Spam-Filter für Outlook steuern mit PowerShell und Gruppenrichtlinien

    Optionen für den Spam-Filter in OutlookExchange bietet diverse Mecha­nismen zur Ab­wehr von Spam und Malware, die der Admini­strator zen­tral konfi­guriert. Be­nutzer können in Outlook und OWA aber auch selbst Regeln zur Er­kennung von Spam defi­nieren. Damit sie auf diese Weise nicht die Server-Regeln aus­hebeln, kann man die Client-Optionen be­schränken.

    Benutzer können in Outlook über die Optionen für Junk-E-Mail persönliche Einstellungen konfigurieren. Diese sind maßgeblich dafür, welche Nachrichten Outlook als Spam klassifiziert. Mails können damit nicht abgelehnt werden, vielmehr beeinflusst man so nur die End­verarbeitung.

    Eigensinnige Junk-Mail-Funktion

    Der Name der Funktion ist etwas unglücklich gewählt. Genau genommen handelt es sich um eine Regel (Inboxrule) namens "Junk E-mail Rule". Sie ist per Standard aktiviert und ausge­blendet. Nur in einer On-Premise-Umgebung kann man sie mit folgendem PowerShell-Befehl auslesen:

    Get-InboxRule "Junk E-mail Rule" -Mailbox "MAILBOX" -IncludeHidden

    Bei Exchange Online funktioniert dieser Befehl nicht, weil es den Parameter IncludeHidden nicht unterstützt.

    Leider kann die Posteingangs­regel nicht komplett außer Betrieb gesetzt werden. Selbst wenn der Grad der Filterung ausgeschaltet ist, verschiebt sie Nachrichten blockierter Absender weiter in den Junk-Mail-Ordner.

    Auch über den Grad der Filterung lässt sich die Posteingangsregel nicht vollständig abschalten.

    Umgekehrt stellte Outlook in meiner Test­umgebung solche Nachrichten, die Exchange als Spam erkennt und die laut Regel in den Junk-E-Mail-Ordner verschoben werden sollten, wieder in den Posteingang. Benutzer können also blockierte Absender in der Antispam-Regel des Servers mit "Sichere Absender" übersteuern.

    Abhilfe könnte man hier zum Beispiel schaffen, indem Exchange die Mails direkt unter Quarantäne stellt und diese somit nicht in der Mailbox des Benutzers landen, so dass die Postfachregel nicht greift.

    Sichere Absender

    Benutzer können vertrauens­würdige Absender über verschiedene Menüeinträge in Outlook oder Outlook Webapp hinzufügen. Nachdem dies unter Umständen aber die Regeln auf Server-Ebene konterkariert, scheint es im Sinne einer zentralen Administration sinnvoll, dieses Feature zu zähmen.

    Zusätzlich lassen sich die persönlichen Kontakte als vertrauens­würdig einstufen, und Empfänger von versandten Mails werden automatisch der Liste sicherer Sender hinzugefügt.

    PowerShell kann leider die Option "Personen, an die ich E-Mails schicke, automatisch der Liste sicherer Absender hinzufügen" nicht ändern. Jedoch lässt sich das Handling der Kontakte als vertrauens­würdige Absender damit steuern.

    Diesem Zweck dient das Cmdlet Set-MailboxJunkEmailConfiguration:

    Set-MailboxJunkEmailConfiguration -Identity Benjamin -ContactsTrusted $true

    Zum Hinzufügen von einzelnen sicherer Absender gibt man folgenden Befehl ein:

    Set-MailboxJunkEmailConfiguration -Identity Benjamin `
    -TrustedSendersAndDomains @{Add="info@windowspro.de"}

    Mehrere Sender trennt man durch ein Komma. Möchte man eine Adresse entfernen, dann ersetzt man @{Add durch @{Remove.

    Sichere Sender lassen sich auch zentral über PowerShell hinzufügen

    Möchte man die vertrauens­würdigen Kontakte unternehmens­weit durchsetzen, dann erledigt dies folgender PowerShell-Befehl:

    Get-Mailbox | Set-MailboxJunkEmailConfiguration -ContactsTrusted $true

    Blockierte Absender

    Analog zu den sicheren Absendern können unerwünschte Absender blockiert werden. Einzelne Adressen fügt man mit folgendem Befehl hinzu:

    Set-MailboxJunkEmailConfiguration -Identity Benjamin `
    -BlockedSendersAndDomains @{Add="newsletter@abc.de"}

    Man kann auch generell alle Mails in den Junk-Mail-Ordner verschieben, mit Ausnahme jener, die von sicheren Sendern stammen. Das Prinzip ähnelt dem eines Whitelistings. Die Funktion schaltet man mit folgendem PowerShell-Befehl ein:

    Set-MailboxJunkEmailConfiguration -Identity Benjamin -TrustedListsOnly $true

    Nachrichten, die nicht von sicheren Sendern stammen, lassen sich automatisch als Spam markieren.

    Deaktivieren der Junk-Mail-Funktion

    Outlook kann Nachrichten auch selbst auf Spam-Verdacht hin bewerten. Anhand dieser Einschätzung verschiebt es sie dann in den Junk-Ordner. Diese Aktivitäten des Mail-Clients erhöhen aber die Komplexität der Spam-Behandlung und den Aufwand für das Troubleshooting.

    Daher wäre es für den Administrator wünschenswert, wenn er dieses Feature deaktivieren könnte. Per PowerShell ließe sich die Junk-Mail-Funktion auf diese Weise ausschalten:

    Set-MailboxJunkEmailConfiguration -Identity Benjamin -Enabled $false

    Im meiner Testumgebung blieb die Posteingangs­regel aber trotzdem aktiv und verschiebt weiterhin Mails in den Spam-Ordner.

    GPO für Outlook

    Alternativ zum Deaktivieren der Junk-E-Mail-Option bietet es sich an, diese auf der GUI per GPO auszugrauen. Somit hat der Benutzer dann in Outlook keine Möglichkeit mehr, den Filter zu beeinflussen. Dafür benötigt man die administrativen Vorlagen für Office.

    Junk-Mail-Filter über Gruppenrichtlinien in Outlook ausblenden

    Die betreffende Einstellung findet sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Outlook 2016 => Outlook-Optionen => Einstellungen => Junk-E-Mail und heißt Benutzer­oberfläche für Junk-E-Mail ausblenden.

    Über ein GPO kann man die Konfiguration des Spam-Filters für Benutzer blockieren.

    Einstellung für OWA

    Auch in der Outlook Webapp besteht die Möglichkeit, den persönlichen Spam-Filter zu steuern. Leider ist es bei Exchange Online im Moment nicht möglich, dieses Feature auf einfache Weise aus­zuschalten. In einer On-Premise-Umgebung passt man die Richtlinie für OWA so an:

    Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -JunkEmailEnabled $false

    Einstellungen für den Junk-Mail-Filter in der Outlook Webapp

    Fazit

    Das Spam-Handling von Outlook ist kaum auf die Zusammen­arbeit mit Exchange bzw. Exchange Online abgestimmt. Im ungünstigsten Fall führt dies zu Effekten, die vom Administrator bei der Server-seitigen Konfiguration der Spam-Abwehr nicht vorgesehen waren.

    Es ist fraglich, ob heute noch eine eigene Erkennung im Client stattfinden muss, noch dazu, wenn sich diese zentral nur bedingt steuern lässt. Hier wäre es schön, wenn Outlook auch ohne Addins mit dem Exchange Server interagieren würde.

    Keine Kommentare