Antispamschutz in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Hinweis

Dieses Thema richtet sich an Administratoren. Informationen zu Endbenutzerthemen finden Sie unter Übersicht über den Junk-Email-Filter und Informationen zu Junk-E-Mails und Phishing.

In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder Organisationen mit dem eigenständigen Exchange Online Protection-Produkt (EOP) ohne Exchange Online-Postfächer werden E-Mail-Nachrichten automatisch von EOP vor Spam (Junk-E-Mail) geschützt.

Um Junk-E-Mails zu reduzieren, umfasst EOP Junk-E-Mail-Schutz, der proprietäre Spamfiltertechnologien (auch als Inhaltsfilterung bezeichnet) verwendet, um Junk-E-Mails von legitimen E-Mails zu identifizieren und zu trennen. Die EOP-Spamfilterung lernt aus bekannten Spam- und Phishingbedrohungen und Benutzerfeedback von unserer Verbraucherplattform, Outlook.com. Kontinuierliches Feedback von Administratoren und Benutzern trägt dazu bei, dass die EOP-Technologien kontinuierlich trainiert und verbessert werden.

EOP verwendet die folgenden Spamfilterbewertungen, um Nachrichten zu klassifizieren:

  • Spam: Die Nachricht hat einen Spam-Konfidenzgrad (SCL) von 5 oder 6 erhalten.
  • Spam mit hoher Zuverlässigkeit: Die Nachricht hat eine SCL von 7, 8 oder 9 erhalten.
  • Phishing
  • Phishing mit hoher Zuverlässigkeit: Im Rahmen der Standardmäßigen Sicherheit werden Nachrichten, die als Phishing mit hoher Zuverlässigkeit identifiziert werden, immer unter Quarantäne gestellt, und Benutzer können ihre eigenen, unter Quarantäne gestellten Phishingnachrichten mit hohem Vertrauen nicht freigeben, unabhängig von den verfügbaren Einstellungen, die Administratoren konfigurieren.
  • Massen: Die Nachrichtenquelle hat den konfigurierten BCL-Schwellenwert (Bulk Complaint Level) erreicht oder überschritten.

Weitere Informationen zum Antispamschutz finden Sie in den häufig gestellten Fragen zum Antispamschutz.

In der Standardmäßigen Antispamrichtlinie und in benutzerdefinierten Antispamrichtlinien können Sie die aktionen konfigurieren, die auf der Grundlage dieser Bewertungen ausgeführt werden sollen. In den voreingestellten Sicherheitsrichtlinien Standard und Strict sind die Aktionen bereits konfiguriert und nicht änderbar, wie unter EOP-Antispamrichtlinieneinstellungen beschrieben.

Informationen zum Konfigurieren der Standardmäßigen Antispamrichtlinie und zum Erstellen, Ändern und Entfernen benutzerdefinierter Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien in Microsoft 365.

Tipp

Wenn Sie mit dem Spamfilter-Urteil nicht einverstanden sind, können Sie die Nachricht als falsch positiv (gute E-Mail als schlecht gekennzeichnet) oder falsch negativ (schlechte E-Mail zulässig) an Microsoft melden. Weitere Informationen finden Sie unter:

Die Antispam-Nachrichtenkopfzeilen können Ihnen mitteilen, warum eine Nachricht als Spam gekennzeichnet wurde oder warum sie die Spamfilterung übersprungen hat. Weitere Informationen finden Sie unter Antispam-Nachrichtenkopfzeilen.

Sie können die Spamfilterung in Microsoft 365 nicht vollständig deaktivieren, aber Sie können Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) verwenden, um die meisten Spamfilter für eingehende Nachrichten zu umgehen (z. B. wenn Sie E-Mails über einen Schutzdienst oder ein Gerät eines Drittanbieters weiterleiten, bevor sie an Microsoft 365 übermittelt werden). Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln, um die Spam-Konfidenzstufe (Spam Confidence Level, SCL) in Nachrichten festzulegen.

In Hybridumgebungen, in denen EOP lokale Exchange-Postfächer schützt, müssen Sie zwei Nachrichtenflussregeln (auch als Transportregeln bezeichnet) in Ihrem lokalen Exchange-organization konfigurieren, um die EOP-Spamheader zu erkennen, die Nachrichten hinzugefügt werden. Ausführliche Informationen finden Sie unter Konfigurieren von EOP zum Verschieben von Spam in den Junk-E-Mail-Ordner in Hybridumgebungen.

Antispamrichtlinien

Antispamrichtlinien steuern die konfigurierbaren Einstellungen für die Spamfilterung. Die wichtigen Einstellungen in Antispamrichtlinien werden in den folgenden Unterabschnitten beschrieben.

Tipp

Informationen zu den Antispamrichtlinieneinstellungen in der Standardrichtlinie, der voreingestellten Sicherheitsrichtlinie Standard und der voreingestellten Sicherheitsrichtlinie Streng finden Sie unter EOP-Antispamrichtlinieneinstellungen.

Empfängerfilter in Antispamrichtlinien

Empfängerfilter verwenden Bedingungen und Ausnahmen, um die internen Empfänger zu identifizieren, für die die Richtlinie gilt. In benutzerdefinierten Richtlinien ist mindestens eine Bedingung erforderlich. Bedingungen und Ausnahmen sind in der Standardrichtlinie nicht verfügbar (die Standardrichtlinie gilt für alle Empfänger). Sie können die folgenden Empfängerfilter für Bedingungen und Ausnahmen verwenden:

  • Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte im organization.
  • Gruppen:
    • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
    • Die angegebene Microsoft 365-Gruppen.
  • Domänen: Mindestens eine der konfigurierten akzeptierten Domänen in Microsoft 365. Die primäre E-Mail-Adresse des Empfängers befindet sich in der angegebenen Domäne.

Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten:

  • Mehrere Wertederselben Bedingung oder Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>):

    • Bedingungen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf diese angewendet.
    • Ausnahmen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
  • Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

  • Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

    • Benutzer: romain@contoso.com
    • Gruppen: Führungskräfte

    Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

Massenbeschwerdeschwellenwert (BCL) in Antispamrichtlinien

EOP weist eingehenden Nachrichten von Massensendern einen BCL-Wert (Bulk Complaint Level) zu. Nachrichten von Massensendern werden auch als Massen-E-Mail oder graue E-Mail bezeichnet.

Weitere Informationen zu BCL finden Sie unter Massenbeschwerdegrad (BCL) in EOP.

Tipp

Standardmäßig befindet On sich die einzige PowerShell-Einstellung MarkAsSpamBulkMail in Antispamrichtlinien in Exchange Online PowerShell. Diese Einstellung wirkt sich erheblich auf die Ergebnisse einer massenkonformen Ebene (Bulk Compliant Level, BCL) aus, die die Filterbewertung erreicht oder überschritten hat :

  • MarkAsSpamBulkMail ist aktiviert: Eine BCL, die größer oder gleich dem Schwellenwert ist, wird in eine SCL 6 konvertiert, die einem Filterurteil von Spam entspricht, und die Aktion für die Massenkonformulierungsstufe (Bulk Compliant Level, BCL) wurde erfüllt oder überschritten , wird für die Nachricht ausgeführt.
  • MarkAsSpamBulkMail ist deaktiviert: Die Nachricht wird mit der BCL gestempelt, aber es wird keine Aktion für eine massenkonforme Ebene (BCL) durchgeführt oder die Filterbewertung überschritten. In der Tat sind der BCL-Schwellenwert und die Massenkonforme Ebene (Bulk Compliant Level, BCL) erreicht oder überschrittene Filterbewertungsaktion irrelevant.

Spameigenschaften in Antispamrichtlinien

Die Einstellungen für den Testmodus , die Einstellungen "Spambewertung erhöhen " und die meisten Einstellungen " Als Spam markieren " sind Teil der Erweiterten Spamfilterung (ASF) in Antispamrichtlinien.

Diese Einstellungen sind nicht standardmäßig in der Standard-Antispamrichtlinie oder in den voreingestellten Sicherheitsrichtlinien Standard oder Strict konfiguriert.

Vollständige Informationen zu ASF-Einstellungen finden Sie unter Advanced Spam Filter (ASF)-Einstellungen in EOP.

Die anderen Einstellungen, die in dieser Kategorie verfügbar sind, sind:

  • Enthält bestimmte Sprachen: Nachrichten in den angegebenen Sprachen werden automatisch als Spam identifiziert.
  • Aus diesen Ländern: Nachrichten aus den angegebenen Ländern werden automatisch als Spam identifiziert.

Diese Einstellungen sind nicht standardmäßig in der Standard-Antispamrichtlinie oder in den voreingestellten Sicherheitsrichtlinien Standard oder Strict konfiguriert.

Aktionen in Antispamrichtlinien

  • In benutzerdefinierten Antispamrichtlinien und der Standardmäßigen Antispamrichtlinie werden die verfügbaren Aktionen für Bewertungen der Spamfilterung in der folgenden Tabelle beschrieben.

    • Ein Häkchen ( ✔ ) gibt an, dass die Aktion verfügbar ist (nicht alle Aktionen sind für alle Bewertungen verfügbar).
    • Ein Sternchen ( * ) nach dem Häkchen kennzeichnet die Standardaktion für die Spamfilterbewertung.
    Aktion Spam Hoch
    Konfidenz
    Spam
    Phishing Hoch
    Konfidenz
    Phishing
    Masse
    Nachricht in Junk-Email Ordner verschieben: Die Nachricht wird an das Postfach übermittelt und in den Junk-Email Ordner verschoben.¹ * * ² *
    X-Header hinzufügen: Fügt dem Nachrichtenheader einen X-Header hinzu und übermittelt die Nachricht an das Postfach.

    Sie geben den Namen des X-Headerfelds (nicht den Wert) in das verfügbare Textfeld Diese X-Kopfzeile hinzufügen ein.

    Bei Spam- und Spambewertungen mit hoher Zuverlässigkeit wird die Nachricht in den Junk-Email Ordner verschoben.¹ ¹
    Text in Betreffzeile voranstellen: Fügt Text am Anfang der Betreffzeile der Nachricht ein. Die Nachricht wird an das Postfach übermittelt und in den Junk-E-Mail-Ordner verschoben.¹ ¹

    Sie geben den Text in die verfügbare Betreffzeile Präfix mit diesem Textfeld ein.
    Nachricht an E-Mail-Adresse umleiten: Sendet die Nachricht an andere Empfänger statt an die vorgesehenen Empfänger.

    Sie geben die Empfänger im Feld An diese E-Mail-Adresse umleiten an.
    Nachricht löschen: Löscht automatisch die gesamte Nachricht, einschließlich aller Anlagen.
    Nachricht in Quarantäne verschieben: Verschiebt die Nachricht in Quarantäne, anstatt sie an die vorgesehenen Empfänger zu senden.

    Sie wählen oder verwenden die Standardquarantänerichtlinie für die Spamfilterungsbewertung im angezeigten Feld Quarantänerichtlinie auswählen .⁴ Quarantänerichtlinien definieren, was Benutzer für unter Quarantäne gestellte Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

    Sie geben an, wie lange die Nachrichten in Quarantäne gehalten werden, im verfügbaren Feld Spam für diese anzahl Tage in Quarantäne aufbewahren .
    * *
    Keine Aktion

    ¹ EOP verwendet einen eigenen Nachrichtenfluss-Übermittlungs-Agent, um Nachrichten an den Junk-Email-Ordner weiterzuleiten, anstatt die Junk-E-Mail-Regel im Postfach zu verwenden. Der Parameter Enabled im Cmdlet Set-MailboxJunkEmailConfiguration in Exchange Online PowerShell wirkt sich auf den Nachrichtenfluss in Cloudpostfächern aus. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer.

    ² Für Phishing mit hoher Zuverlässigkeit ist die Aktion Nachricht in Junk-Email Ordner verschieben effektiv veraltet. Obwohl Sie möglicherweise die Aktion Nachricht in Junk-Junk-Email Ordner verschieben auswählen können, werden Phishingnachrichten mit hoher Zuverlässigkeit immer unter Quarantäne gesetzt (entspricht der Auswahl von Quarantänenachricht).

    ¹ Sie können diesen Wert als Bedingung in Nachrichtenflussregeln verwenden, um die Nachricht zu filtern oder weiterzuleiten.

    ⁴ Wenn die Spamfilterungsbewertung Nachrichten standardmäßig unter Quarantäne stellt (Nachricht unter Quarantäne stellen ist bereits ausgewählt, wenn Sie die Seite aufrufen), wird der Name der Standardquarantänerichtlinie im Feld Quarantänerichtlinie auswählen angezeigt. Wenn Sie die Aktion einer Spamfilterungsbewertung in Quarantäne-Nachrichtändern, ist das Feld Quarantänerichtlinie auswählen standardmäßig leer. Ein leerer Wert bedeutet, dass die Standardquarantänerichtlinie für dieses Urteil verwendet wird. Wenn Sie später die Antispamrichtlinieneinstellungen anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt. Weitere Informationen zu den Quarantänerichtlinien, die standardmäßig für Spamfilterbewertungen verwendet werden, finden Sie unter EOP-Antispamrichtlinieneinstellungen.

    ⁵ Benutzer können ihre eigenen Nachrichten, die als Phishing mit hoher Zuverlässigkeit unter Quarantäne standen, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie es Benutzern ermöglicht, ihre eigenen unter Quarantäne gestellten Nachrichten freizugeben, können Benutzer stattdessen die Freigabe ihrer unter Quarantäne gestellten Phishing-Nachrichten mit hoher Zuverlässigkeit anfordern .

  • Organisationsinterne Nachrichten, für die Maßnahmen ergriffen werden sollen: Steuert, ob die Spamfilterung und die entsprechenden Bewertungsaktionen auf interne Nachrichten angewendet werden (Nachrichten, die zwischen Benutzern innerhalb des organization gesendet werden). Die Aktion, die in der Richtlinie für die angegebenen Spamfilterbewertungen konfiguriert ist, wird für Nachrichten ausgeführt, die zwischen internen Benutzern gesendet werden. Die verfügbaren Werte sind:

    • Standard: Dies ist der Standardwert. Dieser Wert entspricht dem Auswählen von Phishingnachrichten mit hoher Zuverlässigkeit.
    • Keine
    • Phishing-Nachrichten mit hoher Zuverlässigkeit
    • Phishing und Phishingnachrichten mit hoher Zuverlässigkeit
    • Alle Phishing- und Hochsicherheits-Spam-Nachrichten
    • Alle Phishing- und Spamnachrichten

    Informationen zu den Standardwerten, die in der Standard-Antispamrichtlinie und in den voreingestellten Sicherheitsrichtlinien Standard und Strict verwendet werden, finden Sie unter Organisationsinterne Nachrichten, die in den Einstellungen der EOP-Antispamrichtlinie maßnahmen ergreifen können.

  • Spam für so viele Tage in Quarantäne aufbewahren: Gibt an, wie lange die Nachricht in Quarantäne bleibt, wenn Sie Nachricht in Quarantäne verschieben als Aktion für eine Spamfilterbewertung ausgewählt haben. Nach Ablauf des Zeitraums wird die Nachricht gelöscht und kann nicht wiederhergestellt werden. Ein gültiger Wert liegt zwischen 1 und 30 Tagen.

    Die Standardwerte, die in der Standard-Antispamrichtlinie und in den voreingestellten Sicherheitsrichtlinien Standard und Strict verwendet werden, finden Sie im Eintrag Beibehalten von Spam in Quarantäne für diese zeitintensiven Tage in den Einstellungen der EOP-Antispamrichtlinie.

    Tipp

    Diese Einstellung steuert auch, wie lange Nachrichten, die von Antiphishingrichtlinien unter Quarantäne gestellt wurden, beibehalten werden. Weitere Informationen finden Sie unter Quarantäneaufbewahrung.

Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) in Antispamrichtlinien

ZAP für Phishing und ZAP für Spam kann auf Nachrichten reagieren, nachdem sie an Exchange Online Postfächer übermittelt wurden. Standardmäßig sind ZAP für Phishing und ZAP für Spam aktiviert, und es wird empfohlen, sie aktiviert zu lassen. Weitere Informationen finden Sie unter:

Quarantänerichtlinien in Antispamrichtlinien

Wenn das Urteil in der Antispamrichtlinie so konfiguriert ist, dass Nachrichten unter Quarantäne stellen, definieren Quarantänerichtlinien, was Benutzer mit diesen in Quarantäne befindlichen Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Zulassen und Blockieren von Listen in Antispamrichtlinien

Antispamrichtlinien enthalten die folgenden Listen, um bestimmte Absender oder Domänen zuzulassen oder zu blockieren:

  • Die Liste der zulässigen Absender
  • Die Liste der zulässigen Domänen
  • Die Liste blockierter Absender
  • Liste blockierter Domänen

Diese Einstellungen sind nicht standardmäßig in der Standard-Antispamrichtlinie oder in den voreingestellten Sicherheitsrichtlinien Standard oder Strict konfiguriert.

Die Funktionalität dieser Listen wurde weitgehend ersetzt durch:

  • Blockieren Von Einträgen für Domänen und E-Mail-Adressen im Abschnitt Erstellen von Blockeinträgen für Domänen und E-Mail-Adressen.

    Der Standard Grund, die Liste blockierter Absender oder die Liste blockierter Domänen in Antispamrichtlinien zu verwenden: Blockieren von Einträgen in der Mandanten-Zulassungs-/Sperrliste verhindern auch, dass Benutzer im organization E-Mails an diese E-Mail-Adressen oder Domänen senden.

  • Melden von guten E-Mails an Microsoft über die Seite Übermittlungen im Microsoft Defender-Portal (wo Sie E-Mails mit ähnlichen Attributen zulassen auswählen können, wodurch die erforderlichen temporären Einträge in der Mandanten-Zulassungs-/Sperrliste erstellt werden).

    Wichtig

    Nachrichten aus Einträgen in der Liste der zulässigen Absender oder der Liste der zulässigen Domänen umgehen die meisten E-Mail-Schutz (außer Schadsoftware und Phishing mit hoher Zuverlässigkeit) und E-Mail-Authentifizierungsprüfungen (SPF, DKIM und DMARC). Einträge in der Liste zulässiger Absender oder der Liste zulässiger Domänen stellen ein hohes Risiko für Angreifer dar, die E-Mails erfolgreich an den Posteingang übermitteln, die andernfalls gefiltert würden. Diese Listen werden am besten nur für temporäre Tests verwendet.

    Fügen Sie der Liste der zulässigen Domänen niemals allgemeine Domänen (z. B. microsoft.com oder office.com) hinzu. Angreifer können spoofte Nachrichten aus diesen gängigen Domänen problemlos an Ihre organization senden.

    Wenn sich ab September 2022 ein zulässiger Absender, eine domäne oder eine unterdomäne in einer akzeptierten Domäne in Ihrem organization befindet, muss dieser Absender, diese Domäne oder Unterdomäne E-Mail-Authentifizierungsprüfungen bestehen, um die Spamfilterung zu überspringen.

    Wenn Sie einen zulässigen Domäneneintrag für einen längeren Zeitraum in der Liste behalten möchten, bitten Sie den Absender, zu überprüfen, ob sein SPF-Eintrag mit E-Mail-Quellen für seine Domäne auf dem neuesten Stand ist und dass die Richtlinie in seinem DMARC-Eintrag auf p=rejectfestgelegt ist.

Priorität von Antispamrichtlinien

Wenn sie aktiviert sind, werden die voreingestellten Sicherheitsrichtlinien Standard und Strict vor benutzerdefinierten Antispamrichtlinien oder der Standardrichtlinie (Streng ist immer zuerst) angewendet. Wenn Sie mehrere benutzerdefinierte Antispamrichtlinien erstellen, können Sie die Reihenfolge angeben, in der sie angewendet werden. Die Richtlinienverarbeitung wird beendet, nachdem die erste Richtlinie angewendet wurde (die Richtlinie mit der höchsten Priorität für diesen Empfänger).

Weitere Informationen zur Rangfolge und zur Auswertung mehrerer Richtlinien finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes und Rangfolge für voreingestellte Sicherheitsrichtlinien und andere Richtlinien.

Standard-Antispamrichtlinie

Jede organization verfügt über eine integrierte Antispamrichtlinie mit dem Namen Default, die über die folgenden Eigenschaften verfügt:

  • Die Richtlinie ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert True), und die Standardrichtlinie kann nicht gelöscht werden.
  • Die Richtlinie wird automatisch auf alle Empfänger im organization angewendet, und Sie können sie nicht deaktivieren.
  • Die Richtlinie wird immer zuletzt angewendet (der Prioritätswert ist niedrigster Wert, und Sie können ihn nicht ändern).