Whitelisting in Microsoft 365

Basis Konfiguration

Erweiterte Zustellung für Phishing-Simulationen für den Microsoft 365 Defender

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

Abb.5

Menu Erweiterte Zustellung

Abb.6

Auf Phishing-Simulation klicken und anschließend auf Bearbeiten, um Einträge hinzuzufügen.

Abb.7

Hier die Domäne des technischen Absenders eintragen (der gesamte Teil, der dem "@" der E-Mail-Adresse folgt, z.B. admin@ttt-point.de → ttt-point.de).
Die IPv4-Adressen eintragen ( Auflistung aller verwendeten Adressen).
Die verwendeten Simulations-URLs in den Phishing-Links in das Feld eintragen (im Format: "anyideas.de").
Anschließend Speichern

Warnhinweis im Microsoft 365 Defender

Die in der Phishing-Simulation benutzten Domains können im Microsoft 365 Defender (ehemals Advanced Threat Protection - ATP) hinterlegt werden, sodass kein Warnhinweis angezeigt wird.

Sichere Links einrichten im Microsoft 365 Defender

Abb.1

• Anmeldung bei Microsoft
• Menü Sicherheit wählen

Abb.2

Reiter Richtlinien und Regeln

Abb.3

Schaltfläche Bedrohungsrichtlinien klicken

Abb.4

Auf Sichere Links klicken

Abb.5

Namen und ggf. Beschreibung vergeben

Abb.6

In Domain der eigenen Organisation als Empfängerdomäne angeben

Abb.7

1. Wählt aus, dass URLs neu geschrieben werden können
2. Benutzerklicks sollen verfolgt werden können
3. Benutzer sollen sich zur ursprünglichen URL durchklicken können
4. Auf 0-URLs verwalten klicken

Abb.8

Schaltfläche URLs hinzufügen wählen

Abb.9

URLs eintragen, welche sich unter "Simulation" → "Whitelisting" → "Liste verwendeter Domains in den Phishing-Links" befinden. Dabei das Format https://domain/* einhalten.

Spoofintelligenz konfigurieren

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

Abb.5

Menu Mandantenzulassungsliste/-sperrlisten

Abb.6

➊ Reiter Gespoofte Absender wählen
➋ Schaltfläche Hinzufügen klicken

Abb.7

• 1. Wert: Der Einfachheit halber kann ein * als Wildcard verwendet werden
• 2. Wert: (getrennt durch ein Komma) Die IPv4-Adresse wie im Whitelisting
  • Falls im Whitelisting mehrere IP-Adressen zu sehen sind, muss für jede IP-Adresse eine Zeile geschrieben werden.
  • Falls eine IP-Range zu sehen ist, müssen alle IP-Adressen aus dieser Range (exklusive der Netzwerk- und Broadcast-Adresse
    ‍

    also der ersten und letzten Adresse
    ) hinzugefügt werden. Für die IP-Range 18.153.184.0/27 müssen die folgenden Einträge hinzugefügt werden:
    *, 18.153.184.1
    *, 18.153.184.2
    *, 18.153.184.3
    *, 18.153.184.4
    *, 18.153.184.5
    *, 18.153.184.6
    *, 18.153.184.7
    *, 18.153.184.8
    *, 18.153.184.9
    *, 18.153.184.10
    *, 18.153.184.11
    *, 18.153.184.12
    *, 18.153.184.13
    *, 18.153.184.14
    *, 18.153.184.15
    *, 18.153.184.16
    *, 18.153.184.17
    *, 18.153.184.18
    *, 18.153.184.19
    *, 18.153.184.20 *, 18.153.184.21
    *, 18.153.184.22
    *, 18.153.184.23
    *, 18.153.184.24
    *, 18.153.184.25
    *, 18.153.184.26
    *, 18.153.184.27
    *, 18.153.184.28
    *, 18.153.184.29
    *, 18.153.184.30
    
  • Spoof-Typ Intern
  • Aktion Zulassen
• Schaltfläche Hinzufügen klicken
• Es sind max. 20 Einträge pro Speichervorgang möglich

Weitere Schritte

Spamfilter und Clutterfilter in Exchange umgehen

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menü Exchange-Nachrichtenablaufverfolgung

Abb.4

Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen

Abb.5

• Auf die Schaltfläche Eine Regel hinzufügen klicken
• Im Dropdownmenu Eine neue Regel erstellen auswählen

Abb.6

• Eindeutigen Namen für die Regel vergeben (hier: Spam- und Clutterfilter vermeiden
• Im Dropdownmenü Diese Regel Anwenden wenn… den Eintrag Der Absender auswählen
• Dann im Dropdownmenü den Eintrag IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
• Auf Enter words klicken

Abb.7

IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!

Abb.8

• Im Dropdownmenü Gehen Sie wie folgt vor: den Eintrag Nachrichteneigenschaften ändern wählen
• Dann im nächstem Menu Nachrichtenkopf festlegen wählen

Abb.9

Folgende Werte eintragen

• Nachrichtenkopf (1): X-MS-Exchange-Organization-BypassClutter
• Wert (2): true

Abb.10

• Bei Gehen Sie wie folgt vor: auf klicken
• Bei Und im Dropdownmenü den Eintrag Nachrichteneigenschaften ändern wählen
• Im Untermenü den Eintrag SCL-Bewertung (Spam Confidence Level) festlegen wählen

Abb.11

• Die Option Bypass spam filtering wählen
• Mit Speichern das Fenster schließen

Abb.12

• Auf Weiter klicken
• Die Umgehung des Spam- und Clutterfilters ist damit abgeschlossen

Einrichten der IP Zulassungsliste

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

Abb.5

Menu Antispam

Abb.6

Auf den Eintrag Verbindungsfilterrichtlinie klicken

Abb.7

Link Verbindungsrichtlinie bearbeiten anklicken

Abb.8

IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit Speichern übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!

Abb.9

Fertige Zulassungsliste

Einrichtung technischer Absender

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menu Richtlinien und Regeln

Abb.4

Menu Bedrohungsrichtlinien

Abb.6

Menu Antispam

Abb.7

Auf den Eintrag Antispam-Einrichtungslinie (Standard) klicken

Abb.8

Im Popup-Fenster auf Zugelassene und blockierte Absender und Domänen bearbeiten klicken

Abb.9

Unter Absender(x) auf x Absender verwalten klicken

Abb.10

Im Fenster Zulässige Absender verwalten auf Sender hinzufügen klicken

Abb.11

Die E-Mail-Adresse des technischen Absenders aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen.
Auf Sender hinzufügen klicken, um die Einträge abzuspeichern.

Ggf. landen die E-Mails trotzdem in der Quarantäne, dann muss zusätzlich zum technischen auch der angezeigte Absender (z.B. absender@anyideas.de) eingetragen werden.

Junk-Filter umgehen

Eine weitere Regel wird benötigt, um den Junk-Filter zu umgehen

Abb.1

Anmeldung im MS365 Portal unter https://login.microsoftonline.com

Abb.2

Menu Sicherheit

Abb.3

Menü Exchange-Nachrichtenablaufverfolgung

Abb.4

Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen

Abb.5

• Auf Eine Regel hinzufügen klicken
• Im Dropdownmenü Neue Regel erstellen klicken

Abb.6

• Eindeutigen Namen für die Regel vergeben (hier z.B.: Junkfilter nach IP-Adresse umgehen )
• Bei Diese Regel anwenden, wenn Der Absender auswählen
• IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
• Auf Enter words klicken. Siehe dazu nächste Abbildung

Abb.7

IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen
In der Abb. sind Beispiel-IPs, die nicht verwendet werden!

Abb.8

• Bei Gehen Sie wie folgt vor: Nachrichteneigenschaften ändern auswählen
• Nachrichtenkopf festlegen auswählen
• Den Nachrichtenkopf (3) und den Wert (4) über einen Klick auf Enter text eintragen

Abb.9

Folgende Werte eintragen:

• Bei Nachrichtenkopf (1): x-Forefront-Antispam-Report
• Bei Wert (2): SFV:SKI;
• Anschließend auf Weiter klicken

Abb.10

• Bei Regelmodus wird Erzwingen ausgewählt
• Bei Schweregrad genügt Nicht angegeben
• Nach Belieben kann eingestellt werden zwischen welche Zeiten diese Regel aktiv sein soll

Abb.11

Überprüfen, ob die Einstellungen korrekt sind und dann auf Fertig stellen klicken