Verwalten von Nachrichten und Dateien in Quarantäne als Administrator in Office 365

Als Administrator können Sie in Quarantäne befindliche Nachrichten anzeigen, freigeben und löschen und fälschlicherweise unter Quarantäne gestellte Nachrichten in Office 365 als "falsch positiv" melden. Sie können außerdem unter Quarantäne gestellte Dateien, die von Advance Threat Protection (ATP) für SharePoint Online, OneDrive for Business und Microsoft Teams abgefangen wurden, anzeigen, herunterladen und löschen. Sie können Richtlinien einrichten, sodass Office 365 Nachrichten filtert und aus unterschiedlichen Gründen in Quarantäne stellt: Die Nachrichten wurden als Spam, Massen- oder Phishing-Mails oder Nachrichten mit Schadsoftware erkannt, oder sie haben mit einer Nachrichtenflussregel übereingestimmt.

Standardmäßig sendet Office 365 Phishing-E-Mails und E-Mails, die Schadsoftware enthalten, direkt in Quarantäne. Andere gefilterte Nachrichten werden in den Ordner "Junk-E-Mail" des Benutzers verschoben, sofern Sie keine Richtlinie einrichten, um sie in Quarantäne zu senden.

Sie müssen Administratorberechtigungen in Office 365 haben, um mit in Quarantäne befindlichen Nachrichten, die an andere Benutzer gesendet wurden, und mit in Quarantäne befindlichen Dateien zu arbeiten.

Wichtig: Standardmäßig werden Spam, Massenmails, Schadsoftware, Phishing-E-Mails und E-Mails, die unter Quarantäne gestellt wurden, weil sie mit einer Nachrichtenflussregel übereinstimmen, für 30 Tage in Quarantäne gespeichert. Sie können die Quarantänedauer in den Antispameinstellungen im Security & Compliance Center anpassen. Wenn Office 365 eine Nachricht aus der Quarantäne löscht, kann die Nachricht nicht wiederhergestellt werden. Wenn Sie möchten, können Sie die Aufbewahrungsdauer für in Quarantäne befindliche Nachrichten in den Antispam-Filterrichtlinien anpassen. Weitere Informationen finden Sie in diesem Artikel unter Festlegen des Aufbewahrungszeitraums für die Quarantäne.

Anzeigen der in Quarantäne befindlichen Nachrichten in Ihrer Organisation

  1. Melden Sie sich mit einem Geschäfts, Schul- oder Unikonto, das über globale Administratorrechte in Ihrer Office 365-Organisation verfügt, bei Office 365 an, und wechseln Sie zum Security & Compliance Center.

  2. Erweitern Sie in der Liste auf der linken Seite Bedrohungsverwaltung, wählen Sie Überprüfen und dann Quarantäne aus.

    Tipps: 

    Standardmäßig werden im Security & Compliance Center alle E-Mail-Nachrichten, die isoliert wurden, als Spam angezeigt. Die Nachrichten werden von der neuesten zur ältesten sortiert, basierend auf dem Datum, an dem die Nachricht empfangen wurde. Für jede Nachricht werden außerdem der Absender, das Betreff und das Ablaufdatum (unter Läuft ab) angezeigt. Sie können schnell nach einem Feld sortieren, indem Sie auf die entsprechende Spaltenüberschrift klicken; klicken Sie erneut auf eine Spaltenüberschrift, um die Sortierreihenfolge umzukehren.

  3. Sie können eine Liste aller in Quarantäne befindlichen Nachrichten anzeigen, oder Sie können das Resultset unter Verwendung eines Filters verringern. Massenvorgänge können nur für bis zu 100 Elemente durchgeführt werden, d. h., wenn mehr als 100 Elemente vorhanden sind, können Sie das Resultset ebenfalls mit Filtern reduzieren. Sie können Nachrichten schnell nach einem einzigen Quarantänegrund filtern, indem Sie eine Option aus dem Filter am oberen Rand der Seite auswählen. Zu den Optionen gehören:

    • E-Mail, die als Spam erkannt wurde

    • E-Mail, die in Quarantäne genommen, weil sie einer Richtlinie entspricht, die durch eine Nachrichtenflussregel (auch als Transportregel bezeichnet) festgelegt ist

    • E-Mail, die als Massensendungen erkannt wurde

    • E-Mail, die als Phishing-E-Mail erkannt wurde

    • E-Mail, die in Quarantäne genommen wurde, weil sie Schadsoftware enthält

Als Administrator haben Sie außerdem die Wahl, alle Nachrichten für Ihre Organisation oder nur an Sie gesendete Nachrichten zu filtern. Endbenutzer können nur Nachrichten anzeigen und bearbeiten, die an sie gesendet wurden.

Sie können Ihre Ergebnisse auch filtern, um nach bestimmten Nachrichten zu suchen. Tipps finden Sie in diesem Artikel unter Filtern von Ergebnissen und Suchen von in Quarantäne befindlichen Nachrichten und Dateien.

Nachdem Sie eine bestimmte, in Quarantäne befindliche Nachricht gefunden haben, klicken Sie darauf, um Details hierzu anzuzeigen und Aktionen wie das Freigeben der Nachricht in den Posteingang einer Person durchzuführen.

Anzeigen der in Quarantäne befindlichen Dateien in Ihrer Organisation

  1. Melden Sie sich mit einem Geschäfts, Schul- oder Unikonto, das über globale Administratorrechte in Ihrer Office 365-Organisation verfügt, bei Office 365 an, und wechseln Sie zum Security & Compliance Center.

  2. Erweitern Sie auf der linken Seite Bedrohungsverwaltung, wählen Sie Überprüfen und dann Quarantäne aus.

    Tipps: 

  3. Standardmäßig werden auf der Seite in Quarantäne befindliche Nachrichten angezeigt. Wenn Sie in Quarantäne befindliche Dateien anzeigen möchten, setzen Sie die Filter am oberen Rand der Seite so, dass Dateien angezeigt werden, die aufgrund von Schadsoftware unter Quarantäne gestellt wurden. Sie müssen Administratorberechtigungen in Office 365 haben, um mit in Quarantäne befindlichen Dateien zu arbeiten.

  4. Die Dateien werden von der neuesten zur ältesten sortiert, basierend auf dem Datum, an dem die Datei unter Quarantäne gestellt wurde. Für jede Datei werden außerdem der Benutzer, der die Datei zuletzt geändert hat, der Dienst, an den die Datei gesendet wurde, der Dateiname, der Speicherort, die Dateigröße und das Ablaufdatum (Läuft ab) aufgeführt. Sie können schnell nach einem Feld sortieren, indem Sie auf die Spaltenüberschrift klicken; klicken Sie erneut auf eine Spaltenüberschrift, um die Sortierreihenfolge umzukehren.

Sie können eine Liste aller in Quarantäne befindlichen Dateien anzeigen, oder Sie können per Filter nach bestimmten Dateien suchen. Genau wie bei Nachrichten können Sie Massenvorgänge für Dateien nur für max. 100 Elemente durchführen. Derzeit können Sie im Security & Compliance Center Dateien anzeigen und verwalten, die sich in Quarantäne befinden, weil sie als Schadsoftware erkannt wurden. Tipps finden Sie in diesem Artikel unter Filtern von Ergebnissen und Suchen von in Quarantäne befindlichen Nachrichten und Dateien.

Filtern von Ergebnissen und Suchen von in Quarantäne befindlichen Nachrichten und Dateien

Je nach Ihren Einstellungen werden möglicherweise eine Menge Nachrichten und Dateien unter Quarantäne gestellt. Um eine bestimmte Nachricht oder eine bestimmte Datei bzw. eine Gruppe von Nachrichten oder Dateien zu finden, können Sie in Quarantäne befindliche Elemente basierend auf einer Vielzahl von zusätzlichen Informationen filtern.

  1. Stellen Sie sicher, dass auf der Quarantäne-Seite die oberste Reihe der Filter so festgelegt ist, dass Nachrichten bzw. Dateien angezeigt werden:

    • Wenn Sie nach Dateien suchen, legen Sie die Filter so fest, dass Dateien angezeigt werden, die aufgrund von Schadsoftware unter Quarantäne gestellt wurden.

      Auf der Seite für in Quarantäne befindliche Dateien werden alle isolierten Dateien angezeigt, nicht nur Ihre eigenen, und zwar unabhängig davon, welche Anzeigeoptionen Sie auswählen.

    • Wenn Sie nach in Quarantäne befindlichen Nachrichten suchen möchten, legen Sie den Filter so fest, dass alle oder nur die eigenenE-Mails angezeigt werden. Als letzten Filter wählen Sie den gesuchten Typ der in Quarantäne befindlichen Nachricht aus. Sie können nach in Quarantäne befindlichen Nachrichten suchen, die als Spam, Massen-Mail oder Phishing-Mail erkannt wurden, nach Nachrichten, die einer Nachrichtenfluss- oder Transportregel entsprochen haben oder die Schadsoftware enthalten.

  2. Wählen Sie unter Ergebnisse sortieren nach aus den Dropdownlisten den oder die Filter aus, den bzw. die Sie für die Suche verwenden möchten. Die Optionen variieren abhängig davon, ob Sie Dateien oder Nachrichten suchen. Platzhalter werden in Suchfeldern derzeit nicht unterstützt.

    Sowohl für Dateien als auch für Nachrichten können Sie nach dem Datum filtern, an dem die Nachricht oder Datei in die Quarantäne verschoben wurde. Sie können das Datum oder einen Datumsbereich einschließlich der Uhrzeit angeben. Sie können Ihre Suchergebnisse auch nach dem Ablaufdatum filtern, an dem die Datei oder Nachricht aus der Quarantäne gelöscht wird, oder Sie können eine Kombination von Filtern verwenden. Um nach Ablaufdatum zu suchen, wählen Sie Erweiterter Filter aus. Unter Läuft ab können Sie Nachrichten auswählen, die innerhalb der nächsten 24 Stunden (Heute), innerhalb der nächsten 48 Stunden (Nächsten 2 Tage) oder innerhalb der nächsten Woche (Nächsten 7 Tage) aus der Quarantäne gelöscht werden, oder Sie können ein benutzerdefiniertes Zeitintervall auswählen.

    Für Nachrichten haben Sie zusätzlich folgende Möglichkeiten:

    • Nachrichten-ID Verwenden Sie dieses Kriterium zur Ermittlung einer bestimmten Nachricht, wenn Sie die Nachrichten-ID kennen.

      Wenn eine bestimmte Nachricht von einem Benutzer in Ihrer Organisation gesendet wurde oder an diesen gerichtet war, den Zielort aber nie erreicht hat, können Sie mithilfe der Nachrichtenablaufverfolgung nach der Nachricht suchen (lesen Sie Ausführen einer Nachrichtenablaufverfolgung und Anzeigen der Ergebnisse). Wenn Sie feststellen, dass die Nachricht in Quarantäne gesendet wurde, weil sie ggf. einer Nachrichtenflussregel entsprochen hat oder als Spam erkannt wurde, können Sie diese Nachricht in der Quarantäne ganz einfach finden, indem Sie die Nachrichten-ID angeben. Geben Sie unbedingt die vollständige Nachrichten-ID an. Möglicherweise müssen Sie diese in Winkelklammern (<>) setzen, wie in diesem Beispiel:

      <79239079-d95a-483a-aacf-e954f592a0f6@XYZPR00BM0200.contoso.com>

    • E-Mail-Adresse des Absenders Wählen Sie diese Option aus, wenn Sie nach einer einzelnen Absender-E-Mail-Adresse filtern möchten.

    • E-Mail-Adresse des Empfängers Wählen Sie diese Option aus, wenn Sie nach einer einzelnen Empfänger-E-Mail-Adresse filtern möchten.

    • Betreff. Geben Sie den Betreff für eine E-Mail ein, die Sie finden möchten. Da Suche mit Platzhalter nicht unterstützt wird, müssen Sie den gesamten Betreff der Nachricht verwenden, damit die Nachricht in den Suchergebnissen zurückgegeben wird. Bei der Suche wird nicht zwischen Groß- und Kleinschreibung unterschieden.

Anzeigen von Details zu in Quarantäne befindliche Nachrichten und Dateien

Wenn Sie ein Element auswählen, das in der Quarantäneliste angezeigt wird, sehen Sie eine Zusammenfassung seiner Eigenschaften im Bereich Details auf der rechten Seite des Security & Compliance Centers.

Für in Quarantäne befindliche Nachrichten angezeigte Details

  • Nachrichten-ID. Die eindeutige ID der Nachricht.

  • Absenderadresse. Der Absender der Nachricht.

  • Empfangen, Das Datum und die Uhrzeit des Nachrichtenempfangs.

  • Betreff. Der Text in der Betreffzeile der Nachricht.

  • Typ Gibt an, ob eine Nachricht als Spam, Massen-Mail oder Phishing-Mail erkannt wurde, oder ob sie einer Nachrichtenflussregel (Transportregel) entsprochen hat oder als Nachricht erkannt wurde, die Schadsoftware enthält.

  • Läuft ab. Das Datum und die Uhrzeit, zu der die Nachricht automatisch aus der Quarantäne gelöscht wird.

  • Freigegeben für. Alle E-Mail-Adressen (sofern vorhanden), für die die Nachricht freigegeben wurde.

  • Noch nicht freigegeben für. Alle E-Mail-Adressen (sofern vorhanden), für die die Nachricht noch nicht freigegeben wurde.

Für in Quarantäne befindliche Dateien angezeigte Details

  • Dateiname Der Name der in Quarantäne befindlichen Datei.

  • Websitepfad URL, die den Speicherort der Datei in Office 365 definiert.

  • Erkannte Datum/Uhrzeit-Angabe Das Datum und die Uhrzeit, zu der die Datei unter Quarantäne gestellt wurde.

  • Läuft ab Das Datum, zu dem die Nachricht aus der Quarantäne gelöscht wird.

  • Erkannt von Die Methode, mit der die Schadsoftware in der Datei erkannt wurde. Dies kann entweder ATP (Advanced Threat Protection) oder das Antischadsoftware-Modul von Microsoft sein.

  • Veröffentlicht Gibt an, ob die Datei freigegeben wurde oder nicht.

  • Schadsoftwarename Familie und Name der in der Datei erkannten Schadsoftware.

  • Dokument-ID Ein eindeutiger Bezeichner für das Dokument.

  • Dateigröße Die Größe der Datei in KB.

  • Organisation Die eindeutige ID Ihrer Organisation in Office 365.

  • Geändert von Das Geschäfts-, Schul- oder Unikonto des Benutzers, der die Datei zuletzt geändert hat.

  • Dateigröße Die Größe der Datei in KB.

  • SHA256-Hash Hash der Datei. Sie können damit andere verfügbare Reputationsspeicher durchsuchen oder untersuchen, wo sich die Datei sonst noch in Ihrer Umgebung befindet.

Verwalten von Nachrichten und Dateien in Quarantäne

Nachdem Sie eine Nachricht oder eine Gruppe von Nachrichten ausgewählt haben, haben Sie mehrere Optionen zum Verwalten von Nachrichten in Quarantäne.

  • Keine Aktion ausführen. Wenn Sie sich entschließen, keine Aktion auszuführen, wird die Nachricht von Office 365 automatisch nach Ablauf gelöscht. Standardmäßig werden Spam-, Massen-, Schadsoftware-, Phishing- und aufgrund einer Nachrichtenflussregel unter Quarantäne gestellte E-Mails für 30 Tage aufbewahrt. Wenn Office 365 eine Nachricht aus der Quarantäne löscht, kann die Nachricht nicht wiederhergestellt werden. Wenn Sie möchten, können Sie die Aufbewahrungsdauer für in Quarantäne befindliche Nachrichten ändern, indem Sie die Einstellung Spamnachrichten aufbewahren für (Tage): in Ihrer Antispamrichtlinien konfigurieren. Weitere Informationen finden Sie in diesem Artikel unter Festlegen des Aufbewahrungszeitraums für die Quarantäne.

  • Nachrichtenkopf anzeigen Wählen Sie diesen Link aus, um den Nachrichtenkopftext anzuzeigen. Um den Nachrichtenkopf im Detail zu analysieren, kopieren Sie den Nachrichtenkopftext in die Zwischenablage, und wählen Sie dann Microsoft-Nachrichtenkopfanalyse aus, um zur Remoteverbindungsuntersuchung zu wechseln (klicken Sie mit der rechten Maustaste, und wählen Sie In neuer Registerkarte öffnen aus, wenn Sie Office 365 nicht verlassen möchten, um die Aufgabe auszuführen). Fügen Sie den Nachrichtenkopf auf der Seite in den Abschnitt "Nachrichtenkopfanalyse" ein, und wählen Sie dann Kopfzeilen analysieren aus.

  • Nachrichtenvorschau Hier können Sie die Roh- oder HTML-Version des Nachrichtentexts anzeigen. In der HTML-Ansicht sind Links deaktiviert.

  • Nachricht herunterladen bzw. Datei herunterladen. Wählen Sie diese Option aus, um eine Kopie der Nachrichte oder Datei auf Ihr lokales Gerät herunterzuladen. Sie müssen bestätigen, dass Sie die mit dem Herunterladen von Elementen aus der Quarantäne verbundenen Risiken kennen, bevor der Download zugelassen wird. Die Nachrichten werden im EML-Format in einem Ordner gespeichert, den Sie angeben. In Quarantäne befindliche Dateien werden in ihrem ursprünglichen Format gespeichert.

  • Löschen Sie können ein in Quarantäne befindliches Element (oder eine Gruppe von Elementen) sofort löschen, statt bis zum Ablaufdatum zu warten, das durch Office 365 festgelegt ist. Zum Löschen einer Nachricht oder Datei wählen Sie das Element in der Quarantäneliste und dann Löschen aus. Wenn Sie mehrere Elemente auf einmal löschen möchten, aktivieren Sie das Kontrollkästchen links neben den Elementen in der Quarantäneliste. Wählen Sie dann auf der Seite Massenaktionen, die angezeigt wird, die Option Ausgewählte Nachrichten löschen bzw. Ausgewählte Dateien löschen aus.

  • Freigeben Gibt ein isoliertes Element (oder einer Gruppe von Elementen) frei, und meldet die Elemente als fälschlicherweise in Quarantäne gestellt (falsch positive Ergebnisse) an Microsoft.

    Zum Freigeben und Melden einer einzelnen Nachricht oder Datei, wählen Sie das Element in der Quarantäneliste und dann Datei freigeben bzw. Meldung freigeben aus. Vergewissern Sie sich auf der nächsten Seite, dass Nachrichten zur Analyse an Microsoft melden bzw. Dateien zur Analyse an Microsoft melden aktiviert ist.

    Wenn Sie mehrere Elemente auf einmal freigeben möchten, aktivieren Sie das Kontrollkästchen links neben den Elementen in der Quarantäneliste. Wählen Sie dann auf der Seite Massenaktionen, die angezeigt wird, die Option Dateien freigeben bzw. Nachrichten freigeben aus. Vergewissern Sie sich auf der nächsten Seite, dass Nachrichten zur Analyse an Microsoft melden bzw. Dateien zur Analyse an Microsoft melden aktiviert ist.

Beachten Sie beim Freigeben von Nachrichten die folgende Punkte:

  • Wenn Sie eine Massenfreigabe von mehreren Nachrichten gleichzeitig durchführen, werden die Nachrichten an alle ursprünglich angegebenen Empfänger freigegeben. Wenn Sie Nachrichten nur an bestimmte Empfänger freigeben möchten, müssen Sie die Nachrichten einzeln freigeben und die Empfänger einzeln angeben.

  • Eine Nachricht kann nicht mehrfach für denselben Empfänger freigegeben werden.

  • Wenn Sie eine Nachricht für mehr als einen Empfänger freigeben, werden nur Empfänger, die die Nachricht zuvor nicht empfangen haben, in der Liste der potenziellen Empfänger angezeigt.

  • Wenn Sie eine Nachricht als falsch positiv melden und wenn die von Ihnen freigegebene Nachricht als Spam, Massen-Mail, Phishing-Mail oder Mail, die Schadsoftware enthält, in Quarantäne gesetzt wurde, wird die Nachricht auch dem Spamanalyseteam von Microsoft gemeldet. Das Team wertet die Nachricht aus und analysiert sie, und je nach dem Ergebnis der Analyse werden die dienstinternen Spaminhaltsfilterregeln möglicherweise angepasst, damit die Nachricht durchgelassen werden kann.

Festlegen des Aufbewahrungszeitraums der Quarantäne

Sie können konfigurieren, wie lange Nachrichten und Dateien werden in Quarantäne verbleiben, bevor Sie ablaufen. Standardmäßig werden in Quarantäne befindliche Elemente 30 Tage lang aufbewahrt. Sie konfigurieren diese Einstellung für jede einzelne Richtlinie, die Sie erstellen. Sie können auch den Wert für die Standardrichtlinie entsprechend der Beschreibung in diesem Artikel ändern.

So ändern Sie den Aufbewahrungszeitraum der Quarantäne für die Standard-Spamfilterrichtlinie im Security & Compliance Center

  1. Melden Sie sich mit einem Geschäfts, Schul- oder Unikonto, das über globale Administratorrechte in Ihrer Office 365-Organisation verfügt, bei Office 365 an, und wechseln Sie zum Security & Compliance Center.

  2. Erweitern Sie auf der linken Seite Bedrohungsverwaltung, wählen Sie Richtlinie und dann Antispam aus.

    Tipps: 

  3. Wählen Sie Benutzerdefiniert aus, um die Registerkarte Benutzerdefinierte Einstellungen anzuzeigen.

  4. Erweitern Sie die Zeile Standard-Spamfilterrichtlinie (immer EIN) .

  5. Wählen Sie Richtlinie bearbeiten aus. Die Einstellungen für die Standard-Spamfilterrichtlinie werden auf einer neuen Seite angezeigt.

  6. Erweitern Sie Spam- und Massenaktionen.

  7. Geben Sie unter Quarantäne im Textfeld Spamnachrichten aufbewahren für (Tage) ein, wie lange Office 365 Nachrichten und Dateien in der Quarantäne aufbewahren soll. Der Standardwert liegt bei 30 Tagen. Dies ist auch die maximale Dauer.

  8. Wählen Sie Speichern aus.

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×