EOP Quarantäne

Eine Quarantäne finde ich generell schlecht, denn sie füllt sich meist mit Spam-Mails und als Anwender oder Administrator will ich gar gar nicht reinschauen müssen. Die Seite entstand, weil ich davon ausgegangen bin, dass ich EOP und ATP komplett deaktiviert hatte, weil wir mit NoSpamProxy eine Lösung ohne Quarantäne nutzen. Eine Mail wird entweder geblockt, damit der einliefernde Mailserver sich um einen NDR kümmern muss oder wie wird zugestellt. Das macht Microsoft aber anders und da ATP und EOP weiter entwickelt werden, muss man als Admin leider doch immer mal wieder kontrollieren, ob die Einstellungen noch stimmen.

Der Blick in die Quarantäne

Ich war überrascht, dass ich trotz NoSpamProxy in meiner Quarantäne Mails gefunden haben. Daraus lerne ich drei Dinge:

  • Wieso ist die Exchange Online Quarantäne aktiv, obwohl ich sie abgeschaltet hat?
    Das lagt wohl daran, dass Exchange Online Protection natürlich auch immer wieder neue Funktionen bekommt und die sind manchmal per Default eingeschaltet. Als Exchange Online Administrator mit vorgeschaltetem Spamfilter muss ich daher immer mal wieder die EOP Konfiguration prüfen.
  • Was mache ich mit den False Positive
    Von den ca. 15 Mails waren 13 Mails eigentlich "erwünscht". Teilweise waren es Anfragen durch ein Web-Formular oder Kundenkommunikation, die Exchange Online Protection nicht durchgelassen hat. NoSpamProxy hat Sie aber natürlich aufgrund seiner fortschrittlichen Erkennungsverfahren akzeptiert und an mein Exchange gesendet
  • Nicht erkannte Spams
    Allerdings habe ich auch zwei Mails gefunden, die tatsächlich als Spam einzuschätzen waren. Sie wurden aber von Kunden als Weiterleitung an den Support gesendet und warum auch immer, hat NoSpamProxy die nicht erkannt. Das war hier aber ok, denn sie kamen ja nachweislich von einem Kunden und haben daher über den "Level of Trust"-Filter ein paar Bonus-Punkte abbekommen.

Wenn Sie sich nicht sicher sind, wie es in ihrer Exchange Online Quarantäne aussieht, dann schauen Sie doch einfach mal als Administrator nach. Der direkte Link dazu ist:

Kette der Stationen

Früher war EOP etwas "einfacher" und nur im Exchange Control Panel unter https://outlook.office365.com/ecp zu verwalten. Mittlerweile hat Microsoft natürlich nachgerüstet und das war auch dringend erforderlich. Die Verwaltung erfolgt nun (Stand Mai 2020) über das "Office 365 Security & Compliance"-Center unter folgender URL

Hier finde zumindest ich ganz viele Einstellungen:

Die greifen natürlich hintereinander ineinander. Ich habe noch kein komplettes Ablaufbild von Microsoft gesehen aber aus verschiedenen Bildern und meine eigenen Tests könnte die Kette so aussehen:

Exchange Online Protection und Office 365 ATP sind eng miteinander verzahnt und ATP erweitert die Funktion von EOP. Insgesamt kommen nach meiner Einschätzung vier Komponenten ins Spiel.

  1. EOP
    Steht vorne an der ersten Stelle und nimmt die Mail bis zum DATA an um dann anhand von Black/White-Lists und Inbound Connectoren zu entscheiden, ob die Mail überhaupt angenommen wird. Wenn hier etwas nicht "passt", z.B. ungültige Empfänger, IP-Blacklisten etc., dann lehnt EOP die Mail auf SMTP-Level ab. Es bleibt dann dem entfernten Mailserver überlassen, darüber einen NDR zu erstellen. Alles danach kann aber wohl nicht mehr abgelehnt werden.
    Ein Virenscan erfolgt erst, wenn die Mail schon komplett angenommen wurde. Bei einem erkannten Virus landet die Mail per Default in der Quarantäne.
  2. Exchange Transport
    Auch der Exchange Server kann über Transportregeln z.B. anhand vorgaben z.B. einen SCL erstellen oder Mails in die Serverquarantäne ablegen. Ich bin aber noch nicht ganz sicher, ob diese Funktion nicht doch weiter hinten steht, denn es gibt auch die Möglichkeit einen SCL zu überstimmen. Der Wird aber meines Wissens erst durch den Content-Filter und Antispam-Filter gesetzt.
  3. Office 365 ATP
    Durch die passende Lizenz können Sie auch erweiterte Filter für Mail aktivieren. Office 365 ATP kann z.B. Attachments in einer Sandbox prüfen, Hyperlinks bewerten etc. Wenn hier eine Mail "verdächtig" ist, kann sie auch in der gleichen serverseitigen Quarantäne landen.
  4. Exchange Store
    Wenn alle Filter die Mails bewertet haben und sie nicht eh in der serverseitigen Quarantäne abgelegt wurden, kann der Mailbox-Service die Mail in den "Junk-E-Mail"-Ordner anstatt dem Postfach ablegen.

Mit und ohne Office 365 ATP

Exchange Online Protektion ist ein grundlegender Spamfilter von Microsoft zum Schutz der Exchange Online Postfächer vor vielen Werbemails und Schadcode. Wer heute einen Mailbox-Service anbietet, kann nicht ohne Spamfilter agieren. Allerdings hat Microsoft hier durchaus eine Unterscheidung zwischen "Basisschutz" und erweiterten Schutzfunktionen eingebaut. Unter dem Namen "Office 365 ATP" können Sie für den Basisschutz einige durchaus interessante Erweiterungen hinzu kaufen. Wobei hier auch noch (Stand Mai 2020) zwischen Plan1 und Plan 2 unterschieden wird. Die Funktion ist zudem auch in verschiedenen Bundle-Paketen, wie z.B. Microsoft 365 Security und Microsoft 365 E5 enthalten und umfasst nicht nur Exchange sondern auch andere Dienste wie OneDrive und SharePoint. Für die Funktion E-Mail sind es folgende Bausteine:

  • Secure Attachments
    Alle Anlagen, die nicht schon anhand einer bekannten Virensignatur erkannt werden, werden in einer abgeschotteten Umgebung (Sandbox) ausgeführt und auf ihre Verhalten überprüfen. Wir gut das Verfahren ist, hängt natürlich von der Malware ab, Die Autoren sind natürlich versucht schnell den Code zu aktivieren aber könnten auch einige Tage warten.
  • Secure Links
    In dem Fall ersetzt Office 365 etwaige Hyperlinks durch einen eigene Link. Wenn der Anwender die Datei einige Minuten oder auch Stunden später öffnet und den Link aktiviert, dann hat Office 365 ATP dann die Möglichkeit die angesprochene Quelle zu untersuchen.
  • Anti Phishing
    Office 365 versucht zu ermitteln, ob der Absender gefälscht ist d.h. indem der Displayname einem internen entspricht und der Empfänger damit überrumpelt werden soll. Office 365 ATP soll dabei sogar "ähnliche Domänen" für ausgewählte besonders schützenswerte Postfächer erkennen und blockieren.

All diese Optionen sind aber nicht Bestandteil des normalen Office 365 Pakets, sondern aufpreispflichtig.

Monitoring

Am meisten stört mich bei Office 365 ATP und Exchange Online Protection natürlich die Existenz einer Quarnntäne auf dem Server aber auch des Junk-E-Mail-Ordners beim Benutzer. EOP kann einige Mails anhand bestimmter Kriterien schon beim Empfang ablehnen aber bei weitem nicht allen Mails. Es bleiben noch viele Mails übrig, die Exchange Online Protection erst einmal annimmt und dann nach erfolgter Verarbeitung in die serverseitige Quarantäne oder den Junk-E-Mail-Ordner des Anwender ablegt.

Auch die Erweiterung durch Office 365 ATP verbessert dies nicht, da alle Funktionen dieser erweiterten Filterfunktionen der nach dem Empfang der Mails angewendet werden. Es gibt also sehr viele Mail, die in der Quarantäne landen und vielleicht zugestellt werden sollten.

Hier müssen die als Firma und Administrator nun eine Entscheidung treffen, ob sie diese Mail einfach ignorieren und Microsoft die Mail nach einiger Zeit still und heimlich löscht, oder ob sie regelmäßig aktiv diesen Ort auf wichtige Mails überprüfen.

Die gleiche Entscheidung müssen Sie den Benutzern auferlegen, die ggfls. die ein oder andere "unklare Mail" nicht im Posteingang sondern im Junk-E-Mailordner ihres persönlichen Postfachs finden. Wenn Benutzer hier nicht hineinschauen, könne die ein oder andere wichtige Mail unentdeckt bleiben.

Das Problem der Quarantäne sehe ich einfach dahingehend, dass die Mail rein rechtlich von ihrem Mailserver angenommen aber nicht in das Zielpostfach zugestellt wurde. Sie liegt beim Administrator oder in einem anderen Ordner beim Benutzer.

Diese Entscheidung kann ich ihnen nicht abnehmen. Ich selbst verzichte möglichst auf EOP, auch wenn die Basisfunktion im Office 365 Paket quasi enthalten ist und nutze mit NoSpamProxy meine eigene Abwehrstrategie, die generelle die Mails ablehnt, die nicht zugestellt werden. Ich verzichte auf eine Quarantäne und lehne im Zweifel lieber ab. Der legitime Absender kann sich dann aufgrund der NDR-Meldung ja melden und wir finden einen Weg. Das ist aus meiner Sicht allemal besser als eine unterdrückte Mail.

Quarantäne abschalten

Ich habe bisher noch keinen "Einzeiler" gefunden, mit der ich die Quarantäne in Exchange Online Protection komplett abschalten kann. Aber sie können natürlich die Konfiguration der verschiedenen Filter, die eine Mail eventuell in die Quarantäne verlagern ihren Bedürfnissen anpassen. Leider ist es nicht nur eine Einstellung.

Im Office 365 Security & Compliance-Center (https://protection.office.com) gruppiert Microsoft alle Schutzfunktion zusammen und bei den Policies unter Thread Management" (https://protection.office.com/threatpolicy) finden sie die Einsprungadressen für Anti-spam, Anti-phishing und andere Einstellungen. Es ist auch nicht ausgeschlossen, dass Microsoft hier weitere Filter zu gegebener Zeit einbaut.

Schon beim Thema Anti-spam (https://protection.office.com/antispam) stellt Microsoft vier Default-Regeln ein und diese sind auch "Alyways on". Die Schieber sind allerdings "grau", so dass Sie irrtümlich davon ausgehen könnten, dass diese Funktion per Default aus seien.

Die "Default spam filter policy" können sie nicht abschalten aber zumindest konfigurieren

Hier können Sie denn jede einzelne Einstellung anpassen

Genauer: Sie müssen jede einzelne Einstellung so anpassen, dass die Quarantäne nicht genutzt wird. Wenn Sie damit durch die Anti-spam-Richtlinien durch sind, geht es bei Anti-phishing weiter. Da Microsoft aber durchaus neue Techniken einführen kann, sollten Sie dennoch ab und an mal in die Quarantäne schauen. Hier mal eine Momentaufnahme eines Office 365 Tenant, der kein NoSpamProxy davor hat:


Quelle: https://protection.office.com/quarantine

Anscheinend landen sogar von Microsoft selbst gesendete Mails durchaus als "Phish" in der Quarantäne.

Solche Dinge bestätigen mich immer wieder darin, dass eine Quarantäne nicht nur schlecht sondern sogar gefährlich ist und ein Filter eine Mail entweder für den Absender sichtbar ablehnen sollte oder in das Postfach des Benutzers zustellen muss. Stellen sie sich mal vor, ihr Postbote würde aus seiner Sicht unerwünschte Nachrichten im Postamt für vielleicht 30 Tage "lagern" und sie dann wegwerfen, wenn sie nicht vorbeikommen würden. Undenkbar

Weitere Links