Spam Confidence Level (SCL) -1 Umgehung: Was das bedeutet und wie man damit umgeht

Wenn eine raffinierte Phishing-Mail im Posteingang Ihres CEO landet, liegt das oft daran, dass sie mit einem SCL-1-Tag versehen war. Dieses Tag ist das digitale Äquivalent zu einem VIP-Pass, der den Absender an allen Sicherheitskontrollen vorbeiführt. In Microsoft 365 ist ein SCL von -1 kein Sicherheitsmerkmal, sondern eine vollständige Umgehung des Spamfilters. Obwohl sie für vertrauenswürdigen Datenverkehr gedacht sind, können falsch konfigurierte Zulassungsregeln oder Konnektoren unbeabsichtigt Angreifern den roten Teppich ausrollen und bösartige Inhalte direkt an Ihre sensibelsten Benutzer liefern.

Was ist der Spam Confidence Level (SCL)?

Der Spam-Vertrauensgrad ist ein Wert, der einer Nachricht nach der Verarbeitung durch die Filterstufen von Microsoft (Exchange Online Protection oder Microsoft Defender für Office 365) zugewiesen wird und angibt, wie wahrscheinlich es ist, dass es sich bei der Nachricht um Spam handelt.

Wie SCL-Werte verwendet werden

Der Dienst verwendet verschiedene Signale wie Absender-Reputation, Inhaltsanalyse und Authentifizierungsstatus, um eine E-Mail zu bewerten. Die Bewertung bestimmt dann anhand der Anti-Spam-Richtlinien Ihres Unternehmens, was mit dieser Nachricht geschieht.

Typische SCL-Wertebereiche

Was bedeutet SCL -1?

SCL -1 als Bypass-Anzeige

Ein SCL von -1 ist einzigartig, da es sich nicht um eine auf Inhaltsanalyse basierende „Bewertung“ handelt. Stattdessen handelt es sich um einen richtliniengesteuerten Status. Er gibt an, dass die Nachricht von der Spam-Filterung ausgenommen wurde, bevor der Inhaltsscanner sie überhaupt bewerten konnte.

Ist SCL-1 gut oder schlecht?

• Das Gute: Es stellt sicher, dass wichtige interne Mitteilungen oder als sicher bekannte automatisierte Benachrichtigungen (wie Serverbenachrichtigungen) niemals versehentlich gelöscht werden.
• Das Schlechte: Es entsteht eine massive Sicherheitslücke. Wenn es einem Angreifer gelingt, durch Spoofing oder Ausnutzen einer falsch konfigurierten „Zulassen“-Liste einen SCL-1-Bypass auszulösen, landet seine schädliche Nutzlast ohne jegliche Überprüfung direkt im Posteingang des Benutzers.

Warum dies jetzt wichtig ist: Moderne Angreifer nutzen zunehmend KI-generiertes Phishing und authentifizierten Spam von kompromittierten Partnerdomänen, um „legitim“ zu wirken. Wenn diese ausgeklügelten Köder einen SCL-1-Bypass erreichen, umgehen sie die Verhaltensanalyse, die erforderlich ist, um Business Email Compromise (BEC) zu stoppen. Bis ein Mensch erkennt, dass die E-Mail gefälscht ist, hat der „vertrauenswürdige“ Bypass bereits den Weg für einen Angriff frei gemacht.

Mit einem kostenlosen Domain-Gesundheitscheck können Sie überprüfen, ob Ihre Domain derzeit diese Schwachstellen aufweist.

Warum E-Mails einen SCL-1-Bypass erhalten

Mehrere administrative Konfigurationen lösen einen SCL-1-Wert aus:

Vertrauenswürdige oder auf die Whitelist gesetzte Absender

• Liste sicherer Absender: Wenn ein einzelner Benutzer eine Adresse zu seiner Liste „Sichere Absender“ in Outlook hinzufügt, kann dies einen SCL -1 auslösen.
• Transportregeln (Mailflussregeln): Die häufigste Ursache. Ein Administrator erstellt eine Regel mit dem Inhalt: „Wenn der Absender X ist, setze den SCL auf -1.“

Authentifizierung und richtlinienbasierte Umgehungen

• Authentifizierte interne E-Mails: E-Mails, die von einem internen Postfach an ein anderes innerhalb desselben Mandanten gesendet werden, werden automatisch als vertrauenswürdig eingestuft und mit SCL -1 bewertet.
• DMARC/SPF/DKIM: Auch wenn das Bestehen dieser Prüfungen nicht automatisch einen SCL-1-Wert garantiert, konfigurieren viele Administratoren die Regeln fälschlicherweise so, dass die Filterung für alle Domänen umgangen wird, die DMARC einfach bestehen. Um Konfigurationsfehler zu vermeiden, verwenden Sie einen automatisierten SPF-Record-Generator und DKIM-Generator, um sicherzustellen, dass Ihre Einträge gültig sind.

Szenarien mit Drittanbietern und Konnektoren

• Partner-Konnektoren: Wenn Sie einen sicheren Konnektor mit einer Partnerorganisation eingerichtet haben, können E-Mails, die über diesen Weg versendet werden, die Filterung umgehen.
• E-Mail-Gateways: Wenn Sie ein Sicherheitsgateway eines Drittanbieters verwenden, bevor E-Mails Microsoft 365 erreichen, haben Sie wahrscheinlich eine Regel, um die EOP-Filterung für die IP-Adresse dieses Gateways zu umgehen, um Probleme durch „doppelte Filterung” zu vermeiden.

Ist SCL-1 ein Sicherheitsrisiko?

SCL -1 kann ein Sicherheitsrisiko darstellen oder auch nicht.

Wenn SCL -1 zu erwarten ist

Es ist völlig normal, SCL -1 zu sehen für:

• Interne HR-Mitteilungen.
• Systemwarnungen von internen Servern (unter Verwendung von authentifiziertem SMTP).
• Nachrichten von verifizierten, hochsicheren Partner-Konnektoren.

Wenn SCL -1 gefährlich ist

Es wird zu einem Risiko, wenn externe E-Mails diese Bewertung haben. Angreifer verwenden häufig Display Name Spoofing oder Look-alike Domains. Wenn Ihre E-Mail-Flussregeln zu weit gefasst sind (z. B. wenn Sie eine gesamte Top-Level-Domain auf die Whitelist setzen), kann ein Angreifer Ihre Abwehrmaßnahmen mühelos umgehen.

• Warnung: Ein „Bypass“ bedeutet, dass die E-Mail die Spam-Filterung umgeht, aber je nach Ihren spezifischen Defender-Einstellungen möglicherweise dennoch von Zero-hour Auto Purge (ZAP) oder Anti-Malware-Engines gescannt wird. Sie sollten sich jedoch niemals auf diese als zweite Verteidigungslinie für umgangene E-Mails verlassen.

Wie DMARC und E-Mail-Authentifizierung die SCL beeinflussen

Starke Authentifizierungssignale wie SPF, DKIM und DMARC bilden die Grundlage für Vertrauen.

• DMARC-Abgleich: Wenn eine E-Mail „DMARC Pass“ ist, bedeutet dies, dass der Absender tatsächlich der ist, für den er sich ausgibt.
• Die Falle: Administratoren begehen häufig den Fehler, folgende Regel festzulegen: „Wenn DMARC = Pass, SCL = -1 setzen.“ Dies ist gefährlich, da ein Spammer eine legitime Domain besitzen, DMARC perfekt einrichten und „authentifizierte“ Spam-Mails versenden kann. Verhindern Sie, dass „authentifizierte“ Spam-Mails Ihren Ruf schädigen, indem Sie Ihre DMARC-Gesamtberichte in Echtzeit überwachen.

Hinweis: Es ist wichtig zu verstehen, dass DMARC und E-Mail-Authentifizierungsprotokolle Spam-Filter nicht ersetzen. DMARC verhindert Domain-Spoofing, kann jedoch nicht vor bösartigen Inhalten schützen.

Mit einer Lösung wie PowerDMARC können Sie eine „Ablehnen“-Richtlinie umsetzen, die sicherstellt, dass nur autorisierte Absender Ihre Domain verwenden können. PowerDMARC schützt Ihre Domain zwar vor Spoofing, dient jedoch lediglich als vorbeugende Maßnahme und ersetzt nicht die Spamfilterung von Microsoft für die Analyse eingehender Inhalte.

Wie man eine SCL-1-E-Mail untersucht

Überprüfen von Nachrichten-Headern

Um zu sehen, warum eine Nachricht umgangen wurde, müssen Sie die Nachrichten-Header anzeigen (mithilfe des Microsoft Message Header Analyzer). Suchen Sie nach:

• X-MS-Exchange-Organisation-SCL: -1
• X-Forefront-Antispam-Bericht: Suchen Sie nach den Tags SFV:SKN (Spam Filtering Verdict: Skip) oder SFV:SKI (Skip Internal).

Die gute Nachricht ist, dass Sie Ihre Header sofort analysieren können. Verwenden Sie den PowerDMARC E-Mail-Header-Analyzer, um SCL-Werte und Sicherheitsbewertungen in Sekundenschnelle zu entschlüsseln.

Überprüfen der E-Mail-Flussregeln

Gehen Sie zum Exchange Admin Center (EAC) > Mail Flow > Rules. Suchen Sie nach einer Regel mit der Aktion „Set the spam confidence level (SCL) to… Bypass Spam Filtering” (Spam-Vertrauensstufe (SCL) auf „Spam-Filterung umgehen” setzen).

Wie man den Missbrauch von SCL-1-Bypass verhindert

Ein SCL-1-Wert sollte eine seltene Ausnahme sein, nicht die Regel. Wenn Ihre Mail-Flow-Header häufig diese Umgehung für externe Absender anzeigen, ist Ihre „Haustür“ praktisch unverschlossen. Befolgen Sie diese bewährten Verfahren, um die Sicherheit zu erhöhen, ohne legitime E-Mails zu blockieren:

1. Vermeiden Sie allgemeine IP- und Domain-Whitelisting

Einer der häufigsten Fehler, den Administratoren begehen, ist das Whitelisting eines gesamten IP-Bereichs oder einer Top-Level-Domain, um ein einmaliges Zustellungsproblem zu lösen. Dies ist eine Goldgrube für Angreifer. Wenn ein Angreifer eine E-Mail von einer Plattform sendet, die Sie auf die Whitelist gesetzt haben (z. B. ein gemeinsamer ESP oder ein kompromittierter Partnerserver), lässt der SCL-1-Bypass seinen Phishing-Versuch direkt an den Filtern von Microsoft vorbeiziehen.

• Die Lösung: Verwenden Sie die Zulassungs-/Sperrliste für Mieter im Microsoft Defender-Portal für bestimmte Absender anstelle von allgemeinen Transportregeln.

2. „Erweiterte Filterung für Konnektoren“ aktivieren

Wenn Sie ein E-Mail-Sicherheitsgateway eines Drittanbieters verwenden, bevor die E-Mail Microsoft 365 erreicht, haben Sie wahrscheinlich eine Umgehungsregel, damit Microsoft die IP-Adresse des Gateways nicht blockiert. Dadurch wird jedoch häufig die tatsächliche IP-Adresse des ursprünglichen Absenders verborgen.

• Die Lösung: Aktivieren Sie die erweiterte Filterung für Konnektoren (auch als „Skip Listing“ bezeichnet). Dadurch kann Microsoft Ihre Gateway-Adresse „durchschauen“ und die ursprüngliche Quell-IP-Adresse erkennen, sodass die Reputationsprüfungen auch dann noch funktionieren, wenn technisch gesehen eine Umgehung vorliegt.

3. Implementieren Sie eine strenge DMARC-Richtlinie mit PowerDMARC

Angreifer fälschen häufig Ihre eigene interne Domain, um das System glauben zu machen, dass eine Nachricht „intern” ist, was automatisch einen SCL -1 auslöst. Ohne eine strenge DMARC-Richtlinie kann Microsoft möglicherweise nicht zwischen Ihrem CEO und einem Hacker unterscheiden.

• Die Lösung: Verwenden Sie PowerDMARC, um Ihre Domain auf eine p=reject-Richtlinie umzustellen. Dadurch wird sichergestellt, dass jede E-Mail, die angeblich von Ihrer Domain stammt und die Authentifizierung nicht besteht, sofort blockiert wird. Durch die Sicherung Ihrer eigenen Domain verhindern Sie „internen” Vertrauensmissbrauch, der zu gefährlichen SCL-1-Umgehungen führt.

4. Verwenden Sie Konfigurationen mit „geringstem Vertrauen“

Verwenden Sie anstelle einer vollständigen Umgehung detailliertere Kontrollen. Wenn die E-Mails eines bestimmten Partners als Spam eingestuft werden, setzen Sie deren SCL nicht einfach auf -1.

• Die Lösung: Erstellen Sie eine E-Mail-Flussregel, die den Absender als „sicher“ markiert, aber dennoch die Ausführung von Microsofts Zero-Hour Auto Purge (ZAP) und Malware-Scans zulässt. Alternativ können Sie den Schwellenwert für Massen-E-Mails (BCL) speziell für diesen Absender anpassen, damit seine E-Mails nicht als Spam markiert werden, ihr Inhalt aber dennoch auf Bedrohungen überprüft wird.

Resümee

Wenn Sie ein SCL-1 in Ihren Kopfzeilen sehen, ist das so, als würden Sie jemandem einen „VIP-Backstage-Pass“ für Ihren Posteingang geben. Das ist zwar ideal, um sicherzustellen, dass die internen Memos Ihres CEO nicht im Junk-Ordner landen, aber es ist eine massive Sicherheitslücke, wenn es durch externe E-Mails ausgelöst wird.

Wenn Sie weit gefasste „Zulassen“-Regeln oder veraltete Whitelists haben, sagen Sie Microsoft 365 im Grunde genommen, dass es die Augen verschließen und auf das Beste hoffen soll. Angreifer lieben es, solche Umgehungsmöglichkeiten zu finden, denn das bedeutet, dass ihre Phishing-Links einen Freifahrtschein direkt in die Augen Ihrer Benutzer erhalten.

Der beste Weg, um zu verhindern, dass Hacker Ihre Domain fälschen, um diese „vertrauenswürdigen“ Umgehungen auszulösen, ist eine lückenlose DMARC-Richtlinie.

PowerDMARC hilft Ihnen dabei, sich von riskanten „Zulassen“-Listen zu verabschieden und zu einer „Ablehnen“-Richtlinie überzugehen, die tatsächlich funktioniert. Durch die Automatisierung Ihrer DMARC-, SPF- und DKIM-Verwaltung stellen Sie sicher, dass nur das echte „Sie“ die VIP-Behandlung erhält, während Imitatoren bereits am Eingang gestoppt werden, bevor sie überhaupt den SCL-Scanner erreichen.

Sind Sie bereit, nicht mehr zu raten, wer Ihre E-Mails empfängt? Starten Sie noch heute Ihre kostenlose PowerDMARC-Testversion und verwandeln Sie Ihre E-Mail-Authentifizierung von einem „Vielleicht” in ein „Sicher”.

Häufig gestellte Fragen

Bedeutet SCL -1, dass die E-Mail sicher ist?

Nein. Das bedeutet lediglich, dass der Spamfilter umgangen wurde. Die E-Mail könnte dennoch Phishing-Links oder schädliche Anhänge enthalten.

Können Angreifer SCL-1-Umgehungen ausnutzen?

Ja, insbesondere wenn Sie weit gefasste „Zulassen“-Regeln basierend auf Domänennamen oder schlecht konfigurierten Konnektoren haben.

Wie entferne ich SCL -1 für einen Absender?

Suchen Sie die E-Mail-Flussregel oder den Eintrag in der „Tenant Allow/Block List“ (Liste der zugelassenen/gesperrten Mandanten) im Security & Compliance Center und löschen oder ändern Sie ihn.

Sollten externe E-Mails jemals SCL -1 haben?

Selten. Nur in bestimmten Fällen, beispielsweise bei einem vertrauenswürdigen externen Sicherheitsprüfer oder einem eng integrierten SaaS-Partner.

• Über
• Neueste Beiträge

Yunes Tarada

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• DMARCbis erklärt – Was ändert sich und wie bereitet man sich vor - 16. April 2026
• Das SOA-Seriennummernformat ist ungültig: Ursachen und Lösungen – 13. April 2026
• So versenden Sie sichere E-Mails in Gmail: Eine Schritt-für-Schritt-Anleitung – 7. April 2026