Antispamschutz in Cloudorganisationen

In allen Organisationen mit Cloudpostfächern werden E-Mail-Nachrichten automatisch vor Spam (Junk-E-Mail) geschützt.

Um Junk-E-Mails zu reduzieren, umfasst Microsoft 365 Junk-E-Mail-Schutz mithilfe proprietärer Spamfiltertechnologien (auch als Inhaltsfilterung bezeichnet), um Junk-E-Mails von legitimen E-Mails zu identifizieren und zu trennen. Spamfilterung lernt aus bekannten Spam- und Phishingbedrohungen und Benutzerfeedback von unserer Verbraucherplattform, Outlook.com. Kontinuierliches Feedback von Administratoren und Benutzern trägt dazu bei, dass unsere Filtertechnologien kontinuierlich trainiert und verbessert werden.

Microsoft 365 verwendet die folgenden Spamfilterbewertungen, um Nachrichten zu klassifizieren:

• Spam: Die Nachricht hat einen Spam-Konfidenzgrad (SCL) von 5 oder 6 erhalten.
• Spam mit hoher Zuverlässigkeit: Die Nachricht hat eine SCL von 7, 8 oder 9 erhalten.
• Phishing
• Phishing mit hoher Zuverlässigkeit: Im Rahmen von "Secure" werden Phishing-Nachrichten mit hoher Zuverlässigkeit standardmäßig immer unter Quarantäne gesetzt. Benutzer können ihre eigenen unter Quarantäne gestellten Phishing-Nachrichten mit hoher Zuverlässigkeit nicht freigeben, unabhängig von verfügbaren Einstellungen, die von Administratoren konfiguriert wurden.
• Massen: Die Nachrichtenquelle hat den konfigurierten BCL-Schwellenwert (Bulk Complaint Level) erreicht oder überschritten.

Weitere Informationen zum Antispamschutz finden Sie unter Häufig gestellte Fragen: Antispamschutz für Cloudpostfächer.

In der Standardmäßigen Antispamrichtlinie und in benutzerdefinierten Antispamrichtlinien können Sie die aktionen konfigurieren, die auf der Grundlage dieser Bewertungen ausgeführt werden sollen. In den voreingestellten Sicherheitsrichtlinien Standard und Streng sind die Aktionen bereits konfiguriert und nicht änderbar, wie unter Antispamrichtlinieneinstellungen beschrieben.

Informationen zum Konfigurieren der Standardmäßigen Antispamrichtlinie und zum Erstellen, Ändern und Entfernen benutzerdefinierter Antispamrichtlinien finden Sie unter Konfigurieren von Antispamrichtlinien.

Antispamrichtlinien

Antispamrichtlinien steuern die konfigurierbaren Einstellungen für die Spamfilterung. Die wichtigen Einstellungen in Antispamrichtlinien werden in den folgenden Unterabschnitten beschrieben.

Empfängerfilter in Antispamrichtlinien

Empfängerfilter verwenden Bedingungen und Ausnahmen, um die internen Empfänger zu identifizieren, für die die Richtlinie gilt. In benutzerdefinierten Richtlinien ist mindestens eine Bedingung erforderlich. Bedingungen und Ausnahmen sind in der Standardrichtlinie nicht verfügbar (die Standardrichtlinie gilt für alle Empfänger). Sie können die folgenden Empfängerfilter für Bedingungen und Ausnahmen verwenden:

• Benutzer: Ein oder mehrere Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte im organization.
• Gruppen:
  • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
  • Die angegebene Microsoft 365-Gruppen.
• Domänen: Mindestens eine der konfigurierten akzeptierten Domänen in Microsoft 365. Die primäre E-Mail-Adresse des Empfängers befindet sich in der angegebenen Domäne.

Sie können eine Bedingung oder Ausnahme nur einmal verwenden, aber die Bedingung oder Ausnahme kann mehrere Werte enthalten:

• Mehrere Wertederselben Bedingung oder Ausnahme verwenden OR-Logik (z. B <. recipient1> oder <recipient2>):

  • Bedingungen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie auf diese angewendet.
  • Ausnahmen: Wenn der Empfänger mit einem der angegebenen Werte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

• Verschiedene Arten von Ausnahmen verwenden OR-Logik (z. B. <recipient1> oder <member of group1> oder <member of domain1>). Wenn der Empfänger mit einem der angegebenen Ausnahmewerte übereinstimmt, wird die Richtlinie nicht auf sie angewendet.

• Verschiedene Arten von Bedingungen verwenden AND-Logik. Der Empfänger muss allen angegebenen Bedingungen entsprechen, damit die Richtlinie auf sie angewendet wird. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

  • Benutzer: romain@contoso.com
  • Gruppen: Führungskräfte

  Die Richtlinie wird nur auf romain@contoso.com angewendet, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Andernfalls wird die Richtlinie nicht auf ihn angewendet.

Massenbeschwerdeschwellenwert (BCL) in Antispamrichtlinien

Microsoft 365 weist eingehenden Nachrichten von Massensendern einen BCL-Wert zu. Nachrichten von Massensendern werden auch als Massen-E-Mail oder graue E-Mail bezeichnet.

Weitere Informationen zu BCL finden Sie unter Massenbeschwerdegrad (BCL).

Spameigenschaften in Antispamrichtlinien

Die Einstellungen für den Testmodus , die Einstellungen "Spambewertung erhöhen " und die meisten Einstellungen " Als Spam markieren " sind Teil der Erweiterten Spamfilterung (ASF) in Antispamrichtlinien.

Diese Einstellungen sind nicht standardmäßig in der Standardmäßigen Antispamrichtlinie oder in den voreingestellten Sicherheitsrichtlinien Standard oder Strict konfiguriert.

Vollständige Informationen zu ASF-Einstellungen finden Sie unter Advanced Spam Filter (ASF)-Einstellungen in Antispamrichtlinien.

Die anderen Einstellungen, die in dieser Kategorie verfügbar sind, sind:

• Enthält bestimmte Sprachen: Nachrichten in den angegebenen Sprachen werden automatisch als Spam identifiziert.
• Aus diesen Ländern: Nachrichten aus den angegebenen Ländern werden automatisch als Spam identifiziert.

Diese Einstellungen sind nicht standardmäßig in der Standardmäßigen Antispamrichtlinie oder in den voreingestellten Sicherheitsrichtlinien Standard oder Strict konfiguriert.

Aktionen in Antispamrichtlinien

• In benutzerdefinierten Antispamrichtlinien und der Standardmäßigen Antispamrichtlinie werden die verfügbaren Aktionen für Bewertungen der Spamfilterung in der folgenden Tabelle beschrieben.

  • Ein Häkchen (✔) gibt an, dass die Aktion verfügbar ist (nicht alle Aktionen sind für alle Bewertungen verfügbar).
  • Ein Sternchen (^*) nach dem Häkchen gibt die Standardaktion für die Spamfilterbewertung an.

  Aktion	Spam	Hoch Konfidenz Spam	Phishing	Hoch Konfidenz Phishing	Masse
  Nachricht in Junk-Email Ordner verschieben: Die Nachricht wird an den Junk-Email Ordner im Postfach übermittelt.¹	✔*	✔*	✔	²	✔*
  X-Header hinzufügen: Fügt dem Nachrichtenheader einen X-Header hinzu und übermittelt die Nachricht an das Postfach. Sie geben den Namen des X-Headerfelds (nicht den Wert) in das verfügbare Textfeld Diese X-Kopfzeile hinzufügen ein. Bei Spam- und Spambewertungen mit hoher Zuverlässigkeit wird die Nachricht in den Junk-Email Ordner verschoben.¹ ¹	✔	✔	✔		✔
  Text in Betreffzeile voranstellen: Fügt Text am Anfang der Betreffzeile der Nachricht ein. Die Nachricht wird an das Postfach übermittelt und in den Junk-E-Mail-Ordner verschoben.¹ ¹ Sie geben den Text in die verfügbare Betreffzeile Präfix mit diesem Textfeld ein.	✔	✔	✔		✔
  Nachricht an E-Mail-Adresse umleiten: Sendet die Nachricht an andere Empfänger statt an die vorgesehenen Empfänger. Sie geben die Empfänger im Feld An diese E-Mail-Adresse umleiten an.	✔	✔	✔	✔	✔
  Nachricht löschen: Löscht automatisch die gesamte Nachricht, einschließlich aller Anlagen.	✔	✔	✔		✔
  Nachricht in Quarantäne verschieben: Verschiebt die Nachricht in Quarantäne, anstatt sie an die vorgesehenen Empfänger zu senden. Sie wählen oder verwenden die Standardquarantänerichtlinie für die Spamfilterungsbewertung im angezeigten Feld Quarantänerichtlinie auswählen .⁴ Quarantänerichtlinien definieren, was Benutzer für unter Quarantäne gestellte Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie. Sie geben an, wie lange die Nachrichten in Quarantäne gehalten werden, im verfügbaren Feld Spam für diese anzahl Tage in Quarantäne aufbewahren .	✔	✔	✔*	✔* ⁵	✔
  Keine Aktion					✔

  ¹ Microsoft 365 verwendet einen Nachrichtenfluss-Übermittlungs-Agent, um Nachrichten an den Junk-Email-Ordner weiterzuleiten. Die Junk-E-Mail-Regel im Postfach wird nicht verwendet. Der Parameter Enabled im Cmdlet Set-MailboxJunkEmailConfiguration in Exchange Online PowerShell hat keine Auswirkungen auf den Nachrichtenfluss in Cloudpostfächern. Weitere Informationen finden Sie unter Konfigurieren von Junk-E-Mail-Einstellungen für Cloudpostfächer.

  ² Für Phishing mit hoher Zuverlässigkeit ist die Aktion Nachricht in Junk-Email Ordner verschieben effektiv veraltet. Obwohl Sie möglicherweise die Aktion Nachricht in Junk-Junk-Email Ordner verschieben auswählen können, werden Phishingnachrichten mit hoher Zuverlässigkeit immer unter Quarantäne gesetzt (entspricht der Auswahl von Quarantänenachricht).

  ¹ Sie können diesen Wert als Bedingung in Nachrichtenflussregeln verwenden, um Nachrichten für Postfächer nur in lokalen Exchange-Umgebungen (nicht in Exchange Online) zu filtern oder weiterzuleiten.

  ⁴ Wenn die Spamfilterungsbewertung Nachrichten standardmäßig unter Quarantäne stellt (Nachricht unter Quarantäne stellen ist bereits ausgewählt, wenn Sie die Seite aufrufen), wird der Name der Standardquarantänerichtlinie im Feld Quarantänerichtlinie auswählen angezeigt. Wenn Sie die Aktion einer Spamfilterungsbewertung in Quarantäne-Nachrichtändern, ist das Feld Quarantänerichtlinie auswählen standardmäßig leer. Ein leerer Wert bedeutet, dass die Standardquarantänerichtlinie für dieses Urteil verwendet wird. Wenn Sie später die Antispamrichtlinieneinstellungen anzeigen oder bearbeiten, wird der Name der Quarantänerichtlinie angezeigt. Weitere Informationen zu den Quarantänerichtlinien, die standardmäßig für Spamfilterbewertungen verwendet werden, finden Sie unter Antispamrichtlinieneinstellungen.

  ⁵ Benutzer können ihre eigenen Nachrichten, die als Phishing mit hoher Zuverlässigkeit unter Quarantäne standen, nicht freigeben, unabhängig davon, wie die Quarantänerichtlinie konfiguriert ist. Wenn die Richtlinie so konfiguriert ist, dass Benutzer diese unter Quarantäne gestellten Nachrichten freigeben, können Benutzer stattdessen die Freigabe dieser in Quarantäne befindlichen Nachrichten anfordern .

• Organisationsinterne Nachrichten, für die Maßnahmen ergriffen werden sollen: Steuert, ob die Spamfilterung und die entsprechenden Bewertungsaktionen auf interne Nachrichten angewendet werden (Nachrichten, die zwischen Benutzern innerhalb des organization gesendet werden). Die angegebene Aktion für die Spamfilterbewertung wird für Nachrichten ausgeführt, die zwischen internen Benutzern gesendet werden. Die verfügbaren Werte sind:

  • Standard: Der Standardwert. Dieser Wert entspricht dem Auswählen von Phishingnachrichten mit hoher Zuverlässigkeit.
  • Keine
  • Phishing-Nachrichten mit hoher Zuverlässigkeit
  • Phishing und Phishingnachrichten mit hoher Zuverlässigkeit
  • Alle Phishing- und Hochsicherheits-Spam-Nachrichten
  • Alle Phishing- und Spamnachrichten

  Informationen zu den Standardwerten, die in der Standardmäßigen Antispamrichtlinie und in den voreingestellten Sicherheitsrichtlinien Standard und Strict verwendet werden, finden Sie unter Organisationsinterne Nachrichten zum Ergreifen von Maßnahmen beim Eintrag in den Antispamrichtlinieneinstellungen.

• Spam für so viele Tage in Quarantäne aufbewahren: Gibt an, wie lange die Nachricht in Quarantäne bleibt, wenn Sie Nachricht in Quarantäne verschieben als Aktion für eine Spamfilterbewertung ausgewählt haben. Nach Ablauf des Zeitraums wird die Nachricht gelöscht und kann nicht wiederhergestellt werden. Ein gültiger Wert liegt zwischen 1 und 30 Tagen.

  Die Standardwerte, die in der Standard-Antispamrichtlinie und in den voreingestellten Sicherheitsrichtlinien Standard und Strict verwendet werden, finden Sie im Eintrag Beibehalten von Spam in Quarantäne für diese zeitintensiven Tage unter Antispamrichtlinieneinstellungen.

  Tipp

  Diese Einstellung steuert auch, wie lange Nachrichten, die von Antiphishingrichtlinien unter Quarantäne gestellt wurden, beibehalten werden. Weitere Informationen finden Sie unter Quarantäneaufbewahrung.

Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) in Antispamrichtlinien

ZAP für Phishing und ZAP für Spam können auf Nachrichten reagieren, nachdem sie an Exchange Online Postfächer übermittelt wurden. Standardmäßig sind ZAP für Phishing und ZAP für Spam aktiviert, und es wird empfohlen, sie aktiviert zu lassen. Weitere Informationen finden Sie unter:

• Automatische Bereinigung (Zero-Hour Auto Purge, ZAP) für Phishing
• Zero-Hour Auto Purge (ZAP) für Phishing mit hoher Zuverlässigkeit
• Zero-Hour Auto Purge (ZAP) für Spam

Quarantänerichtlinien in Antispamrichtlinien

Für Quarantänebewertungen in Antispamrichtlinien definieren Quarantänerichtlinien, was Benutzer mit diesen in Quarantäne befindlichen Nachrichten tun können und ob Benutzer Quarantänebenachrichtigungen erhalten. Weitere Informationen finden Sie unter Anatomie einer Quarantänerichtlinie.

Zulassen und Blockieren von Listen in Antispamrichtlinien

Antispamrichtlinien enthalten die folgenden Listen, um bestimmte Absender oder Domänen zuzulassen oder zu blockieren:

• Die Liste der zulässigen Absender
• Die Liste der zulässigen Domänen
• Die Liste blockierter Absender
• Liste blockierter Domänen

Standardmäßig sind diese Listen nicht in der Standardmäßigen Antispamrichtlinie konfiguriert. Sie können die Listen in den voreingestellten Sicherheitsrichtlinien Standard oder Strict nicht konfigurieren.

Die folgenden Features ersetzen diese Listen größtenteils:

• Blockieren Von Einträgen für Domänen und E-Mail-Adressen im Abschnitt Erstellen von Blockeinträgen für Domänen und E-Mail-Adressen.

  Tipp

  Damit Benutzer E-Mails an blockierte E-Mail-Adressen oder Domänen senden können, verwenden Sie die Liste blockierter Absender oder blockierter Domänen in Antispamrichtlinien. Blockieren von Einträgen für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten verhindern außerdem, dass Benutzer E-Mails an blockierte E-Mail-Adressen oder Domänen senden .

• Melden von guten E-Mails an Microsoft über die Seite Übermittlungen im Microsoft Defender-Portal (wo Sie E-Mails mit ähnlichen Attributen zulassen auswählen können, wodurch die erforderlichen temporären Einträge in der Mandanten-Zulassungs-/Sperrliste erstellt werden).

  Wichtig

  Nachrichten von Einträgen in der Liste der zulässigen Absender oder der Liste der zulässigen Domänen umgehen die meisten E-Mail-Schutz (außer Schadsoftware und Phishing mit hoher Zuverlässigkeit) und E-Mail-Authentifizierungsprüfungen (SPF, DKIM und DMARC). Einträge in der Liste zulässiger Absender oder der Liste zulässiger Domänen stellen ein hohes Risiko für Angreifer dar, die E-Mails erfolgreich an den Posteingang übermitteln, die andernfalls gefiltert würden. Diese Listen werden am besten nur für temporäre Tests verwendet.

  Fügen Sie der Liste der zulässigen Domänen niemals allgemeine Domänen (z. B. microsoft.com oder office.com) hinzu. Angreifer können spoofte Nachrichten aus diesen gängigen Domänen problemlos an Ihre organization senden.

  Ab September 2022 müssen zulässige Absender, Domänen oder Unterdomänen in den akzeptierten Domänen Ihres organization E-Mail-Authentifizierungsprüfungen bestehen, um die Spamfilterung zu überspringen.

  Wenn Sie einen zulässigen Domäneneintrag für einen längeren Zeitraum in der Liste behalten möchten, bitten Sie den Absender, zu überprüfen, ob sein SPF-Eintrag mit E-Mail-Quellen für seine Domäne auf dem neuesten Stand ist und dass die Richtlinie in seinem DMARC-Eintrag auf p=rejectfestgelegt ist.

Priorität von Antispamrichtlinien

Wenn voreingestellte Sicherheitsrichtlinien aktiviert sind, werden die voreingestellten Sicherheitsrichtlinien Standard und Strict vor allen benutzerdefinierten Antispamrichtlinien oder der Standardrichtlinie angewendet. Wenn Sie mehrere benutzerdefinierte Antispamrichtlinien erstellen, können Sie die Reihenfolge der Richtlinienanwendung angeben. Die Richtlinienverarbeitung wird für berechtigte Empfänger nach der Anwendung der ersten berechtigten Richtlinie (der Richtlinie mit der höchsten Priorität für diesen Empfänger) beendet.

Weitere Informationen zur Rangfolge und zur Auswertung mehrerer Richtlinien finden Sie unter Reihenfolge und Rangfolge des E-Mail-Schutzes und Rangfolge für voreingestellte Sicherheitsrichtlinien und andere Richtlinien.

Standard-Antispamrichtlinie

Jede organization verfügt über eine integrierte Antispamrichtlinie mit dem Namen Default, die über die folgenden Eigenschaften verfügt:

• Die Richtlinie ist die Standardrichtlinie (die IsDefault-Eigenschaft hat den Wert True), und die Standardrichtlinie kann nicht gelöscht werden.
• Die Richtlinie wird automatisch auf alle Empfänger im organization angewendet, und Sie können sie nicht deaktivieren.
• Die Richtlinie wird immer zuletzt angewendet (der Prioritätswert ist niedrigster Wert, und Sie können ihn nicht ändern).