Exchange Online absichern: Anti-Phishing, Safe Links und Mailflow-Regeln

Die E-Mail-Bedrohungslandschaft

E-Mail ist nach wie vor der primäre Angriffsvektor bei Cyberangriffen. Die Zahlen sind seit Jahren stabil: Über 90 Prozent aller erfolgreichen Angriffe beginnen mit einer Phishing-Mail. Der Grund ist einfach: E-Mail erreicht jeden Mitarbeitenden direkt, umgeht Firewalls und Netzwerksicherheit und nutzt den Menschen als Schwachstelle.

Die Angriffe werden dabei immer raffinierter. Klassischer Spam mit offensichtlichen Rechtschreibfehlern und nigerianischen Prinzen macht nur noch einen kleinen Teil des Gesamtvolumens aus. Die wirklich gefährlichen Angriffe sind gezielt, personalisiert und technisch ausgereift:

Business Email Compromise (BEC): Der Angreifer gibt sich als Geschäftsführer, Finanzvorstand oder Geschäftspartner aus und weist einen Mitarbeitenden an, eine Überweisung durchzuführen oder vertrauliche Daten zu übermitteln. Die E-Mail enthält keine Malware und keinen Link, nur eine glaubwürdige Nachricht von einem vermeintlich vertrauenswürdigen Absender.

Credential Phishing: Eine E-Mail mit einem Link zu einer täuschend echten Kopie der Microsoft 365-Anmeldeseite. Der Mitarbeitende gibt seine Zugangsdaten ein und der Angreifer hat einen aktiven Account im Unternehmensnetzwerk.

Malware-Delivery: E-Mails mit schadhaften Anhängen (Office-Dokumente mit Makros, verschlüsselte ZIP-Dateien, HTML-Smuggling) oder Links zu Drive-by-Download-Seiten.

Thread Hijacking: Der Angreifer kompromittiert ein E-Mail-Konto und antwortet auf bestehende E-Mail-Konversationen mit einer schadhaften Nachricht. Da die Nachricht in einem vertrauten Kontext erscheint, ist die Klickwahrscheinlichkeit deutlich höher als bei einer unerwarteten E-Mail.

Die drei Schutzschichten

Exchange Online bietet ein dreischichtiges Schutzmodell:

Schicht 1: Exchange Online Protection (EOP)

EOP ist der Basis-Schutz, der in jeder Exchange Online-Lizenz enthalten ist:

• Anti-Spam: Filtert Spam-Nachrichten anhand von Absender-Reputation, Inhaltsanalyse und Machine Learning
• Anti-Malware: Scannt Anhänge mit mehreren Antimalware-Engines
• Verbindungsfilter: Blockiert E-Mails von bekannten Spam-IP-Adressen (IP Block List, IP Allow List)
• Spoofing-Schutz: Erkennt und blockiert E-Mails, die vorgeben, von deiner Domain zu stammen (Spoof Intelligence)

EOP reicht für den Basis-Schutz, hat aber Grenzen: Er erkennt keine Impersonation-Versuche (wenn jemand sich als dein CEO ausgibt, aber eine andere Domain verwendet), scannt URLs nur zum Zeitpunkt der Zustellung (nicht beim Klick) und analysiert Anhänge nur mit signaturbasierten Scannern (keine Sandbox-Analyse).

Schicht 2: Microsoft Defender for Office 365 Plan 1

Defender for Office 365 Plan 1 (enthalten in Business Premium und E3/E5 mit Add-on) erweitert EOP um:

Anti-Phishing mit Impersonation Protection:

• Erkennung von E-Mails, die vorgeben, von bestimmten internen Personen zu stammen (User Impersonation)
• Erkennung von E-Mails, die vorgeben, von bestimmten externen Domains zu stammen (Domain Impersonation)
• Mailbox Intelligence: Das System lernt die normalen Kommunikationsmuster jedes Benutzers und erkennt Abweichungen

Safe Links:

• URLs in E-Mails werden zum Zeitpunkt des Klicks gescannt, nicht nur bei der Zustellung
• Schutz gegen Time-of-Click-Angriffe (URL ist bei der Zustellung harmlos, wird erst Stunden später scharf geschaltet)
• URL-Detonation: Verdächtige URLs werden in einer Sandbox geöffnet und auf schädliches Verhalten geprüft

Safe Attachments:

• Anhänge werden in einer Sandbox-Umgebung (Detonation Chamber) ausgeführt und auf schädliches Verhalten analysiert
• Schutz gegen Zero-Day-Malware, die von signaturbasierten Scannern noch nicht erkannt wird
• Dynamic Delivery: Die E-Mail wird sofort zugestellt (mit einem Platzhalter für den Anhang), der Anhang wird nach der Analyse nachgereicht

Schicht 3: Microsoft Defender for Office 365 Plan 2

Plan 2 (enthalten in E5 oder als Add-on) ergänzt Plan 1 um:

• Threat Explorer: Interaktive Untersuchung von E-Mail-Bedrohungen (welche Phishing-Mails haben den Filter passiert?)
• Automated Investigation and Response (AIR): Automatisierte Untersuchung und Behebung von erkannten Bedrohungen
• Attack Simulation Training: Simulierte Phishing-Kampagnen zur Schulung der Mitarbeitenden
• Threat Trackers: Dashboards für aktuelle Bedrohungskampagnen

Für die meisten mittelständischen Unternehmen reicht Plan 1. Plan 2 lohnt sich, wenn du Attack Simulation Training nutzen möchtest oder eine fortgeschrittene Threat-Hunting-Fähigkeit brauchst.

Anti-Phishing-Richtlinien konfigurieren

Standard-Richtlinie anpassen

Exchange Online hat eine Standard-Anti-Phishing-Richtlinie, die für alle Benutzer gilt. Passe diese an:

Phishing-Schwellenwert: Der Phishing-Schwellenwert bestimmt die Aggressivität der Erkennung. Stufe 1 (Standard) ist am wenigsten aggressiv, Stufe 4 am aggressivsten. Empfehlung: Beginne mit Stufe 2 (Aggressive) und erhöhe auf Stufe 3 (More aggressive), wenn die False-Positive-Rate akzeptabel ist.

Impersonation Protection (Defender for Office 365):

User Impersonation: Füge die E-Mail-Adressen der Personen hinzu, die am häufigsten impersoniert werden: Geschäftsführung, Finanzverantwortliche, IT-Leitung, Personalleitung. Bei erkannter Impersonation: Nachricht in Quarantäne verschieben.

Domain Impersonation: Füge die Domains hinzu, die am häufigsten nachgeahmt werden: Eigene Domains, Domains von Banken, Steuerberatern, Rechtsanwälten und wichtigen Geschäftspartnern. Bei erkannter Impersonation: Nachricht in Quarantäne verschieben.

Mailbox Intelligence: Aktiviere Mailbox Intelligence und die zugehörige Impersonation Protection. Das System lernt, mit wem jeder Benutzer normalerweise kommuniziert, und markiert E-Mails als verdächtig, die von ähnlich aussehenden, aber unbekannten Adressen kommen.

First Contact Safety Tip: Aktiviere den First Contact Safety Tip. Wenn ein Benutzer zum ersten Mal eine E-Mail von einem bestimmten Absender erhält, wird ein gelber Hinweis angezeigt: "Sie erhalten zum ersten Mal eine E-Mail von diesem Absender. Seien Sie vorsichtig." Das ist besonders effektiv gegen Impersonation und Thread Hijacking.

Spoof Intelligence: Überprüfe regelmäßig die Spoof Intelligence Insight im Security Center. Hier siehst du, welche externen Absender E-Mails in deinem Namen versenden (z.B. Marketingplattformen, CRM-Systeme, Newsletter-Dienste). Erlaube legitime Absender und blockiere den Rest.

Safe Links im Detail

Konfiguration

Globale Einstellungen:

• URL-Tracking aktivieren (welche Links werden von Benutzern geklickt?)
• "Do not rewrite URLs, do check via Safe Links API": Empfohlen, wenn URL-Rewriting Probleme mit bestimmten Anwendungen verursacht
• Block-Liste: URLs, die immer blockiert werden sollen (z.B. bekannte Phishing-Domains)

Safe Links Policy:

• Auf alle Benutzer anwenden
• URLs in E-Mail-Nachrichten scannen: Ja
• Safe Links auf URLs in Microsoft Teams-Nachrichten anwenden: Ja
• Safe Links auf URLs in Office-Dokumenten anwenden: Ja (schützt gegen Phishing-Links in Word/Excel/PowerPoint)
• Benutzer nicht über die Originaladresse klicken lassen: Ja (verhindert, dass Benutzer Safe Links umgehen)
• URLs gegen bekannte schadhafte Links in Echtzeit scannen: Ja
• Verdächtige URLs und Links auf Dateien vor dem Zustellen vollständig scannen: Ja

Ausnahmen minimieren

Eine häufige Falle: Benutzer beschweren sich, dass Safe Links den Zugriff auf bestimmte URLs verzögert oder blockiert, und die IT fügt die Domain zur Ausnahmeliste hinzu. Jede Ausnahme ist eine Lücke im Schutz. Prüfe jede Ausnahme kritisch und suche nach alternativen Lösungen, bevor du eine Domain auf die Ausnahmeliste setzt.

Legitime Gründe für Ausnahmen:

• Interne Anwendungen, die Safe Links nicht korrekt verarbeiten (z.B. bestimmte Ticketsysteme)
• Domains von Sicherheitstools, die URL-Rewriting stören (z.B. Phishing-Simulationsplattformen)

Keine legitimen Gründe:

• "Der Benutzer findet es lästig" (Sicherheit vor Komfort)
• "Die Domain ist vertrauenswürdig" (auch vertrauenswürdige Domains können kompromittiert werden)

Safe Attachments im Detail

Konfiguration

Safe Attachments Policy:

• Auf alle Benutzer anwenden
• Aktion bei erkannter Malware: Block (Nachricht und Anhang blockieren) oder Dynamic Delivery (Nachricht sofort zustellen, Anhang nach Scan nachreichen)
• Empfehlung: Dynamic Delivery für die meiste Kommunikation, Block für Hochrisikogruppen (Geschäftsführung, Finanzabteilung)
• Redirect: Erkannte schadhafte Anhänge an eine Monitoring-Mailbox weiterleiten (für die Analyse durch IT-Sicherheit)

Safe Attachments für SharePoint, OneDrive und Teams: Aktiviere Safe Attachments auch für Dateien, die in SharePoint, OneDrive und Teams hochgeladen werden. Das schützt gegen Malware, die über den Datei-Upload statt per E-Mail ins Unternehmen gelangt.

Performance-Überlegungen

Safe Attachments verursacht eine Verzögerung bei der E-Mail-Zustellung, weil der Anhang in der Sandbox analysiert werden muss. Die Dauer variiert je nach Dateityp und Komplexität zwischen 30 Sekunden und wenigen Minuten. Dynamic Delivery minimiert die wahrgenommene Verzögerung, weil die Nachricht sofort zugestellt wird und nur der Anhang auf sich warten lässt.

Kommuniziere die Verzögerung proaktiv an die Mitarbeitenden, damit sie nicht ungeduldig werden und die IT auffordern, den Schutz zu deaktivieren.

Mailflow-Regeln für zusätzlichen Schutz

Mailflow-Regeln (Transport Rules) in Exchange Online ermöglichen zusätzliche Schutzmaßnahmen, die über die Möglichkeiten von EOP und Defender for Office 365 hinausgehen.

External Sender Warning

Eine der effektivsten und einfachsten Maßnahmen: Füge allen eingehenden E-Mails von externen Absendern einen gut sichtbaren Warnhinweis hinzu.

Konfiguration:

• Bedingung: Absender ist außerhalb der Organisation
• Aktion: Nachricht mit HTML-Disclaimer am Anfang versehen
• HTML-Disclaimer: Ein gelber oder oranger Balken mit dem Text "EXTERN: Diese Nachricht stammt von außerhalb Ihrer Organisation. Seien Sie vorsichtig mit Links und Anhängen."

Diese einfache Maßnahme reduziert die Erfolgsrate von Phishing-Angriffen erheblich, weil Mitarbeitende sofort sehen, dass eine E-Mail nicht von einem internen Kollegen stammt, auch wenn der Anzeigename das suggeriert.

Auto-Forward an externe Adressen blockieren

Wenn ein Angreifer ein E-Mail-Konto kompromittiert – etwa über gestohlene Zugangsdaten ohne MFA –, richtet er oft eine automatische Weiterleitung an eine externe Adresse ein, um dauerhaft alle E-Mails mitzulesen, ohne sich erneut anmelden zu müssen. Diese Weiterleitung bleibt aktiv, auch wenn das Passwort geändert wird.

Konfiguration:

• Bedingung: Nachrichtentyp = Auto-forward
• Bedingung: Absender ist innerhalb der Organisation
• Bedingung: Empfänger ist außerhalb der Organisation
• Aktion: Nachricht ablehnen mit Fehlermeldung
• Alternative: In der Anti-Spam-Richtlinie unter "Automatic forwarding" die Option "Off - Forwarding is disabled" wählen

Gefährliche Dateitypen blockieren

Blockiere den Empfang von Dateitypen, die häufig für Malware-Delivery verwendet werden:

Zu blockierende Dateitypen:

• Ausführbare Dateien: .exe, .com, .scr, .pif, .bat, .cmd, .ps1, .vbs, .vbe, .js, .jse, .wsf, .wsh
• Skript-Dateien: .hta, .msi, .msp, .mst
• Makro-fähige Office-Dateien (optional): .docm, .xlsm, .pptm
• Komprimierte Archive mit passwortgeschütztem Inhalt (können von Safe Attachments nicht gescannt werden)

Konfiguration:

• Bedingung: Anhang hat Dateierweiterung aus der Block-Liste
• Aktion: Nachricht in Quarantäne verschieben mit Benachrichtigung an den Empfänger

TLS-Erzwingung für bestimmte Partner

Für die Kommunikation mit bestimmten Partnern (Steuerberater, Rechtsanwälte, Banken) kannst du TLS-Verschlüsselung erzwingen:

Konfiguration:

• Bedingung: Empfänger-Domain = partner-domain.de
• Aktion: TLS-Verschlüsselung erzwingen (Require TLS, opportunistic TLS ist der Standard)
• Fallback: Nachricht in NDR (Non-Delivery Report) umwandeln, wenn TLS nicht möglich ist

E-Mail-Authentifizierung: SPF, DKIM und DMARC

SPF, DKIM und DMARC sind drei zusammenhängende Technologien, die deine Domain vor Missbrauch durch Dritte schützen. Sie verhindern, dass Angreifer E-Mails versenden können, die so aussehen, als kämen sie von deiner Domain. Gleichzeitig verbessern sie die Zustellbarkeit deiner eigenen E-Mails, weil Empfängerserver verifizieren können, dass die E-Mail tatsächlich von dir stammt.

SPF (Sender Policy Framework)

SPF definiert, welche Mail-Server berechtigt sind, E-Mails im Namen deiner Domain zu versenden. Der SPF-Record ist ein DNS-TXT-Eintrag, der die IP-Adressen und Hostnamen der autorisierten Mailserver auflistet.

Empfohlener SPF-Record für Exchange Online:

v=spf1 include:spf.protection.outlook.com -all

Wenn du zusätzlich zu Exchange Online weitere Dienste nutzt, die E-Mails in deinem Namen versenden (Newsletter-Tools, CRM-Systeme, Ticketsysteme), müssen deren Server ebenfalls im SPF-Record aufgeführt werden:

v=spf1 include:spf.protection.outlook.com include:mailservice.example.com -all

Das -all am Ende ist wichtig: Es besagt, dass E-Mails von nicht autorisierten Servern abgelehnt werden sollen (Hard Fail). Ein ~all (Soft Fail) ist weniger restriktiv und wird von vielen Empfängern ignoriert.

DKIM (DomainKeys Identified Mail)

DKIM signiert ausgehende E-Mails mit einem kryptographischen Schlüssel, der dem Empfänger-Server erlaubt, die Integrität der Nachricht zu verifizieren. Wenn die Signatur nicht stimmt, wurde die Nachricht auf dem Transportweg verändert.

Einrichtung in Exchange Online:

1. Im Microsoft 365 Defender Portal unter E-Mail > Policies > DKIM
2. Die eigene Domain auswählen und DKIM aktivieren
3. Die zwei CNAME-Records, die Microsoft generiert, im DNS eintragen
4. Nach der DNS-Propagierung die DKIM-Signierung aktivieren

DKIM ist für Exchange Online standardmäßig nicht aktiviert (Microsoft signiert mit der Standard-Domain onmicrosoft.com, aber nicht mit deiner eigenen Domain). Aktiviere DKIM explizit für jede Domain, die du in Exchange Online verwendest.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

DMARC baut auf SPF und DKIM auf und definiert, was mit E-Mails passieren soll, die SPF oder DKIM nicht bestehen. Gleichzeitig liefert DMARC Berichte, die dir zeigen, wer E-Mails im Namen deiner Domain versendet (legitim und illegitim).

Empfohlene DMARC-Einführung:

Phase 1: Monitoring (4-8 Wochen)

v=DMARC1; p=none; rua=mailto:dmarc-reports@deine-domain.de; ruf=mailto:dmarc-forensic@deine-domain.de

Die Policy p=none bedeutet, dass fehlgeschlagene E-Mails nicht blockiert werden, aber du Berichte erhältst. Nutze einen DMARC-Analysedienst (z.B. DMARC Analyzer, dmarcian, Postmark), um die Berichte auszuwerten.

Phase 2: Quarantäne

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@deine-domain.de

Fehlgeschlagene E-Mails werden in den Spam-Ordner des Empfängers verschoben. Setze diesen Schritt erst um, wenn du sicher bist, dass alle legitimen Absender in SPF und DKIM erfasst sind.

Phase 3: Reject

v=DMARC1; p=reject; rua=mailto:dmarc-reports@deine-domain.de

Fehlgeschlagene E-Mails werden komplett abgelehnt. Das ist das Ziel, weil es den stärksten Schutz gegen Domain-Spoofing bietet.

Journaling und Archivierung

Für bestimmte regulatorische Anforderungen oder interne Richtlinien kann es notwendig sein, alle E-Mails zu archivieren:

Exchange Online Archiving: Exchange Online bietet ein integriertes Archivpostfach (In-Place Archive), das ältere E-Mails automatisch verschiebt:

• Automatische Archivierung nach 2 Jahren (konfigurierbar über Retention Tags)
• Archivpostfach mit 50 GB bis unbegrenztem Speicher (je nach Lizenz)
• Durchsuchbar über eDiscovery

Journaling: Für Branchen mit strengen Archivierungspflichten (Finanzdienstleistungen) bietet Exchange Online Journaling-Regeln, die eine Kopie aller E-Mails (intern und extern) an ein dediziertes Journal-Postfach oder einen Drittanbieter-Archivdienst senden.

Exchange Online im ISMS

Die E-Mail-Sicherheitskonfiguration adressiert mehrere ISO 27001-Controls:

A.5.14 (Informationstransfer):

• Anti-Phishing und Anti-Spam als Schutz des E-Mail-Kanals
• TLS-Erzwingung für bestimmte Partner
• DLP für E-Mails (Schutz gegen Datenabfluss)

A.8.7 (Schutz gegen Malware):

• Safe Attachments (Sandbox-Analyse)
• Blockade gefährlicher Dateitypen
• Anti-Malware in EOP

A.8.23 (Web-Filterung):

• Safe Links (URL-Scanning beim Klick)
• Anti-Phishing mit Impersonation Protection

A.8.24 (Nutzung von Kryptographie):

• TLS-Verschlüsselung im E-Mail-Transport
• DKIM-Signierung ausgehender E-Mails
• S/MIME oder OME (Office Message Encryption) für vertrauliche E-Mails

A.5.33 (Schutz von Aufzeichnungen):

• Retention Policies für E-Mail-Aufbewahrung
• Exchange Online Archiving
• Journaling (bei regulatorischen Anforderungen)

Dokumentation im ISMS

Erstelle eine E-Mail-Sicherheitsrichtlinie, die folgende Punkte abdeckt. In ISMS Lite kannst du Anti-Phishing-Richtlinien, Mailflow-Regeln und die SPF/DKIM/DMARC-Konfiguration als TOMs dokumentieren und den ISO 27001-Controls zuordnen:

• Konfigurierte Schutzmaßnahmen (EOP, Defender, Mailflow-Regeln) mit Begründung
• SPF-, DKIM- und DMARC-Konfiguration
• Ausnahmelisten (welche Domains/Absender sind von welchen Regeln ausgenommen und warum)
• Monitoring-Prozess (wer prüft die Quarantäne, wer wertet DMARC-Berichte aus)
• Eskalationsprozess bei erkanntem Phishing (wie melden Mitarbeitende verdächtige E-Mails, was passiert dann?)
• Aufbewahrungsfristen für E-Mails

Monitoring und Betrieb

Tägliches Monitoring:

• Quarantäne prüfen: False Positives identifizieren und freigeben
• Automatische Alerts bei erkannten Phishing-Kampagnen prüfen

Wöchentliches Review:

• Threat Explorer (Plan 2): Welche Phishing-Mails wurden zugestellt? Welche wurden geklickt?
• Spoof Intelligence: Neue Spoofing-Versuche prüfen und bewerten
• Quarantäne-Statistiken: Wie viele Nachrichten wurden blockiert? Trend steigend oder fallend?

Monatliches Reporting:

• DMARC-Berichte auswerten: Versendet jemand unberechtigt E-Mails in deinem Namen?
• E-Mail-Sicherheitsstatistiken für das ISMS-Dashboard aufbereiten
• DLP-Reports (Match-Rate, False Positives, User Overrides)

Quartalsweise Überprüfung:

• Anti-Phishing-Richtlinien und Impersonation Protection prüfen (neue Führungskräfte hinzufügen, ausgeschiedene entfernen)
• Mailflow-Regeln auf Aktualität prüfen
• SPF-Record prüfen (neue Absendedienste ergänzt? Alte entfernt?)
• Safe Links/Attachments-Ausnahmen überprüfen

Weiterführende Artikel

• Microsoft 365 absichern: Die 15 wichtigsten Sicherheitseinstellungen
• Phishing erkennen und melden: Awareness-Training für Mitarbeitende
• E-Mail-Sicherheit: SPF, DKIM und DMARC richtig einrichten
• Security-Awareness-Programm aufbauen: Von der Pflicht zur Kultur
• Sicherheitsvorfall erkennen und melden: Prozesse und Meldewege