Erkenntnisse zu Massenabsendern in Exchange Online Protection

Hinweis

Die in diesem Artikel beschriebenen Features befinden sich derzeit in der Vorschauphase, sind nicht in allen Organisationen verfügbar und können sich ändern.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online-Postfächer können Sie anhand der Erkenntnisse zu Massenabsendern im Microsoft Defender-Portal sehen, wie viele E-Mails auf der aktuellen Ebene des Massenschwellenwerts in Antispamrichtlinien identifiziert wurden, und basierend auf Änderungen des Massenabsenderschwellenwerts und der Qualität des Massensenders identifizierte und zulässige Massen-E-Mails simulieren.

EOP weist eingehenden Nachrichten von Massensendern einen BCL-Wert (Bulk Complaint Level) zu. Ein höherer BCL-Wert weist darauf hin, dass es sich bei einer Massennachricht eher um Spam handelt. Der Schwellenwert für Massen-E-Mails in Antispamrichtlinien verwendet einen angegebenen BCL-Wert, um Nachrichten als Massenvorgang zu identifizieren und maßnahmen zu ergreifen. Weitere Informationen zur BCL finden Sie unter Massenbeschwerdegrad (BCL) in EOP.

Die Massenabsender-Erkenntnis verfügt über die folgenden Funktionen:

  • Zeigen Sie an, wie viele E-Mails in den letzten 60 Tagen auf jeder BCL-Ebene (1 bis 9) als Massenvorgang identifiziert werden.
  • Simulieren Sie Änderungen am Massen-E-Mail-Schwellenwert, und zeigen Sie die Ergebnisse für die Anzahl der Nachrichten an, die übermittelt werden würden, oder sehen Sie sich die Ergebnisse der standardmäßigen Antispamrichtlinien oder benutzerdefinierten Antispamrichtlinien an, in denen Sie den BCL-Schwellenwert festlegen können. Sie können den BCL-Schwellenwert nicht in den voreingestellten Sicherheitsrichtlinien Standard oder Strict festlegen.
  • Zeigen Sie Informationen zu Nachrichtenabsendern an, die vom Massen-E-Mail-Schwellenwert betroffen waren, einschließlich Filtern basierend auf der Qualität des Absenders.

In diesem Artikel wird beschrieben, wie Sie die Erkenntnisse zu Massensendern im Microsoft Defender-Portal verwenden.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Verwenden Sie https://security.microsoft.com/senderinsights, um direkt zur Erkenntnisseite Massensender zu wechseln.

  • Die Massensimulation und -erkennung funktioniert möglicherweise nicht ordnungsgemäß, wenn der MX-Eintrag für Ihre Microsoft 365-Domäne auf einen Dienst oder ein Gerät eines Drittanbieters verweist.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR Unified Role Based Access Control (RBAC) (Wenn E-Mail & Zusammenarbeit>Defender für Office 365-Berechtigungenaktiv ist. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

    • Exchange Online-Berechtigungen:

      • Hinzufügen, Ändern und Löschen von Richtlinien: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator .
      • Schreibgeschützter Zugriff auf Richtlinien: Mitgliedschaft in den Rollengruppen "Globaler Leser", "Sicherheitsleser" oder " Organisationsverwaltung anzeigen" .
    • Microsoft Entra-Berechtigungen: Durch die Mitgliedschaft in den folgenden Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:

      • Hinzufügen, Ändern und Löschen von Richtlinien: Mitgliedschaft in den Rollen Organisationsverwaltung* oder Sicherheitsadministrator .
      • Schreibgeschützter Zugriff auf Richtlinien: Mitgliedschaft in der Rolle "Globaler Leser " oder "Sicherheitsleseberechtigter ".

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

  • Die empfohlenen Einstellungen für Richtlinien für Antispam finden Sie unter EOP-Antispam-Richtlinieneinstellungen.

Tipp

Einstellungen in den Standard- oder benutzerdefinierten Antispamrichtlinien werden ignoriert, wenn ein Empfänger auch in den voreingestellten Sicherheitsrichtlinien Standard oder Strict enthalten ist. Weitere Informationen finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes.

Der Massenschwellenwert in einer Antispamrichtlinie bestimmt den BCL-Schwellenwert, der verwendet wird, um eine Nachricht als Massenvorgang zu identifizieren. Der Massenschwellenwert 7 bedeutet beispielsweise, dass Nachrichten mit dem BCL-Wert 7, 8 oder 9 als Massenvorgang identifiziert werden. Was mit Massennachrichten geschieht, hängt von der BCL-Aktion (Bulk Compliant Level) ab, die in der Antispamrichtlinie erfüllt oder überschritten wurde (z. B. Nachricht in Junk-E-Mail-Ordner verschieben, Quarantäne oder Nachricht löschen). Der Einfachheit halber wird das Identifizieren einer Nachricht als Massennachricht und das Ausführen von Maßnahmen in der Massenabsender-Erkenntnis als blockiert bezeichnet.

Öffnen der Massenabsender-Erkenntnis im Microsoft Defender-Portal

Die Massenabsender-Erkenntnis ist an den folgenden Speicherorten verfügbar:

  • In den Eigenschaften der Standardmäßigen Antispamrichtlinie oder benutzerdefinierten Antispamrichtlinien:

    1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu E-Mail & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Antispam im Abschnitt Richtlinien . Oder verwenden Sie , um direkt zur Seite Antispamrichtlinien zu wechseln https://security.microsoft.com/antispam.

    2. Wählen Sie auf der Seite Antispamrichtlinien eine benutzerdefinierte Antispamrichtlinie aus (der Wert Typ ist Benutzerdefinierte Antispamrichtlinie) oder die Standard-Antispamrichtlinie mit dem Namen Antispamrichtlinie für eingehenden Datenverkehr (Standard), indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken.

    3. Wählen Sie im daraufhin geöffneten Details-Flyout Den Spamschwellenwert und die Eigenschaften bearbeiten unten im Abschnitt Massen-E-Mail-Schwellenwert & Spameigenschaften aus.

    4. Im sich öffnenden Flyout Für Spamschwellenwert und -eigenschaften enthält die Erkenntnis massenversender die folgenden Informationen zu allen Massen-E-Mails, die in den letzten 60 Tagen von allen Antispamrichtlinien in der Organisation erkannt wurden:

      • Standardmäßig zeigt die Erkenntnis die Anzahl der Massennachrichten an, die am aktuellen BCL-Schwellenwert blockiert und zugelassen wurden:

        Der Massenabsender-Einblick in die Eigenschaften der Standardmäßigen Antispamrichtlinie mit dem Standardmäßigen BCL-Schwellenwert.

      • Wenn Sie den BCL-Schwellenwert verringern, um mehr Massen-E-Mails zu blockieren, zeigt die Erkenntnis die Anzahl der Massennachrichten an, die beim neuen BCL-Schwellenwert blockiert und zugelassen würden:

        Die Massenabsender erhalten Einblick in die Eigenschaften der Standardmäßigen Antispamrichtlinie, deren BCL-Schwellenwert niedriger als der ursprüngliche Wert ist.

      • Wenn Sie den BCL-Schwellenwert erhöhen, um mehr Massen-E-Mails zuzulassen, zeigt die Erkenntnis die Anzahl der Massennachrichten an, die beim neuen BCL-Schwellenwert blockiert und zugelassen würden:

        Die Massenabsender erhalten Einblick in die Eigenschaften der Standardmäßigen Antispamrichtlinie, deren BCL-Schwellenwert höher als der ursprüngliche Wert ist.

  • Auf der Seite E-Mail-& Berichte und Erkenntnisse zur Zusammenarbeit :

    1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Berichte>E-Mail & Zusammenarbeit abschnitt >E-Mail & Berichte und Erkenntnisse zur Zusammenarbeit. Oder verwenden Sie , um direkt zur Seite E-Mail & Berichte und Erkenntnisse zur Zusammenarbeit zu wechseln https://security.microsoft.com/emailandcollabreport.

    2. Navigieren Sie auf der Seite E-Mail-& Berichte und Erkenntnisse zur Zusammenarbeit zum Abschnitt E-Mail & Erkenntnisse zur Zusammenarbeit , und suchen Sie die Erkenntnisse zu Massensendern.

    Die Erkenntnisse zu Massenabsendern auf der Seite E-Mail-& Berichte und Erkenntnisse zur Zusammenarbeit im Microsoft Defender-Portal.

Wenn Sie ausführliche Informationen zu Massenerkennungen und Absendern anzeigen möchten, wählen Sie Erkenntnisse zu Massenabsendern anzeigen oder Details anzeigen aus, um die Seite Massenabsender-Erkenntnisse zu öffnen.

Anzeigen der Übersichtsseite für Massensender

Die Erkenntnisseite Massensender ist mit den folgenden Methoden verfügbar:

Die Erkenntnisseite massensender im Microsoft Defender-Portal.

Bevor Sie eine Simulation ausführen, geben die Werte in der Tabelle in der Mitte der Seite die folgenden Werte an:

  • Massenbeschwerdegrad (Bulk Complaint Level, BCL): Der Bereich der möglichen BCL-Werte (1 bis 9).
  • Alle E-Mails: Die Gesamtanzahl der Nachrichten, die bei jedem BCL-Wert identifiziert wurden (einige davon können 0 sein).
  • Übermittelt am aktuellen BCL-Schwellenwert: Die Anzahl der Nachrichten, die für jeden BCL-Wert übermittelt wurden (nicht als Massenwert identifiziert):
    • Wenn der BCL-Wert kleiner als der Schwellenwert für aktuelle Massen-E-Mails ist, wurde die Nachricht zugestellt (wurde nicht als Massenvorgang identifiziert):
      • Die Werte "Bei aktueller BCL übermittelt " und " Alle E-Mail"- Werte sind identisch.
      • Der Schwellenwert für Übermittelt am aktuellen BCL entspricht dem Wert der E-Mail, die an den aktuellen Konfigurationswert übermittelt wurde .
    • Wenn der BCL-Wert größer oder gleich dem Schwellenwert für aktuelle Massen-E-Mails ist, wurde die Nachricht als Massenvorgang identifiziert und blockiert.
      • Der Schwellenwert für "Übermittelt am aktuellen BCL "-Wert für den BCL-Wert ist 0.
      • Der Wert Alle E-Mails entspricht dem E-Mail-Wert, der am aktuellen BCL-Schwellenwert identifiziert wurde .
  • An neuen BCL-Schwellenwert übermittelt: Die Anzahl der Nachrichten, die nach dem Ausführen einer Simulation nicht als Massen-E-Mail identifiziert wurden. Bevor Sie eine Simulation ausführen, ist der Wert bedeutungslos.

Verwenden Sie zum Ausführen einer Simulation die folgenden Elemente auf der Seite:

  • Der Schieberegler für den Schwellenwert für nicht änderbare aktuelle Massen-E-Mails zeigt den aktuellen BCL-Schwellenwert an, basierend darauf, wie Sie zur Erkenntnisseite Massensender gelangt sind:
    • Direkt: Der BCL-Schwellenwert ist 7.
    • Aus den Eigenschaften einer Antispamrichtlinie: Der BCL-Schwellenwert ist der aktuelle Wert in der Antispamrichtlinie.
  • Mit dem Schieberegler Neuer Schwellenwert für Massen-E-Mails können Sie die Auswirkungen des Erhöhens und Verringerns des BCL-Schwellenwerts auf übermittelte oder blockierte Nachrichten simulieren.
  • Der Schieberegler für den Schwellenwert für die Qualität des Simulationssenders gibt einen Vertrauensschwellenwert für gute/schlechte Absender an, der in der BCL-Updatesimulation verwendet werden soll. Ein höherer Wert gibt simulierte BCL-Schwellenwertergebnisse basierend auf zuverlässigeren Absendern an. Der Schwellenwert für die Qualität des Simulationssenders für Absender basiert auf den folgenden Faktoren:
    • Frühere Interaktionen mit dem Absender.
    • Nachrichtenhäufigkeit des Absenders.
    • Administrator- oder Benutzerfeedback zu Nachrichten vom Absender.

Nachdem Sie die Schwellenwerte Neuer Schwellenwert für Massen-E-Mail und Simulation der Absenderqualität ausgewählt haben, wählen Sie Simulieren aus:

  • Die Seite wird mit der Anzahl der blockierten und zulässigen Nachrichten für die aktuellen und neuen simulierten BCL-Schwellenwerte aktualisiert.
  • Das Ende der Seite wird mit Informationen zu Absendern aktualisiert, die als Massenvorgang identifiziert werden.

Anzeigen von Informationen zu Massenabsendern auf der Seite "Massenabsender"

Die Tabelle mit den Massenabsenderdetails am unteren Rand der Seite enthält Daten zu Massenabsendern, deren Nachrichten als Massennachrichten identifiziert wurden.

Die Tabelle kann Absenderdaten enthalten, wenn Sie zum ersten Mal die Seite Massenabsender mit Erkenntnissen öffnen, wenn die Schwellenwerte Aktueller Schwellenwert für Massen-E-Mail und Simulation absenderqualität bereits zu einer Massen-E-Mail-Identifizierung geführt haben, bevor Sie Simulationen ausführen.

Andernfalls werden Absender nach dem Ausführen einer Simulation basierend auf den Schwellenwerten Aktueller Massen-E-Mail-Schwellenwert und Simulation der Absenderqualität in die Tabelle mit den Absenderdetails eingeschlossen.

Für Einträge in der Tabelle mit den Absenderdetails sind die folgenden Spalten immer verfügbar:

  • Absender: Die E-Mail-Adresse des Absenders.
  • BCL
  • Schwellenwert für die Qualität des Simulationssenders

Die verbleibenden Spalten in der Tabelle mit den Absenderdetails hängen von der Beziehung zwischen dem Aktuellen Schwellenwert für Massen-E-Mails und den Schwellenwerten neuer Massen-E-Mails ab, nachdem Sie eine Simulation ausgeführt haben:

  • Neuer Schwellenwert für Massen-E-Mails ist gleich Aktueller Schwellenwert für Massen-E-Mails:

    • Potenziell falsch positiv
    • Potenziell falsch negativ

    Um die Ergebnisse zu filtern, wählen Sie Alle Absender und dann einen der folgenden Werte aus:

    • Potenziell falsch positiv: Es werden nur Absender angezeigt, bei denen potential false positiveden Wert True aufweist.
    • Potenziell falsch negativ: Es werden nur Absender angezeigt, bei denen potenziell falsch negativauf True festgelegt ist.

    Die Erkenntnisseite Massensender vor dem Ausführen einer Simulation oder nach dem Ausführen einer Simulation, bei der der neue BCL-Schwellenwert dem aktuellen BCL-Schwellenwert entspricht.

  • Neuer Schwellenwert für Massen-E-Mails ist kleiner als der aktuelle Schwellenwert für Massen-E-Mails:

    • Neuer Absender blockiert
    • Potenziell falsch positiv

    Um die Ergebnisse zu filtern, wählen Sie Alle Absender und dann einen der folgenden Werte aus:

    • Neuer Absender blockiert: Es werden nur Absender angezeigt, bei denen Neuer Absender blockiertden Wert True aufweist.
    • Potenziell falsch positiv: Es werden nur Absender angezeigt, bei denen potential false positiveden Wert True aufweist.

    Die Erkenntnisseite Massensender, nachdem Sie eine Simulation ausgeführt haben, auf der der neue BCL-Schwellenwert kleiner als der aktuelle BCL-Schwellenwert ist.

  • Neuer Schwellenwert für Massen-E-Mails ist größer als der aktuelle Schwellenwert für Massen-E-Mails:

    • Neuer Absender zulässig
    • Potenziell falsch negativ

    Um die Ergebnisse zu filtern, wählen Sie Alle Absender und dann einen der folgenden Werte aus:

    • Neuer Absender zulässig: Es werden nur Absender angezeigt, bei denen Neuer Absender zulässigist.
    • Potenziell falsch negativ: Es werden nur Absender angezeigt, bei denen potenziell falsch negativauf True festgelegt ist.

    Die Erkenntnisseite Massensender, nachdem Sie eine Simulation ausgeführt haben, auf der der neue BCL-Schwellenwert größer als der aktuelle BCL-Schwellenwert ist.

Wenn Sie die Liste der Einträge von normal in kompakten Abstand ändern möchten, wählen Sie Listenabstand in komprimieren oder normal ändern und dann Liste komprimieren aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um bestimmte Absender in der Tabelle zu finden.

Verwenden Sie Exportieren , um die aktuell angezeigte Liste der Absender in einer CSV-Datei zu speichern. Der Standarddateiname ist Massenabsender insights – Microsoft Defender.csv, und der Standardspeicherort ist der lokale Ordner Downloads. Wenn an diesem Speicherort bereits eine exportierte Datei vorhanden ist, wird der Dateiname erhöht (z. B. Massenabsendererkenntnisse – Microsoft Defender(1).csv).

Anzeigen detaillierter Informationen zu einem Massenabsender auf der Seite "Massenabsender mit Einblicken"

Klicken Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte, um Details zu einem bestimmten Absender in der Tabelle mit den Absenderdetails anzuzeigen. Das flyout "Absenderdetails ", das geöffnet wird, enthält die folgenden Informationen zum Absender:

  • Absender: Die E-Mail-Adresse des Absenders.
  • Nachrichten: Die Anzahl der Nachrichten vom Absender.
  • Nachrichten im Posteingang: Die Anzahl der Nachrichten vom Absender, die an benutzerinterne Posteingänge übermittelt wurden.
  • Nachrichten in Quarantäne oder Junk-E-Mail: Die Anzahl der Nachrichten vom Absender, die an Junk-E-Mail-Ordner des Benutzers übermittelt oder unter Quarantäne gestellt wurden.
  • Administratoreinstellung: Gibt an, ob der Absender durch die Berechtigungen und Blöcke verwalten in der Mandanten-Zulassungs-/SperrlisteZulässige Werte sind:
    • Zulassen: Für den Nachrichtensender ist ein Zulassungseintrag vorhanden.
    • Blockieren: Für den Nachrichtensender ist ein Blockeintrag vorhanden.
  • Vom Benutzer zugelassene Nachrichten: Die Anzahl der Nachrichten des Absenders, die der Liste "Sichere Absender" in Benutzerpostfächern hinzugefügt wurden.
  • Vom Benutzer blockierte Nachrichten: Die Anzahl der Nachrichten vom Absender, die der Liste Blockierte Absender in Benutzerpostfächern hinzugefügt wurden.
  • Falsch positive Übermittlungen: Die Anzahl der Nachrichten vom Absender, die versehentlich als gute E-Mail gesendet wurden.
  • Falsch negative Übermittlungen: Die Anzahl der Nachrichten vom Absender, die versehentlich als ungültige E-Mails übermittelt wurden.
  • Benutzer aus Junk-E-Mail in den Posteingang verschoben
  • Der Benutzer wurde vom Posteingang in die Junk-E-Mail verschoben.
  • Vom Benutzer gelöschte Nachrichten
  • Vom Administrator unter Quarantäne gestellte Nachrichten
  • Der Administrator hat E-Mails aus dem Posteingang in die Junk-E-Mail verschoben.
  • Vom Administrator gelöschte Nachrichten

Das Flyout mit den Absenderdetails aus der Tabelle mit den Absenderdetails auf der Erkenntnisseite Massenabsender.