Wissenswertes zur Spoofintelligenz

Kunden, die über Office 365 Enterprise E5 verfügen oder Advanced Threat Protection-Lizenzen erworben haben, können auf Spoofintelligenz im Office 365 Security & Compliance Center zugreifen.

Verwenden Sie Spoofintelligenz im Security & Compliance Center auf derSeite für Antispameinstellungen, um alle Absender zu überprüfen, die Ihre Domäne spoofen. Sie können Absender überprüfen, die Ihre Domäne spoofen, und dann dem Absender gestatten fortzufahren oder den Absender blockieren.

Welche Arten von E-Mail-Spoofing kann ich überprüfen und vor welchen sollte ich mich mit Spoofintelligenz schützen?

Wenn ein Absender eine E-Mail-Adresse spooft, scheint es so, als würde er E-Mails im Auftrag eines oder mehrerer Benutzerkonten innerhalb einer der Domänen Ihrer Organisation senden. Es gibt jedoch auch einige berechtigte geschäftliche Gründe für Spoofing. In folgenden Fällen würden Sie ein Spoofing Ihrer Domäne durch den Absender beispielsweise nicht blockieren:

  • Es gibt Absender einer dritten Partei, die Ihre Domäne zum Senden von Massensendungen an Mitarbeiter Ihres Unternehmens zu Umfragezwecken verwenden.

  • Sie haben ein externes Unternehmen beauftragt, Werbung oder Produktupdates in Ihrem Auftrag zu generieren und zu versenden.

  • Ein Assistent, der regelmäßig E-Mails für eine andere Person in Ihrer Organisation senden muss.

  • Eine Anwendung, die für das Spoofing der eigenen Organisation konfiguriert ist, um interne Benachrichtigungen per E-Mail zu senden.

Sie müssen außerdem sicherstellen können, dass die von berechtigten Spoofern gesendeten E-Mails nicht durch Spamfilter in Office 365 oder von externen E-Mail-Systemen abgefangen werden. Normalerweise behandelt Office 365 diese E-Mail-Nachrichten als Spam. Als Office 365-Administrator können Sie dies verhindern, indem Sie Spooffilter im Security & Compliance Center einrichten sowie SPF, DKIM und DMARC für das Zulassen dieser Absender konfigurieren.

Andererseits müssen böswillige Spoofer, d. h. Absender, die Ihre Domäne zum Senden von Spam oder Phishing-E-Mails spoofen, blockiert werden. Spoofing ist auch eine gängige Methode für Phisher, um Benutzeranmeldeinformationen zu erhalten. Office 365 verfügt über integrierten Spoofschutz, um Ihre Organisation vor Absendern solcher schädlichen E-Mails zu schützen. Der Spoofschutz ist immer für alle Office 365-Kunden aktiviert. Um diesen Schutz weiter zu verstärken, teilen Sie uns mit, welche Absender zum Spoofen der Domänen Ihrer Organisation und Senden von E-Mails in Ihrem Auftrag berechtigt sind. Jede E-Mail, die von einem nicht von Ihnen autorisierten Absender stammt, wird von Office 365 als Spam behandelt. Achten Sie auf Absender, die Ihre Domäne spoofen, und helfen Sie uns, Spoofintelligenz mithilfe des Security & Compliance Center zu verbessern.

Verwalten von Spoofintelligenz im Security & Compliance Center

Die von Ihnen eingerichtete Spoofintelligenzrichtlinie wird von Office 365 immer erzwungen. Sie kann zwar nicht deaktiviert werden, doch können Sie auswählen, in welchem Umfang Sie diese aktiv verwalten möchten.

Mithilfe des Security & Compliance Center können Sie die Absender überprüfen, die Ihre Domäne spoofen, und dann entscheiden, ob dies dem jeweiligen Absender gestattet werden soll. Zu jedem gespooften Benutzerkonto, das ein Absender von Ihrer Domäne spooft, können Sie die in der folgenden Tabelle angegebenen Informationen anzeigen.

Parameter

Beschreibung

Absender

Auch als wahrer Absender bezeichnet. Dies ist normalerweise die Domäne, aus der die Spoof-E-Mail stammt. Office 365 bestimmt die Domäne des PTR (Pointer) DNS-Eintrags der sendenden IP-Adresse, die Ihre Organisation spooft. Wird keine Domäne gefunden, gibt der Bericht stattdessen die IP-Adresse des Absenders an.

Gespoofter Benutzer

Das Benutzerkonto, das vom Absender gespooft wird.

Nur Registerkarte Standard. Wenn der Absender mehrere Benutzerkonten spooft, enthält dieses Feld die Angabe Mehr als einer.

Nur Registerkarte Detailliert. Wenn der Absender mehrere Benutzerkonten spooft, weist der Bericht eine Zeile für jeden Benutzer auf, der vom Absender gespooft wird.

Tipp : Für erfahrene Administratoren    Beim gespooften Benutzer handelt es sich um die Absenderadresse (5322.From), die auch die Adresse ist, die vom E-Mail-Client als Absenderadresse angezeigt wird. Dies wird manchmal als header.from-Adresse bezeichnet. Die Gültigkeit dieser Adresse wird nicht durch SPF überprüft.

Anzahl der Nachrichten

Die Anzahl der E-Mail-Nachrichten, die innerhalb der letzten 30 Tage vom Absender im Namen des erkannten gespooften Absenders (bzw. der Absender) gesendet wurden.

Anzahl der Benutzerbeschwerden

Beschwerden über diesen Absender, die von Ihren Benutzern innerhalb der letzten 30 Tage gemeldet wurden. Beschwerden erfolgen in der Regel in Form von Junk-E-Mail-Übermittlungen an Microsoft.

Authentifizierungsergebnis

Nur Registerkarte Detailliert. Dieser Wert lautet Erfolgreich, wenn für den Absender die Exchange Online Protection (EOP)-Authentifizierungsprüfungen, z. B. SPF oder DKIM, erfolgreich ausgeführt wurden, Fehlgeschlagen, wenn die EOP-Authentifizierungsprüfungen für den Absender nicht erfolgreich ausgeführt wurden, oder Unbekannt, wenn das Ergebnis dieser Prüfungen nicht bekannt ist.

Entscheidung festgelegt von

Nur Registerkarte Detailliert. Gibt an, ob vom Office 365-Administrator oder durch die Spoofintelligenzrichtlinie bestimmt wurde, ob der Absender zum Spoofen des Benutzers berechtigt ist.

Zuletzt gesehen

Nur Registerkarte Detailliert. Das letzte Datum, an dem eine Nachricht von diesem Absender im Auftrag dieses gespooften Benutzers empfangen wurde.

Spoofing zulässig?

Zeigt an, ob dieser Absender E-Mails im Auftrag des gespooften Benutzers senden darf oder nicht. Mögliche Werte sind:

  • Ja Alle gespooften Adressen dieses Spoofingabsenders dürfen Ihre Organisation spoofen.

  • Nein Gespoofte Adressen dieses Spoofingabsenders dürfen Ihre Organisation nicht spoofen. Nachrichten von diesem Absender werden stattdessen von Office 365 als Spam gekennzeichnet.

  • Einige Benutzer Wenn ein Absender mehrere Benutzer spooft, wird einigen gespooften Adressen dieses Absenders das Spoofing Ihrer Organisation gestattet, und die restlichen werden als Spam gekennzeichnet. Verwenden Sie die Registerkarte Detailliert, um die jeweiligen Adressen anzuzeigen.

Verwalten von Absendern, die Ihre Domäne spoofen, mithilfe des Security & Compliance Center
  1. Wechseln Sie zum Security & Compliance Center.

  2. Melden Sie sich bei Office 365 mit Ihrem Geschäfts-, Schul- oder Unikonto an. Ihr Konto muss über Administratoranmeldeinformationen in Ihrer Office 365-Organisation verfügen.

  3. Erweitern Sie im Security & Compliance Center die Einträge Sicherheitsrichtlinien > Antispam.

    Screenshot der Seite für Antispameinstellungen im Security & Compliance Center
  4. Erweitern Sie im rechten Bereich auf der Registerkarte Standard den Eintrag Spoofintelligenz.

  5. Zum Anzeigen der Liste der Absender, die Ihre Domäne spoofen, wählen Sie Neue Absender überprüfen aus.

    Wenn Sie die Absender bereits überprüft haben, und Ihre zuvor getroffene Auswahl ändern möchten, können Sie stattdessen Absender anzeigen, die ich bereits überprüft habe auswählen. Das folgende Fenster wird angezeigt.

    Screenshot der Registerkarte "Standard" im Bereich für Spoofintelligenz des Security & Compliance Center
  6. Auf der Registerkarte Standard stellt jede Zeile einen Absender dar, der einen oder mehrere Benutzer in Ihrer Organisation spooft.

    Wenn ein Absender mehrere Benutzer spooft und Sie dem Absender gestatten möchten, einige Benutzer zu spoofen, andere jedoch nicht, wählen Sie auf der Registerkarte Standard die Option Benutzer auswählen aus.

    Screenshot zur Vorgehensweise beim Auswählen, welche Benutzer ein Absender spoofen darf

    Dadurch wird die Registerkarte Detailliert mit der Liste der gespooften Benutzer in einzelnen Zeilen angezeigt, sodass Sie für jeden Benutzer einzeln auswählen können, ob das Spoofing durch den Absender zugelassen oder blockiert wird.

    Screenshot mit mehreren gespooften Benutzern eines Absenders

    Wenn Sie der Zulassungsliste für einen Benutzer einen Absender hinzufügen möchten, wählen Sie in der Spalte Spoofing zulässig? die Option Ja aus. Wenn Sie einen Absender der Sperrliste für einen Benutzer hinzufügen möchten, wählen Sie Nein aus.

  7. Wählen Sie Speichern aus, um Änderungen zu speichern.

Weitere Methoden zum Verwalten von Spoofing und Phishing mit Office 365

Seien Sie beim Schutz vor Spoofing und Phishing sehr gewissenhaft. Nachfolgend sind verwandte Methoden zum Überprüfen von Absendern, die Ihre Domäne spoofen, und zum Verhindern von Schäden für Ihre Organisation durch diese Absender aufgeführt:

Teilen Facebook Facebook Twitter Twitter E-Mail E-Mail

War diese Information hilfreich?

Sehr gut. Noch anderes Feedback?

Was können wir verbessern?

Vielen Dank für Ihr Feedback!

×