Spam-Filter für Outlook steuern mit PowerShell und Gruppenrichtlinien

Der Name der Funktion ist etwas unglücklich gewählt. Genau genommen handelt es sich um eine Regel (Inboxrule) namens "Junk E-mail Rule". Sie ist per Standard aktiviert und ausge­blendet. Nur in einer On-Premises-Umgebung kann man sie mit folgendem PowerShell-Befehl auslesen:

Get-InboxRule "Junk E-mail Rule" -Mailbox "MAILBOX" -IncludeHidden

Bei Exchange Online funktioniert dieser Befehl nicht, weil es den Parameter IncludeHidden nicht unterstützt.

Leider kann die Posteingangs­regel nicht komplett außer Betrieb gesetzt werden. Selbst wenn der Grad der Filterung ausgeschaltet ist, verschiebt sie Nachrichten blockierter Absender weiter in den Junk-Mail-Ordner.

Umgekehrt stellte Outlook in meiner Test­umgebung solche Nachrichten, die Exchange als Spam erkennt und die laut Regel in den Junk-E-Mail-Ordner verschoben werden sollten, wieder in den Posteingang. Benutzer können also blockierte Absender in der Antispam-Regel des Servers mit "Sichere Absender" übersteuern.

Abhilfe könnte man hier zum Beispiel schaffen, indem Exchange die Mails direkt unter Quarantäne stellt und diese somit nicht in der Mailbox des Benutzers landen, so dass die Postfachregel nicht greift.

Sichere Absender

Benutzer können vertrauens­würdige Absender über verschiedene Menüeinträge in Outlook oder Outlook Webapp hinzufügen. Nachdem dies unter Umständen aber die Regeln auf Server-Ebene konterkariert, scheint es im Sinne einer zentralen Administration sinnvoll, dieses Feature zu zähmen.

Zusätzlich lassen sich die persönlichen Kontakte als vertrauens­würdig einstufen, und Empfänger von versandten Mails werden automatisch der Liste sicherer Sender hinzugefügt.

PowerShell kann leider die Option "Personen, an die ich E-Mails schicke, automatisch der Liste sicherer Absender hinzufügen" nicht ändern. Jedoch lässt sich das Handling der Kontakte als vertrauens­würdige Absender damit steuern.

Diesem Zweck dient das Cmdlet Set-MailboxJunkEmailConfiguration:

Set-MailboxJunkEmailConfiguration -Identity Benjamin -ContactsTrusted $true

Zum Hinzufügen von einzelnen sicherer Absender gibt man folgenden Befehl ein:

Set-MailboxJunkEmailConfiguration -Identity Benjamin `
-TrustedSendersAndDomains @{Add="info@windowspro.de"}

Mehrere Sender trennt man durch ein Komma. Möchte man eine Adresse entfernen, dann ersetzt man @{Add durch @{Remove.

Möchte man die vertrauens­würdigen Kontakte unternehmens­weit durchsetzen, dann erledigt dies folgender PowerShell-Befehl:

Get-Mailbox | Set-MailboxJunkEmailConfiguration -ContactsTrusted $true

Blockierte Absender

Analog zu den sicheren Absendern können unerwünschte Absender blockiert werden. Einzelne Adressen fügt man mit folgendem Befehl hinzu:

Set-MailboxJunkEmailConfiguration -Identity Benjamin `
-BlockedSendersAndDomains @{Add="newsletter@abc.de"}

Man kann auch generell alle Mails in den Junk-Mail-Ordner verschieben, mit Ausnahme jener, die von sicheren Sendern stammen. Das Prinzip ähnelt dem eines Whitelistings. Die Funktion schaltet man mit folgendem PowerShell-Befehl ein:

Set-MailboxJunkEmailConfiguration -Identity Benjamin -TrustedListsOnly $true

Deaktivieren der Junk-Mail-Funktion

Outlook kann Nachrichten auch selbst auf Spam-Verdacht hin bewerten. Anhand dieser Einschätzung verschiebt es sie dann in den Junk-Ordner. Diese Aktivitäten des Mail-Clients erhöhen aber die Komplexität der Spam-Behandlung und den Aufwand für das Troubleshooting.

Daher wäre es für den Administrator wünschenswert, wenn er dieses Feature deaktivieren könnte. Per PowerShell ließe sich die Junk-Mail-Funktion auf diese Weise ausschalten:

Set-MailboxJunkEmailConfiguration -Identity Benjamin -Enabled $false

Im meiner Testumgebung blieb die Posteingangs­regel aber trotzdem aktiv und verschiebt weiterhin Mails in den Spam-Ordner.

GPO für Outlook

Alternativ zum Deaktivieren der Junk-E-Mail-Option bietet es sich an, diese auf der GUI per GPO auszugrauen. Somit hat der Benutzer dann in Outlook keine Möglichkeit mehr, den Filter zu beeinflussen. Dafür benötigt man die administrativen Vorlagen für Office.

Die betreffende Einstellung findet sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Outlook 2016 => Outlook-Optionen => Einstellungen => Junk-E-Mail und heißt Benutzer­oberfläche für Junk-E-Mail ausblenden.

Einstellung für OWA

Auch in der Outlook Webapp besteht die Möglichkeit, den persönlichen Spam-Filter zu steuern. Leider ist es bei Exchange Online im Moment nicht möglich, dieses Feature auf einfache Weise aus­zuschalten. In einer On-Premise-Umgebung passt man die Richtlinie für OWA so an:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -JunkEmailEnabled $false

Fazit

Das Spam-Handling von Outlook ist kaum auf die Zusammen­arbeit mit Exchange bzw. Exchange Online abgestimmt. Im ungünstigsten Fall führt dies zu Effekten, die vom Administrator bei der Server-seitigen Konfiguration der Spam-Abwehr nicht vorgesehen waren.

Es ist fraglich, ob heute noch eine eigene Erkennung im Client stattfinden muss, noch dazu, wenn sich diese zentral nur bedingt steuern lässt. Hier wäre es schön, wenn Outlook auch ohne Addins mit dem Exchange Server interagieren würde.