E-Mails mit Exchange Online User Submissions melden
Mailfilter- und Sicherheitslösungen haben einen langen Weg zurückgelegt, seit KI und maschinelles Lernen zum Mainstream geworden sind. Sie hängen aber im hohen Maße vom Reputations-Level ab. Und kein System ist perfekt. Falsch positive / falsch negative Ergebnisse können nie ausgeschlossen werden. Da die E-Mail-Sicherheit als erste Verteidigungslinie die wichtigste Rolle spielt, kann dies zu einem Problem werden. Administratoren sind oft nicht in der Lage, alle E-Mails auszuwerten, die Exchange Online erhält und eventuell fälschlicherweise zugestellt hat. Um die „Sensoren“ für diese Aufgabe zu vervielfachen, hat Microsoft die sogenannte „User Submission“ in Exchange Online implementiert. So können Nutzer Nachrichten einfacher melden, die entweder ohne Grund an den Junk-Ordner gesendet wurden oder in den Posteingang zugestellt wurden, obwohl sie bösartig waren.
In diesem Beitrag möchte ich Ihnen einen kurzen Überblick über dieses Feature geben.
Die meisten Benutzer werden höchstwahrscheinlich die vollständigen Desktop-Apps verwenden. Daher beginnen wir damit, das sogenannte „Report Message“-Add-In zu verteilen:
Deployment des Office-Add-Ins
Öffnen Sie das Microsoft 365 Admin Center. Die Bereitstellung von Office-Add-Ins finden Sie unter Settings > Integrated apps > Get apps:
Suchen Sie nach „Report Message“ und klicken Sie auf „Get it now“:
Jetzt können wir auswählen, welche Benutzer das Add-In erhalten sollen:
Apps erfordern auch Berechtigungen, die Sie akzeptieren müssen:
Nach Beendigung des Deployments kann es einige Zeit dauern, bis die App in Office verfügbar ist.
Der Benutzerkreis des Add-Ins kann nachträglich jederzeit geändert werden:
Konfigurieren von User Submissions
Besuchen Sie https://protection.office.com/userSubmissionsReportMessage.
User Submissions können für die Meldung an Microsoft bzw. sowohl an Microsoft als auch an eine benutzerdefinierte Mailbox konfiguriert werden. Ich empfehle die Verwendung einer benutzerdefinierten Mailbox, wenn Sie sofort über eingereichte Nachrichten informiert werden möchten.
Sie können den Titel und die Nachricht, die dem Benutzer vor und nach der Übermittlung angezeigt wird, anpassen:
Sie können auch den Umfang der Einstellungen, die ein Benutzer lokal vornehmen kann, einschränken. Wenn Sie z. B. alle Nachrichten automatisch an Microsoft senden möchten, können Sie die Optionen „Ask me before sending a report“ und „Never send reports“ abwählen. Das dem Benutzer zu überlassen sieht so aus:
Da persönliche Daten übermittelt werden könnten, schlage ich vor, den Benutzer entscheiden zu lassen. Dies hängt jedoch von Ihrer Implementierung ab.
Benutzererfahrung
Microsoft 365 Apps für Unternehmen
Nach der Bereitstellung des Add-Ins erhalten Benutzer eine zusätzliche Option in der Menüleiste mit dem Namen „Report Message“:
Hinweis
Dies ist natürlich nur eine Beispiel-Mail, die völlig harmlos ist, da sie von unserem automatisierten Gastbenutzerverwaltungssystem generiert wurde.
Sie erlaubt die Meldung von Nachrichten als:
- Junk: Die Nachricht wird in den Junk verschoben und gemeldet, wenn der Benutzer zustimmt.
- Phishing: Die Nachricht wird zu den gelöschten Elementen verschoben und gemeldet, wenn der Benutzer zustimmt. Dadurch wird auch eine automatische Untersuchung in Microsoft Defender for Office 365 gestartet:
- Kein Junk: Die Nachricht wird in den Posteingang verschoben und gemeldet, wenn der Benutzer zustimmt.
Optionen können auch angepasst werden, wenn dies nicht von der Administrationsseite aus geschieht.
Outlook im Web
Wie bei vielen anderen Funktionen unterscheidet sich Outlook im Web vom vollständigen Desktop-Client. Hier ist das Senden von Nachrichten standardmäßig eingeschaltet, kann aber mit einer Richtlinie für Outlook im Web-Postfach deaktiviert werden. Das wollen wir hier nicht tun, also lassen Sie uns einen Blick auf die Berichts-GUI werfen.
Optionen im Ordner Junk-E-Mail:
Optionen in anderen Ordnern:
Ausblick für iOS und Android
Die mobilen Apps verfügen auch über Reporting-Funktionen:
Admin-Erfahrung
Lassen Sie uns nun zur Admin-Seite übergehen. Sie können die Beiträge Ihrer Benutzer hier einsehen: https://protection.office.com/reportsubmission
Die Registerkarte „User submissions“ enthält, was Benutzer an Microsoft melden.
Wenn Sie die Benachrichtigung per benutzerdefinierter Mailbox aktiviert haben und Benutzer der Meldung an Microsoft nicht zustimmen, können Sie eingereichte Nachrichten dort einsehen und von Admin-Seite an Microsoft senden. Sie können darüber hinaus eine automatisierte Untersuchung anstoßen:
Da dies auf den Funktionen des Threat Explorer aufbaut, können Sie auch auf den Betreff einer E-Mail klicken, um weitere Informationen zu erhalten.
Diese Punkte sollten Sie bedenken:
- Nachrichten einschließlich ihres Inhalts könnten zur Analyse an Microsoft übermittelt werden.
- Benutzer müssen geschult werden, wie das Add-In „Report Message“ zu verwenden ist.
- Das Add-In „Report Message” ist für Postfächer in lokalen Exchange-Organisationen nicht verfügbar.
- Ich bin in diesem Beitrag nicht auf die Lizenzierung eingegangen.
- Ihre Organisation benötigt eine zentralisierte Bereitstellung für das Add-In: https://docs.microsoft.com/en-us/microsoft-365/admin/manage/centralized-deployment-of-add-ins?view=o365-worldwide.
- Exchange Online User Submissions sind „nur“ eine unterstützende Funktion, die Ihre Sicherheitsrichtlinien ergänzt.
Vielen Dank für Ihr Interesse!
Christian Müller
Hinweis
Bitte beachten Sie, dass alle Inhalte dieses Blogbeitrags ohne jegliche Garantie zur Verfügung gestellt werden.
Die englische Version des Artikels finden Sie im Blog unseres Kollegen Christian Müller:
https://chrisonsecurity.net/2020/09/09/report-messages-with-exchange-online-user-submissions/