Automatische Bereinigung zur Nullstunde (ZAP) in Exchange Online

Gilt für

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Oberfläche bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Zero-Hour Auto Purge (ZAP)-Grundlagen

In Microsoft 365 Organisationen mit Postfächern in Exchange Online ist ZAP (Zero-Hour Auto Purge) ein Feature zum Schutz von E-Mails, das böswillige Phishing-, Spam- oder Schadsoftwarenachrichten erkennt und neutralisiert, die bereits an Exchange Online Postfächer übermittelt wurden.

ZAP funktioniert nicht in eigenständigen Exchange Online Protection (EOP)-Umgebungen, die lokale Exchange Postfächer schützen.

Funktionsweise von ZAP

Spam- und Schadsoftwaresignaturen werden täglich in Echtzeit im Dienst aktualisiert. Benutzer können jedoch aus einer Vielzahl von Gründen weiterhin bösartige Nachrichten empfangen, z. B. wenn Inhalte nach der Zustellung an benutzerdekantiert werden. ZAP behebt dieses Problem, indem updates für die Spam- und Schadsoftwaresignaturen im Dienst kontinuierlich überwacht werden. ZAP kann Nachrichten suchen und entfernen, die sich bereits im Postfach eines Benutzers befinden.

Die ZAP-Aktion ist für den Benutzer nahtlos. sie werden nicht benachrichtigt, wenn eine Nachricht erkannt und verschoben wird.

Tresor Absenderlisten,Nachrichtenflussregeln (auch als Transportregeln bezeichnet), Posteingangsregeln oder zusätzliche Filter haben Vorrang vor ZAP. Ähnlich wie beim Nachrichtenfluss bedeutet dies, dass selbst wenn der Dienst feststellt, dass die zugestellte Nachricht ZAP benötigt, die Nachricht aufgrund der Konfiguration sicherer Absender nicht bearbeitet wird. Dies ist ein weiterer Grund, bei der Konfiguration von Nachrichten zur Umgehung der Filterung vorsichtig zu sein.

Automatische Bereinigung zur Nullstunde (ZAP) für Schadsoftware

Für gelesene oder ungelesene Nachrichten, die nach der Übermittlung Schadsoftware enthalten, isoliert ZAP die Nachricht, die die Antischadsoftwareanlage enthält. Standardmäßig können nur Administratoren in Quarantäne befindliche Schadsoftwarenachrichten anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer für Nachrichten tun dürfen, die als Schadsoftware isoliert wurden. Weitere Informationen finden Sie unter Quarantänerichtlinien.

ZAP für Schadsoftware ist in Antischadsoftwarerichtlinien standardmäßig aktiviert. Weitere Informationen finden Sie unter Konfigurieren von Antischadsoftwarerichtlinien in EOP.

Automatische Bereinigung zur Nullstunde (ZAP) für Phishing

Für gelesene oder ungelesene Nachrichten, die nach der Zustellung als Phishing erkannt werden, hängt das ZAP-Ergebnis von der Aktion ab, die für eine Phishing-E-Mail-Filterbewertung in der geltenden Antispamrichtlinie konfiguriert ist. Die verfügbaren Filterbewertungsaktionen für Phishing und deren mögliche ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

Standardmäßig ist ZAP für Phishing in Antispamrichtlinien aktiviert, und die Standardaktion für die Phishing-E-Mail-Filterbewertung lautet "Quarantänenachricht", was bedeutet, dass ZAP für Phishing die Nachricht standardmäßig unter Quarantäne stellt.

Weitere Informationen zum Konfigurieren von Spamfilterbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

Automatische Bereinigung zur Nullstunde (ZAP) für Phishing mit hoher Vertrauenswürdigkeit

Für gelesene oder ungelesene Nachrichten, die nach der Zustellung als Phishing mit hoher Konfidenz erkannt werden, unter quarantäneet ZAP die Nachricht. Standardmäßig können nur Administratoren isolierte Phishingnachrichten mit hoher Konfidenz anzeigen und verwalten. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer für Nachrichten tun dürfen, die als Phishing mit hohem Vertrauen unter Quarantäne gestellt wurden. Weitere Informationen finden Sie unter "Quarantänerichtlinien"

ZAP für Phishing mit hoher Konfidenz ist standardmäßig aktiviert. Weitere Informationen finden Sie unter "Standardmäßig sichern" in Office 365.

Automatische Bereinigung zur Nullstunde (ZAP) für Spam

Für ungelesene Nachrichten, die nach der Zustellung als Spam erkannt werden, hängt das ZAP-Ergebnis von der Aktion ab, die für die Spamfilterbewertung in der entsprechenden Antispamrichtlinie konfiguriert ist. Die verfügbaren Filterbewertungsaktionen für Spam und deren mögliche ZAP-Ergebnisse werden in der folgenden Liste beschrieben:

  • X-Header hinzufügen, Betreffzeile mit Text vorangestellt, Nachricht an E-Mail-Adresse umleiten, Nachricht löschen: ZAP führt keine Aktion für die Nachricht aus.

  • Nachricht in Junk-E-Mail verschieben: ZAP verschiebt die Nachricht in den Junk-E-Mail-Ordner. Weitere Informationen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Microsoft 365.

  • Quarantänenachricht: ZAP isoliert die Nachricht. Standardmäßig können Endbenutzer in Quarantäne gestellte Spamnachrichten anzeigen und verwalten, wenn sie ein Empfänger sind. Administratoren können jedoch Quarantänerichtlinien erstellen und verwenden, um zu definieren, was Benutzer für Nachrichten tun dürfen, die als Spam unter Quarantäne gestellt wurden. Weitere Informationen finden Sie unter "Quarantänerichtlinien"

Standardmäßig ist Spam ZAP in Antispamrichtlinien aktiviert, und die Standardaktion für die Spamfilterbewertung lautet "Nachricht in Junk-E-Mail-Ordner verschieben", was bedeutet, dass Spam-ZAP ungelesene Nachrichten standardmäßig in den Junk-E-Mail-Ordner verschiebt.

Weitere Informationen zum Konfigurieren von Spamfilterbewertungen finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

Überlegungen zur automatischen Bereinigung (Zero-Hour Auto Purge, ZAP) für Microsoft Defender für Office 365

ZAP unter quarantäne stellt keine Nachrichten unter Quarantäne, die sich im Prozess der dynamischen Übermittlung in Tresor Anlagenrichtlinienüberprüfung befinden oder bei denen die EOP-Schadsoftwarefilterung die Anlage bereits durch die Datei "Schadsoftwarewarnung Text.txt" ersetzt hat. Wenn für diese Nachrichtentypen ein Phishing- oder Spamsignal empfangen wird und die Filterbewertung in der Antispamrichtlinie so festgelegt ist, dass eine Aktion für die Nachricht (Verschieben zu Junk, Umleiten, Löschen oder Quarantäne) ausgeführt wird, wird ZAP standardmäßig als Aktion "Zu Junk verschieben" verwendet.

So sehen Sie, ob ZAP Ihre Nachricht verschoben hat

Um festzustellen, ob ZAP Ihre Nachricht verschoben hat, können Sie entweder den Bedrohungsschutzstatusbericht oder den Bedrohungs-Explorer (und Echtzeiterkennungen)verwenden. Beachten Sie, dass ZAP als Systemaktion nicht in den Exchange Postfachüberwachungsprotokollen protokolliert wird.

Zero-hour auto purge (ZAP) FAQ

Was geschieht, wenn eine seriöse Nachricht in den Junk-E-Mail-Ordner verschoben wird?

Sie sollten den normalen Berichterstellungsprozess für falsch positive Ergebnissebefolgen. Der einzige Grund, warum die Nachricht aus dem Posteingang in den Junk-E-Mail-Ordner verschoben werden würde, wäre, weil der Dienst festgestellt hat, dass die Nachricht Spam oder bösartig war.

Was geschieht, wenn ich den Quarantäneordner anstelle des Junk-E-Mail-Ordners verwende?

ZAP ergreift Maßnahmen für eine Nachricht basierend auf der Konfiguration Ihrer Antispamrichtlinien, wie weiter oben in diesem Artikel beschrieben.

Was geschieht, wenn ich sichere Absender, Nachrichtenflussregeln oder Listen zugelassener/blockierter Absender verwende?

Tresor Absender, Nachrichtenflussregeln oder Organisationseinstellungen blockieren und zulassen, haben Vorrang. Diese Nachrichten werden von ZAP ausgeschlossen, da der Dienst die von Ihnen konfigurierte Aktion ausführt. Dies ist ein weiterer Grund, bei der Konfiguration von Nachrichten zur Umgehung der Filterung vorsichtig zu sein.

Wie funktionieren die Lizenzierungsanforderungen für die automatische Bereinigung zur Nullstunde (Zero-Hour Auto Purge, ZAP) ?

Es gibt keine Einschränkungen für Lizenzen. ZAP funktioniert für alle Postfächer, die auf Exchange Online gehostet werden. ZAP funktioniert nicht in eigenständigen Exchange Online Protection (EOP)-Umgebungen, die lokale Exchange Postfächer schützen.

Was geschieht, wenn eine Nachricht in einen anderen Ordner verschoben wird (z. B. Posteingangsregeln)?

Die automatische Bereinigung zur Nullstunde funktioniert weiterhin, solange die Nachricht nicht gelöscht wurde oder solange die gleiche oder stärkere Aktion noch nicht angewendet wurde. Wenn beispielsweise die Antiphishingrichtlinie auf Quarantäne festgelegt ist und die Nachricht bereits in der Junk-E-Mail enthalten ist, wird ZAP maßnahmen ergreifen, um die Nachricht unter Quarantäne zu stellen.

Wie wirkt sich ZAP auf postfächer im Haltebereich aus?

Die automatische Bereinigung zur 0-Stunden-Bereinigung unter Quarantäne stellt Nachrichten aus Postfächern in der Warteschleife unter Quarantäne. ZAP kann Nachrichten basierend auf der Aktion, die für eine Spam- oder Phishingbewertung in Antispamrichtlinien konfiguriert ist, in den Junk-E-Mail-Ordner verschieben.

Weitere Informationen zu Haltebereichen in Exchange Online finden Sie unter In-Situ-Aufbewahrung und Beweissicherungsverfahren in Exchange Online.