Microsoft 365 Spam Filter – Wie Sie Ihre E-Mail-Kommunikation in der Cloud sichern

Bietet Microsoft bereits ausreichende Sicherheit? 

Viele Unternehmen führen momentan Microsoft 365 als Cloud-Lösung und Teil ihrer digitalen Transformation ein. Dabei adressiert Microsoft mit Microsoft Defender for Office 365 und Exchange Online Protection (EOP) auch das Thema Sicherheit. Der damit verknüpfte Slogan, dass keine weiteren Security–Lösungen für E-Mail-Sicherheit erforderlich sind, bestätigt sich in der Realität jedoch nicht. Dies wird auch durch Aussagen von führenden Microsoft Mitarbeitern unterstrichen.

Terry Zink, der bei Microsoft für die Umsetzung der Senderreputations-Standards bei Microsoft 365 und allen Microsoft-eigenen E-Mail-Diensten zuständig war, formulierte es so: “Therefore, to get the fullest protection possible, I recommend relying upon the 3rd party service, and then maybe or maybe not doing double-filtering in EOP (accepting the fact that there will be false positives and false negatives). But, don’t just rely on EOP.”

Das macht deutlich, dass auf unabsehbare Zeit ergänzende Sicherheitsprodukte erforderlich sein werden. Bestätigt wird dies durch die Tatsache, dass Funktionen wie S/MIME-basierte, organisationsfähige E-Mail Verschlüsselung, granular konfigurierbare Security Policies, intelligente und lernende Algorithmen, Content Disarming sowie die Möglichkeit, flexibel unterschiedlichste E-Mail-Signaturen im Unternehmen zu erstellen, nicht durch die Angebote von Microsoft abgedeckt werden. 

Dieser Beitrag untersucht, welche Anforderungen durch die Microsoft-eigenen Produkte erfüllt werden – und wie Sie die Microsoft 365 Mail Security Ihrer Organisation durch ein ergänzendes Security–Produkt wie NoSpamProxy weiter optimieren können. 

Die Basis für digitale Transformation: Microsoft 365

Mit Services und Apps wie Microsoft 365, Outlook, Exchange Online, Teams, SharePoint oder OneNote hat sich Microsoft perfekt aufgestellt, um Unternehmen eine ideale Basis für die digitale Transformation zu bieten. Immer mehr Unternehmen nutzen diese Tools, um den Arbeitsplatz der Zukunft in die Realität umzusetzen. Zentrales Arbeitsmittel für Mitarbeiterinnen und Mitarbeiter ist dabei Microsoft 365, also die Kombination verschiedener Cloud-Dienste für Zusammenarbeit, Sicherheit und Compliance, Mobilität sowie Intelligence und Analytics. Für viele Unternehmen ist bei der Nutzung von Microsoft-365-Produkten insbesondere der Aspekt E-Mail-Sicherheit entscheidend.

Exchange Online Protection 

Mit Exchange Online Protection (EOP) bietet Microsoft seinen Kunden einen integrierten E-Mail-Security-Service. EOP ist in Exchange Online sowie jedem Microsoft-365-Abbonement enthalten, das Exchange Online umfasst. EOP ist ein Dienst zum Filtern von E-Mails, der Schutz vor Spam und Schadsoftware bietet und cloudbasiert, in einem Hybridszenario oder als Stand-alone-Lösung (für on-premises betriebene Postfächer) eingesetzt werden kann. 

Spam für Microsoft-365-E-Mails 

Sämtliche Funktionalitäten des Spam Filters in EOP werden unter dem Begriff Anti-spam zusammengefasst. Der Filter überprüft bestimmte Merkmale der eingehenden E-Mails auf typische Charakteristika von Spam. Die Filterungsoptionen sind dabei anpassbar, ebenso wie die Benachrichtigungsoptionen für Benutzer.  

Der Spam Filter ist eine Kombination aus Verbindungs- und Inhaltsfilterung. Wird eine E-Mail als Spam erkannt, landet sie standardmäßig im Junk-Ordner der einzelnen Benutzer. Der Spamschutz für eingehende E-Mails ist standardmäßig aktiviert. 

EOP bietet auch für ausgehende E-Mails einen Spam Filter, der ebenfalls standardmäßig aktiviert ist, und auch der ausgehende Spamschutz besteht aus einer Kombination aus Verbindungs- und Inhaltsfilterung. Die Einstellungen für den ausgehenden Filter können allerdings nicht konfiguriert werden. Wird eine ausgehende E-Mail als Spam klassifiziert, wird sie im System als „riskante Zustellung“ markiert. So wird verhindert, dass unbedenkliche IP-Adressen einer Sperrliste hinzugefügt werden. Die Filterung ausgehender Spamnachrichten kann zwar nicht deaktiviert oder geändert werden, aber Sie können verschiedene unternehmensweite Spameinstellungen über die Standardrichtlinie für ausgehende Spamnachrichten konfigurieren. 

Die sogenannte Spoof Intelligence in EOP dient dazu, Spoofing-Angriffe abzuwehren. Beim Spoofing nutzen Kriminelle E-Mail-Adressen von Nutzern innerhalb Ihrer Organisationsdomäne und geben sich als diese aus. Zur Abwehr überprüft EOP einerseits die From-Header der eingehenden E-Mails als auch die Authentifizierungseinträge für SPF, DKIM und DMARC. Die E-Mail wird jedoch nicht direkt abgelehnt, sondern entweder in den Junk-Mail-Ordner verschoben, oder entsprechend markiert. 

Schutz gegen Malware  

In EOP arbeiten mehrere Anti-Malware-Systeme, die E-Mails auf Viren und Spyware überprüfen. Sobald in einer E-Mail Malware gefunden wird, wird diese E-Mail gelöscht und der Administrator benachrichtigt. Zudem können infizierte Anhänge durch eine anpassbare Nachricht ersetzt werden. Ebenfalls ist es möglich, durch Einstellungen in den Transportregeln die Filterung und Weiterverarbeitung von Anhängen näher zu konfigurieren. 

Microsoft Defender for Office 365  

Als kostenpflichtige Zusatzoption zu EOP bietet Microsoft Defender for Office 365 an. Es bietet Schutz vor Phishing-Angriffen, Zero-Day-Attacken, bösen Links und verseuchten E-Mail-Anhängen.  

Safe Links 

Dieser Service prüft URLs in E-Mails und Office-Dokumenten – nach Abgleich gegen vorhandene Allow- oder Blocklists – zum Zeitpunkt des Anklickens daraufhin, ob die Ziele der Links unbedenklich sind. Entsprechend werden die Links dann als blockiert, bösartig oder sicher klassifiziert. Wird die URL als sicher angesehen, wird diese geöffnet. 

Safe Attachments 

Sofern entsprechend konfiguriert, prüft Safe Attachments E-Mail-Anlagen sowie Dateien in SharePoint, OneDrive und Teams auf schädliche Inhalte. Hierzu werden Dateien in einer virtuellen Umgebung überprüft und klassifiziert. Als bösartig klassifizierte E-Mail-Anlagen werden automatisch entfernt; bösartige Dateien auf SharePoint, OneDrive oder in Teams werden blockiert. 

EOP und Microsoft Defender for Office 365: Risiken und Schwächen

Die integrierten Schutzfunktionen in Microsoft 365 weisen allerdings auch Defizite auf. Als Beispiel sei hier die Verwaltung des Quarantäne-Ordners genannt: Maximal 500 E-Mails können überhaupt dargestellt werden, und dies auch nur, nachdem die E-Mails zuvor in Kategorien wie Spam, Malware, Phishing etc. eingeteilt wurden. Zudem werden E-Mails, die sich in Quarantäne befinden, nach 30 Tagen automatisch und unwiderruflich gelöscht. Die potenziellen Probleme, die sich aus diesem Verhalten ergeben können, sind vielfältig, beispielsweise, wenn falsch klassifizierte E-Mails mit wichtigen Informationen unbemerkt verschwinden.

Weitere Schwachstellen betreffen unter anderem die Verwaltung von E-Mails und Postfächern: Es gibt in Microsoft 365 keine einfache Methode, E-Mails über mehrere Postfächer hinweg zu entfernen – beispielsweise, wenn diese irrtümlich die konfigurierten Filter passiert haben. Auch lassen sich E-Mails, die in den Spam-Ordnern der einzelnen Anwender liegen, in der Grundkonfiguration von EOP weiterhin öffnen, und die schadhaften Links lassen sich weiterhin klicken. Das bedeutet, dass auch nach Filterung der eingehenden E-Mails eine Gefahr besteht – nämlich durch die Unwissenheit der Anwender.

Ein letztes Beispiel: Microsoft Defender for Office 365 bietet keine Allowlist oder eine andere integrierte Möglichkeit, bestimmte Domains als bedenklich oder unbedenklich zu markieren.

E-Mail Sicherheit in Microsoft 365 mit NoSpamProxy optimieren

Microsoft bietet mit Exchange Online Protection und Advanced Threat Protection ein recht leistungsfähiges Paket zum Schutz vor Spam und Malware. Die Anforderungen an die moderne Kommunikation sind heutzutage allerdings besonders hoch: Ein wirksamer Echtzeit-Schutz gegen jede Art von Schadcode, zuverlässige Kommunikation mit Partnern sowie Übersichtlichkeit und Transparenz werden immer häufiger vorausgesetzt. Mit NoSpamProxy lässt sich all dies realisieren – flexibel, skalierbar und mit integrierter E-Mail-Verschlüsselung.

Zuverlässig und einfach 

Das Level-of-Trust-System in NoSpamProxy lernt, mit wem Sie oder Mitarbeiter Ihres Unternehmens kommunizieren. Es ist ein mehrschichtiges System, das die Vertrauenswürdigkeit einer Kommunikationsbeziehung oder einer Domäne beurteilt. “Vertrauen” muss sich ein Absender verdienen. Eine verlässliche und dauerhafte Verbindungshistorie ist dabei entscheidend. Das System bewertet verschiedene Kriterien, u.a. Absenderadressen und Prüfsummen, vor allem aber auch die Adressbeziehungen zwischen Absendern und Empfängern von E-Mails sowie die Relation von Absender, Betreff und Domäne des Empfängers.

Mit der Nachrichtenverfolgung lässt sich die Verarbeitung jeder einzelnen E-Mail jederzeit detailliert und schnell nachvollziehen. Administratoren haben so jederzeit eine lückenlose Übersicht über die eingehende und ausgehende E-Mail-Kommunikation im Unternehmen. Volle Transparenz per Mausklick – oder auch PowerShell, denn Automation und Verwaltung ist in NoSpamProxy auch per Kommandozeile möglich.  

Transparent ist der Spam-Filter in NoSpamProxy auch deshalb, weil es eine Quarantäne nicht gibt: Abwehren statt sortieren lautet der Ansatz, der verhindert, dass E-Mails in unübersichtlichen Quarantäne-Ordnern verloren gehen. Werden E-Mails abgewiesen, werden “echte” Absender selbstverständlich über die nicht erfolgte Zustellung informiert. 

Content Disarm and Reconstuction 

NoSpamProxy wandelt Anhänge im Word-, Excel- oder PDF-Format regelbasiert und automatisiert in unkritische PDF-Dateien um. Auf diese Weise wird potenziell vorhandener Schadcode eliminiert und dem Empfänger so ein garantiert ungefährlicher Anhang zugestellt. Im PDF-Dokument findet sich – sofern konfiguriert – eine Vorschaltseite, auf der individuelle Hinweise zum Grund der Konvertierung angezeigt werden sowie bei Bedarf ein Link zum Originaldokument. 

Gefährliche URLs automatisch umschreiben 

Der URL Safeguard verhindert den Zugriff auf schädliche Inhalte, die über Links erreicht werden. Er prüft die Links in eingehenden E-Mails zunächst gegen Einträge unterschiedlichen Allowlists; ist die im Link enthaltene Domäne in keiner der Listen vorhanden, ersetzt NoSpamProxy den ursprünglichen Link durch einen Link, der auf das NoSpamProxy Web Portal zeigt. In diesen Fällen enthält die an den Empfänger ausgelieferte E-Mail nur den umgeschriebenen Link.  

Auf dem Web Portal werden die Links dann zum Zeitpunkt des Anklickens (time of click) ausgewertet. Wird der Link als ungefährlich eingestuft, wird der Zugriff auf die ursprüngliche URL zugelassen und ausgeführt. Wird der Link als gefährlich eingestuft, wird der Zugriff unterbunden.  

Mit Hilfe des Level-of-Trust-Konzeptes von NoSpamProxy kann der URL Safeguard beispielsweise nur für URLs in E-Mails von unbekannten Kommunikationspartnern aktiviert werden. 

Verschlüsselung integriert – direkt aus Microsoft Outlook heraus  

Verschlüsselte Kommunikation ist in vielen Branchen Voraussetzung für Vertragsvergaben und Rechtssicherheit – und außerdem die Basis für Datenschutz und EU-DSGVO-konformen Datenaustausch. NoSpamProxy bietet S/MIME- und PGP-Verschlüsselung per Knopfdruck, und übernimmt für Sie die Verwaltung von Schlüsseln und Zertifikaten.  

Fazit 

Microsoft bietet mit Microsoft Defender for Office 365 und EOP E-Mail-Security-Module, die einen Grundschutz bieten, der Unternehmen jedoch nur wenige Anpassungsmöglichkeiten bietet. Dieser Ansatz im Sinne eines one size fits all überlässt Microsoft beispielsweise die Entscheidung, ob ein Newsletter für einen Unternehmensanwender von Interesse ist oder im Spam-Ordner landet. Mit NoSpamProxy optimieren Sie Ihre Microsoft 365 E-Mail Security und garantieren Sicherheit, Transparenz und Einfachheit. NoSpamProxy ist Schutz vor Spam und Malware sowie sichere E-Mail-Verschlüsselung für Ihre Microsoft 365 E-Mails – skalierbar, zuverlässig und Made in Germany.