikeln:

    Hinweis

    • Der Schutz vor Spoofing ist standardmäßig in der Standardmäßigen Antiphishingrichtlinie und in allen neuen benutzerdefinierten Antiphishingrichtlinien aktiviert, die Sie erstellen.
    • Sie müssen den Antispoofingschutz nicht deaktivieren, wenn Ihr MX-Eintrag nicht auf Microsoft 365 verweist. Sie aktivieren stattdessen die erweiterte Filterung für Connectors. Anweisungen hierzu finden Sie unter "Erweiterte Filterung für Connectors" in Exchange Online.
    • Durch das Deaktivieren des Antispoofingschutzes wird nur der implizite Spoofingschutz vor zusammengesetzten Authentifizierungsprüfungen deaktiviert. Wenn der Absender explizite DMARC-Prüfungen fehlschlägt, bei denen die Richtlinie auf Quarantäne oder Ablehnung festgelegt ist, wird die Nachricht weiterhin unter Quarantäne gestellt oder abgelehnt.
  • Nicht authentifizierte Absenderindikatoren: Im Abschnitt " Sicherheitstipps & Indikatoren " nur verfügbar, wenn Spoofingintelligenz aktiviert ist. Weitere Informationen finden Sie im nächsten Abschnitt.

  • Aktionen: Für Nachrichten von blockierten spoofierten Absendern (automatisch durch Spoofintelligenz blockiert oder manuell in der Liste "Mandanten zulassen/blockieren" blockiert), können Sie auch die Aktion angeben, die für die Nachrichten ausgeführt werden soll:

Nicht authentifizierte Absenderindikatoren

Nicht authentifizierte Absenderindikatoren sind Teil der Spoofingeinstellungen, die im Abschnitt "Sicherheitstipps & Indikatoren" in Antiphishingrichtlinien in EOP und Defender für Office 365 verfügbar sind. Die folgenden Einstellungen sind nur verfügbar, wenn Spoofing intelligence aktiviert ist:

  • Show (?) for unauthenticated senders for spoof: Adds a question mark to the sender's photo in the From box if the message does not pass SPF or DKIM checks and the message does not pass DMARC or composite authentication. Wenn diese Einstellung deaktiviert ist, wird das Fragezeichen dem Foto des Absenders nicht hinzugefügt.

  • Tag "über" anzeigen: Fügt das Via-Tag (chris@contoso.com über fabrikam.com) im Feld "Von" hinzu, wenn sich die Domäne in der Absenderadresse (der Nachrichtensender, der in E-Mail-Clients angezeigt wird) von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Weitere Informationen zu diesen Adressen finden Sie unter "Eine Übersicht über E-Mail-Nachrichtenstandards".

Um zu verhindern, dass das Fragezeichen oder das Tag Nachrichten bestimmter Absender hinzugefügt wird, haben Sie die folgenden Optionen:

  • Lassen Sie den gefälschten Absender im Einblick in die Spoofintelligenz oder manuell in der Mandanten-Zulassungs-/Sperrliste zu. Das Zulassen des gefälschten Absenders verhindert, dass das Via-Tag in Nachrichten des Absenders angezeigt wird, auch wenn die Tageinstellung "Über" anzeigen in der Richtlinie aktiviert ist.
  • Konfigurieren sie die E-Mail-Authentifizierung für die Absenderdomäne.
    • Für das Fragezeichen im Foto des Absenders sind SPF oder DKIM das Wichtigste.
    • Bestätigen Sie für das Via-Tag, dass die Domäne in der DKIM-Signatur oder die MAIL FROM-Adresse der Domäne in der Absenderadresse entspricht (oder eine Unterdomäne ist).

Weitere Informationen finden Sie unter Identifizieren verdächtiger Nachrichten in Outlook.com und Outlook im Web

Erster Kontakt Sicherheitstipp

Die Einstellungen für "Ersten Kontakt anzeigen Sicherheitstipp" sind in EOP und Defender für Office 365 Organisationen verfügbar und sind nicht von Spoofing intelligence- oder Identitätswechselschutzeinstellungen abhängig. Die Sicherheitstipp wird empfängern in den folgenden Szenarien angezeigt:

  • Beim ersten Abrufen einer Nachricht von einem Absender
  • Sie erhalten nicht oft Nachrichten vom Absender.

Der erste Kontakt Sicherheitstipp für Nachrichten mit einem Empfänger

Der erste Kontakt Sicherheitstipp für Nachrichten mit mehreren Empfängern

Diese Funktion fügt eine zusätzliche Sicherheitsebene vor potenziellen Identitätswechselangriffen hinzu. Daher wird empfohlen, sie zu aktivieren.

Der erste Kontakt Sicherheitstipp ersetzt auch die Notwendigkeit, Nachrichtenflussregeln (auch als Transportregeln bezeichnet) zu erstellen, die den Header mit dem Namen X-MS-Exchange-EnableFirstContactSafetyTip mit dem Wert Aktivieren für Nachrichten hinzufügen (obwohl diese Funktion weiterhin verfügbar ist).

Hinweis

Wenn die Nachricht mehrere Empfänger hat, ob der Tipp angezeigt wird und wem ein Mehrheitsmodell zugrunde liegt. Wenn die Mehrzahl der Empfänger nie oder nur selten Nachrichten vom Absender erhalten hat, erhalten die betroffenen Empfänger den Tipp "Einige Personen", die diese Nachricht erhalten haben... Wenn Sie besorgt sind, dass dieses Verhalten die Kommunikationsgewohnheiten eines Empfängers für einen anderen verfügbar macht, sollten Sie den ersten Kontakt nicht Sicherheitstipp aktivieren und stattdessen weiterhin Nachrichtenflussregeln verwenden.

Exklusive Einstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365

In diesem Abschnitt werden die Richtlinieneinstellungen beschrieben, die nur in Antiphishingrichtlinien in Defender für Office 365 verfügbar sind.

Hinweis

Die standardmäßige Antiphishingrichtlinie in Defender für Office 365 bietet Spoofingschutz und Postfachintelligenz für alle Empfänger. Die anderen verfügbaren Identitätswechselschutzfeatures und erweiterten Einstellungen sind jedoch in der Standardrichtlinie nicht konfiguriert oder aktiviert. Um alle Schutzfunktionen zu aktivieren, ändern Sie die Standard-Antiphishingrichtlinie, oder erstellen Sie zusätzliche Antiphishingrichtlinien.

Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365

Der Identitätswechsel ist der Ort, an dem der Absender oder die E-Mail-Domäne des Absenders in einer Nachricht einem echten Absender oder einer echten Domäne ähnelt:

  • Ein Beispiel für einen Identitätswechsel der Domäne contoso.com ist ćóntoso.com.
  • Ein Identitätswechsel ist eine Kombination aus dem Anzeigenamen und der E-Mail-Adresse des Benutzers. Valeria Barrios (vbarrios@contoso.com) könnte sich zum Beispiel als Valeria Barrios ausgeben, aber mit einer völlig anderen E-Mail-Adresse.

Hinweis

Der Identitätswechselschutz sucht nach Domänen, die ähnlich sind. Wenn Ihre Domäne beispielsweise contoso.com ist, suchen wir nach verschiedenen Domänen auf oberster Ebene (.com, .biz usw.) als Identitätswechselversuche, aber auch nach Domänen, die sich noch etwas ähneln. Beispielsweise können contosososo.com oder contoabcdef.com als Identitätswechselversuche von contoso.com angesehen werden.

Eine imitierte Domäne kann ansonsten als seriös gelten (registrierte Domäne, konfigurierte E-Mail-Authentifizierungseinträge usw.). Der Unterschied besteht darin, dass damit Empfänger getäuscht werden sollen.

Die folgenden Identitätswechseleinstellungen sind nur in Antiphishingrichtlinien in Defender für Office 365 verfügbar:

  • Benutzer schützen: Verhindert, dass die angegebenen internen oder externen E-Mail-Adressen als Nachrichtensender imitiert werden. Sie erhalten beispielsweise eine E-Mail-Nachricht vom Vizepräsidenten Ihres Unternehmens, in der Sie aufgefordert werden, ihr interne Unternehmensinformationen zu senden. Würdest du es tun? Viele Leute würden die Antwort senden, ohne nachzudenken.

    Sie können geschützte Benutzer verwenden, um interne und externe Absender-E-Mail-Adressen hinzuzufügen, um vor Identitätswechsel zu schützen. Diese Liste der Absender , die vor Benutzeridentitätswechsel geschützt sind, unterscheidet sich von der Liste der Empfänger , für die die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung "Benutzer", "Gruppen" und "Domänen " im Abschnitt "Allgemeine Richtlinieneinstellungen" konfiguriert).

    Hinweis

    • In jeder Antiphishingrichtlinie können Sie maximal 350 geschützte Benutzer (Absender-E-Mail-Adressen) angeben. Sie können in mehreren Richtlinien nicht denselben geschützten Benutzer angeben. Unabhängig davon, wie viele Richtlinien für einen Empfänger gelten, beträgt die maximale Anzahl geschützter Benutzer (Absender-E-Mail-Adressen) für jeden einzelnen Empfänger 350. Weitere Informationen zur Richtlinienpriorität und dazu, wie die Richtlinienverarbeitung nach anwendung der ersten Richtlinie beendet wird, finden Sie unter "Reihenfolge und Rangfolge des E-Mail-Schutzes".
    • Der Schutz vor Identitätswechsel des Benutzers funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn Absender und Empfänger noch nie per E-Mail kommuniziert haben, wird die Nachricht als Identitätswechselversuch identifiziert.

    Standardmäßig sind keine Absender-E-Mail-Adressen für den Identitätswechselschutz in Benutzern konfiguriert, um sie zu schützen. Daher werden standardmäßig keine Absender-E-Mail-Adressen vom Identitätswechselschutz abgedeckt, weder in der Standardrichtlinie noch in benutzerdefinierten Richtlinien.

    Wenn Sie den Benutzern interne oder externe E-Mail-Adressen hinzufügen, um die Liste zu schützen , unterliegen Nachrichten von diesen Absendern Identitätswechselschutzprüfungen . Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn der Identitätswechsel in der E-Mail-Adresse des Absenders erkannt wird, werden die Identitätswechselschutzaktionen für Benutzer auf die Nachricht angewendet (was mit der Nachricht zu tun ist, ob Sicherheitstipps für imitierte Benutzer angezeigt werden sollen usw.).

  • Schützen von Domänen: Verhindert, dass die angegebenen Domänen in der Domäne des Nachrichtensenders imitiert werden. Beispielsweise alle Domänen, die Sie besitzen (akzeptierte Domänen) oder bestimmte benutzerdefinierte Domänen (Domänen, die Sie besitzen oder Partnerdomänen). Diese Liste der Absenderdomänen , die vor Identitätswechsel geschützt sind, unterscheidet sich von der Liste der Empfänger, für die die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung "Benutzer", "Gruppen" und "Domänen " im Abschnitt "Allgemeine Richtlinieneinstellungen " konfiguriert).

    Hinweis

    Sie können maximal 50 benutzerdefinierte Domänen in jeder Antiphishingrichtlinie angeben.

    Standardmäßig sind keine Absenderdomänen für den Identitätswechselschutz in " Domänen zum Schutz aktivieren" konfiguriert. Daher werden standardmäßig keine Absenderdomänen durch identitätswechselschutz abgedeckt, weder in der Standardrichtlinie noch in benutzerdefinierten Richtlinien.

    Wenn Sie der Liste " Domänen zum Schutz von Domänen aktivieren " Domänen hinzufügen, unterliegen Nachrichten von Absendern in diesen Domänen Identitätswechselschutzprüfungen. Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn der Identitätswechsel in der Domäne des Absenders erkannt wird, werden die Identitätswechselschutzaktionen für Domänen auf die Nachricht angewendet (was mit der Nachricht zu tun ist, ob Sicherheitstipps für imitierte Benutzer angezeigt werden sollen usw.).

  • Aktionen: Wählen Sie die Aktion aus, die für eingehende Nachrichten ausgeführt werden soll, die Identitätswechselversuche gegen die geschützten Benutzer und geschützten Domänen in der Richtlinie enthalten. Sie können verschiedene Aktionen für den Identitätswechsel geschützter Benutzer im Vergleich zum Identitätswechsel geschützter Domänen angeben:

  • Tipps zur Identitätswechselsicherheit: Aktivieren oder deaktivieren Sie die folgenden Sicherheitstipps für Identitätswechsel, die Nachrichten angezeigt werden, bei denen Identitätswechselprüfungen fehlschlagen:

    • Tipp für imitierte Benutzer anzeigen: Die "Von"-Adresse enthält " Benutzer zum Schutz des Benutzers aktivieren". Nur verfügbar, wenn "Schützen von Benutzern aktivieren " aktiviert und konfiguriert ist.
    • Tipp für imitierte Domänen anzeigen: Die Absenderadresse enthält eine "Domänen zum Schutz der Domäne aktivieren ". Nur verfügbar, wenn "Zu schützenden Domänen aktivieren " aktiviert und konfiguriert ist.
    • Show tip for unusual characters: The From address contains unusual character sets (for example, mathematical symbols and text or a mix of uppercase and lowercase letters) in an Enable users to protect sender or an Enable domains to protect sender domain. Nur verfügbar, wenn "Benutzer schützen" oder " Zu schützenden Domänen aktivieren " aktiviert und konfiguriert ist.
  • Aktivieren der Postfachintelligenz: Aktiviert oder deaktiviert künstliche Intelligenz (KI), die Benutzer-E-Mail-Muster mit ihren häufigen Kontakten bestimmt. Diese Einstellung hilft der KI, zwischen Nachrichten von legitimen und imitierten Absendern zu unterscheiden.

    Beispielsweise ist Gabriela Laureano (glaureano@contoso.com) die CEO Ihres Unternehmens, sodass Sie sie als geschützte Absenderin in " Benutzer zum Schutz der Einstellungen der Richtlinie aktivieren" hinzufügen. Einige der Empfänger, für die die Richtlinie gilt, kommunizieren jedoch regelmäßig mit einem Lieferanten, der auch Gabriela Laureano (glaureano@fabrikam.com) heißt. Da diese Empfänger über einen Kommunikationsverlauf mit glaureano@fabrikam.com verfügen, identifiziert die Postfachintelligenz Nachrichten aus glaureano@fabrikam.com nicht als Identitätswechselversuch für glaureano@contoso.com für diese Empfänger.

    Um häufige Kontakte zu verwenden, die von Postfachintelligenz gelernt wurden (und deren Fehlen), um Benutzer vor Identitätswechselangriffen zu schützen, können Sie den Schutz vor Identitätswechsel aktivieren, nachdem Sie Die Postfachintelligenz aktivieren aktiviert haben.

  • Schutz vor Identitätswechsel der Intelligenz aktivieren: Aktivieren Sie diese Einstellung, um die Aktion anzugeben, die für Nachrichten zur Erkennung von Identitätswechseln aus den Ergebnissen der Postfachintelligenz ausgeführt werden soll:

    • Wenden Sie keine Aktion an: Beachten Sie, dass dieser Wert das gleiche Ergebnis hat wie das Aktivieren der Postfachintelligenz , aber das Deaktivieren des Schutzes des Identitätswechsels der Intelligenz.
    • Umleiten von Nachrichten an andere E-Mail-Adressen
    • Verschieben einer Nachricht in die Junk-E-Mail-Ordner der Empfänger
    • Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, können Sie auch die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die vom Postfachintelligenzschutz isoliert werden. Quarantänerichtlinien definieren, was Benutzer für isolierte Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Quarantänerichtlinien.
    • Übermitteln der Nachricht und Hinzufügen weiterer Adressen zur Bcc-Zeile
    • Löschen der Nachricht vor der Zustellung
  • Vertrauenswürdige Absender und Domänen hinzufügen: Ausnahmen zu den Identitätswechselschutzeinstellungen. Nachrichten von den angegebenen Absender- und Absenderdomänen werden von der Richtlinie niemals als identitätswechselbasierte Angriffe klassifiziert. Mit anderen Worten, die Aktion für geschützte Absender, geschützte Domänen oder Denkschutz für Postfachintelligenz wird nicht auf diese vertrauenswürdigen Absender oder Absenderdomänen angewendet. Der Höchstwert für diese Listen beträgt 1024 Einträge.

Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender für Office 365

Die folgenden erweiterten Phishingschwellenwerte sind nur in Antiphishingrichtlinien in Defender für Office 365 verfügbar. Diese Schwellenwerte steuern die Vertraulichkeit für das Anwenden von Machine Learning-Modellen auf Nachrichten, um eine Phishingbewertung zu ermitteln:

  • 1 – Standard: Dies ist der Standardwert. Der Schweregrad der Aktion, die für die Nachricht ausgeführt wird, hängt davon ab, wie sicher die Nachricht phishingt (niedrig, mittel, hoch oder sehr hoch). Beispielsweise werden nachrichten, die als Phishing mit einem sehr hohen Grad an Vertrauen identifiziert werden, die schwerwiegendsten Aktionen angewendet, während Nachrichten, die als Phishing mit einem niedrigen Grad an Vertrauen identifiziert werden, weniger schwerwiegende Aktionen angewendet werden.
  • 2 - Aggressiv: Nachrichten, die als Phishing mit einem hohen Grad an Vertrauen identifiziert werden, werden behandelt, als ob sie mit einem sehr hohen Maß an Vertrauen identifiziert wurden.
  • 3 – Aggressiver: Nachrichten, die als Phishing mit einem mittleren oder hohen Grad an Vertrauen identifiziert werden, werden behandelt, als wären sie mit einem sehr hohen Maß an Vertrauen identifiziert worden.
  • 4 – Am aggressivsten: Nachrichten, die als Phishing mit einem niedrigen, mittleren oder hohen Grad an Vertrauen identifiziert werden, werden behandelt, als wären sie mit einem sehr hohen Maß an Vertrauen identifiziert worden.

Die Wahrscheinlichkeit falsch positiver Ergebnisse (gute Nachrichten, die als schlecht gekennzeichnet sind) steigt, wenn Sie diese Einstellung erhöhen. Informationen zu den empfohlenen Einstellungen finden Sie unter Antiphishingrichtlinie in Microsoft Defender für Office 365 Einstellungen.