Whitelisting in Microsoft 365

Hinweis
Diese Beschreibung basiert auf dem Stand des Microsoft 365 Portals im Juni 2023. Änderungen an der Benutzeroberfläche seitens Microsoft sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Konfiguration des Whitelistings für Awareness PLUS in Microsoft 365 (früher: Office365)

Letzte Anpassung: 06.2023

Neu:

Neu-Ordnung der Konfigurations-Schritte
Neue Abschnitte:
- Erweiterte Zustellung für den Microsoft 365 Defender
- Sichere Links im Microsoft 365 Defender
- Spoofintelligenz konfigurieren
- Whitelisting Technischer Absender
- Exchange-Online-Protection-Spamfilter und Clutter-Ordner

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

-

Whitelisting

Damit die simulierten Phishing-Mails des Awareness PLUS-Trainings nicht vom Microsoft Mailserver oder Microsoft Defender blockiert werden, muss an verschiedenen Stellen ein Whitelisting konfiguriert werden.
Die einzelnen Schritte sollten in der angegebenen Reihenfolge durchgeführt werden.

Basis Konfiguration

Erweiterte Zustellung für Phishing-Simulationen für den Microsoft 365 Defender

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

AWP MS365 Defender Menü Erweiterte Zustellung.png

Abb.5

Menu Erweiterte Zustellung

AWP MS365 Defender SecOps-Postfach Simulation.png

Abb.6

Auf Phishing-Simulation klicken und anschließend auf Bearbeiten, um Einträge hinzuzufügen.

AWP MS365 Defender Drittanbieter-Phishing-Simulation bearbeiten.png

Abb.7

Hier die Domäne des technischen Absenders eintragen (der gesamte Teil, der dem "@" der E-Mail-Adresse folgt, z.B. admin@ttt-point.de → ttt-point.de).
Die IPv4-Adressen eintragen ( Auflistung aller verwendeten Adressen).
Die verwendeten Simulations-URLs in den Phishing-Links in das Feld eintragen (im Format: "anyideas.de").
Anschließend Speichern

Warnhinweis im Microsoft 365 Defender

Die in der Phishing-Simulation benutzten Domains können im Microsoft 365 Defender (ehemals Advanced Threat Protection - ATP) hinterlegt werden, sodass kein Warnhinweis angezeigt wird.

Sichere Links einrichten im Microsoft 365 Defender

Abb.1

Anmeldung bei Microsoft
Menü Sicherheit wählen

Abb.2

Reiter Richtlinien und Regeln

Abb.3

Schaltfläche Bedrohungsrichtlinien klicken

AWP MS365 Menu Bedrohungsrichtlinien Sichere-Links.png

Abb.4

Auf Sichere Links klicken

Abb.5

Namen und ggf. Beschreibung vergeben

Abb.6

In Domain der eigenen Organisation als Empfängerdomäne angeben

AWP Defender URL und Klick-Schutzeinstellungen.png

Abb.7

Wählt aus, dass URLs neu geschrieben werden können
Benutzerklicks sollen verfolgt werden können
Benutzer sollen sich zur ursprünglichen URL durchklicken können
Auf 0-URLs verwalten klicken

AWP Defender URLS verwalten oder hinzufügen.png

Abb.8

Schaltfläche URLs hinzufügen wählen

AWP Defender Benutzerdefinierte URL eingeben.png

Abb.9

URLs eintragen, welche sich unter "Simulation" → "Whitelisting" → "Liste verwendeter Domains in den Phishing-Links" befinden. Dabei das Format https://domain/* einhalten.

Spoofintelligenz konfigurieren

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

AWP MS365 Defender Menü Mandatenzulassungsliste.png

Abb.5

Menu Mandantenzulassungsliste/-sperrlisten

AWP MS365 Defender Menü Mandatenzulassungsliste hinzufügen.png

Abb.6

Schaltfläche Hinzufügen klicken

AWP MS365 Defender Spoofing Domanes eintragen.png

Abb.7

Erster Wert muss der gespoofte Benutzer (Anzeigename in der E-Mail) sein, dieser findet sich unter: Mandant wählen, in der Spalte "Absender".
Zweiter Wert (getrennt durch ein Komma) muss die IPv4-Adresse wie aus dem Whitelisting sein. Da es mehrere IP-Adressen gibt, sieht ein vollständiger Eintrag für einen gespooften Benutzer wie folgt aus:

user1@Anyideas.de, erste IPv4-Adresse
user1@Anyideas.de, zweite IPv4-Adresse
user1@Anyideas.de, dritte IPv4-Adresse

Der Spoof-Typ muss "Intern" sein und die Aktion muss auf "Zulassen" gestellt sein.

Weitere Schritte

Sollten die oben stehenden Anleitungen für das Whitelisting bei Microsoft-Produkten nicht ausreichend sein, können folgende zusätzliche Schritte helfen:

Spamfilter und Clutterfilter in Exchange umgehen

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menü Exchange-Nachrichtenablaufverfolgung

Abb.4

Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen

AWP MS365 Menu Exchange Regeln hinzufügen.png

Abb.5

Auf die Schaltfläche Eine Regel hinzufügen klicken
Im Dropdownmenu Eine neue Regel erstellen auswählen

AWP MS365 Menu Exchange Regel anlegen.png

Abb.6

Eindeutigen Namen für die Regel vergeben (hier: Spam- und Clutterfilter vermeiden
Im Dropdownmenü Diese Regel Anwenden wenn… den Eintrag Der Absender auswählen
Dann im Dropdownmenü den Eintrag IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
Auf Enter words klicken

Abb.7

IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!

Abb.8

Im Dropdownmenü Gehen Sie wie folgt vor: den Eintrag Nachrichteneigenschaften ändern wählen
Dann im nächstem Menu Nachrichtenkopf festlegen wählen

Exchange Spam-Clutter Regel Nachrichtenkopf festlegen.png

Abb.9

Folgende Werte eintragen

Nachrichtenkopf (1): X-MS-Exchange-Organization-BypassClutter
Wert (2): true

Abb.10

Bei Gehen Sie wie folgt vor: auf klicken
Bei Und im Dropdownmenü den Eintrag Nachrichteneigenschaften ändern wählen
Im Untermenü den Eintrag SCL-Bewertung (Spam Confidence Level) festlegen wählen

Exchange Regel Spamfilterung umgehen.png

Abb.11

Die Option Bypass spam filtering wählen
Mit Speichern das Fenster schließen

AWP Exchange Regel Spamfilterung abgeschlossen.png

Abb.12

Auf Weiter klicken
Die Umgehung des Spam- und Clutterfilters ist damit abgeschlossen

Einrichten der IP Zulassungsliste

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

Abb.5

Menu Antispam

AWP MS365 Menu Verbindungsrichtlinie.png

Abb.6

Auf den Eintrag Verbindungsfilterrichtlinie klicken

AWP MS365 Menu Verbindungsrichtlinie bearbeiten.png

Abb.7

Link Verbindungsrichtlinie bearbeiten anklicken

AWP MS365 Menu Verbindungsrichtlinie IP-Adressen.png

Abb.8

IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit Speichern übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!

Abb.9

Fertige Zulassungsliste

Einrichtung technischer Absender

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

Abb.6

Menu Antispam

AWP MS365 Antispam-Einrichtungslinie Standard.png

Abb.7

Auf den Eintrag Antispam-Einrichtungslinie (Standard) klicken

Abb.8

Im Popup-Fenster auf Zugelassene und blockierte Absender und Domänen bearbeiten klicken

AWP MS365 Zugelassene-blockierte-Absender-Domänen Absender.png

Abb.9

Unter Absender(x) auf x Absender verwalten klicken

AWP MS365 Zulässige-Absender-verwalten.png

Abb.10

Im Fenster Zulässige Absender verwalten auf Sender hinzufügen klicken

Abb.11

Die E-Mail-Adresse des technischen Absenders aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen.
Auf Sender hinzufügen klicken, um die Einträge abzuspeichern.

Ggf. landen die E-Mails trotzdem in der Quarantäne, dann muss zusätzlich zum technischen auch der angezeigte Absender (z.B. absender@anyideas.de) eingetragen werden.

Junk-Filter umgehen

Eine weitere Regel wird benötigt, um den Junk-Filter zu umgehen

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menü Exchange-Nachrichtenablaufverfolgung

Abb.4

Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen

Abb.5

Auf Eine Regel hinzufügen klicken
Im Dropdownmenü Neue Regel erstellen klicken

Abb.6

Eindeutigen Namen für die Regel vergeben (hier z.B.: Junkfilter nach IP-Adresse umgehen )
Bei Diese Regel anwenden, wenn Der Absender auswählen
IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
Auf Enter words klicken. Siehe dazu nächste Abbildung

Abb.7

IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!

AWP Exchange Junkregel Nachrichtenkopf.png

Abb.8

Bei Gehen Sie wie folgt vor: Nachrichteneigenschaften ändern auswählen
Nachrichtenkopf festlegen auswählen
Den Nachrichtenkopf (3) und den Wert (4) über einen Klick auf Enter text eintragen

Exchange Regel Nachrichtenkopf festlegen.png

Abb.9

Folgende Werte eintragen:

Bei Nachrichtenkopf (1): x-Forefront-Antispam-Report
Bei Wert (2): SFV:SKI;
Anschließend auf Weiter klicken

AWP MS365 Exchange Junkregel Schritt2.png

Abb.10

Bei Regelmodus wird Erzwingen ausgewählt
Bei Schweregrad genügt Nicht angegeben
Nach Belieben kann eingestellt werden zwischen welche Zeiten diese Regel aktiv sein soll

AWP MS365 Exchange Junkregel Schritt3.png

Abb.11

Überprüfen, ob die Einstellungen korrekt sind und dann auf Fertig stellen klicken