Tags: Exchange, Malware, E-Mail
Der mehrstufige Schutz von Office 365 gegen Spam, Viren und sonstige unerwünschte Nachrichten lässt sich komfortabel über das Exchange Admin Center konfigurieren. PowerShell kann weitere Einstellungen anpassen, die das Verhalten der verschiedenen Filter beeinflussen und User über Aktionen benachrichtigen.
Alle Mandanten von Office365 werden von Microsoft mit einer Reihe von Standardeinstellungen eingerichtet. Dies erhöht die Effizienz der Cloud-Plattform. Möchte man dagegen eigene Einstellungen vornehmen, dann müssen dafür zuerst die Voraussetzungen geschaffen werden.
Standardregeln duplizieren
Die Regeln und Richtlinien, die per Vorgabe von allen O365-Kunden verwendet werden, kopiert man in den jeweiligen Tenant und sie sind dann editierbar. Damit lassen sie sich den eigenen Bedürfnissen anpassen.
Diesen Vorgang startet man mit dem Befehl
Enable-OrganizationCustomization.
Man muss ihn nur einmalig ausführen und er ist nicht reversibel. Anschliessend kann der aktuelle Zustand des Tenants mit Get-OrganizationConfig über den Hydration-Status ausgelesen werden. Der Wert False zeigt an, dass der Mandant nun eigene Richtlinien erstellen kann.
Verbindungsfilter (Connection Filter) bearbeiten
Standardmäßig gibt es einen Verbindungsfilter namens Default. Dieser hat jedoch keine Auswirkungen, da er nicht konfiguriert ist. Während der Spam-Filter Mail-Adressen und -Domänen freigeben bzw. sperren kann, konzentriert sich der Verbindungsfilter rein auf IP-Adressen und Netze.
Sollen Nachrichten, die von bestimmten IP-Adressen stammen, abgelehnt oder von der Spam-Filterung ausgenommen, dann muss man Nachrichtenflussregeln (mail flow rules) konfigurieren.
Die betreffenden Einstellungen lassen sich mit
Get-HostedConnectionFilterPolicy
auslesen:
Get-HostedConnectionFilterPolicy -Identity Default |
Format-Table Name, IP*, EnableSafeList
Um den Filter zu bearbeiten, verwendet man das Cmdlet Set-HostedConnectionFilterPolicy. Damit kann man mehrere IP-Adressen (bis zu 256) und Subnetze definieren, wobei ein Komma als Trennzeichen dient. Zusätzlich kann man die SafeList abonnieren, in der Microsoft IP-Adressen vertrauenswürdiger Absender sammelt:
Set-HostedConnectionFilterPolicy -Identity Default `
-IPAllowList 192.168.1.10,172.16.1.20 `
-IPBlockList 10.0.0.0/32,192.168.2.0/24 -EnableSafeList $true
Wenn die IP-Listen verändert werden sollen, muss man darauf achten, dass man die bestehenden Einträge nicht überschreibt. Daher ist der Einsatz von Add bzw. Remove obligatorisch. Ein solcher Befehl könnte so aussehen:
Set-HostedConnectionFilterPolicy -Identity Default -IPAllowList @{Add="192.168.1.11", "192.168.1.12", "172.16.1.0/24"; Remove="192.168.2.0/24"}
Weiterführende Informationen zur Funktion der Verbindungsfilterung gibt es auf Microsoft Docs.
Spamfilter (Content Filter) bearbeiten
Auch hier gibt es bereits einen vordefinierten Spam-Filter mit dem Namen Default. Dieser verschiebt Mails mit Spam-Verdacht in den Junk-Mail-Ordner der jeweiligen Postfächer. Ansonsten verzichtet der Filter in der Standardeinstellung auf viele der möglichen Optionen, auf die ich im Folgenden genauer eingehe.
Der Befehl Get-HostedContentFilterPolicy gibt nur eine rudimentäre Liste mit Einstellungen aus.
Microsoft unterscheidet zwischen Spam und Nachrichten mit hoher Spam-Wahrscheinlichkeit. Möchte man letztere in Quarantäne anstatt in den Junk-Mail-Ordner stellen, dann eignet sich dafür folgender Befehl:
Set-HostedContentFilterPolicy -Identity Default -HighConfidenceSpamAction Quarantine
Spambewertung (Scoring) erhöhen
Es gibt vier Optionen, um die Bewertung von Nachrichten zu beeinflussen. Das Zutreffen eines Kriteriums erhöht die Bewertungszahl der Nachricht und führt dazu, dass sie eher als Spam ausgefiltert wird.
Parameter | Bemerkung |
---|---|
IncreaseScoreWithBizOrInfoUrls | Wenn in der Nachricht Links zu Domains mit Endung .biz oder .info vorkommen |
IncreaseScoreWithImageLinks | Wenn in der Nachricht Bilder von extern nachgeladen werden |
IncreaseScoreWithNumericIps | Wenn in der Nachricht Links mit IP-Adressen statt Domains vorkommen |
IncreaseScoreWithRedirectToOtherPort | Wenn in der Nachricht Links vorkommen, die zu bestimmten Ports umleiten |
Folgender Befehl aktiviert diese vier Optionen:
Set-HostedContentFilterPolicy -Identity Default -IncreaseScoreWithBizOrInfoUrls on `
-IncreaseScoreWithImageLinks on -IncreaseScoreWithNumericIps on `
-IncreaseScoreWithRedirectToOtherPort on
Mails als Spam markieren
Um Mails direkt als Spam zu kennzeichnen, gibt es mehrere Kriterien. Ist eines erfüllt, dann wird die Nachricht gleich als Spam eingestuft. Folgende Tabelle listet die Optionen mit einer Kurzbeschreibung auf.
Parameter | Bemerkung |
---|---|
MarkAsSpamBulkMail | Nachrichten, die als Bulk bzw. Graymail erkannt werden |
MarkAsSpamEmbedTagsInHtml | Embed-Tags in HTML enthalten |
MarkAsSpamEmptyMessages | Nachrichten ohne Inhalt |
MarkAsSpamFormTagsInHtml | Formular in HTML enthalten |
MarkAsSpamFramesInHtml | Frame- oder IFrame-Tags in HTML |
MarkAsSpamFromAddressAuthFail | Wenn die Absender-ID-Prüfung einen Fehler (Hardfail) liefert |
MarkAsSpamJavaScriptInHtml | JavaScript oder VBScript in HTML enthalten |
MarkAsSpamNdrBackscatter | Nachricht wird als Unzustellbarkeitsbericht erkannt |
MarkAsSpamObjectTagsInHtml | Object-Tags in HTML enthalten |
MarkAsSpamSensitiveWordList | Überprüft die Nachricht auf bestimmte Wörter |
MarkAsSpamSpfRecordHardFail | Wenn die SPF-Prüfung einen Fehler (Hardfail) liefert |
MarkAsSpamWebBugsInHtml | Web-Bugs (externe Minigrafiken) in HTML enthalten |
Das Aktivieren einer Option erfolgt ebenfalls über Set-HostedContentFilterPolicy. Das folgende Beispiel schaltet die SPF-Prüfung ein. Generell können mehrere Parameter hintereinander eingegeben werden.
Set-HostedContentFilterPolicy -Identity Default -MarkAsSpamSpfRecordHardFail On
Weiterführende Beschreibungen, wie der Spam-Filter angepasst werden kann, gibt es hier auf Microsoft Docs.
Quarantäneeinstellungen
Damit User über Spam unter Quarantäne per Mail informiert werden, muss man die Benachrichtigung einschalten. Zusätzlich lässt sich das Intervall in Tagen und die Sprache der E-Mail angeben:
Set-HostedContentFilterPolicy -Identity Default -EnableEndUserSpamNotifications $true `
-EndUserSpamNotificationLanguage German -EndUserSpamNotificationFrequency 5
Ausgehende Spam-Nachrichten (Outbound Spam)
Um zu verhindern, dass über das System Spam versendet wird und man auf Blacklists landet, werden ausgehende Nachrichten auf Spam geprüft. Bestätigt sich der Verdacht, dann wird der betreffende User blockiert. Wie folgender Befehl zeigt, ist in der Standardeinstellung eine Benachrichtigung über solche Vorkommnisse nicht aktiviert:
Get-HostedOutboundSpamFilterPolicy
Eine ausführliche Ausgabe mit den Benachrichtigungsadressen liefert folgender Befehl:
Get-HostedOutboundSpamFilterPolicy |
fl Name, NotifyOutboundSpam, NotifyOutboundSpamRecipients, BccSuspiciousOutboundMail, BccSuspiciousOutboundAdditionalRecipients
Möchte man die Benachrichtigung einrichten, dann erledigt Set-HostedOutboundSpamFilterPolicy diese Aufgabe:
Set-HostedOutboundSpamFilterPolicy -Identity Default -BccSuspiciousOutboundMail $true `
-BccSuspiciousOutboundAdditionalRecipients suspicious-sender@buerkit.de `
-NotifyOutboundSpam $true -NotifyOutboundSpamRecipients outboundspam-alert@buerkit.de
Ein Überprüfen bestätigt die erfolgreiche Ausführung des Befehls:
Die Funktionsweise der Prüfung ausgehender Nachrichten über Office 365 erläutert Microsoft in diesem Artikel.
Weitere Benachrichtigungen bei unterschiedlichen Aktionen können im Security und Complicane Center unter den Benachrichtigungsrichtlinien konfiguriert werden.
Schadsoftware-Filter (Malware Filter)
Der dafür zuständige Standardfilter kann über Get-MalwareFilterPolicy ausgelesen werden.
Leider ist die Voreinstellung so, dass der Filter Nachrichten mit Schadsoftware isoliert, aber keine Benachrichtigung generiert. Somit bleiben Sender und Empfänger einer fälschlicherweise abgefangenen Mail im Unklaren darüber, dass die Nachricht gelöscht wurde.
Lediglich der Administrator kann die Nachricht aus der Quarantäne über das Security und Compliance Center freigeben. Das Exchange Admin Center zeigt in der Quarantäne die vom Malware-Filter gelöschten Nachrichten jedoch nicht an. Weiterführende Informationen über die Quarantäne gibt es hier.
Benachrichtigungen für gelöschte Nachrichten und Anhänge
Wenn man über eine abgefangene Mail benachrichtigt werden möchte, dann bietet EOP dafür mehrere Möglichkeiten. Es unterscheidet zwischen internen und externen Absendern von Mails mit Schadsoftware. Zusätzlich kann ein Administrator ebenfalls informiert werden.
Um den Absender einer Nachricht, welche gelöscht wurde, zu benachrichtigen, müssen folgende Einstellungen getroffen werden:
Set-MalwareFilterPolicy -Identity "Default" `
-Action DeleteAttachmentAndUseDefaultAlertText
-EnableInternalSenderNotifications $true -EnableExternalSenderNotifications $true
Um einen Administrator zu benachrichtigen, verwendet man folgenden Befehl:
Set-MalwareFilterPolicy -Identity "Default" -EnableInternalSenderAdminNotifications $true `
-EnableExternalSenderAdminNotifications $true `
-InternalSenderAdminAddress mailadmin@buerkit.de `
-ExternalSenderAdminAddress mailadmin@buerkit.de
Der Administrator und der Absender bekommen dann eine Benachrichtigung über die Unzustellbarkeit einer Nachricht.
Anlagen mit dem Schadsoftware-Filter blockieren
Wenn generell Anhänge mit ausführbaren Dateien geblockt werden sollen, dann ist der Malware-Filter auch dazu in der Lage. Folgender Befehl sorgt dafür, dass Dateien mit den betreffenden Extensionen entfernt werden:
Set-MalwareFilterPolicy -Identity "Default" -EnableFileFilter $true
Weitere Informationen zur Schadsoftware-Filterung finden sich auf Microsoft Docs.
Prüfen der Schutzfunktionen
Anti-Spam-Systeme unterschiedlicher Hersteller lassen sich mit einer speziellen Nachricht auf ihre Funktion testen. Sie muss folgenden Inhalt haben, um deren Betrieb, Aktionen und Benachrichtigungen zu überprüfen:
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Für den Test des Malware-Filters sieht die entsprechende Nachricht so aus:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Fazit
Insgesamt umfasst Office 365 in der Grundausstattung bereits eine adäquate Abwehr von Spam und Viren. Zusätzlich empfiehlt sich ein Schutz gegen Phishing-Angriffe, Exploits und Zero-Day Attacken, wie ihn die Advanced Threat Protection bietet (siehe dazu meinen Beitrag Malware und Phishing-Angriffe in Office 365 abwehren mit Advanced Threat Protection).
Täglich Know-how für IT-Pros mit unserem Newsletter
Benjamin Bürk ist Senior Systems Engineer und betreut seit 2002 IT-Infrastrukturen von Unternehmen. Sein Schwerpunkt liegt im Aufbau und Betrieb von Server-Systemen und Microsoft 365-Umgebungen. Er ist ITIL4 Foundation, dreifach als MCSA sowie als MCSE Productivity zertifiziert..
// E-Mail, LinkedIn, Podcast //
Ähnliche Beiträge
- Spam-Filter für Outlook steuern mit PowerShell und Gruppenrichtlinien
- Spam- und Virenschutz in Office 365 konfigurieren
- Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden
- Patch für kritische Outlook-Schwachstelle, Security-Updates für Exchange
- Microsoft ändert Empfehlung für Virenscanner-Ausschlüsse auf Exchange Server
Weitere Links