(0) exportieren Drucken
Alle erweitern

Verwenden von Berichten zum E-Mail-Schutz in Office 365, um Daten über Schadsoftware, Spam und Regelerkennung anzuzeigen

Exchange Online
 

Gilt für: Exchange Online Protection, Exchange Online

Letztes Änderungsdatum des Themas: 2014-07-24

Wenn Sie ein Exchange Online- oder Exchange Online Protection (EOP)-Administrator sind, möchten Sie wahrscheinlich überwachen, wie viel Spam und Schadsoftware erkannt wird oder wie oft Ihre Transportregeln erfüllt werden. Mit den interaktiven Berichten zum E-Mail-Schutz im Office 365 Admin Center erhalten Sie schnell einen visuellen Bericht über die zusammengefassten Daten und können Details zu einzelnen Nachrichten der letzten 90 Tage überprüfen.

Berichte zum E-Mail-Schutz in Office 365

Folgende Aspekte werden in diesem Thema behandelt:

Sie können auf der Seite „Berichte“ im Office 365 Admin Center auf die folgenden Berichte zum E-Mail-Schutz zugreifen.

 

Bericht

Beschreibung

Häufigste Absender und Empfänger

Je nach gewähltem Berichtstyp wird Folgendes angezeigt:

  • Häufigste E-Mail-Empfänger – die 10 häufigsten Empfänger für alle E-Mails.

  • Häufigste E-Mail-Absender – die 10 häufigsten Absender für alle E-Mails.

  • Häufigste Spamempfänger – die 10 häufigsten Empfänger mit Spamerkennungen.

  • Häufigste Schadsoftwareempfänger – die 10 häufigsten Empfänger mit Schadsoftwareerkennungen.

Häufigste Schadsoftware per E-Mail

Zeigt die 10 häufigsten Schadprogramme in empfangenen und gesendeten Nachrichten.

Schadsoftwareerkennungen

Zeigt die Anzahl der Schadsoftwareerkennungen in gesendeten oder empfangenen E-Mails vor Durchführung einer Schadsoftwareaktion. Details zu einzelnen Nachrichten, die vom Schadsoftwarefilter erkannt wurden, sind durch Auswählen eines Punkts auf dem Graph verfügbar.

Spamerkennungen

Zeigt nach Filtertyp gruppiert, welche Spamnachrichten in Ihren gesendeten oder empfangenen E-Mails erkannt wurden:

  • Inhalt gefiltert – E-Mails, die aufgrund von Nachrichtenmerkmalen, die Spam entsprechen, als Spam erkannt wurden.

  • SMTP blockiert – E-Mails, die aufgrund von Absender/Empfänger-Filterung vor ihrem Eingang blockiert wurden.

  • IP blockiert – E-Mails, die aufgrund der IP-Zuverlässigkeit vor ihrem Eingang blockiert wurden.

Details zu einzelnen Nachrichten, die vom Inhaltsfilter erkannt wurden, sind durch Auswählen eines Punkts auf dem Graph verfügbar.

Gesendete und empfangene E-Mails

Zeigt die gesendeten und empfangenen E-Mails gruppiert nach Datenverkehrstyp:

  • Unbedenkliche E-Mails – empfangene Nachrichten, die nicht als Spam oder Schadsoftware erkannt wurden.

  • Spam – Nachrichten, die als Spam erkannt wurden.

  • Schadsoftware – Nachrichten mit Schadsoftware.

  • Transportregeln – Nachrichten, die mindestens eine Regel erfüllen.

Details zu einzelnen Meldungen sind nicht verfügbar.

 

Bericht

Beschreibung

Häufigste Regelübereinstimmungen bei E-Mails

Zeigt die 10 Transportregeln mit den häufigsten Übereinstimmungen bei empfangenen und gesendeten E-Mails.

Regelübereinstimmungen bei E-Mails

Zeigt die Anzahl der Transportregelübereinstimmungen nach Schweregrad gruppiert. Details zu einzelnen Nachrichten sind durch Auswählen eines Punkts auf dem Graph verfügbar.

 

Bericht

Beschreibung

Häufigste Übereinstimmungen mit DLP-Richtlinien bei E-Mails

Zeigt die 10 DLP-Richtlinien (Data Loss Prevention, Schutz vor Datenverlust) mit den häufigsten Übereinstimmungen bei empfangenen und gesendeten E-Mails.

Häufigste DLP-Regelübereinstimmungen bei E-Mails

Zeigt die 10 DLP-Regeln mit den häufigsten Übereinstimmungen bei empfangenen und gesendeten E-Mails.

Übereinstimmungen mit DLP-Richtlinien bei E-Mails nach Schweregrad

Zeigt die Anzahl der DLP-Regelübereinstimmungen nach Schweregrad gruppiert. Details zu einzelnen Nachrichten sind durch Auswählen eines Punkts auf dem Graph verfügbar.

DLP-Richtlinienübereinstimmungen, Außerkraftsetzungen und falsch positive Ergebnisse bei E-Mails

Zeigt die Anzahl der Übereinstimmungen mit DLP-Richtlinien, Außerkraftsetzungen (der Benutzer hat die E-Mail trotz eines DLP-Treffers gesendet) und falsch positiven Ergebnisse (der Benutzer meldet einen falschen DLP-Treffer). Details zu einzelnen Nachrichten sind durch Auswählen eines Punkts auf dem Graph verfügbar.

HinweisHinweis:
Die DLP-Funktion ist nur mit bestimmten Exchange Online- und EOP-Abonnementplänen verfügbar. Weitere Informationen zur Verfügbarkeit des DLP-Features in den einzelnen Abonnementplänen finden Sie bei den Einträgen zu DLP in der Tabelle in der Exchange Online-Dienstbeschreibung und der Exchange Online Protection-Dienstbeschreibung.

  • Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden:

    • Wenn Sie als Exchange Online-Administrator Office 365 Admin Center-Berichte anzeigen möchten, müssen Sie die Rolle des globalen Office 365-Administrators und die Exchange-Admin-Rollen innehaben, die im Eintrag "Berichte anzeigen" im Thema Featureberechtigungen in Exchange Online aufgelistet sind.

    • Wenn Sie als EOP-Administrator Office 365 Admin Center-Berichte anzeigen möchten, müssen Sie die Rolle des globalen Office 365-Administrators und die Exchange-Admin-Rolle innehaben, die im Eintrag "Berichte anzeigen" im Thema Featureberechtigungen in EOP aufgelistet sind.

  • Weitere Informationen dazu, wann Daten wie lange verfügbar sind, finden Sie im Abschnitt zu Verfügbarkeit und Latenz von Berichterstellungs- und Nachrichtenablaufverfolgungsdaten in Berichterstellung und Nachrichtenablaufverfolgung in Exchange Online Protection.

  • Wenn für Nachrichten, die älter sind als 7 Tage, ein Detailbericht erstellt wird, steht der Bericht als herunterladbare CSV-Datei zur Verfügung, die sich in einer Anwendung wie Excel öffnen lässt.

  • Sie können auf alle Office 365-Berichte auch mit Windows PowerShell zugreifen. Hier finden Sie die Liste mit allen Cmdlets für Office 365-Berichte: Get-Command *Report.

TippTipp:
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter: Exchange Server, Exchange Online oder Exchange Online Protection

Wenn Sie auf einen Berichtslink zum E-Mail-Schutz klicken, z. B. den Bericht Gesendete und empfangene E-Mails, öffnet sich ein neues Fenster und zeigt ein interaktives Diagramm mit zusammengefassten Informationen.

Gesendeter und empfangener E-Mail-Bericht

Zusammengefasste Daten: Sie können den entsprechenden Datumsbereich auswählen, um Zusammenfassungsdaten für bis zu 90 Tage anzuzeigen. Sie können die Ansicht so ändern, dass Sie nur noch Nachrichten sehen, die bestimmte Kriterien erfüllen. Verändern Sie dazu die Datenschnitte rechts des Graphen. Wenn Sie beispielsweise alle Nachrichten außer Spamnachrichten anzeigen wollen, deaktivieren Sie die Datenschnittoption Spam. Einige Berichte können auch über dem Graphen Parameter enthalten, mit denen Sie Ihre Kriterien weiter verfeinern können. Für Informationen zum Bericht und seinen Parametern können Sie mit der Maus auf den Informationslink neben dem Berichtstitel zeigen.

Detaildaten: Detaillierte Nachrichtendaten sind für einige Berichte verfügbar, wenn Sie auf einen bestimmten Datenpunkt auf dem Graphen klicken. Wenn Sie einen Punkt auswählen, werden die Nachrichtendetails in einer Tabelle unter dem Graphen angezeigt. Sie können durch die Nachrichtendetails blättern, wenn mehr Datensätze verfügbar sind, als auf einer Seite angezeigt werden können. Jedes Detail enthält Folgendes:

  • Das Datum, an dem die Nachricht gesendet wurde.

  • Absender und Empfänger der Nachricht (pro Zeile wird nur ein Empfänger aufgeführt).

  • Die Nachrichten-ID (in der Kopfzeile der Nachricht und meist etwa im folgenden Format: <08f1e0f6806a47b4ac103961109ae6ef@server.domäne>).

  • Die Betreffzeile der Nachricht.

Je nach Art des Berichts finden Sie eventuell weitere Felder mit Informationen wie Spamereignistyp, die Transportregel mit Übereinstimmung und die mit der Transportregel verknüpfte Aktion.

Die folgende Abbildung zeigt den Bericht Spamerkennungen mit Detaildaten.

Spamerkennungsbericht
HinweisHinweis:
Die Anzahl der Details kann von der Anzahl in der Zusammenfassung abweichen. Jeder Bericht enthält eine Erläuterung dazu, wie die Anzahl der Detaildatensätze berechnet wird.
TippTipp:
Sie können auf die Verknüpfung Tabelle anzeigen klicken, um die Daten in einer Tabelle statt als Graph anzuzeigen. In der Tabellenansicht können Sie allerdings keine Nachrichtendetails aufrufen.

Detaildaten für Nachrichten, die älter sind als 7 Tage, stehen als Download zur Verfügung. Diese werden im Diagramm mit grauem Hintergrund angezeigt. Wenn Sie auf dem Zusammenfassungsgraphen einen Punkt für Daten auswählen, die älter sind als 7 Tage, erscheint die Verknüpfung Diesen Bericht anfordern unten auf der Seite.

Spamerkennungen, die mehr als 7 Tage alt sind

Wenn Sie auf die Verknüpfung Diesen Bericht anfordern klicken, erscheint eine neue Seite, auf der Sie Benachrichtigungsinformationen angeben und die Anforderung weiter filtern können.

Berichtparameter anfordern

Sie können folgende Parameter festlegen:

  • Startdatum und -uhrzeit und Enddatum und -uhrzeit   Legen Sie den Datumsbereich fest, für den Sie einen Datenbericht wünschen. Enddatum und -uhrzeit müssen mindestens 24 Stunden zurückliegen.

  • Zustellungsstatus   Wählen Sie aus der Liste den Status der Nachricht aus, zu der Sie Informationen anzeigen möchten. Übernehmen Sie den Standardwert Alle, damit alle Statuswerte berücksichtigt werden. Andere mögliche Werte sind:

    • Zugestellt   Die Nachricht wurde erfolgreich an die vorgesehene Zieladresse zugestellt.

    • Fehlgeschlagen   Die Nachricht wurde nicht zugestellt. Die Zustellung wurde entweder versucht und ist fehlgeschlagen, oder die Nachricht wurde infolge von Aktionen des Filterdiensts nicht zugestellt. Dies ist beispielsweise der Fall, wenn die Nachricht angeblich Schadsoftware enthält.

    • Erweitert   Die Nachricht wurde an eine Verteilerliste gesendet, die erweiterbar ist, so dass Mitglieder der Liste einzelnen angezeigt werden können.

  • Nachrichten-ID   Dabei handelt es sich um die Internetnachrichten-ID (auch bekannt als Client-ID), die sich in der Kopfzeile der Nachricht mit dem Token "Nachrichten-ID:" befindet. Benutzer können diese Informationen bereitstellen, damit bestimmte Nachrichten genauer untersucht werden können.

    Die Form dieser ID variiert abhängig von dem sendenden E-Mail-System. Es folgt ein Beispiel: <08f1e0f6806a47b4ac103961109ae6ef@server.domäne>.

    HinweisHinweis:
    Stellen Sie sicher, dass die vollständige Zeichenfolge der Nachrichten-ID enthalten ist. Hierzu können auch spitze Klammern (<>) gehören.

    Diese ID sollte eindeutig sein. Dies hängt allerdings von dem sendenden E-Mail-System für die Generierung ab, und nicht alle sendenden E-Mail-Systeme verhalten sich gleich. Es besteht daher die Möglichkeit, dass Sie Ergebnisse für mehrere Nachrichten erhalten, wenn Sie eine einzelne Nachrichten-ID abfragen.

  • Ursprüngliche Client-IP-Adresse   Geben Sie die IP-Adresse des Client des Absenders an.

  • Berichtstitel   Geben Sie eine eindeutige Kennung für diesen Bericht an. Dieser Titel wird auch als Betreffzeilentext der E-Mail-Benachrichtigung verwendet. Der Der Standardwert lautet „<Berichtsart> Detailbericht <Wochentag>, <aktuelles Datum> <aktuelle Uhrzeit>“. Beispiel: „Spam Detailbericht Donnerstag, 27. Oktober 2014 7:21:09“.

  • Adresse für E-Mail-Benachrichtigungen   Geben Sie die E-Mail-Adresse an, an die die Benachrichtigung über den Abschluss der Berichtsanforderung gesendet werden soll. Diese Adresse muss sich in der Liste akzeptierter Domänen befinden.

Klicken Sie auf Absenden, um die Berichtsanforderung zu übermitteln. Die Anzahl der Berichte, die Sie innerhalb von 24 Stunden erstellen können, sollte für Ihre Anforderungen genügen. Falls Sie sich allerdings dem Schwellenwert für die Anzahl der Berichte nähern, die in einem 24-Stunden-Zeitraum erfolgen dürfen, erhalten Sie eine Warnung.

Wenn Sie auf die Schaltfläche Absenden klicken, sollten eine Nachricht erscheinen, dass Ihre Berichtsanforderung erfolgreich übermittelt wurde und dass bei deren Abschluss eine E-Mail-Benachrichtigung an die E-Mail-Adresse (falls angegeben) gesendet wird. Es kann bis zu einigen Stunden dauern, bis die Berichtsanforderung abgeschlossen ist. (Wenn die Anforderung verarbeitet wird und die Daten, die Ihren Suchkriterien entsprechen, erfolgreich abgerufen werden, dann enthält diese Benachrichtigung Informationen zum Bericht und einen Link zur herunterladbaren CSV-Datei. Wenn keine Daten gefunden wurden, die den angegebenen Suchkriterien entsprechen, werden Sie aufgefordert, eine neue Anforderung mit anderen Suchkriterien zu übermitteln, um gültige Ergebnisse zu erhalten.)

Um den Status von Berichtsanforderungen anzuzeigen, können Sie auf der Hauptseite auf die Verknüpfung Ausstehende oder abgeschlossene Berichtsanforderungen anzeigen klicken. Dies öffnet die Seite Ausstehende oder abgeschlossene Anfragen.

Ausstehende oder abgeschlossene Anfragen

Auf der Seite Ausstehende oder abgeschlossene Anfragen finden Sie den Status jeder übermittelten Anforderung (neben Ihren Berichtsanforderungen werden auch übermittelte Anforderungen zur Nachrichtenablaufverfolgung aufgeführt). Hier können Sie ausstehende Anforderungen abbrechen oder einen abgeschlossenen Bericht herunterladen.

Sie können die Liste der Anforderungen sortieren, indem Sie auf die Spaltenüberschriften klicken. Neben dem Berichtstitel, dem Datum und der Uhrzeit der Übermittlung der Anforderung sowie der Anzahl der Nachrichten im Bericht werden die folgenden Statuswerte aufgeführt:

  • Nicht gestartet   Die Anforderung wurde übermittelt, wird aber noch nicht ausgeführt. Sie können zu diesem Zeitpunkt die Anforderung abbrechen.

  • Abgebrochen   Die Anforderung wurde übermittelt, aber abgebrochen.

  • In Bearbeitung   Die Anforderung wird ausgeführt, und Sie können die Anforderung nicht abbrechen oder den Bericht herunterladen.

  • Abgeschlossen   Die Anforderung wurde abgeschlossen, und Sie können auf Bericht herunterladen klicken, um die Ergebnisse in eine CSV-Datei abzurufen. Beachten Sie, dass der Bericht auf 5.000 Nachrichten gekürzt wird, wenn die Ergebnisse für den Bericht 5.000 Nachrichten übersteigen. Wenn Sie nicht alle benötigten Ergebnisse sehen, empfehlen wir Ihnen, die Suche in mehrere Abfragen aufzuteilen.

Wenn Sie einen bestimmten Bericht auswählen, werden im rechten Bereich als zusätzliche Informationen die angegebenen Suchkriterien für diesen Bericht angezeigt.

HinweisHinweis:
Berichte werden nach 10 Tagen automatisch gelöscht. Sie können nicht manuell gelöscht werden.

WichtigWichtig:
Damit Sie heruntergeladene Berichte zu E-Mail-Schutz und Transportregeln anzeigen können, muss Ihrer Rollengruppe die Rolle „Empfänger (nur Anzeige)“ zugewiesen sein. Standardmäßig ist diese Rolle folgenden Rollengruppen zugewiesen: Verwaltung der Richtlinientreue, Helpdesk, Verwaltung von Nachrichtenschutz, Organisationsverwaltung, Organisationsverwaltung (nur Leserechte). Die benötigte Rolle, um heruntergeladene DLP-Berichte anzuzeigen, ist „Verhinderung von Datenverlust“. Diese ist standardmäßig nur für die Rollengruppe „Verwaltung der Richtlinientreue“ verfügbar.

Wenn Sie eine Bericht von der Seite Ausstehenden oder abgeschlossene Anforderungen oder über eine E-Mail-Benachrichtigung herunterladen, können Sie diesen in einer Anwendung wie Excel öffnen und anzeigen.

Die folgenden Informationen zu jeder Nachricht sind in jeder Art von Bericht enthalten:

  • origin_timestamp   Das Datum und die Uhrzeit, zu der die Nachricht beim Dienst einging; die Angabe erfolgt in der konfigurierten UTC-Zeitzone.

  • sender_address   Die E-Mail-Adresse des Absenders im Format alias@domain.

  • Recipient_Address   Der Empfänger der Nachricht.

  • message_subject   Der Betreffzeilentext der Nachricht. Wenn nötig, wird dieser auf die ersten 256 Zeichen gekürzt.

  • total_bytes   Die Größe der Nachricht, einschließlich Anlagen, in Byte.

  • message_id   Dabei handelt es sich um die Internetnachrichten-ID (auch Client-ID genannt), die sich in der Kopfzeile der Nachricht mit dem Token "Nachrichten-ID:" befindet. Die Form dieser ID variiert abhängig von dem sendenden E-Mail-System. Es folgt ein Beispiel: <08f1e0f6806a47b4ac103961109ae6ef@server.domäne>.

    Diese ID sollte eindeutig sein. Dies hängt allerdings von dem sendenden E-Mail-System für die Generierung ab, und nicht alle sendenden E-Mail-Systeme verhalten sich gleich. Es besteht daher die Möglichkeit, dass Sie Ergebnisse für mehrere Nachrichten erhalten, wenn Sie eine einzelne Nachrichten-ID abfragen.

  • network_message_id   Dies ist ein eindeutiger Nachrichten-ID-Wert, der bei Kopien der Nachricht erhalten bleibt, die ggf. durch eine Verzweigung oder Aufgliederung der Verteilergruppe erstellt wurden. Ein Beispielwert ist „1341ac7b13fb42ab4d4408cf7f55890f“.

  • original_client_ip   Die IP-Adresse des Clients des Absenders.

  • directionality   Dieses Feld zeigt an, ob die Nachricht an (1) Ihre Organisation (eingehend) oder (2) von Ihrer Organisation (ausgehend) gesendet wurde.

Die folgenden Felder sind in Berichten zu als Spam erkannten Nachrichten ebenfalls verfügbar:

  • Event_type   Gibt den Typ der Spamfilterung an. Es gibt folgende Möglichkeiten:

    • Inhalt gefiltert   Die Nachricht wurde aufgrund Ihres Inhalts als Spam erkannt.

    • SMTP blockiert   Die Nachricht wurde aufgrund von Absender/Empfänger-Filterung vor ihrem Eingang blockiert.

    • IP blockiert   Die Nachricht wurde aufgrund der IP-Zuverlässigkeit vor ihrem Eingang blockiert.

  • scl   Weitere Informationen zu den verschiedenen SCL-Werten und deren Bedeutung finden Sie unter SCL-Bewertungen (Spam Confidence Level).

  • country   Land oder Region, woher die Nachricht stammt, falls verfügbar.

  • language   Der Sprachcode, in dem die Nachricht verfasst wurde (z. B. bedeutet „en“, dass die Nachricht in Englisch geschrieben wurde).

  • helo string   Die HELO- oder EHLO-Zeichenfolge des verbindenden E-Mail-Servers.

  • reverse_dns   Der PTR-Eintrag der sendenden IP-Adresse, auch bekannt als Reverse-DNS-Adresse.

Die folgenden Felder sind in Berichten zu Nachrichten, bei denen Schadsoftware erkannt wurde, ebenfalls verfügbar:

  • event_type   Dies ist immer Malware.

  • filename   Der Name der Datei, welche die Schadsoftware enthält.

  • malware_name   Der Name der Schadsoftware, die gefunden wurde.

Die folgenden Felder sind in Berichten zu Nachrichten, bei denen eine Übereinstimmung mit einer Transportregel erkannt wurde, ebenfalls verfügbar:

  • ruleid   Die ID der Regel, mit der eine Übereinstimmung erkannt wurde, z. B. „368067fd-c36c-4b56-9f38-08d0ffcf8b23“. Jede Regel verfügt über eine eindeutige ID. Sie können diesen Wert über Windows PowerShell remote abrufen.

  • action   Die Aktion, die angewendet wurde. Eine Liste der verfügbaren Aktionen finden Sie unter Transportregelaktionen.

  • severity   Der Überwachungsschweregrad der Regel, mit der es eine Übereinstimmung gab.

  • set_time   Datum und Uhrzeit (in UTC), als die Regelzuordnung auftrat.

  • mode   Der Modus der Regel. Die folgenden Werte sind möglich:

    • Erzwingen   Alle Alle Aktionen für die Regel werden erzwungen.

    • Test mit Richtlinientipps   Alle Aktionen für Richtlinientipps werden gesendet, andere Aktionen werden jedoch nicht erzwungen.

    • Test ohne Richtlinientipps   Die Aktionen werden in der Protokolldatei aufgeführt, aber die Absender erhalten keinerlei Benachrichtigungen, und in der Regel angegebenen Aktionen werden nicht ausgeführt.

Die folgenden Felder sind in Berichten zu Nachrichten, bei denen eine Übereinstimmung mit einer DLP-Richtlinie erkannt wurde, ebenfalls verfügbar:

  • dlpid   Die ID der DLP-Richtlinie, mit der eine Übereinstimmung festgestellt wurde. Jede Richtlinie verfügt über eine eindeutige ID. Sie können diesen Wert über Windows PowerShell remote abrufen.

  • sender_override   Ein Endbenutzer hat eine Außerkraftsetzung oder ein falsch positives Ergebnis für eine Regel gemeldet.

  • Sender_just   Die vom Endbenutzer angegebene Begründung für eine Außerkraftsetzung der Datenklassifikation.

  • dcid   Die ID der zutreffenden Datenklassifikation.

  • dc_count   Die Anzahl der zutreffenden Datenklassifikationen.

  • dc_conf   Die Zuverlässigkeitsstufe der zutreffenden Datenklassifikation. Eine detaillierte Erläuterung der Zuverlässigkeitsstufe finden Sie unter Entwicklung von Regelpaketen für vertrauliche Informationen im Abschnitt „Entitätsregeln“.

HinweisHinweis:
Die Felder ruleid, action, severity, set_time und mode, die zuvor für Transportregelberichte definiert wurden, erscheinen auch in DLP-Berichten.
 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft