Mailfilter

Generelle Informationen

Microsoft Defender - Exchange Online Protection (EOP) - Startseite
Microsoft Defender - Überprüfen - Quarantäneliste zum prüfen
Übersicht über Exchange Online Protection (EOP) - Erklärungen und Hilfe von Microsoft

Wissenswertes zu "Exchange Online Protection"

Der Cloud-basierte E-Mail-Filter von Microsoft ist recht aggressiv, daher sollten sie ihren Junk-Ordner und Ihre Quarantäne-Seite regelmässig auf falsch klassifizierte Nachrichten überprüfen.

Quarantäne Mails enthalten einen direkten Link auf die Quarantäne Webseite.
Persönliche Listen für Sichere- und Blockierte-Absender werden in Outlook oder Outlook im Web verwaltet (Junk-Mail Einstellungen).
Allow-List Einträge gelten für E-Mails, die als "Spam / Junk" eingestuft wurden, aber nicht für E-Mails, die als als "Spoof" oder "Phishing" unter Quarantäne gestellt wurden.
Es werden nicht nur ein- sondern auch aus-gehende E-Mails gefiltert. Selbst der interne Mailverkehr wird einigen grundlegenden Prüfungen unterzogen.
In Quarantäne gestellte Nachrichten bleiben 30 Tage lang in der Quarantäne, danach werden sie gelöscht.
Die Überprüfung von URLs in E-Mail-Nachrichten schützt vor bösartigen Links, die bei Phishing und anderen Angriffen verwendet werden. (Sichere Links / time-of-click protection)
Sichere Links / time-of-click protection ist ist nur für Microsoft Mail-Clients verfügbar die mit Cloud-basierten Postfächern verbunden sind.

Mails als Spam/Junk- oder Phishing oder eben kein Junk (False Positiv) an Microsoft melden

Durch ihre Meldungen lernt die KI, wie sie Mails klassifizieren soll.

Outlook-App Nachricht Melden

Eigenschaften der Quarantäne-Report-Nachrichten von EOP

Absender-Adresse: quarantine@messaging.microsoft.com

Betreff: Microsoft 365-Sicherheit: Sie haben Nachrichten in Quarantäne

Inhalt-Beispiel:

Hinweis zum Punkt >Freigabe anfordern<

Die Anforderungen für zurückgehaltene E-Mails werden höchstens einmal täglich an Arbeitstagen von einem Sicherheits-Administrator der ETH Zürich manuell kontrolliert und nach ermessen freigegeben.

Mails von shared Mailboxen die in Quarantäne sind überprüfen

Öffnen sie https://security.microsoft.com/quarantine und melden sie sich mit ihrem berechtigten ETH-Username an.
Klicken sie auf das Filter-Symbol, rechts neben dem Suchfeld.
Tragen sie bei Empfängeradresse die E-Mail der shared Mailbox ein und klicken sie auf übernehmen.
Nun erscheinen die Mails in der Liste und können überprüft werden.
Existieren weitere Alias-Mailadressen, müssen diese einzeln erneut eingetragen werden.

Nicht erlaubte Anhänge - Liste der ETH Zürich

Blockierte Anlagen in Outlook - Von Microsoft
Unerlaubte Anhänge werden vom Filter abgelehnt, daher müssen solche über ein Filesharing-Dienst verbreitet werden.
Zum Beispiel https://polybox.ethz.ch oder https://www.switch.ch/de/filesender

Folgende Anhängetype werden nicht akzeptiert.

Die Einschränkung gilt sowohl für eingehende, ausgehende und auch interne E-Mails.

File extension	Regel	Kommentar
ace	Default	Compressed archive
ani	Default	Animated mouse cursors
apk	Default	Android package
app	Default	Application
appx	Default	Windows application
arj	Default	Compressed files
bat	Default	Batch file
cab	Default	Cabinet (archive)
ceo	ETH
chm	ETH	MS compiled HTML file
cmd	Default	Batch file
cnf	ETH	Configuration file
com	Default	Executable
cpl	ETH	Control panel file
deb	Default	Debian package
dex	Default	Dalvik EXecutable
dll	Default	Windows library
docm	Default	Word macro file
elf	Default	Executable and linkable file
exe	Default	Executable
hta	Default	HTML Application
img	Default	Disk image
inetloc	ETH	Apple Finder internet location format
ins	ETH	Windows dialup configuration
iso	Default	Disk image
jar	Default	Java executable
jnlp	Default	Java network launching protocol
job	ETH	Windows task scheduler instructions
jse	ETH	Visual studio
kext	Default	Kernel extension
lha	Default	Compressed archive
lib	Default	Library
library	Default	Library
lnk	Default	Link files
lzh	Default	Compressed archive
macho	Default	Mach-O object file
mad	ETH	Microsoft access
maf	ETH	Microsoft access
mag	ETH	Microsoft access
mam	ETH	Microsoft access macro
maq	ETH	Microsoft access
mar	ETH	Microsoft access
mas	ETH	Microsoft access
mav	ETH	Microsoft access
maw	ETH	Microsoft access
msc	Default	Microsoft management console
msi	Default	Microsoft software installer
msix	Default	Windows application package
msp	Default	Windows installer patch file
mst	Default	Windows installer setup transform
pif	Default	Program information files
ppa	Default	PowerPoint
ppam	Default	PowerPoint add-on
reg	Default	Windows registry file
rev	Default	Recovery volume
scf	Default	Windows shell command file
scr	Default	Windows screen saver file
sct	Default	Scriplet
shb	ETH	Windows shortcut
shs	ETH	Shell scrap object
svg	ETH	XML Scalable Vector Graphics
sys	Default	Windows system file
uif	Default	Compressed disc image
vb	Default	Visual basic
vbe	Default	VBScript
vbs	Default	Visual basic script
vxd	Default	Application helper
wsc	Default	Windows script component
wsf	Default	Windows script
wsh	Default	Windows script host control
xll	Default	Excel add-in
xlsb	ETH	Excel binary workbook
xnk	ETH	Microsoft Exchange shortcut
xz	Default	Compressed archive
z	Default	Compressed archive

Automatische Bereinigung (Zero-Hour Auto Purge, ZAP)

ZAP (Zero-Hour Auto Purge) ist ein Schutzfeature in Exchange Online Protection (EOP), das schädliche Phishing-, Spam- oder Schadsoftwarenachrichten, die bereits an Exchange Online Postfächer übermittelt wurden, rückwirkend erkennt und neutralisiert.

ZAP sucht und führt automatisierte Aktionen für Nachrichten aus, die sich bereits im Postfach eines Benutzers befinden. Die Suche von ZAP ist auf die letzten 48 Stunden der zugestellten E-Mails beschränkt. Benutzer werden nicht benachrichtigt, wenn ZAP eine Nachricht erkennt und löscht.

Detailierte Informationen zu ZAP hier auf der Microsoftseite.