Konfiguration des Whitelistings für Awareness PLUS in Microsoft 365 (früher: Office365)
Letzte Anpassung: 02.2023
Neu:
- Neu-Ordnung der Konfigurations-Schritte
- Neue Abschnitte:
- Erweiterte Zustellung für den Microsoft 365 Defender
- Sichere Links im Microsoft 365 Defender
- Spoofintelligenz konfigurieren
- Whitelisting Technischer Absender
- Exchange-Online-Protection-Spamfilter und Clutter-Ordner
Vorherige Versionen: -
Diese Beschreibung basiert auf dem Stand des Microsoft 365 Portals im Februar 2023. Änderungen an der Benutzeroberfläche seitens Microsoft sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.
Whitelisting
Damit die simulierten Phishing-Mails des Awareness PLUS-Trainings nicht vom Microsoft Mailserver oder Microsoft Defender blockiert werden, muss an verschiedenen Stellen ein Whitelisting konfiguriert werden.
Die einzelnen Schritte sollten in der angegebenen Reihenfolge durchgeführt werden.
Die einzelnen Schritte sollten in der angegebenen Reihenfolge durchgeführt werden.
Basis Konfiguration
Erweiterte Zustellung für Phishing-Simulationen für den Microsoft 365 Defender
Abb.1
Anmeldung im MS365 Portal unter https://login.microsoftonline.com
Abb.2
Menu Sicherheit
Abb.3
Menu Richtlinien und Regeln
Abb.4
Menu Bedrohungsrichtlinien
Abb.5
Menu Erweiterte Zustellung
Abb.6
Auf Phishing-Simulation klicken und anschließend auf Bearbeiten, um Einträge hinzuzufügen.
Abb.7
Hier die Domäne des technischen Absenders eintragen (der gesamte Teil, der dem "@" der E-Mail-Adresse folgt, z.B. name@example.com).
Die IPv4-Adressen eintragen ( Auflistung aller verwendeten Adressen).
Die verwendeten Simulations-URLs in den Phishing-Links in das Feld eintragen (im Format: "beispiel.com").
Anschließend Speichern
Die IPv4-Adressen eintragen ( Auflistung aller verwendeten Adressen).
Die verwendeten Simulations-URLs in den Phishing-Links in das Feld eintragen (im Format: "beispiel.com").
Anschließend Speichern
Die in der Phishing-Simulation benutzen Domains können im Microsoft 365 Defender (ehemals Advanced Threat Protection [ATP]) hinterlegt werden, sodass kein Warnhinweis angezeigt wird.
Sichere Links einrichten im Microsoft 365 Defender
Abb.1
Zuerst muss sich bei Microsoft angemeldet werden und dann in den Reiter Microsoft 365 und Sicherheit gewechselt werden.
Abb.2
Reiter Richtlinien und Regeln
Abb.3
Schaltfläche + Erstellen klicken
Abb.4
Namen und ggf. Beschreibung vergeben
Abb.5
Die Domain der eigenen Organisation als Empfängerdomäne angeben
Abb.6
- Wählt aus, dass URLs neu geschrieben werden können
- Benutzerklicks verfolgt werden können
- Benutzer sich zur ursprünglichen URL durch klicken können
- Auf "0-URLs verwalten" klicken
Abb.7
Schaltfläche + URLs hinzufügen klicken
Abb.8
URLs eintragen, welche sich unter "Simulation" > "Whitelisting" > "Liste verwendeter Domains in den Phishing -Links" befinden. Dabei das Format https://domain/* einhalten.
Spoofintelligenz konfigurieren
Abb.1
Anmeldung im MS365 Portal unter https://login.microsoftonline.com
Abb.2
Menu Sicherheit
Abb.3
Menu Richtlinien und Regeln
Abb.4
Menu Bedrohungsrichtlinien
Abb.5
Menu Mandantenzulassungsliste/-sperrliste
Abb.6
Schaltfläche + Hinzufügen klicken
Abb.7
Erster Wert muss die gespoofte E-Mail-Adresse sein (diese findet sich unter: Simulation > Template-Vorschau)
Zweiter Wert (getrennt durch ein Komme) muss die IPv4-Adresse wie aus dem Whitelisting sein. Da es mehrere IP-Adressen gibt, sieht ein vollständiger Eintrag für einen gespooften Benutzer wie folgt aus:
Der Spoof-Typ muss "Intern" sein und die Aktion muss auf "Zulassen" gestellt sein.
Zweiter Wert (getrennt durch ein Komme) muss die IPv4-Adresse wie aus dem Whitelisting sein. Da es mehrere IP-Adressen gibt, sieht ein vollständiger Eintrag für einen gespooften Benutzer wie folgt aus:
- user1@Anyideas.de, erste IPv4-Adresse
- user1@Anyideas.de, zweite IPv4-Adresse
- user1@Anyideas.de, dritte IPv4-Adresse
Der Spoof-Typ muss "Intern" sein und die Aktion muss auf "Zulassen" gestellt sein.
Weitere Schritte
Sollte die oben genannten Anleitungen für das Whitelisting bei Microsoft-Produkten nicht ausreichen, können folgende zusätzlichen Schritte helfen:
Spamfilter und Clutterfilter in Exchange umgehen
Abb.1
Anmeldung im MS365 Portal unter https://login.microsoftonline.com
Abb.2
Menu Admin
Abb.3
Menü Exchange-Nachrichtenablaufverfolgung
Abb.4
Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen
Abb.5
Dropdownmenü: Neue Regel erstellen
Abb.6
- Eindeutigen Namen für die Regel vergeben (hier: Spam- und Clutterfilter vermeiden
- Weitere Optionen aufrufen
Abb.7
- In dem Dropdownmenü Diese Regel Anwenden wenn… Den Eintrag Absender auswählen
- Im Untermenü den Eintrag IP liegt in einem dieser Bereiche oder stimmt genau über ein mit auswählen
Abb.8
IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
Abb.9
Im Dropdownmenü *Folgendermaßen vorgehen den Eintrag Nachrichteneigenschaften ändern… und das Untermenü Nachrichtenkopf festlegen wählen
Abb.10
Folgende Werte eintragen
- Nachrichtenkopf erster Text:X-MS-Exchange-Organization-BypassClutter
- Wert zweiter Text:true
Abb.11
Eingetragene Werte
Abb.12
Schaltfläche
Abb.13
- Im Dropdownmenü Eintrag Nachrichteneigenschaften ändern… wählen
- Im Untermenü den Eintrag SCL-Bewertung (Spam Confidence Level) festlegen wählen
Abb.14
- Die Option wählen
- Mit das Fenster Schließen
Abb.15
- Angaben
- Die Umgehung des Spam- und Clutterfilters ist damit abgeschlossen
Einrichten der IP Zulassungsliste
Abb.1
Anmeldung im MS365 Portal unter https://login.microsoftonline.com
Abb.2
Menu Sicherheit
Abb.3
Menu Richtlinien und Regeln
Abb.4
Menu Bedrohungsrichtlinien
Abb.5
Menu Antispam
Abb.6
Auf den Eintrag Verbindungsfilterrichtlinie klicken
Abb.7
Link Verbindungsrichtlinie bearbeiten anklicken
Abb.8
IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit Speichern übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
Abb.9
Fertige Zulassungsliste
Einrichtung technischer Absender
Abb.1
Anmeldung im MS365 Portal unter https://login.microsoftonline.com
Abb.2
Menu Sicherheit
Abb.3
Menu Richtlinien und Regeln
Abb.4
Menu Bedrohungsrichtlinien
Abb.6
Menu Antispam
Abb.7
Auf den Eintrag Antispam-Einrichtungslinie (Standard) klicken
Abb.8
Im Popup-Fenster auf Zugelassene und blockierte Absender und Domänen bearbeiten klicken
Abb.9
Unter Absender(x) auf x Absender verwalten klicken
Abb.10
Im Fenster Zulässige Absender verwalten auf + Sender hinzufügen klicken
Datei:AWP MS365 Sender-hinzufügen.png
Abb.11
Die IP-Adresse des Absenders eintragen
Junk-Filter umgehen
Eine weitere Regel wird benötigt, um den Junk-Filter zu umgehen
Abb.1
Anmeldung im MS365 Portal unter https://login.microsoftonline.com
Abb.2
Menu Admin
Abb.3
Menü Exchange-Nachrichtenablaufverfolgung
Abb.4
Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen
Abb.5
Dropdownmenü: Neue Regel erstellen
Abb.6
- Eindeutigen Namen für die Regel vergeben (hier z.B.: Junkfilter nach IP-Adresse umgehen
- Weitere Optionen aufrufen
Abb.7
- In dem Dropdownmenü Diese Regel Anwenden wenn… Den Eintrag Absender auswählen
- Im Untermenü den Eintrag IP liegt in einem dieser Bereiche oder stimmt genau über ein mit auswählen
Abb.8
IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit Speichern übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
Abb.9
Im Dropdownmenü *Folgendermaßen vorgehen den Eintrag Nachrichteneigenschaften ändern… und das Untermenü Nachrichtenkopf festlegen wählen
Abb.10
Folgende Werte eintragen
- Nachrichtenkopf erster Text:X-Forefront-Antispam-Report
- Wert zweiter Text:SFV:SKI;
Abb.11
- Fertige Junkfilterregel mit eingetragenen Werten
- Abschließen mit