Antiphishingrichtlinien in Microsoft 365
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Richtlinien zum Konfigurieren von Antiphishingschutzeinstellungen sind in Microsoft 365-Organisationen mit Exchange Online Postfächern, eigenständigen EOP-Organisationen (Standalone Exchange Online Protection) ohne Exchange Online Postfächer verfügbar. Microsoft Defender for Office 365 Organisationen.
Beispiele für Microsoft Defender for Office 365 Organisationen:
- Microsoft 365 Enterprise E5, Microsoft 365 Education A5 usw.
- Microsoft 365 Enterprise
- Microsoft 365 Business
- Microsoft Defender for Office 365 als Add-On
Tipp
Als Ergänzung zu diesem Artikel lesen Sie unseren Security Analyzer-Einrichtungsleitfaden , um bewährte Methoden zu überprüfen und zu erfahren, wie Sie die Verteidigung stärken, die Compliance verbessern und sicher in der Cybersicherheitslandschaft navigieren. Für eine angepasste Umgebung können Sie im Microsoft 365 Admin Center auf den Leitfaden zur automatisierten Einrichtung von Security Analyzer zugreifen.
Die allgemeinen Unterschiede zwischen Anti-Phishing-Richtlinien in EOP und Antiphishing-Richtlinien in Defender for Office 365 werden in der folgenden Tabelle beschrieben:
Feature | Antiphishing-Richtlinien in EOP |
Antiphishing-Richtlinien in Defender for Office 365 |
---|---|---|
Automatisch erstellte Standardrichtlinie | ✔ | ✔ |
Erstellen Sie benutzerdefinierte Richtlinien | ✔ | ✔ |
Allgemeine Richtlinieneinstellungen* | ✔ | ✔ |
Spoofeinstellungen | ✔ | ✔ |
Sicherheitstipp für den ersten Kontakt | ✔ | ✔ |
Identitätswechseleinstellungen | ✔ | |
Erweiterte Phishingschwellenwerte | ✔ |
* In der Standardrichtlinie sind der Richtlinienname und die Beschreibung schreibgeschützt (die Beschreibung ist leer), und Sie können nicht angeben, für wen die Richtlinie gilt (die Standardrichtlinie gilt für alle Empfänger).
Informationen zum Konfigurieren von Antiphishingrichtlinien finden Sie in den folgenden Artikeln:
- Konfigurieren von Anti-Phishing-Richtlinien in EOP
- Konfigurieren von Antiphishingrichtlinien in Microsoft Defender for Office 365
Im weiteren Verlauf dieses Artikels werden die Einstellungen beschrieben, die in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar sind.
Tipp
Als Begleitartikel zu diesem Artikel empfehlen wir, den Leitfaden zur automatisierten einrichtung von Microsoft Defender for Endpoint zu verwenden, wenn Sie bei der Microsoft 365 Admin Center angemeldet sind. In diesem Leitfaden wird Die Benutzeroberfläche basierend auf Ihrer Umgebung angepasst. Um bewährte Methoden zu überprüfen, ohne sich anzumelden und features für die automatisierte Einrichtung zu aktivieren, wechseln Sie zum Microsoft 365-Setuphandbuch.
Allgemeine Richtlinieneinstellungen
Die folgenden Richtlinieneinstellungen sind in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar:
Name: Sie können die Standardmäßige Antiphishingrichtlinie nicht umbenennen. Nachdem Sie eine benutzerdefinierte Antiphishingrichtlinie erstellt haben, können Sie die Richtlinie im Microsoft Defender Portal nicht umbenennen.
Beschreibung Sie können der Standardmäßigen Antiphishingrichtlinie keine Beschreibung hinzufügen, aber Sie können die Beschreibung für benutzerdefinierte Richtlinien, die Sie erstellen, hinzufügen und ändern.
Benutzer, Gruppen und Domänen und Diese Benutzer, Gruppen und Domänen ausschließen: Empfängerfilter, um die internen Empfänger zu identifizieren, für die die Richtlinie gilt. In benutzerdefinierten Richtlinien ist mindestens eine Bedingung erforderlich. Bedingungen und Ausnahmen sind in der Standardrichtlinie nicht verfügbar (die Standardrichtlinie gilt für alle Empfänger). Sie können die folgenden Empfängerfilter für Bedingungen und Ausnahmen verwenden:
- Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte im organization.
-
Gruppen:
- Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
- Die angegebene Microsoft 365-Gruppen.
- Domänen: Mindestens eine der konfigurierten akzeptierten Domänen in Microsoft 365. Die primäre E-Mail-Adresse des Empfängers befindet sich in der angegebenen Domäne.
Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten:
Mehrere Wertederselben Bedingung oder Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>):
- Bedingungen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf diese angewendet.
- Ausnahmen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.
Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:
- Benutzer:
romain@contoso.com
- Gruppen: Führungskräfte
Die Richtlinie wird nur auf
romain@contoso.com
angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.- Benutzer:
Tipp
In benutzerdefinierten Antiphishingrichtlinien ist mindestens eine Auswahl in den Einstellungen Benutzer, Gruppen und Domänen erforderlich, um die Nachrichtenempfänger zu identifizieren, für die die Richtlinie gilt. Antiphishingrichtlinien in Defender for Office 365 verfügen auch über Identitätswechseleinstellungen, in denen Sie Absender-E-Mail-Adressen oder Absenderdomänen angeben können, die den Identitätswechselschutz erhalten, wie weiter unten in diesem Artikel beschrieben.
Spoofeinstellungen
Spoofing ist der Fall, wenn die From-Adresse in einer E-Mail-Nachricht (die Absenderadresse, die in E-Mail-Clients angezeigt wird) nicht mit der Domäne der E-Mail-Quelle übereinstimmt. Weitere Informationen zum Spoofing finden Sie unter Schutz vor Spoofing in Microsoft 365.
Die folgenden Spoofeinstellungen sind in Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar:
Spoofintelligenz aktivieren: Aktiviert oder deaktiviert die Spoofintelligenz. Es wird empfohlen, die Option aktiviert zu lassen.
Wenn Spoofintelligenz aktiviert ist, zeigt die Erkenntnis der Spoofintelligenz spoofierte Absender an, die automatisch erkannt und durch Spoofintelligenz zugelassen oder blockiert wurden. Sie können die Spoofintelligenz-Bewertung manuell überschreiben, um die erkannten gefälschten Absender aus der Erkenntnis zuzulassen oder zu blockieren. Wenn Sie dies jedoch tun, verschwindet der gefälschte Absender aus der Spoofintelligenz-Erkenntnis und wird nur auf der Registerkarte Spoofed Senders auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemangezeigt. Sie können auch manuell Zulassungs- oder Sperreinträge für spoofte Absender in der Mandanten-Zulassungs-/Sperrliste erstellen, auch wenn sie von der Spoofintelligenz-Erkenntnis nicht erkannt werden. Weitere Informationen finden Sie in den folgenden Artikeln:
- Erkenntnisse zur Spoofintelligenz in EOP
- Spoofte Absender in der Zulassungs-/Sperrliste des Mandanten
Hinweis
- Der Schutz vor Spoofing ist in den voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" aktiviert und standardmäßig in der Standardmäßigen Antiphishingrichtlinie und in neuen benutzerdefinierten Antiphishingrichtlinien aktiviert, die Sie erstellen.
- Sie müssen den Anti-Spoofing-Schutz nicht deaktivieren, wenn Ihr MX-Eintrag nicht auf Microsoft 365 verweist. sie stattdessen die erweiterte Filterung für Connectors aktivieren. Anweisungen hierzu finden Sie unter Erweiterte Filterung für Connectors in Exchange Online.
- Das Deaktivieren des Antispoofingschutzes deaktiviert nur den impliziten Spoofingschutz vor zusammengesetzten Authentifizierungsprüfungen . Informationen dazu, wie sich expliziteDMARC-Überprüfungen vom Antispoofingschutz und der Konfiguration der DMARC-Richtlinie der Quelldomäne (
p=quarantine
oderp=reject
im DMARC TXT-Eintrag) auswirken, finden Sie im Abschnitt Spoofschutz- und Absender-DMARC-Richtlinien .
Nicht authentifizierte Absenderindikatoren: Sind nur im Abschnitt Sicherheitstipps & Indikatoren verfügbar, wenn Spoofintelligenz aktiviert ist. Weitere Informationen finden Sie im nächsten Abschnitt.
Aktionen: Für Nachrichten von blockierten gefälschten Absendern (automatisch durch Spoofintelligenz blockiert (Verbundauthentifizierungsfehler plus böswillige Absicht) oder manuell blockiert in der Mandantenliste Zulassen/Blockieren), können Sie auch die Aktion angeben, die für die Nachrichten ausgeführt werden soll:
Verschieben von Nachrichten in die Junk-Email Ordner der Empfänger: Dies ist der Standardwert. Die Nachricht wird an das Postfach übermittelt und in den Ordner Junk-Email verschoben. Weitere Informationen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Microsoft 365.
Quarantäne der Nachricht: Sendet die Nachricht in Quarantäne anstelle der vorgesehenen Empfänger. Informationen zur Quarantäne finden Sie in den folgenden Artikeln:
- Quarantäne in Microsoft 365
- Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator in Microsoft 365
- Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in Microsoft 365
Wenn Sie Die Nachricht unter Quarantäne stellen auswählen, können Sie auch die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch Spoofintelligenzschutz unter Quarantäne gesetzt wurden. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Dmarc-Richtlinien für Spoofschutz und Absender
In Antiphishingrichtlinien können Sie steuern, ob p=quarantine
die Werte oder p=reject
in den DMARC-Richtlinien des Absenders berücksichtigt werden. Wenn eine Nachricht dmarc-Überprüfungen nicht erfolgreich ist, können Sie separate Aktionen für p=quarantine
oder p=reject
in der DMARC-Richtlinie des Absenders angeben. Die folgenden Einstellungen sind beteiligt:
DMARC-Datensatzrichtlinie berücksichtigen, wenn die Nachricht als Spoof erkannt wird: Mit dieser Einstellung wird die DMARC-Richtlinie des Absenders bei expliziten E-Mail-Authentifizierungsfehlern berücksichtigt. Wenn diese Einstellung ausgewählt ist, sind die folgenden Einstellungen verfügbar:
-
Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=quarantine festgelegt ist: Die verfügbaren Aktionen sind:
- Quarantäne der Nachricht
- Verschieben der Nachricht in die Junk-Email Ordner der Empfänger
-
Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=reject festgelegt ist: Die verfügbaren Aktionen sind:
- Quarantäne der Nachricht
- Ablehnen der Nachricht
Wenn Sie Die Nachricht als Aktion unter Quarantäne stellen auswählen, wird die Quarantänerichtlinie verwendet, die für den Schutz vor Spoofintelligenz ausgewählt ist.
-
Wenn die Nachricht als Spoof erkannt wird und die DMARC-Richtlinie auf p=quarantine festgelegt ist: Die verfügbaren Aktionen sind:
Die Beziehung zwischen Spoofintelligenz und ob DMARC-Richtlinien des Absenders berücksichtigt werden, wird in der folgenden Tabelle beschrieben:
DMARC-Richtlinie berücksichtigen ein | DMARC-Richtlinie berücksichtigen Aus | |
---|---|---|
Spoofintelligenz ein | Separate Aktionen für implizite und explizite E-Mail-Authentifizierungsfehler:
|
Die Aktion If the message is detected as spoof by spoof intelligence in the anti-phishing policy is used for implicit and explicit email authentication failures. Explizite E-Mail-Authentifizierungsfehler ignorieren p=quarantine , p=reject , p=none oder andere Werte in der DMARC-Richtlinie. |
Spoofintelligenz aus | Implizite E-Mail-Authentifizierungsprüfungen werden nicht verwendet. Explizite E-Mail-Authentifizierungsfehler:
|
Implizite E-Mail-Authentifizierungsprüfungen werden nicht verwendet. Explizite E-Mail-Authentifizierungsfehler:
|
Hinweis
Wenn der MX-Eintrag für die Microsoft 365-Domäne auf einen Drittanbieterdienst oder ein Gerät verweist, das sich vor Microsoft 365 befindet, wird die Richtlinieneinstellung DMARC honor nur angewendet, wenn die erweiterte Filterung für Connectors für den Connector aktiviert ist, der eingehende Nachrichten empfängt.
Kunden können die Einstellung DMARC-Richtlinien für bestimmte E-Mail-Nachrichten und/oder Absender mit den folgenden Methoden außer Kraft setzen:
- Administratoren oder Benutzer können die Absender der Liste sicherer Absender im Postfach des Benutzers hinzufügen.
- Administratoren können den Einblick in die Spoofintelligenz oder die Mandantenzulassungsliste/-sperrliste verwenden, um Nachrichten von dem gefälschten Absender zuzulassen.
- Administratoren erstellen eine Exchange-Nachrichtenflussregel (auch bekannt als Transportregel) für alle Benutzer, die Nachrichten dieser bestimmten Absender zulassen.
- Administratoren erstellen eine Exchange-Nachrichtenflussregel für alle Benutzer für abgelehnte E-Mails, die die DMARC-Richtlinie des organization nicht erfüllt.
Indikatoren für nicht authentifizierte Absender
Indikatoren für nicht authentifizierte Absender sind Teil der Spoof-Einstellungen, die im Abschnitt Sicherheitstipps & Indikatoren unter Antiphishingrichtlinien in EOP und Defender for Office 365 verfügbar sind. Die folgenden Einstellungen sind nur verfügbar, wenn Spoofintelligenz aktiviert ist:
Anzeigen (?) für nicht authentifizierte Absender für Spoofs: Fügt dem Foto des Absenders im Feld Von ein Fragezeichen hinzu, wenn die Nachricht SPF- oder DKIM-Überprüfungen nicht besteht und die Nachricht keine DMARC- oder zusammengesetzte Authentifizierung besteht. Wenn diese Einstellung deaktiviert ist, wird das Fragezeichen nicht zum Foto des Absenders hinzugefügt.
Tag "via" anzeigen: Fügt das "via"-Tag (chris@contoso.comüber fabrikam.com) im Feld Von hinzu, wenn sich die Domäne in der From-Adresse (der Nachrichtensender, der in E-Mail-Clients angezeigt wird) von der Domäne in der DKIM-Signatur oder der MAIL FROM-Adresse unterscheidet. Weitere Informationen zu diesen Adressen finden Sie unter Eine Übersicht über E-Mail-Nachrichtenstandards.
Um zu verhindern, dass das Fragezeichen oder das "via"-Tag nachrichten von bestimmten Absendern hinzugefügt wird, haben Sie die folgenden Optionen:
- Lassen Sie den gefälschten Absender in der Spoof Intelligence-Erkenntnis oder manuell in der Mandanten-Zulassungs-/Sperrliste zu. Das Zulassen des gefälschten Absenders verhindert, dass das "via"-Tag in Nachrichten des Absenders angezeigt wird, auch wenn die Einstellung "Via" anzeigen in der Richtlinie aktiviert ist.
-
Konfigurieren Sie die E-Mail-Authentifizierung für die Absenderdomäne.
- Für das Fragezeichen auf dem Foto des Absenders sind SPF oder DKIM die wichtigsten.
- Vergewissern Sie sich für das "via"-Tag, dass die Domäne in der DKIM-Signatur oder die MAIL FROM-Adresse mit der Domäne in der Von-Adresse übereinstimmt (oder eine Unterdomäne von ist).
Weitere Informationen finden Sie unter Identifizieren verdächtiger Nachrichten in Outlook.com und Outlook im Web
Sicherheitstipp für den ersten Kontakt
Die Einstellung Sicherheitstipps für den ersten Kontakt anzeigen ist in EOP und Defender for Office 365 Organisationen verfügbar und ist nicht von Den Einstellungen für Spoofintelligenz oder Identitätswechselschutz abhängig. Der Sicherheitstipp wird empfängern in den folgenden Szenarien angezeigt:
- Wenn sie zum ersten Mal eine Nachricht von einem Absender erhalten
- Sie erhalten nicht oft Nachrichten vom Absender.
Diese Funktion fügt eine zusätzliche Schutzebene vor potenziellen Identitätswechselangriffen hinzu, daher wird empfohlen, sie zu aktivieren.
Die Erste Kontaktsicherheitsinfo wird durch den Wert 9,25 des SFTY
Felds im X-Forefront-Antispam-Report-Header der Nachricht gesteuert. Diese Funktion ersetzt die Notwendigkeit, Nachrichtenflussregeln (auch als Transportregeln bezeichnet) zu erstellen, die einen Header namens X-MS-Exchange-EnableFirstContactSafetyTip mit dem Wert Enable
für Nachrichten hinzufügen, obwohl diese Funktion weiterhin verfügbar ist.
Abhängig von der Anzahl der Empfänger in der Nachricht kann der erste Kontakt-Sicherheitstipp einen der folgenden Werte aufweisen:
Einzelner Empfänger:
Sie erhalten nicht häufig E-Mails von der <E-Mail-Adresse>.
Mehrere Empfänger:
Einige Personen, die diese Nachricht erhalten, erhalten nicht häufig E-Mails von der <E-Mail-Adresse>.
Hinweis
Wenn die Nachricht mehrere Empfänger enthält, gibt an, ob der Tipp angezeigt wird und wem ein Mehrheitsmodell zugrunde liegt. Wenn die Mehrheit der Empfänger noch nie oder nicht häufig Nachrichten vom Absender empfangen hat, erhalten die betroffenen Empfänger den Tipp Einige Personen, die diese Nachricht erhalten haben... . Wenn Sie befürchten, dass dieses Verhalten die Kommunikationsgewohnheiten eines Empfängers für einen anderen verfügbar macht, sollten Sie den Sicherheitstipp für den ersten Kontakt nicht aktivieren und stattdessen weiterhin Nachrichtenflussregeln und den X-MS-Exchange-EnableFirstContactSafetyTip-Header verwenden.
Der erste Kontaktsicherheits-Tipp ist in S/MIME-signierten Nachrichten nicht gestempelt.
Exklusive Einstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365
In diesem Abschnitt werden die Richtlinieneinstellungen beschrieben, die nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar sind.
Hinweis
Die Standardmäßige Antiphishingrichtlinie in Defender for Office 365 bietet Spoofschutz und Postfachintelligenz für alle Empfänger. Die anderen verfügbaren Features für den Identitätswechselschutz und die erweiterten Einstellungen sind jedoch in der Standardrichtlinie nicht konfiguriert oder aktiviert. Um alle Schutzfunktionen zu aktivieren, ändern Sie die Standardmäßige Antiphishingrichtlinie, oder erstellen Sie zusätzliche Antiphishingrichtlinien.
Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365
Beim Identitätswechsel sieht der Absender oder die E-Mail-Domäne des Absenders in einer Nachricht ähnlich wie ein echter Absender oder eine Domäne aus:
- Ein Beispiel für einen Identitätswechsel der Domäne contoso.com ist ćóntoso.com.
- Ein Identitätswechsel ist eine Kombination aus dem Anzeigenamen und der E-Mail-Adresse des Benutzers. Beispielsweise kann Valeria Barrios (vbarrios@contoso.com) als Valeria Barrios angenommen werden, aber mit einer anderen E-Mail-Adresse.
Hinweis
Der Identitätswechselschutz sucht nach ähnlichen Domänen. Wenn Ihre Domäne beispielsweise contoso.com ist, suchen wir nach verschiedenen Domänen der obersten Ebene (.com, .biz usw.), aber auch nach Domänen, die sich sogar etwas ähneln. Beispielsweise können contosososo.com oder contoabcdef.com als Identitätswechselversuche von contoso.com angesehen werden.
Eine identitätswechselte Domäne kann andernfalls als legitim angesehen werden (die Domäne ist registriert, DNS-Einträge für die E-Mail-Authentifizierung sind konfiguriert usw.), mit dem Unterschied, dass die Domäne empfänger täuscht.
Die in den folgenden Abschnitten beschriebenen Identitätswechseleinstellungen sind nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar.
Tipp
Details zu erkannten Identitätswechselversuchen sind in der Erkenntnis zum Identitätswechsel verfügbar. Weitere Informationen finden Sie unter Identitätswechsel in Defender for Office 365.
Schutz vor Benutzeridentitätswechseln
Der Schutz vor Benutzeridentitätswechseln verhindert, dass bestimmte interne oder externe E-Mail-Adressen als Nachrichtenabsender angenommen werden. Beispielsweise erhalten Sie eine E-Mail vom Vice President Ihres Unternehmens, in der Sie aufgefordert werden, ihr interne Unternehmensinformationen zu senden. Würdest du es tun? Viele Leute würden die Antwort senden, ohne nachzudenken.
Sie können geschützte Benutzer verwenden, um interne und externe Absender-E-Mail-Adressen hinzuzufügen, um vor Identitätswechseln zu schützen. Diese Liste der Absender, die vor Benutzeridentitätswechseln geschützt sind, unterscheidet sich von der Liste der Empfänger , für die die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung Benutzer, Gruppen und Domänen im Abschnitt Allgemeine Richtlinieneinstellungen konfiguriert).
Hinweis
Sie können für den Schutz vor Benutzeridentitätswechseln in jeder Antiphishingrichtlinie maximal 350 Benutzer angeben.
Der Schutz vor Benutzeridentitätswechseln funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn Absender und Empfänger noch nie per E-Mail kommuniziert haben, kann die Nachricht als Identitätswechselversuch identifiziert werden.
Möglicherweise wird die Fehlermeldung "Die E-Mail-Adresse ist bereits vorhanden" angezeigt, wenn Sie versuchen, einen Benutzer zum Schutz vor Benutzeridentitätswechseln hinzuzufügen, wenn diese E-Mail-Adresse bereits für den Schutz vor Benutzeridentitätswechseln in einer anderen Antiphishingrichtlinie angegeben ist. Dieser Fehler tritt nur im Defender-Portal auf. Sie erhalten den Fehler nicht, wenn Sie den entsprechenden TargetedUsersToProtect-Parameter in den Cmdlets New-AntiPhishPolicy oder Set-AntiPhishPolicy in Exchange Online PowerShell verwenden.
Standardmäßig sind keine Absender-E-Mail-Adressen für den Identitätswechselschutz konfiguriert, entweder in der Standardrichtlinie oder in benutzerdefinierten Richtlinien.
Wenn Sie der Liste Zu schützende Benutzer interne oder externe E-Mail-Adressen hinzufügen, unterliegen Nachrichten von diesen Absendern überprüfungen des Identitätswechselschutzes. Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn ein Identitätswechsel in der E-Mail-Adresse des Absenders erkannt wird, wird die Aktion für benutzeridentitätswechsel auf die Nachricht angewendet.
Für erkannte Benutzeridentitätswechselversuche sind die folgenden Aktionen verfügbar:
Keine Aktion anwenden: Dies ist die Standardaktion.
Umleiten der Nachricht an andere E-Mail-Adressen: Sendet die Nachricht an die angegebenen Empfänger anstelle der vorgesehenen Empfänger.
Verschieben von Nachrichten in die Junk-Email Ordner der Empfänger: Die Nachricht wird an das Postfach übermittelt und in den Ordner Junk-Email verschoben. Weitere Informationen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Microsoft 365.
Quarantäne der Nachricht: Sendet die Nachricht in Quarantäne anstelle der vorgesehenen Empfänger. Informationen zur Quarantäne finden Sie in den folgenden Artikeln:
- Quarantäne in Microsoft 365
- Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator in Microsoft 365
- Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in Microsoft 365
Wenn Sie Die Nachricht unter Quarantäne stellen auswählen, können Sie auch die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch den Schutz vor Benutzeridentitätswechseln unter Quarantäne gesetzt werden. Mithilfe von Quarantänerichtlinien wird definiert, was Benutzer mit in Quarantäne befindlichen Nachrichten tun können. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu: Übermitteln Sie die Nachricht an die vorgesehenen Empfänger, und übermitteln Sie die Nachricht automatisch an die angegebenen Empfänger.
Löschen der Nachricht vor der Übermittlung: Löschen Sie die gesamte Nachricht, einschließlich aller Anlagen, im Hintergrund.
Schutz vor Domänenidentitätswechsel
Der Schutz vor Domänenidentitätswechsel verhindert, dass bestimmte Domänen in der E-Mail-Adresse des Absenders imitiert werden. Beispielsweise alle Domänen, die Sie besitzen (akzeptierte Domänen) oder bestimmte benutzerdefinierte Domänen (Domänen, die Sie besitzen oder Partnerdomänen). Absenderdomänen , die vor Identitätswechseln geschützt sind, unterscheiden sich von der Liste der Empfänger , auf die die Richtlinie angewendet wird (alle Empfänger für die Standardrichtlinie; bestimmte Empfänger, wie in der Einstellung Benutzer, Gruppen und Domänen im Abschnitt Allgemeine Richtlinieneinstellungen konfiguriert).
Hinweis
Sie können maximal 50 benutzerdefinierte Domänen für den Schutz vor Domänenidentitätswechsel in jeder Antiphishingrichtlinie angeben.
Nachrichten von Absendern in den angegebenen Domänen unterliegen überprüfungen des Identitätswechselschutzes. Die Nachricht wird auf Identitätswechsel überprüft , wenn die Nachricht an einen Empfänger gesendet wird, für den die Richtlinie gilt (alle Empfänger für die Standardrichtlinie; Benutzer, Gruppen und Domänenempfänger in benutzerdefinierten Richtlinien). Wenn in der Domäne der E-Mail-Adresse des Absenders ein Identitätswechsel erkannt wird, wird die Aktion für den Domänenidentitätswechsel auf die Nachricht angewendet.
Standardmäßig sind keine Absenderdomänen für den Identitätswechselschutz konfiguriert, weder in der Standardrichtlinie noch in benutzerdefinierten Richtlinien.
Für erkannte Domänenidentitätswechselversuche sind die folgenden Aktionen verfügbar:
Keine Aktion anwenden: Dies ist der Standardwert.
Umleiten der Nachricht an andere E-Mail-Adressen: Sendet die Nachricht an die angegebenen Empfänger anstelle der vorgesehenen Empfänger.
Verschieben von Nachrichten in die Junk-Email Ordner der Empfänger: Die Nachricht wird an das Postfach übermittelt und in den Ordner Junk-Email verschoben. Weitere Informationen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Exchange Online Postfächer in Microsoft 365.
Quarantäne der Nachricht: Sendet die Nachricht in Quarantäne anstelle der vorgesehenen Empfänger. Informationen zur Quarantäne finden Sie in den folgenden Artikeln:
- Quarantäne in Microsoft 365
- Verwalten von in Quarantäne befindlichen Nachrichten und Dateien als Administrator in Microsoft 365
- Suchen und Freigeben von in Quarantäne befindlichen Nachrichten als Benutzer in Microsoft 365
Wenn Sie Die Nachricht unter Quarantäne stellen auswählen, können Sie auch die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die durch Den Schutz vor Domänenidentitätswechsel unter Quarantäne stehen. Mithilfe von Quarantänerichtlinien wird definiert, was Benutzer mit in Quarantäne befindlichen Nachrichten tun können. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu: Übermitteln Sie die Nachricht an die vorgesehenen Empfänger, und übermitteln Sie die Nachricht automatisch an die angegebenen Empfänger.
Nachricht löschen, bevor sie zugestellt wird: Löscht die gesamte Nachricht, einschließlich aller Anlagen, im Hintergrund.
Schutz vor Identitätswechseln von Postfachintelligenz
Postfachintelligenz verwendet künstliche Intelligenz (KI), um E-Mail-Muster von Benutzern mit ihren häufigen Kontakten zu bestimmen.
Gabriela Laureano (glaureano@contoso.com) ist beispielsweise die GESCHÄFTSFÜHRERin Ihres Unternehmens, sodass Sie sie als geschützte Absenderin in den Einstellungen der Richtlinie Benutzern den Schutz ermöglichen hinzufügen. Einige der Empfänger in der Richtlinie kommunizieren jedoch regelmäßig mit einem Anbieter, der auch Gabriela Laureano (glaureano@fabrikam.com) genannt wird. Da diese Empfänger über einen Kommunikationsverlauf mit glaureano@fabrikam.comverfügen, identifiziert Postfachintelligenz nachrichten von glaureano@fabrikam.com nicht als Identitätswechselversuch für glaureano@contoso.com diese Empfänger.
Hinweis
Der Schutz von Postfachintelligenz funktioniert nicht, wenn Absender und Empfänger zuvor per E-Mail kommuniziert haben. Wenn absender und empfänger noch nie per E-Mail kommuniziert haben, kann die Nachricht von postfach intelligence als Identitätswechselversuch identifiziert werden.
Postfachintelligenz verfügt über zwei spezifische Einstellungen:
- Postfachintelligenz aktivieren: Aktivieren oder Deaktivieren der Postfachintelligenz Diese Einstellung hilft der KI, zwischen Nachrichten von legitimen absendern und imitierten Absendern zu unterscheiden. Diese Einstellung ist standardmäßig aktiviert.
- Intelligenz für identitätswechselschutz aktivieren: Diese Einstellung ist standardmäßig deaktiviert. Verwenden Sie den Kontaktverlauf, der von Der Postfachintelligenz (sowohl häufige Kontakte als auch kein Kontakt) gelernt wurde, um Benutzer vor Identitätswechselangriffen zu schützen. Damit Postfachintelligenz bei erkannten Nachrichten Maßnahmen ergreifen kann, müssen diese Einstellung und die Einstellung Postfachintelligenz aktivieren aktiviert sein.
Für Identitätswechselversuche, die von Postfachintelligenz erkannt werden, sind die folgenden Aktionen verfügbar:
- Keine Aktion anwenden: Dies ist der Standardwert. Diese Aktion hat das gleiche Ergebnis wie, wenn Postfachintelligenz aktivieren aktiviert ist, aber der Schutz vor Identitätswechseln aktivieren deaktiviert ist.
- Umleiten der Nachricht an andere E-Mail-Adressen
- Verschieben der Nachricht in die Junk-Email Ordner der Empfänger
- Nachricht unter Quarantäne stellen: Wenn Sie diese Aktion auswählen, können Sie auch die Quarantänerichtlinie auswählen, die für Nachrichten gilt, die per Postfachintelligenzschutz unter Quarantäne stehen. Quarantänerichtlinien definieren, was Benutzer mit unter Quarantäne gestellten Nachrichten tun können, und ob Benutzer Nachrichten erhalten, wenn eine Nachricht unter Quarantäne gestellt wurde. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.
- Übermitteln Sie die Nachricht, und fügen Sie der Bcc-Zeile weitere Adressen hinzu.
- Löschen der Nachricht vor der Übermittlung
Sicherheitstipps zum Identitätswechsel
Sicherheitstipps für den Identitätswechsel werden Benutzern angezeigt, wenn Nachrichten als Identitätswechselversuche identifiziert werden. Die folgenden Sicherheitstipps sind verfügbar:
Sicherheitstipp "Benutzeridentitätswechsel anzeigen": Die From-Adresse enthält einen Benutzer, der im Benutzeridentitätsschutz angegeben ist. Nur verfügbar, wenn Benutzer schützen aktivieren aktiviert und konfiguriert ist.
Dieser Sicherheitstipp wird durch den Wert 9,20 des
SFTY
Felds im X-Forefront-Antispam-Report-Header der Nachricht gesteuert. Der Text lautet:Dieser Absender ähnelt einer Person, die Ihnen zuvor eine E-Mail gesendet hat, ist aber möglicherweise nicht diese Person.
Sicherheitstipp zum Identitätswechsel anzeigen: Die From-Adresse enthält eine Domäne, die im Schutz vor Domänenidentitätswechsel angegeben ist. Nur verfügbar, wenn Zu schützende Domänen aktivieren aktiviert und konfiguriert ist.
Dieser Sicherheitstipp wird durch den Wert 9,19 des
SFTY
Felds im X-Forefront-Antispam-Report-Header der Nachricht gesteuert. Der Text lautet:Dieser Absender gibt möglicherweise die Identität einer Domäne an, die Ihrem organization zugeordnet ist.
Sicherheitstipp Ungewöhnliche Zeichen für Benutzeridentitätswechsel anzeigen: Die From-Adresse enthält ungewöhnliche Zeichensätze (z. B. mathematische Symbole und Text oder eine Mischung aus Groß- und Kleinbuchstaben) in einem Absender, der im Benutzeridentitätsschutz angegeben ist. Nur verfügbar, wenn Benutzer schützen aktivieren aktiviert und konfiguriert ist. Der Text lautet:
Die E-Mail-Adresse
<email address>
enthält unerwartete Buchstaben oder Zahlen. Es wird empfohlen, nicht mit dieser Nachricht zu interagieren.
Hinweis
Sicherheitstipps werden in den folgenden Nachrichten nicht gestempelt:
- Signierte S/MIME-Nachrichten.
- Nachrichten, die von Ihren Organisationseinstellungen zulässig sind.
Vertrauenswürdige Absender und Domänen
Vertrauenswürdige Absender und Domäne sind Ausnahmen von den Einstellungen für den Identitätswechselschutz. Nachrichten von den angegebenen Absendern und Absenderdomänen werden von der Richtlinie nie als identitätsbasierte Angriffe klassifiziert. Anders ausgedrückt: Die Aktion für geschützte Absender, geschützte Domänen oder Postfachintelligenzschutz wird nicht auf diese vertrauenswürdigen Absender oder Absenderdomänen angewendet. Der maximale Grenzwert für diese Listen beträgt 1024 Einträge.
Hinweis
Vertrauenswürdige Domäneneinträge enthalten keine Unterdomänen der angegebenen Domäne. Sie müssen für jede Unterdomäne einen Eintrag hinzufügen.
Wenn Microsoft 365-Systemnachrichten von den folgenden Absendern als Identitätswechselversuche identifiziert werden, können Sie die Absender der Liste der vertrauenswürdigen Absender hinzufügen:
noreply@email.teams.microsoft.com
noreply@emeaemail.teams.microsoft.com
no-reply@sharepointonline.com
Erweiterte Phishingschwellenwerte in Antiphishingrichtlinien in Microsoft Defender for Office 365
Die folgenden erweiterten Phishingschwellenwerte sind nur in Antiphishingrichtlinien in Defender for Office 365 verfügbar. Diese Schwellenwerte steuern die Vertraulichkeit für die Anwendung von Machine Learning-Modellen auf Nachrichten, um ein Phishing-Urteil zu bestimmen:
- 1 – Standard: Dies ist der Standardwert. Der Schweregrad der Aktion, die für die Nachricht ausgeführt wird, hängt vom Grad der Zuverlässigkeit ab, dass es sich bei der Nachricht um Phishing handelt (niedrige, mittlere, hohe oder sehr hohe Zuverlässigkeit). Beispielsweise werden für Nachrichten, die als Phishing mit einem sehr hohen Maß an Vertrauen identifiziert werden, die schwerwiegendsten Aktionen angewendet, während nachrichten, die als Phishing mit einem geringen Vertrauensgrad identifiziert werden, weniger schwerwiegende Aktionen angewendet werden.
- 2 - Aggressiv: Nachrichten, die als Phishing mit einem hohen Maß an Vertrauen identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.
- 3 - Aggressiver: Nachrichten, die als Phishing mit einem mittleren oder hohen Maß an Zuverlässigkeit identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.
- 4 - Am aggressivsten: Nachrichten, die als Phishing mit einem niedrigen, mittleren oder hohen Grad an Vertrauen identifiziert werden, werden so behandelt, als würden sie mit einem sehr hohen Maß an Vertrauen identifiziert.
Die Wahrscheinlichkeit falsch positiver Ergebnisse (gute Nachrichten, die als schlecht gekennzeichnet sind) steigt, wenn Sie diese Einstellung erhöhen. Informationen zu den empfohlenen Einstellungen finden Sie unter Antiphishing-Richtlinieneinstellungen in Microsoft Defender for Office 365.