Erstellen von Listen sicherer Absender in EOP

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wenn Sie ein Microsoft 365-Kunde mit Postfächern in Exchange Online oder ein eigenständiger EOP-Kunde (Exchange Online Protection) ohne Exchange Online Postfächer sind, bietet EOP mehrere Möglichkeiten, um sicherzustellen, dass Benutzer E-Mails von vertrauenswürdigen Absendern erhalten. Zusammenfassend können Sie sich diese Optionen als Listen sicherer Absender vorstellen.

Die verfügbaren Listen sicherer Absender werden in der folgenden Liste in der Reihenfolge von der empfohlenen bis zur am wenigsten empfohlenen Liste beschrieben:

  1. Zulassen von Einträgen für Domänen und E-Mail-Adressen (einschließlich gefälschter Absender) in der Zulassungs-/Sperrliste für Mandanten.
  2. Nachrichtenflussregeln (auch als Transportregeln bezeichnet).
  3. Sichere Outlook-Absender (die Liste der sicheren Absender, die in jedem Postfach gespeichert ist, das sich nur auf dieses Postfach auswirkt).
  4. Liste zugelassener IP-Adressen (Verbindungsfilterung)
  5. Listen zulässiger Absender oder Listen zulässiger Domänen (Antispamrichtlinien)

Der Rest dieses Artikels enthält Einzelheiten zu den einzelnen Methoden.

Wichtig

Nachrichten, die als Schadsoftware* oder Phishing mit hoher Zuverlässigkeit identifiziert werden, werden immer unter Quarantäne gesetzt, unabhängig von der von Ihnen verwendeten Option für die Liste sicherer Absender. Weitere Informationen finden Sie unter Standardmäßige Sicherheit in Office 365.

* Die Filterung von Schadsoftware wird für SecOps-Postfächer übersprungen, die in der erweiterten Übermittlungsrichtlinie identifiziert werden. Weitere Informationen finden Sie unter Konfigurieren der erweiterten Übermittlungsrichtlinie für Phishingsimulationen von Drittanbietern und E-Mail-Übermittlung an SecOps-Postfächer.

Achten Sie darauf, jede Ausnahme, die Sie bei der Spamfilterung mit Listen sicherer Absender machen, genau zu überwachen.

Senden Sie Nachrichten in Ihren Listen sicherer Absender immer zur Analyse an Microsoft. Anweisungen finden Sie unter Melden einer guten E-Mail an Microsoft. Wenn die Nachrichten oder Nachrichtenquellen als unbedenklich eingestuft werden, kann Microsoft die Nachrichten automatisch zulassen, und Sie müssen den Eintrag nicht manuell in listen sicherer Absender verwalten.

Anstatt E-Mails zuzulassen, haben Sie auch mehrere Optionen, um E-Mails aus bestimmten Quellen mithilfe von Listen blockierter Absender zu blockieren. Weitere Informationen finden Sie unter Erstellen von Listen blockierter Absender in EOP.

Verwenden von Zulassungseinträgen in der Mandanten-Zulassungs-/Sperrliste

Unsere nummer-1 empfohlene Option zum Zulassen von E-Mails von Absendern oder Domänen ist die Mandanten-Zulassungs-/Sperrliste. Anweisungen finden Sie unter Erstellen von Zulassungseinträgen für Domänen und E-Mail-Adressen und Erstellen von Zulassungseinträgen für gefälschte Absender.

Nur wenn Sie die Mandanten-Zulassungs-/Sperrliste aus irgendeinem Grund nicht verwenden können, sollten Sie eine andere Methode zum Zulassen von Absendern in Betracht ziehen.

Verwenden von Nachrichtenflussregeln

Hinweis

Sie können Nachrichtenkopfzeilen und Nachrichtenflussregeln nicht verwenden, um einen internen Absender als sicheren Absender festzulegen. Die Verfahren in diesem Abschnitt funktionieren nur für externe Absender.

Nachrichtenflussregeln in Exchange Online und eigenständigem EOP verwenden Bedingungen und Ausnahmen, um Nachrichten zu identifizieren, und Aktionen, um anzugeben, was mit diesen Nachrichten geschehen soll. Weitere Informationen finden Sie unter Mail flow rules (transport rules) in Exchange Online.

Im folgenden Beispiel wird davon ausgegangen, dass Sie E-Mails von contoso.com, um die Spamfilterung zu überspringen. Um dies zu tun, konfigurieren Sie die folgenden Einstellungen:

  1. Bedingung: Die Absenderdomäne>ist> contoso.com.

  2. Konfigurieren Sie eine der folgenden Einstellungen:

    • Regelbedingung für den Nachrichtenfluss: Die Nachrichtenkopfzeilen>enthalten eines der folgenden Wörter:

      • Headername: Authentication-Results
      • Headerwert: dmarc=pass oder dmarc=bestguesspass (fügen Sie beide Werte hinzu).

      Diese Bedingung überprüft die E-Mail-Authentifizierung status der sendenden E-Mail-Domäne, um sicherzustellen, dass die sendende Domäne nicht gespooft wird. Weitere Informationen zur E-Mail-Authentifizierung finden Sie unter SPF, DKIM und DMARC.

    • Liste zugelassener IP-Adressen: Geben Sie die IP-Quelladresse oder den Adressbereich in der Verbindungsfilterrichtlinie an. Anweisungen finden Sie unter Konfigurieren der Verbindungsfilterung.

      Verwenden Sie diese Einstellung, wenn die sendenden Domäne keine E-Mail-Authentifizierung verwendet. Seien Sie im Bereich der IP-Quelladressen in der Liste zugelassener IP-Adressen so restriktiv wie möglich. Wir empfehlen einen IP-Adressbereich von /24 oder weniger (weniger ist besser). Verwenden Sie keine IP-Adressbereiche, die zu Consumerdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören.

    Wichtig

    • Konfigurieren Sie niemals Nachrichtenflussregeln mit nur der Absenderdomäne als Bedingung zum Überspringen der Spamfilterung. Dadurch erhöht sich erheblich die Wahrscheinlichkeit, dass Angreifer die sendende Domäne spoofen (oder die Identität der vollständigen E-Mail-Adresse ändern), alle Spamfilter überspringen und die Überprüfungen der Absenderauthentifizierung überspringen, damit die Nachricht im Posteingang des Empfängers eintrifft.

    • Verwenden Sie keine Domänen, die Sie besitzen (auch als akzeptierte Domänen bezeichnet) oder beliebte Domänen (z. B. Microsoft.com), als Bedingungen in Nachrichtenflussregeln. Dies wird als hohes Risiko betrachtet, weil es Angreifern Möglichkeiten bietet, E-Mails zu senden, die andernfalls gefiltert würden.

    • Wenn Sie eine IP-Adresse zulassen, die sich hinter einem NAT-Gateway (Network Address Translation) befindet, müssen Sie die Server kennen, die in den NAT-Pool einbezogen sind, um den Umfang Ihrer Liste zugelassener IP-Adressen kennen zu können. IP-Adressen und NAT-Teilnehmer können sich ändern. Sie müssen die Einträge in der Liste zugelassener IP-Adressen regelmäßig im Rahmen der standardmäßigen Wartungsverfahren überprüfen.

  3. Optionale Bedingungen:

    • Der Absender>ist intern/extern>Außerhalb des organization: Diese Bedingung ist implizit, aber es ist in Ordnung, sie zu verwenden, um lokale E-Mail-Server zu berücksichtigen, die möglicherweise nicht ordnungsgemäß konfiguriert sind.
    • Betreff oder Text>Betreff oder Text enthält eines dieser Wörter><keywords>: Wenn Sie die Nachrichten nach Schlüsselwörtern oder Ausdrücken in der Betreffzeile oder im Nachrichtentext weiter einschränken können, können Sie diese Wörter als Bedingung verwenden.

  4. Aktion: Konfigurieren Sie die beiden folgenden Aktionen in der Regel:

    1. Ändern der Nachrichteneigenschaften>Festlegen des Spam-Konfidenzniveaus (SCL)>Umgehen Sie die Spamfilterung.

    2. Ändern der Nachrichteneigenschaften>Legen Sie einen Nachrichtenheader fest:

      • Headername: Beispiel: X-ETR.
      • Headerwert: Beispiel: Bypass spam filtering for authenticated sender 'contoso.com'.

      Wenn Sie mehr als eine Domäne in der Regel haben, können Sie den Headertext entsprechend anpassen.

Wenn eine Nachricht aufgrund einer Nachrichtenflussregel die Spamfilterung überspringt, wird der SFV:SKN-Wert in der Kopfzeile X-Forefront-Antispam-Report gekennzeichnet. Wenn die Nachricht von einer Quelle stammt, die in der Liste zugelassener IP-Adressen aufgeführt ist, wird auch der IPV:CAL-Wert hinzugefügt. Diese Werte können Ihnen bei der Problembehandlung helfen.

Beispieleinstellungen für Nachrichtenflussregeln im neuen EAC zum Umgehen der Spamfilterung.

Verwenden von Outlook Safe Senders (Sichere Absender in Outlook)

Achtung

Diese Methode birgt ein hohes Risiko, dass Angreifer E-Mails erfolgreich an den Posteingang übermitteln, die andernfalls gefiltert würden. Wenn jedoch eine Nachricht aus einem Eintrag in den Listen "Sichere Absender" oder "Sichere Domänen" des Benutzers als Schadsoftware oder Phishing mit hoher Zuverlässigkeit ermittelt wird, wird die Nachricht gefiltert.

Statt einer Organisationseinstellung können Benutzer oder Administratoren die E-Mail-Adressen des Absenders der Liste sicherer Absender im Postfach hinzufügen. Anweisungen finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer in Office 365. Listeneinträge für sichere Absender im Postfach wirken sich nur auf dieses Postfach aus.

Diese Methode ist in den meisten Fällen nicht wünschenswert, da Absender Teile des Filterstapels umgehen. Obwohl der Absender vertrauenswürdig ist, kann er weiterhin kompromittiert werden und böswillige Inhalte senden. Sie sollten unsere Filter jede Nachricht überprüfen lassen und dann die falsch positive/negative Nachricht an Microsoft melden , wenn wir es falsch verstanden haben. Das Umgehen des Filterstapels beeinträchtigt auch die automatische Bereinigung (Zero-Hour Auto Purge, ZAP).

Wenn Nachrichten die Spamfilterung aufgrund von Einträgen in der Liste sicherer Absender eines Benutzers überspringen, enthält das X-Forefront-Antispam-Report-Headerfeld den Wert SFV:SFE, der angibt, dass die Filterung nach Spam, Spoof und Phishing (kein Phishing mit hoher Zuverlässigkeit) umgangen wurde.

Hinweise:

  • In Exchange Online hängt davon ab, ob Einträge in der Liste der sicheren Absender funktionieren oder nicht funktionieren, vom Urteil und der Aktion in der Richtlinie, die die Nachricht identifiziert hat:
    • Verschieben von Nachrichten in den Junk-Email Ordner: Domäneneinträge und Absender-E-Mail-Adressen werden berücksichtigt. Nachrichten von diesen Absendern werden nicht in den Ordner Junk Email verschoben.
    • Quarantäne: Domäneneinträge werden nicht berücksichtigt (Nachrichten von diesen Absendern werden unter Quarantäne gesetzt). Email Adresseinträge werden berücksichtigt (Nachrichten von diesen Absendern werden nicht unter Quarantäne gesetzt), wenn eine der folgenden Aussagen zutrifft:
      • Die Nachricht wird nicht als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert (Schadsoftware und Phishingnachrichten mit hoher Zuverlässigkeit werden unter Quarantäne gesetzt).
      • Die E-Mail-Adresse befindet sich nicht auch in einem Blockeintrag in der Zulassungs-/Sperrliste des Mandanten.
  • Einträge für blockierte Absender und blockierte Domänen werden berücksichtigt (Nachrichten von diesen Absendern werden in den Junk-Email Ordner verschoben). Einstellungen für sichere Adressenlisten werden ignoriert.

Verwenden der Liste zugelassener IP-Adressen

Achtung

Ohne zusätzliche Überprüfung wie Nachrichtenflussregeln werden bei E-Mails von Quellen in der Liste zugelassener IP-Adressen die Spamfilterung und die Absenderauthentifizierung (SPF, DKIM, DMARC) übersprungen. Dieses Ergebnis birgt ein hohes Risiko, dass Angreifer E-Mails erfolgreich an den Posteingang übermitteln, die andernfalls gefiltert würden. Wenn jedoch eine Nachricht aus einem Eintrag in der IP-Zulassungsliste als Schadsoftware oder Phishing mit hoher Zuverlässigkeit ermittelt wird, wird die Nachricht gefiltert.

Die nächstbeste Option besteht darin, den E-Mail-Quellserver bzw. die Quellserver der Liste zugelassener IP-Adressen in der Verbindungsfilterrichtlinie hinzuzufügen. Weitere Details finden Sie unter Konfigurieren der Richtlinie für Verbindungsfilter in EOP.

Hinweise:

  • Es ist wichtig, die Anzahl zulässiger IP-Adressen möglichst zu beschränken. Vermeiden Sie daher nach Möglichkeit die Verwendung ganzer IP-Adressbereiche.
  • Verwenden Sie keine IP-Adressbereiche, die zu Consumerdiensten (z. B. outlook.com) oder freigegebenen Infrastrukturen gehören.
  • Überprüfen Sie regelmäßig die Einträge in der Liste zugelassener IP-Adressen, und entfernen Sie nicht mehr benötigte Einträge.

Verwendung von Listen zulässiger Absender oder Listen zulässiger Domänen

Achtung

Diese Methode birgt ein hohes Risiko, dass Angreifer E-Mails erfolgreich an den Posteingang übermitteln, die andernfalls gefiltert würden. Wenn jedoch eine Nachricht aus einem Eintrag in den Listen zulässiger Absender oder zulässiger Domänen als Schadsoftware oder Phishing mit hoher Zuverlässigkeit ermittelt wird, wird die Nachricht gefiltert.

Verwenden Sie keine beliebten Domänen (z. B. microsoft.com) in zulässigen Domänenlisten.

Die am wenigsten wünschenswerte Option ist die Verwendung der Listen zulässiger Absender oder zulässiger Domänen in Antispamrichtlinien. Sie sollten diese Option nach Möglichkeit vermeiden, da Absender alle Spam-, Spoof-, Phishing-Schutz (mit Ausnahme von Phishing mit hoher Zuverlässigkeit) und Absenderauthentifizierung (SPF, DKIM, DMARC) umgehen. Diese Methode eignet sich nur für temporäre Tests. Die detaillierten Schritte finden Sie im Thema Konfigurieren von Antispamrichtlinien in EOP.

Die Höchstgrenze für diese Listen beträgt ca. 1.000 Einträge; Sie können jedoch nur 30 Einträge in das Portal eingeben. Sie müssen PowerShell verwenden, um mehr als 30 Einträge hinzuzufügen.

Hinweis

Wenn sich ab September 2022 ein zulässiger Absender, eine domäne oder eine unterdomäne in einer akzeptierten Domäne in Ihrem organization befindet, muss dieser Absender, diese Domäne oder Unterdomäne E-Mail-Authentifizierungsprüfungen bestehen, um die Antispamfilterung zu überspringen.

Überlegungen für Massen-E-Mail

Eine standardmäßige SMTP-E-Mail besteht aus einem Nachrichten-Envelope und dem Nachrichteninhalt. Der Nachrichtenumschlag enthält Informationen, die für die Übermittlung und Zustellung der Nachricht zwischen SMTP-Servern erforderlich sind. Der Nachrichteninhalt enthält Nachrichtenkopffelder (zusammenfassend als Nachrichtenkopf bezeichnet) sowie den Nachrichtentext. Der Nachrichtenumschlag wird in RFC 5321 und der Nachrichtenkopf in RFC 5322 beschrieben. Empfänger bekommen den aktuellen Nachrichtenumschlag nicht angezeigt, da er vom Nachrichtenübermittlungsprozess generiert wird und nicht tatsächlicher Bestandteil der Nachricht ist.

  • Die 5321.MailFrom-Adresse (auch als E-MAIL VON-Adresse, P1-Absender oder Umschlag-Absender bezeichnet) ist die E-Mail-Adresse, die bei der SMTP-Übertragung der Nachricht verwendet wird. Diese E-Mail-Adresse wird in der Regel im Return-Path-Kopfzeilenfeld im Nachrichtenkopf aufgezeichnet (obwohl es möglich ist, dass der Absender eine andere Return-Path-E-Mail-Adresse angibt). Wenn die Nachricht nicht zugestellt werden kann, ist sie der Empfänger des Unzustellbarkeitsberichts (auch als NDR oder Unzustellbarkeitsnachricht bezeichnet).
  • Die 5322.From Adresse (auch als From-Adresse oder P2-Absender bezeichnet) ist die E-Mail-Adresse im Kopfzeilenfeld von Und ist die E-Mail-Adresse des Absenders, die in E-Mail-Clients angezeigt wird.

Häufig sind die 5321.MailFrom Adressen und 5322.From identisch (Person-to-Person-Kommunikation). Wenn jedoch E-Mails im Namen einer anderen Person gesendet werden, können die Adressen unterschiedlich sein. Dies geschieht am häufigsten bei Massen-E-Mail-Nachrichten.

Angenommen, Blue Yonder Airlines hat Margie es Travel beauftragt, Werbe-E-Mail-Nachrichten zu senden. Die Nachricht, die Sie in Ihrem Posteingang empfangen, hat die folgenden Eigenschaften:

  • Die 5321.MailFrom Adresse ist blueyonder.airlines@margiestravel.com.
  • Die 5322.From Adresse ist blueyonder@news.blueyonderairlines.com, was in Outlook angezeigt wird.

Listen sicherer Absender und Listen sicherer Domänen in Antispamrichtlinien in EOP überprüfen nur die 5322.From Adressen. Dieses Verhalten ähnelt Outlook Safe Senders, die die 5322.From Adresse verwenden.

Um zu verhindern, dass diese Nachricht gefiltert wird, können Sie die folgenden Schritte ausführen:

  • Fügen Sie blueyonder@news.blueyonderairlines.com (die 5322.From Adresse) als sicheren Outlook-Absender hinzu.
  • Verwenden Sie eine Nachrichtenflussregel mit einer Bedingung, die nach Nachrichten von blueyonder@news.blueyonderairlines.com (der 5322.From Adresse), blueyonder.airlines@margiestravel.com (der 5321.MailFrom Adresse) oder beidem sucht.