Microsoft Defender für Office 365

„Microsoft Defender for Office 365“ erhöht erheblich den Schutz gegen Pishing-Mails (Erlangen von geheimen Daten), Spoofing-Mails (Vortäuschung einer Identität), infizierten Anhängen und Links auf Schadcode.

Bei aktivem und konfigurierten „Microsoft Defender for Office 365“ Mailschutz, ergeben sich in naher Zukunft ein paar für den Benutzer wichtige Änderungen bzw. Informationen, die in Folge erläutert werden.

Haben Sie Interesse aber noch kein Microsoft Business Premium oder das Produkt/Plan Microsoft Defender für Office 365 kontaktieren Sie uns!

Safe Attachments

Alle Mail Anhänge werden vor der Freischaltung in einer eigenen Umgebung bei Microsoft geöffnet und geprüft. Dies hat zufolge, das bei Erhalt eines Mails mit Anhang, anstatt des Namens der Datei, vorerst die Kennzeichnung „ATP Scan in Progress“ im Anhang steht. Erst nach Prüfung wird der eigentliche Anhang aktiviert und freigegeben. Die Prüfdauer hängt von der Größe des Anhangs ab, ist bei kleinen Anhängen gar nicht zu merken und bewegt sich im Sekunden Bereich.

Alle Links in einem Mail werden gegen „Microsoft Protection Safelinks“ ausgetauscht und ggf. gefährliche Links blockiert. Erkennbar ist dies daran, dass die Ziellinks mit folgendem Adressaufbau beginnen – https://*.safelinks.protection.outlook.com/…
D.h. der Zugriff erfolgt nicht direkt, sondern über das Microsoft Sicherheitssystem, das Links auf Schadcode blockiert.

Mails die mit hoher Wahrscheinlichkeit als Pishing, Spoofing oder Spam Mails identifiziert werden, kommen nicht mehr wie zuvor in den Junk Ordner, sondern werden in die Quarantäne verschoben und vorerst gar nicht zugestellt.
Stattdessen wird ein Quarantäne Report vom Absender quarantine@messaging.microsoft.com an den jeweiligen Empfänger gesendet. Es handelt sich dabei nicht um eine Info pro Mail, sondern um einen täglichen Sammelreport aller in der Quarantäne befindlichen Mails.
In dem Report ist lediglich der jeweilige Absender (Sender) und der Betreff (Subject) der Mails enthalten. Anhand dieser Informationen hat der Benutzer dann 3 Möglichkeiten für die weitere Vorgangsweise:

Block Sender – Wenn klar ist das es sich um ein nicht erwünschtes Mail handelt, kann damit eine zukünftige Zustellung unterbunden werden
Release – Freigabe des Mails, Mail wird zugestellt, diese Funktion sollte nur durchgeführt werden, wenn klar ist das es sich um ein gewolltes Mail handelt
Review Message – Dies ist die bevorzugte Methode, dabei wird Online über den Browser auf das Mail zugegriffen (Vorschau)

Anmerkungen: Werden die Mails nicht bearbeitet, werden sie automatisch nach 30 Tagen aus der Quarantäne entfernt und gelöscht. Unter dem Link https://security.microsoft.com/quarantine können berechtigte Benutzer direkt auf die Quarantäne zugreifen.