Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.
Gilt für
- Exchange Online Protection
- Microsoft Defender for Office 365 Plan 1 und Plan 2
- Microsoft Defender XDR
Dieser Artikel enthält häufig gestellte Fragen und Antworten zum Schutz vor Schadsoftware für Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständige Exchange Online Protection -Organisationen (EOP) ohne Exchange Online Postfächer.
Informationen zu Fragen und Antworten in Bezug auf Quarantäne finden Sie unter Häufig gestellte Fragen (FAQ) zur Quarantäne.
Fragen und Antworten zum Antispamschutz finden Sie unter Häufig gestellte Fragen zum Antispamschutz.
Fragen und Antworten zum Schutz vor Spoofing finden Sie unter Häufig gestellte Fragen zum Schutz vor Spoofing.
Was sind Empfehlungen für bewährte Methoden für die Konfiguration und Verwendung des Diensts zur Bekämpfung von Schadsoftware?
Weitere Informationen finden Sie unter EOP-Richtlinieneinstellungen für Antischadsoftware.
Wie oft werden die Schadsoftwaredefinitionen aktualisiert?
Jeder Server sucht stündlich nach neuen Schadsoftwaredefinitionen von unseren Antischadsoftwarepartnern.
Wie viele Antischadsoftwarepartner haben Sie? Kann ich auswählen, welche Malware-Engines wir verwenden?
Wir haben Partnerschaften mit mehreren Antischadsoftware-Technologieanbietern. Nachrichten werden mit den Antischadsoftware-Engines von Microsoft, einer zusätzlichen signaturbasierten Engine sowie URL- und Dateireputationsüberprüfungen aus mehreren Quellen gescannt. Unsere Partner können sich ändern, aber EOP verwendet immer Anti-Malware-Schutz von mehreren Partnern. Sie können keine Anti-Malware-Engine gegenüber einer anderen auswählen.
Wo findet schadsoftware-Überprüfung statt?
Wir suchen nach Schadsoftware in Nachrichten, die an ein Postfach gesendet oder von diesem gesendet werden (Nachrichten während der Übertragung). Für Exchange Online Postfächer haben wir auch zap (Zero-Hour Auto Purge) für Schadsoftware, um bereits übermittelte Nachrichten zu scannen. Wenn Sie eine Nachricht aus einem Postfach erneut senden, wird sie erneut gescannt (weil sie sich in der Übertragung befindet).
Wie lange dauert es, bis von mir vorgenommene Änderungen an einer Antischadsoftware-Richtlinie übernommen werden?
Es kann bis zu einer Stunde dauern, bis die Änderungen wirksam werden.
Überprüft der Dienst interne Nachrichten auf Schadsoftware?
Für Organisationen mit Exchange Online Postfächern sucht der Dienst nach Schadsoftware in allen eingehenden und ausgehenden Nachrichten, einschließlich nachrichten, die zwischen internen Empfängern gesendet werden.
Ein eigenständiges EOP-Abonnement überprüft Nachrichten, wenn sie die lokale E-Mail-organization. Nachrichten, die zwischen internen lokalen Empfängern gesendet werden, werden nicht auf Schadsoftware überprüft. Sie können jedoch die integrierten Anti-Malware-Scanfunktionen von Exchange Server verwenden. Weitere Informationen finden Sie unter Antischadsoftwareschutz in Exchange Server.
Sind für alle vom Dienst verwendeten Antischadsoftware-Engines heuristische Überprüfungen aktiviert?
Ja. Heuristische Überprüfungen suchen sowohl nach bekannter (Signaturüberstimmung) als auch nach unbekannter (verdächtiger) Schadsoftware.
Kann der Dienst komprimierte Dateien (z. B. .zip Dateien) überprüfen?
Ja. Die Antischadsoftware-Engines können einen Drilldown in komprimierte Dateien (Archivdateien) durchführen.
Ist die Unterstützung der komprimierten Anlagenüberprüfung rekursiv (.zip innerhalb eines .zip innerhalb eines .zip) und wenn ja, wie tief geht sie?
Ja, das rekursive Scannen komprimierter Dateien durchsucht viele Ebenen tief.
Funktioniert der Dienst mit älteren Exchange-Versionen und Nicht-Exchange-Umgebungen?
Ja, der Dienst ist serverunabhängig.
Was ist ein Zero-Day-Virus und wie wird es vom Dienst behandelt?
Ein Zero-Day-Virus ist eine erste Generation, bisher unbekannte Variante von Schadsoftware, die nie erfasst oder analysiert wurde.
Nachdem eine Zero-Day-Virenprobe von unseren Anti-Malware-Engines erfasst und analysiert wurde, werden eine Definition und eine eindeutige Signatur erstellt, um die Schadsoftware zu erkennen.
Wenn eine Definition oder Signatur für die Schadsoftware vorhanden ist, wird sie nicht mehr als Zero-Day betrachtet.
Wie kann ich den Dienst so konfigurieren, dass bestimmte ausführbare Dateien (z. B. \*.exe) blockiert werden, von denen ich befürchte, dass sie Schadsoftware enthalten könnten?
Sie können den Filter für allgemeine Anlagen (auch als allgemeines Blockieren von Anlagen bezeichnet) aktivieren und konfigurieren, wie unter Allgemeine Anlagenfilter in Antischadsoftwarerichtlinien beschrieben.
Sie können auch eine Exchange-Nachrichtenflussregel (auch als Transportregel bezeichnet) erstellen, die jede E-Mail-Anlage mit ausführbarem Inhalt blockiert.
Führen Sie die Schritte unter How to reduce malware threats through file attachment blocking in Exchange Online Protection to block the file types listed in Supported file types for mail flow rule content inspection in Exchange Online aus.
Zur Erhöhung des Schutzes empfehlen wir auch die Verwendung der Any attachment file extension includes these words condition in mail flow rules to block some or all of the following extensions: ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh.
Warum ist eine bestimmte Schadsoftware über die Filter gekommen?
Die Schadsoftware, die Sie erhalten haben, ist eine neue Variante (siehe Was ist ein Zero-Day-Virus und wie wird es vom Dienst behandelt?). Die Zeit, die für ein Update der Schadsoftwaredefinition benötigt wird, hängt von unseren Antischadsoftwarepartnern ab.
Denken Sie daran, dass keine vom Benutzer oder Administrator konfigurierbare Einstellung E-Mail-Anlagen von der Überprüfung durch Den Anti-Malware-Schutz ausschließen kann.
Wie kann ich Schadsoftware, die es über die Filter geschafft hat, an Microsoft übermitteln? Wie kann ich auch eine Datei übermitteln, von der ich glaube, dass sie fälschlicherweise als Schadsoftware erkannt wurde?
Ich habe eine E-Mail-Nachricht mit einer unbekannten Anlage erhalten. Handelt es sich hierbei um Schadsoftware oder kann ich die Anlage ignorieren?
Wir empfehlen Ihnen dringend, keine Anlagen zu öffnen, die Sie nicht erkennen. Wenn Sie möchten, dass wir die Anlage untersuchen, melden Sie die Datei an Microsoft.
Wo erhalte ich Nachrichten, die von den Schadsoftwarefiltern gelöscht wurden?
Die Nachrichten enthalten aktiven schädlichen Code, weshalb wir den Zugriff auf diese Nachrichten nicht zulassen. Sie werden unaufdinglich gelöscht.
Ich kann keine bestimmte Anlage erhalten, da sie fälschlicherweise als Schadsoftware identifiziert wird. Kann ich diese Anlage über Nachrichtenflussregeln zulassen?
Nein Sie können exchange-Nachrichtenflussregeln nicht verwenden, um die Filterung von Schadsoftware zu überspringen. Die einzige Möglichkeit, die Schadsoftwarefilterung für einen Empfänger zu überspringen, besteht darin, das Postfach als SecOps-Postfach zu identifizieren. Weitere Informationen finden Sie unter Verwenden des Microsoft Defender-Portals zum Konfigurieren von SecOps-Postfächern in der erweiterten Übermittlungsrichtlinie.
Kann ich Berichtsdaten zu Schadsoftwareerkennungen erhalten?
Ja, Sie können im Microsoft Defender Portal auf Berichte zugreifen. Weitere Informationen finden Sie unter Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Defender-Portal.
Gibt es ein Tool, das ich verwenden kann, um eine von Schadsoftware erkannte Nachricht über den Dienst zu verfolgen?
Ja, mit dem Tool für die Nachrichtenablaufverfolgung können Sie E-Mails verfolgen, während sie den Dienst durchlaufen. Weitere Informationen zur Verwendung des Nachrichtenablaufverfolgungstools, um herauszufinden, warum eine Nachricht Schadsoftware enthält, finden Sie unter Nachrichtenablaufverfolgung im modernen Exchange Admin Center.
Kann ich einen Drittanbieter für Antispam und Antischadsoftware mit Exchange Online verwenden?
Ja. In den meisten Fällen empfiehlt es sich, Ihre MX-Einträge auf EOP zu verweisen (d. h. E-Mails direkt an). Wenn Sie Ihre E-Mails zuerst an eine andere Stelle weiterleiten müssen, müssen Sie die erweiterte Filterung für Connectors aktivieren, damit EOP die wahre Nachrichtenquelle bei Filterentscheidungen verwenden kann.
Werden Spam- und Malwarenachrichten darauf untersucht, wer sie gesendet hat, oder werden sie an Strafverfolgungsbehörden weitergeleitet?
Der Dienst konzentriert sich auf die Erkennung und Entfernung von Spam und Schadsoftware, obwohl wir gelegentlich besonders gefährliche oder schädliche Spam- oder Angriffskampagnen untersuchen und die Täter verfolgen können.
Wir arbeiten häufig mit unseren rechts- und digitalen Kriminalitätseinheiten zusammen, um die folgenden Maßnahmen zu ergreifen:
- Nehmen Sie ein Spam-Botnet herunter.
- Blockieren sie die Verwendung des Diensts durch einen Angreifer.
- Geben Sie die Informationen zur Strafrechtlichen Verfolgung an die Strafverfolgungsbehörden weiter.