Es ist ziemlich kompliziert, E-Mail-Angriffe abzusichern, doch die Cybersicherheitsbranche und die E-Mail-Dienstleister bemühen sich ständig, die Situation zu verbessern. Die Microsoft-Quarantäne ist schlimmer als die Kennzeichnung als Spam, denn der Empfänger hat keine Ahnung, dass Ihre E-Mail versucht hat, ihn zu erreichen.
Wenn Sie eine E-Mail senden, möchten Sie, dass sie an den gewünschten Empfänger zugestellt wird, der sie öffnen und gegebenenfalls antworten soll. All dies würde jedoch nicht geschehen, wenn Ihre E-Mail in Quarantäne gestellt wird.
Die Quarantäne-Richtlinie von Microsoft wurde eingeführt, um die Verbreitung von Malware einzudämmen. Die Richtlinie legt fest, was die Benutzer mit den unter Quarantäne gestellten Nachrichten tun oder nicht tun dürfen, je nachdem, warum die E-Mail überhaupt unter Quarantäne gestellt wurde. Admins können die Einschränkungen für Benutzer anpassen und auch Benachrichtigungen aktivieren.
Wie greife ich auf die Microsoft Quarantäne zu?
Ob Sie auf Microsoft-Quarantänemeldungen zugreifen können, hängt von der angewandten Quarantänerichtlinie ab. Hier erfahren Sie, wie Sie darauf zugreifen können.
- Gehen Sie zum Microsoft 365 Defender-Portal unter https://security.microsoft.com/ und wählen Sie E-Mail & Collaboration > Überprüfung > Quarantäne. Sie können auch direkt auf die Quarantäne-Seite gehen, indem Sie auf https://security.microsoft.com/quarantine.
- Dann müssen Sie die Ergebnisse auflösen, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Sie können auf "Spalten anpassen" klicken, um die folgenden Spalten zu ändern.
- Empfangene Zeit
- Thema
- Sender
- Grund der Quarantäne
- Freigabestatus
- Art der Politik
- Abgelaufen
- Empfänger
- Nachrichten-ID
- Politik Name
- Nachricht Größe
- Richtung der Post
Klicken Sie auf Übernehmen, wenn der Vorgang abgeschlossen ist.
Bedeutet "unter Quarantäne gestellt" "gelöscht"?
Nein, "Quarantäne" bedeutet nicht "gelöscht". Es bedeutet, dass die Nachricht als Spam oder potenziell bösartig eingestuft wird. Daher wird die verdächtige E-Mail in einer sicheren Umgebung gespeichert, wo Sie sie ohne Risiko öffnen können.
Die Quarantäne-Benachrichtigung von Microsoft wird alle drei Tage angezeigt. Nach 30 Tagen (oder weniger, wenn Sie die Einstellungen geändert haben) wird sie endgültig aus dem Postfach gelöscht.
Was führt dazu, dass eine E-Mail unter Quarantäne gestellt wird?
Um Benutzer daran zu hindern, ihre eigenen unter Quarantäne gestellten Phishing-E-Mails zu bearbeiten, können Administratoren eine Quarantänerichtlinie zuweisen. Die Richtlinie kann den Zugriff auf alle unter Quarantäne gestellten Nachrichten verweigern. Die Quarantäne von Microsoft erfolgt in der Regel aus den folgenden Gründen:
| Grund der Quarantäne | Standard-Aufbewahrungsfrist | Anpassbar oder nicht? | Kommentare |
| Nachrichten, die durch Anti-Spam-Richtlinien unter Quarantäne gestellt wurden: Spam, High Confidence Spam, Phishing, High Confidence Phishing oder Bulk. | 15 Tage gemäß der standardmäßigen Microsoft-Quarantäne-Anti-Spam-Richtlinie. Dies steht in der von Ihnen in PowerShell erstellten Anti-Spam-Richtlinie.
Es kann auch für 30 Tage in Anti-Spam-Richtlinien, die Sie im Microsoft Defender-Portal erstellt haben, zurückgehalten werden. |
Ja | Sie können den Wert in Anti-Spam-Richtlinien herabsetzen. |
| Nachrichten, die von Anti-Phishing-Richtlinien unter Quarantäne gestellt werden: Spoof-Intelligenz in EOP; Benutzer-Impersonation, Domänen-Impersonation oder Mailbox-Intelligenz in Defender für Office 365. | 30 Tage | Ja | Diese Aufbewahrungsfrist wird durch die Einstellung für die Quarantäne-Aufbewahrungsfrist in der Anti-Spam-Richtlinie gesteuert.
Hier ist der Wert für die Aufbewahrungsfrist derselbe wie in der ersten passenden Anti-Spam-Richtlinie, in der der Empfänger definiert ist. |
| Durch Anti-Malware-Richtlinien unter Quarantäne gestellte Nachrichten (Malware-Nachrichten). | 30 Tage | Nein | Wenn Sie in Anti-Malware-Richtlinien die Filterung von allgemeinen Anhängen aktivieren, werden die Anhänge in der E-Mail als schädlich eingestuft. Dies geschieht nur auf der Grundlage der Dateierweiterung. Es gibt eine vordefinierte Liste häufig ausgeführter Dateitypen, aber Sie können diese Liste ändern. |
| Nachrichten, die von Richtlinien für sichere Anhänge in Defender für Office 365 unter Quarantäne gestellt werden (Malware-Nachrichten) | 30 Tage | Nein | |
| Nachrichten, die durch Mailflow-Regeln unter Quarantäne gestellt werden: Übergeben Sie die Nachricht an die gehostete Quarantäne (Quarantine). | 30 Tage | Nein | |
| Dateien, die von Safe Attachments für SharePoint, OneDrive und Microsoft Teams unter Quarantäne gestellt wurden (Malware-Dateien). | 30 Tage | Nein | In diesem Fall werden die Dateien nach 30 Tagen aus SharePoint oder OneDrive entfernt. Die gesperrten Dateien bleiben jedoch in SharePoint oder OneDrive im gesperrten Zustand. |
Wie sollte ich Microsoft Quarantänedateien behandeln?
Wählen Sie Microsoft-Dateien in Quarantäne aus der Liste aus und führen Sie eine der folgenden möglichen Aktionen aus, die im Detail-Flyout verfügbar sind.
1. E-Mail freigeben
Setzen Sie zunächst die folgenden Optionen zurück.
- Absender zur Zulassungsliste Ihrer Organisation hinzufügen: Diese Option verhindert, dass E-Mails von Microsoft unter Quarantäne gestellt werden.
- Wählen Sie eine der beiden Optionen:
- Freigabe an alle Empfänger
- Freigabe an bestimmte Empfänger: Wählen Sie die Empfänger, die Sie hinzufügen möchten, in der Empfängerbox aus.
- Teilen Sie eine Kopie der E-Mail mit anderen Empfängern: Wählen Sie diese Option und fügen Sie die Empfänger hinzu.
- Übermitteln Sie die Nachricht an Microsoft, um die Erkennung zu verbessern (False Positive): Dies ist eine Standardoption, die Nachrichten meldet, die fälschlicherweise unter Quarantäne gestellt wurden. Diese Nachrichten werden als Fehlalarme gekennzeichnet. E-Mails, die als Spam, Massenmails, Phishing oder Malware angesehen werden, werden ebenfalls an das Microsoft Spam Analysis Team gemeldet.
- Nachrichten wie diese zulassen: Diese Option ist standardmäßig deaktiviert, aber Sie können sie aktivieren, um vorübergehend zu verhindern, dass Nachrichten mit ähnlichen URLs, Anhängen und anderen Merkmalen fälschlicherweise von Microsoft unter Quarantäne gestellt werden. Sie werden auf zwei Optionen stoßen:
- Entfernen nach: Wählen Sie aus, wie viele Tage lang Sie solche Nachrichten zulassen möchten. Der Standardwert ist auf 30 Tage eingestellt.
- Optionale Anmerkung: Fügen Sie eine relevante Beschreibung für das Zertifikat hinzu.
Klicken Sie auf die Freigabemeldung, sobald Sie die Konfiguration abgeschlossen haben.
2. E-Mail teilen
Geben Sie einen oder mehrere Empfänger in das Flyout ein. Dies sind die Empfänger, die eine Kopie der Nachricht erhalten werden. Klicken Sie auf Freigeben, sobald Sie die E-Mail-Adressen der Empfänger eingegeben haben.
3. Mehr Aktionen
- Nachrichtenkopfzeilen anzeigen: Klicken Sie auf diese Option, wenn Sie den Text der E-Mail-Kopfzeile sehen möchten. Darunter befinden sich die folgenden Optionen.
1. Nachrichtenkopfzeile kopieren
2. Microsoft Message Header Analyzer: Um die Header-Felder und -Werte zu analysieren, klicken Sie auf den Link, fügen Sie den Message Header ein und klicken Sie auf Analyze headers (Header analysieren). - Vorschau der Nachrichten: Wählen Sie eine der folgenden Registerkarten:
1. Quelle: Sie sehen die HTML-Version, in der alle Links deaktiviert sind.
2. Klartext: Sie sehen den Nachrichtentext im Klartext. - Aus Quarantäne löschen: Wenn Sie auf Ja klicken, wird die Nachricht endgültig gelöscht, ohne an den ursprünglichen Empfänger gesendet zu werden.
- E-Mail herunterladen: Konfigurieren Sie darunter Folgendes:
1. Grund für das Herunterladen der Datei
2. Passwort erstellen - Absender blockieren: Fügen Sie den Absender zur Liste der blockierten Absender in Ihrer Mailbox hinzu.
- Nur senden: Meldet die Nachricht an Microsoft zur Analyse. Darunter sehen Sie einige Optionen.
DMARC Quarantäne vs. Ablehnung - erklärt
Wenn Ihre DMARC-Richtlinie seit langem auf p=none eingestellt ist, ist es an der Zeit, sie entweder auf p=reject oder p=quarantine umzustellen. Diese strengeren Richtlinien verhindern die böswilligen Phishing- und Betrugsversuche, die von Bedrohungsakteuren geplant sind. Bevor Sie jedoch eine der DMARC-Richtlinien implementieren, müssen Sie deren Unterschiede verstehen.
DMARC-Quarantäne
Wenn Sie die DMARC-Quarantäne Richtlinie festlegen, teilen Sie dem Empfängerserver mit, wie er die von Ihrer Domäne gesendeten nicht authentifizierten E-Mails behandeln soll. Sie können wählen, ob sie unter Quarantäne gestellt, an Spam zugestellt oder einer aggressiven Spam-Filterung unterzogen werden sollen.
Es ist ratsam, dies als Testoption zu verwenden, da Ihr Unternehmen damit beginnen kann, seine DMARC Stärke langsam und weniger aggressiv einsetzen. Bis Sie also sicher sind, dass keine richtigen E-Mails fälschlicherweise in Quarantäne gestellt werden, setzen Sie Ihre DMARC-Richtlinie auf p=quarantine.
DMARC-Abweisungsrichtlinie
Mit der p=reject-Richtlinie können Sie alle bösartigen Aktivitäten vollständig verhindern. Außerdem werden die vorgesehenen Empfänger überhaupt nicht über die E-Mail benachrichtigt, und es besteht keine Chance, dass sie ausgetrickst werden, wenn sie nicht in ihrem Postfach gelandet ist.
Aber es hat auch einen Nachteil, denn einige legitime E-Mails können auch fälschlicherweise abgelehnt werden. Wenn Sie nicht überwachen DMARC-Berichte nicht regelmäßig überwachen, kann es Monate dauern, bis man feststellt, dass rechtmäßige E-Mails nicht zugestellt werden. Dies kann die Produktivität, die Kommunikation mit Kunden, potenziellen Kunden und Partnern, das Umsatzwachstum, die Marketingbemühungen usw. beeinträchtigen.
