Reihenfolge und Rangfolge des E-Mail-Schutzes
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In Microsoft 365-Organisationen mit Postfächern in Exchange Online oder eigenständigen EOP-Organisationen (Exchange Online Protection) ohne Exchange Online Postfächer werden eingehende E-Mails möglicherweise durch mehrere Arten des Schutzes gekennzeichnet. Beispiel: Antispoofingschutz, der für alle Microsoft 365-Kunden verfügbar ist, und Schutz vor Identitätswechseln, der nur für Microsoft Defender for Office 365 Kunden verfügbar ist. Nachrichten durchlaufen auch mehrere Erkennungsscans auf Schadsoftware, Spam, Phishing usw. Angesichts all dieser Aktivitäten kann es einige Unklarheiten darüber geben, welche Richtlinie angewendet wird.
Im Allgemeinen wird eine Richtlinie, die auf eine Nachricht angewendet wird, im X-Forefront-Antispam-Report-Header in der CAT (Category) -Eigenschaft identifiziert. Weitere Informationen finden Sie unter Antispam-Nachrichtenkopfzeilen.
Es gibt zwei Hauptfaktoren, die bestimmen, welche Richtlinie auf eine Nachricht angewendet wird:
Die Reihenfolge der Verarbeitung für den E-Mail-Schutztyp: Diese Reihenfolge ist nicht konfigurierbar und wird in der folgenden Tabelle beschrieben:
Reihenfolge Email Schutz Kategorie Wo ist die Verwaltung? 1 Schadsoftware CAT:MALW
Konfigurieren von Antischadsoftwarerichtlinien in EOP 2 Hohe Phishingwahrscheinlichkeit CAT:HPHSH
Konfigurieren von Antispamrichtlinien in EOP 3 Phishing CAT:PHSH
Konfigurieren von Antispamrichtlinien in EOP 4 Spam mit hoher Vertrauenswürdigkeit CAT:HSPM
Konfigurieren von Antispamrichtlinien in EOP 5 Spoofing CAT:SPOOF
Erkenntnisse zur Spoofintelligenz in EOP 6* Benutzeridentitätswechsel (geschützte Benutzer) CAT:UIMP
Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365 7* Domänenidentitätswechsel (geschützte Domänen) CAT:DIMP
Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365 8* Postfachintelligenz (Kontaktdiagramm) CAT:GIMP
Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365 9 Spam CAT:SPM
Konfigurieren von Antispamrichtlinien in EOP 10 Masse CAT:BULK
Konfigurieren von Antispamrichtlinien in EOP *Diese Features sind nur in Antiphishingrichtlinien in Microsoft Defender for Office 365 verfügbar.
Die Prioritätsreihenfolge von Richtlinien: Die Reihenfolge der Richtlinienpriorität wird in der folgenden Liste angezeigt:
Die Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links* und sichere Anlagen in der voreingestellten* Sicherheitsrichtlinie Strict (sofern aktiviert).
Die Richtlinien für Antispam, Antischadsoftware, Antiphishing, sichere Links* und sichere Anlagen in der Standard voreingestellten* Sicherheitsrichtlinie (sofern aktiviert).
Antiphishing, Sichere Links und sichere Anlagen in Defender for Office 365 Auswertungsrichtlinien (sofern aktiviert).
Benutzerdefinierte Richtlinien für Antispam, Antischadsoftware, Antiphishing, Sichere Links* und sichere Anlagen* (wenn erstellt).
Benutzerdefinierten Richtlinien wird beim Erstellen der Richtlinie ein Standardprioritätswert zugewiesen (neuer ist höher), Sie können den Prioritätswert jedoch jederzeit ändern. Dieser Prioritätswert wirkt sich auf die Reihenfolge aus, in der benutzerdefinierte Richtlinien dieses Typs (Antispam, Antischadsoftware, Antiphishing usw.) angewendet werden, aber nicht, wo benutzerdefinierte Richtlinien in der Gesamtreihenfolge angewendet werden.
Von gleichem Wert:
- Die Richtlinien "Sichere Links" und "Sichere Anlagen" in der voreingestellten Sicherheitsrichtlinie "Integrierter Schutz"*.
- Die Standardrichtlinien für Antischadsoftware, Antispam und Antiphishing.
Sie können Ausnahmen für die voreingestellte Sicherheitsrichtlinie "Integrierter Schutz" konfigurieren, aber Sie können keine Ausnahmen für die Standardrichtlinien konfigurieren (sie gelten für alle Empfänger, und Sie können sie nicht deaktivieren).
*Nur Defender for Office 365.
Wichtig
Die Prioritätsreihenfolge ist wichtig, wenn derselbe Empfänger absichtlich oder unbeabsichtigt in mehreren Richtlinien enthalten ist, da nur die erste Richtlinie dieses Typs (Antispam, Antischadsoftware, Antiphishing usw.) auf diesen Empfänger angewendet wird, unabhängig davon, in wie vielen anderen Richtlinien der Empfänger enthalten ist. Es gibt nie eine Zusammenführung oder Kombination der Einstellungen in mehreren Richtlinien für den Empfänger. Der Empfänger ist von den Einstellungen der verbleibenden Richtlinien dieses Typs nicht betroffen.
Beispielsweise ist die Gruppe "Contoso Executives" in den folgenden Richtlinien enthalten:
- Die voreingestellte Sicherheitsrichtlinie Strict
- Eine benutzerdefinierte Antispamrichtlinie mit dem Prioritätswert 0 (höchste Priorität)
- Eine benutzerdefinierte Antispamrichtlinie mit dem Prioritätswert 1.
Welche Antispamrichtlinieneinstellungen werden auf die Mitglieder von Contoso Executives angewendet? Die voreingestellte Sicherheitsrichtlinie Strict. Die Einstellungen in den benutzerdefinierten Antispamrichtlinien werden für die Mitglieder von Contoso Executives ignoriert, da die voreingestellte Sicherheitsrichtlinie Strict immer zuerst angewendet wird.
Betrachten Sie als weiteres Beispiel die folgenden benutzerdefinierten Antiphishingrichtlinien in Microsoft Defender for Office 365, die für dieselben Empfänger gelten, sowie eine Nachricht, die sowohl Benutzeridentitätswechsel als auch Spoofing enthält:
Richtlinienname | Priorität | Benutzeridentitätswechsel | Antispoofing |
---|---|---|---|
Richtlinie A | 1 | Ein | Off |
Richtlinie B | 2 | Aus | Ein |
- Die Nachricht wird als Spoofing identifiziert, da Spoofing (5) vor dem Benutzeridentitätswechsel (6) in der Reihenfolge der Verarbeitung für den E-Mail-Schutztyp ausgewertet wird.
- Richtlinie A wird zuerst angewendet, da sie eine höhere Priorität hat als Richtlinie B.
- Basierend auf den Einstellungen in Richtlinie A wird keine Aktion für die Nachricht ausgeführt, da Antispoofing deaktiviert ist.
- Die Verarbeitung von Antiphishingrichtlinien wird für alle eingeschlossenen Empfänger beendet, sodass Richtlinie B niemals auf Empfänger angewendet wird, die sich ebenfalls in Richtlinie A befinden.
Um sicherzustellen, dass Empfänger die gewünschten Schutzeinstellungen erhalten, verwenden Sie die folgenden Richtlinien für Richtlinienmitgliedschaften:
- Weisen Sie Richtlinien mit höherer Priorität eine kleinere Anzahl von Benutzern und Richtlinien mit niedrigerer Priorität eine größere Anzahl von Benutzern zu. Denken Sie daran, dass Standardrichtlinien immer zuletzt angewendet werden.
- Konfigurieren Sie Richtlinien mit höherer Priorität, um strengere oder speziellere Einstellungen als Richtlinien mit niedrigerer Priorität zu haben. Sie haben die vollständige Kontrolle über die Einstellungen in benutzerdefinierten Richtlinien und standardrichtlinien, aber keine Kontrolle über die meisten Einstellungen in voreingestellten Sicherheitsrichtlinien.
- Erwägen Sie die Verwendung weniger benutzerdefinierter Richtlinien (verwenden Sie benutzerdefinierte Richtlinien nur für Benutzer, die speziellere Einstellungen als die voreingestellten Sicherheitsrichtlinien Standard oder Strict oder die Standardrichtlinien benötigen).
Anhang
Es ist wichtig zu verstehen, wie Benutzer zulässt und blockiert, Mandantenberechtigungen und -blöcke sowie Filterstapelbewertungen in EOP und Defender for Office 365 sich ergänzen oder einander widersprechen.
- Informationen zum Filtern von Stapeln und deren Kombination finden Sie unter Schrittweiser Bedrohungsschutz in Microsoft Defender for Office 365.
- Nachdem der Filterstapel eine Bewertung bestimmt hat, werden nur dann Mandantenrichtlinien und ihre konfigurierten Aktionen ausgewertet.
- Wenn die gleiche E-Mail-Adresse oder Domäne in der Liste "Sichere Absender" und "Blockierte Absender" eines Benutzers vorhanden ist, hat die Liste "Sichere Absender" Vorrang.
- Wenn dieselbe Entität (E-Mail-Adresse, Domäne, gefälschte Sendeinfrastruktur, Datei oder URL) in einem Zulassungseintrag und einem Blockeintrag in der Mandanten-Zulassungs-/Sperrliste vorhanden ist, hat der Blockeintrag Vorrang.
Benutzer lässt zu und blockiert
Einträge in der Sammlung sicherer Listen eines Benutzers (die Liste der sicheren Absender, die Liste der sicheren Empfänger und die Liste blockierte Absender für jedes Postfach) können einige Bewertungen des Filterstapels überschreiben, wie in der folgenden Tabelle beschrieben:
Bewertung des Filterstapels | Liste sicherer Absender/Empfänger des Benutzers | Liste blockierter Absender des Benutzers |
---|---|---|
Schadsoftware | Filter gewinnt: Email unter Quarantäne | Filter gewinnt: Email unter Quarantäne |
Hohe Phishingwahrscheinlichkeit | Filter gewinnt: Email unter Quarantäne | Filter gewinnt: Email unter Quarantäne |
Phishing | Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt | Mandant gewinnt: Die anwendbare Antispamrichtlinie bestimmt die Aktion. |
Spam mit hoher Vertrauenswürdigkeit | Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt | Mandant gewinnt: Die anwendbare Antispamrichtlinie bestimmt die Aktion. |
Spam | Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt | Mandant gewinnt: Die anwendbare Antispamrichtlinie bestimmt die Aktion. |
Masse | Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt | Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt |
Kein Spam | Benutzer gewinnt: Email an den Posteingang des Benutzers übermittelt | Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt |
- In Exchange Online funktioniert die Domänen-Zulassung in der Liste des sicheren Absenders möglicherweise nicht, wenn die Nachricht unter einer der folgenden Bedingungen unter Quarantäne gesetzt wird:
- Die Nachricht wird als Schadsoftware oder Phishing mit hoher Zuverlässigkeit identifiziert (Schadsoftware und Phishingnachrichten mit hoher Zuverlässigkeit werden unter Quarantäne gesetzt).
- Aktionen in Antispamrichtlinien sind so konfiguriert, dass sie unter Quarantäne stellen, anstatt E-Mails in den Junk-Email Ordner zu verschieben.
- Die E-Mail-Adresse, URL oder Datei in der E-Mail-Nachricht befindet sich ebenfalls in einem Blockeintrag in der Zulassungs-/Sperrliste des Mandanten.
Weitere Informationen zur Sammlung sicherer Listen und zu Antispameinstellungen für Benutzerpostfächer finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer.
Mandant lässt zu und blockiert
Mandantenzugänge und -blöcke können einige Filterstapelbewertungen außer Kraft setzen, wie in den folgenden Tabellen beschrieben:
Erweiterte Übermittlungsrichtlinie (Filterung für bestimmte SecOps-Postfächer und Phishingsimulations-URLs überspringen):
Bewertung des Filterstapels Erweiterte Übermittlungsrichtlinie zulassen Schadsoftware Mandant gewinnt: Email an Postfach übermittelt Hohe Phishingwahrscheinlichkeit Mandant gewinnt: Email an Postfach übermittelt Phishing Mandant gewinnt: Email an Postfach übermittelt Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Spam Mandant gewinnt: Email an Postfach übermittelt Masse Mandant gewinnt: Email an Postfach übermittelt Kein Spam Mandant gewinnt: Email an Postfach übermittelt Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet):
Bewertung des Filterstapels Nachrichtenflussregel lässt zu* Nachrichtenflussregelblöcke Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email isoliert, außer beim komplexen Routing Filter gewinnt: Email unter Quarantäne Phishing Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Phishingaktion in der entsprechenden Antispamrichtlinie Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt Masse Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt Kein Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt * Organisationen, die einen Sicherheitsdienst oder ein Gerät eines Drittanbieters vor Microsoft 365 verwenden, sollten die Verwendung von Authenticated Received Chain (ARC) (Wenden Sie sich zur Verfügbarkeit an den Drittanbieter) und die erweiterte Filterung für Connectors (auch als Überspringen von Einträgen bezeichnet) anstelle einer SCL=-1-Nachrichtenflussregel in Betracht ziehen. Diese verbesserten Methoden reduzieren Probleme bei der E-Mail-Authentifizierung und fördern eine tiefgehende E-Mail-Sicherheit .
Ip-Zulassungsliste und IP-Sperrliste in Verbindungsfilterrichtlinien:
Bewertung des Filterstapels Liste zugelassener IP-Adressen IP-Sperrliste Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Phishing Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht Masse Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht Kein Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email automatisch gelöscht Zulassen und Blockieren von Einstellungen in Antispamrichtlinien:
- Liste zulässiger Absender und Domäne.
- Liste blockierter Absender und Domänen.
- Blockieren von Nachrichten aus bestimmten Ländern/Regionen oder in bestimmten Sprachen.
- Blockieren von Nachrichten basierend auf den Einstellungen des erweiterten Spamfilters (ADVANCED Spam Filter, ASF).
Bewertung des Filterstapels Antispamrichtlinie lässt zu Antispamrichtlinienblöcke Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Phishing Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Phishingaktion in der entsprechenden Antispamrichtlinie Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt Masse Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt Kein Spam Mandant gewinnt: Email an Postfach übermittelt Mandant gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt Zulassungseinträge in der Mandanten-Zulassungs-/Sperrliste: Es gibt zwei Arten von Zulassungseinträgen:
- Nachrichtenebene zulassen Einträge wirken auf die gesamte Nachricht, unabhängig von den Entitäten in der Nachricht. Zulässige Einträge für E-Mail-Adressen und Domänen sind Zulässige Einträge auf Nachrichtenebene.
- Zulassen von Einträgen auf Entitätsebene wirkt sich auf die Filterbewertung von Entitäten aus. Zulassen von Einträgen für URLs, gefälschte Absender und Dateien sind Zulassungseinträge auf Entitätsebene. Um Schadsoftware und Phishingbewertungen mit hoher Zuverlässigkeit außer Kraft zu setzen, müssen Sie Zulassungseinträge auf Entitätsebene verwenden, die Sie nur aufgrund von Secure standardmäßig in Microsoft 365 durch Übermittlung erstellen können.
Bewertung des Filterstapels Email Adresse/Domäne Schadsoftware Filter gewinnt: Email unter Quarantäne Hohe Phishingwahrscheinlichkeit Filter gewinnt: Email unter Quarantäne Phishing Mandant gewinnt: Email an Postfach übermittelt Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email an Postfach übermittelt Spam Mandant gewinnt: Email an Postfach übermittelt Masse Mandant gewinnt: Email an Postfach übermittelt Kein Spam Mandant gewinnt: Email an Postfach übermittelt Blockieren von Einträgen in der Zulassungs-/Sperrliste des Mandanten:
Bewertung des Filterstapels Email Adresse/Domäne Reinlegen File URL Schadsoftware Filter gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Hohe Phishingwahrscheinlichkeit Mandant gewinnt: Email unter Quarantäne Filter gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Phishing Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Spam mit hoher Vertrauenswürdigkeit Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Spam Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Masse Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne Kein Spam Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Spoofaktion in der anwendbaren Antiphishingrichtlinie Mandant gewinnt: Email unter Quarantäne Mandant gewinnt: Email unter Quarantäne
Konflikt zwischen Benutzer- und Mandanteneinstellungen
In der folgenden Tabelle wird beschrieben, wie Konflikte gelöst werden, wenn eine E-Mail von den Einstellungen für Benutzer zulassen/blockieren und Mandanten zulassen/blockieren beeinflusst wird:
Typ des Mandanten zulassen/blockieren | Liste sicherer Absender/Empfänger des Benutzers | Liste blockierter Absender des Benutzers |
---|---|---|
Blockieren von Einträgen in der Mandanten-Zulassungs-/Sperrliste für:
|
Mandant gewinnt: Email unter Quarantäne | Mandant gewinnt: Email unter Quarantäne |
Blockieren von Einträgen für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste | Mandant gewinnt: Spoofintelligenzaktion in der entsprechenden Antiphishingrichtlinie | Mandant gewinnt: Spoofintelligenzaktion in der entsprechenden Antiphishingrichtlinie |
Erweiterte Übermittlungsrichtlinie | Benutzer gewinnt: Email an postfach übermittelt | Mandant gewinnt: Email an Postfach übermittelt |
Blockieren von Einstellungen in Antispamrichtlinien | Benutzer gewinnt: Email an postfach übermittelt | Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt |
DMARC-Richtlinie berücksichtigen | Benutzer gewinnt: Email an postfach übermittelt | Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt |
Blöcke nach Nachrichtenflussregeln | Benutzer gewinnt: Email an postfach übermittelt | Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt |
Ermöglicht Folgendes:
|
Benutzer gewinnt: Email an postfach übermittelt | Benutzer gewinnt: Email an den Junk-Email-Ordner des Benutzers übermittelt |