Wechseln zu:Navigation, Suche
Wiki

AWP/Whitelisting-MS365: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
Zeile 22: Zeile 22:
** Whitelisting of technical senders
** Whitelisting of technical senders
** Exchange Online Protection spam filter and clutter folder }}
** Exchange Online Protection spam filter and clutter folder }}
{{var | neu--Spoofingintelligenz konfigurieren
| Konfiguration der Spoofingintelligenz für [[#ip_Range|IP-Range]] ergänzt
|  }}


</div> {{TOC2|cap=<li class="list--element__alert list--element__hint right Kleingedrucktes info-box" style="padding-left:1.75em; max-width: calc( 100% - 1.2em ); left: 3px;">'''{{#var:Disclaimer}}'''<br>{{#var:Disclaimer--desc}}</li>}}  
</div> {{TOC2|cap=<li class="list--element__alert list--element__hint right Kleingedrucktes info-box" style="padding-left:1.75em; max-width: calc( 100% - 1.2em ); left: 3px;">'''{{#var:Disclaimer}}'''<br>{{#var:Disclaimer--desc}}</li>}}  
{{Select_lang}}
{{Select_lang}}
{{Header|06.2023|
{{Header|02.2025|
* {{#var:neu--Spoofingintelligenz konfigurieren}}
|vorher=
* {{#var:neu--Ordnung}}
* {{#var:neu--Ordnung}}
* {{#var:neu--Abschnitte}}
* {{#var:neu--Abschnitte}}
|vorher-ver=06.2023
}}
}}


Aktuelle Version vom 20. Februar 2025, 10:18 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden




In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden











  • Hinweis
    Diese Beschreibung basiert auf dem Stand des Microsoft 365 Portals im Juni 2023. Änderungen an der Benutzeroberfläche seitens Microsoft sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
    Alle Angaben ohne Gewähr.









    • Konfiguration des Whitelistings für Awareness PLUS in Microsoft 365  (früher: Office365)

    Letzte Anpassung: 02.2025

    Neu:
    • Konfiguration der Spoofingintelligenz für IP-Range ergänzt
    • Neu-Ordnung der Konfigurations-Schritte
    • Neue Abschnitte:
      • Erweiterte Zustellung für den Microsoft 365 Defender
      • Sichere Links im Microsoft 365 Defender
      • Spoofintelligenz konfigurieren
      • Whitelisting Technischer Absender
      • Exchange-Online-Protection-Spamfilter und Clutter-Ordner
    notempty
    Dieser Artikel bezieht sich auf eine Beta-Version
    -


    Whitelisting
    Damit die simulierten Phishing-Mails des Awareness PLUS-Trainings nicht vom Microsoft Mailserver oder Microsoft Defender blockiert werden, muss an verschiedenen Stellen ein Whitelisting konfiguriert werden.
    Die einzelnen Schritte sollten in der angegebenen Reihenfolge durchgeführt werden.


    Basis Konfiguration




























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden













    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden




    Erweiterte Zustellung für Phishing-Simulationen für den Microsoft 365 Defender

    Abb.1
    Anmeldung im MS365 Portal unter https://login.microsoftonline.com
    Abb.2
    Menu Sicherheit
    Abb.3
    Menu Richtlinien und Regeln
    Abb.4
    Menu Bedrohungsrichtlinien
    Abb.5
    Menu Erweiterte Zustellung
    Abb.6
    Auf Phishing-Simulation klicken und anschließend auf Bearbeiten, um Einträge hinzuzufügen.
    Abb.7
    Hier die Domäne des technischen Absenders eintragen (der gesamte Teil, der dem "@" der E-Mail-Adresse folgt, z.B. admin@ttt-point.de → ttt-point.de).
    Die IPv4-Adressen eintragen ( Auflistung aller verwendeten Adressen).
    Die verwendeten Simulations-URLs in den Phishing-Links in das Feld eintragen (im Format: "anyideas.de").
    Anschließend Speichern




























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden















    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden




    Warnhinweis im Microsoft 365 Defender

    Die in der Phishing-Simulation benutzten Domains können im Microsoft 365 Defender (ehemals Advanced Threat Protection - ATP) hinterlegt werden, sodass kein Warnhinweis angezeigt wird.

    Sichere Links einrichten im Microsoft 365 Defender

    Abb.1
    • Anmeldung bei Microsoft
    • Menü Sicherheit wählen
    Abb.2
    Reiter Richtlinien und Regeln
    Abb.3
    Schaltfläche Bedrohungsrichtlinien klicken
    Abb.4
    Auf Sichere Links klicken
    Abb.5
    Namen und ggf. Beschreibung vergeben
    Abb.6
    In Domain der eigenen Organisation als Empfängerdomäne angeben
    Abb.7
    1. Wählt aus, dass URLs neu geschrieben werden können
    2. Benutzerklicks sollen verfolgt werden können
    3. Benutzer sollen sich zur ursprünglichen URL durchklicken können
    4. Auf 0-URLs verwalten klicken
    Abb.8
    Schaltfläche URLs hinzufügen wählen
    Abb.9
    URLs eintragen, welche sich unter "Simulation" → "Whitelisting" → "Liste verwendeter Domains in den Phishing-Links" befinden. Dabei das Format https://domain/* einhalten.




























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden













    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden






    Spoofintelligenz konfigurieren

    Abb.1
    Anmeldung im MS365 Portal unter https://login.microsoftonline.com
    Abb.2
    Menu Sicherheit
    Abb.3
    Menu Richtlinien und Regeln
    Abb.4
    Menu Bedrohungsrichtlinien
    Abb.5
    Menu Mandantenzulassungsliste/-sperrlisten
    Abb.6
    Reiter Gespoofte Absender wählen
    Schaltfläche Hinzufügen klicken
    Abb.7
    • 1. Wert: Der Einfachheit halber kann ein * als Wildcard verwendet werden
    • 2. Wert: (getrennt durch ein Komma) Die IPv4-Adresse wie im Whitelisting
      • Falls im Whitelisting mehrere IP-Adressen zu sehen sind, muss für jede IP-Adresse eine Zeile geschrieben werden.
      •  Falls eine IP-Range zu sehen ist, müssen alle IP-Adressen aus dieser Range (exklusive der Netzwerk- und Broadcast-Adresse
        also der ersten und letzten Adresse
        ) hinzugefügt werden. Für die IP-Range 18.153.184.0/27 müssen die folgenden Einträge hinzugefügt werden:
        *, 18.153.184.1
        *, 18.153.184.2
        *, 18.153.184.3
        *, 18.153.184.4
        *, 18.153.184.5
        *, 18.153.184.6
        *, 18.153.184.7
        *, 18.153.184.8
        *, 18.153.184.9
        *, 18.153.184.10
        *, 18.153.184.11
        *, 18.153.184.12
        *, 18.153.184.13
        *, 18.153.184.14
        *, 18.153.184.15
        *, 18.153.184.16
        *, 18.153.184.17
        *, 18.153.184.18
        *, 18.153.184.19
        *, 18.153.184.20         *, 18.153.184.21
        *, 18.153.184.22
        *, 18.153.184.23
        *, 18.153.184.24
        *, 18.153.184.25
        *, 18.153.184.26
        *, 18.153.184.27
        *, 18.153.184.28
        *, 18.153.184.29
        *, 18.153.184.30
      • Spoof-Typ Intern
      • Aktion Zulassen
    • Schaltfläche Hinzufügen klicken
    • Es sind max. 20 Einträge pro Speichervorgang möglich

    Weitere Schritte

    Sollten die oben stehenden Anleitungen für das Whitelisting bei Microsoft-Produkten nicht ausreichend sein, können folgende zusätzliche Schritte helfen:




























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden




















    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden





    Spamfilter und Clutterfilter in Exchange umgehen

    Abb.1
    Anmeldung im MS365 Portal unter https://login.microsoftonline.com
    Abb.2
    Menu Sicherheit
    Abb.3
    Menü Exchange-Nachrichtenablaufverfolgung
    Abb.4
    Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen
    Abb.5
    • Auf die Schaltfläche Eine Regel hinzufügen klicken
    • Im Dropdownmenu Eine neue Regel erstellen auswählen
    Abb.6
  • Eindeutigen Namen für die Regel vergeben (hier: Spam- und Clutterfilter vermeiden
  • Im Dropdownmenü Diese Regel Anwenden wenn… den Eintrag Der Absender auswählen
  • Dann im Dropdownmenü den Eintrag IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
  • Auf Enter words klicken
    • Abb.7
    IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen
    In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
    Abb.8
  • Im Dropdownmenü Gehen Sie wie folgt vor: den Eintrag Nachrichteneigenschaften ändern wählen
  • Dann im nächstem Menu Nachrichtenkopf festlegen wählen
    • Abb.9
    Folgende Werte eintragen
  • Nachrichtenkopf (1): X-MS-Exchange-Organization-BypassClutter
  • Wert (2): true
    • Abb.10
  • Bei Gehen Sie wie folgt vor: auf klicken
  • Bei Und im Dropdownmenü den Eintrag Nachrichteneigenschaften ändern wählen
  • Im Untermenü den Eintrag SCL-Bewertung (Spam Confidence Level) festlegen wählen
    • Abb.11
  • Die Option Bypass spam filtering wählen
  • Mit Speichern das Fenster schließen
    • Abb.12
  • Auf Weiter klicken
  • Die Umgehung des Spam- und Clutterfilters ist damit abgeschlossen




























    • In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden














    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden






    Einrichten der IP Zulassungsliste

    Abb.1
    Anmeldung im MS365 Portal unter https://login.microsoftonline.com
    Abb.2
    Menu Sicherheit
    Abb.3
    Menu Richtlinien und Regeln
    Abb.4
    Menu Bedrohungsrichtlinien
    Abb.5
    Menu Antispam
    Abb.6
    Auf den Eintrag Verbindungsfilterrichtlinie klicken
    Abb.7
    Link Verbindungsrichtlinie bearbeiten anklicken
    Abb.8
    IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit Speichern übernehmen
    In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
    Abb.9
    Fertige Zulassungsliste




























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden
















    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden





    Einrichtung technischer Absender

    Abb.1
    Anmeldung im MS365 Portal unter https://login.microsoftonline.com
    Abb.2
    Menu Sicherheit
    Abb.3
    Menu Richtlinien und Regeln
    Abb.4
    Menu Bedrohungsrichtlinien
    Abb.6
    Menu Antispam
    Abb.7
    Auf den Eintrag Antispam-Einrichtungslinie (Standard) klicken
    Abb.8
    Im Popup-Fenster auf Zugelassene und blockierte Absender und Domänen bearbeiten klicken
    Abb.9
    Unter Absender(x) auf x Absender verwalten klicken
    Abb.10
    Im Fenster Zulässige Absender verwalten auf Sender hinzufügen klicken
    Abb.11
    Die E-Mail-Adresse des technischen Absenders aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen.
    Auf Sender hinzufügen klicken, um die Einträge abzuspeichern.
  • Ggf. landen die E-Mails trotzdem in der Quarantäne, dann muss zusätzlich zum technischen auch der angezeigte Absender (z.B. absender@anyideas.de) eingetragen werden.




























    • In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden
























    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden




    Junk-Filter umgehen

    Eine weitere Regel wird benötigt, um den Junk-Filter zu umgehen

    Abb.1
    Anmeldung im MS365 Portal unter https://login.microsoftonline.com
    Abb.2
    Menu Sicherheit
    Abb.3
    Menü Exchange-Nachrichtenablaufverfolgung
    Abb.4
    Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen
    Abb.5
    • Auf Eine Regel hinzufügen klicken
    • Im Dropdownmenü Neue Regel erstellen klicken
    Abb.6
  • Eindeutigen Namen für die Regel vergeben (hier z.B.: Junkfilter nach IP-Adresse umgehen )
  • Bei Diese Regel anwenden, wenn Der Absender auswählen
  • IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
  • Auf Enter words klicken. Siehe dazu nächste Abbildung
    • Abb.7
    IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen
    In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
    Abb.8
  • Bei Gehen Sie wie folgt vor: Nachrichteneigenschaften ändern auswählen
  • Nachrichtenkopf festlegen auswählen
  • Den Nachrichtenkopf (3) und den Wert (4) über einen Klick auf Enter text eintragen
    • Abb.9
    Folgende Werte eintragen:
  • Bei Nachrichtenkopf (1): x-Forefront-Antispam-Report
  • Bei Wert (2): SFV:SKI;
  • Anschließend auf Weiter klicken
    • Abb.10
  • Bei Regelmodus wird Erzwingen ausgewählt
  • Bei Schweregrad genügt Nicht angegeben
  • Nach Belieben kann eingestellt werden zwischen welche Zeiten diese Regel aktiv sein soll
    • Abb.11
    Überprüfen, ob die Einstellungen korrekt sind und dann auf Fertig stellen klicken
    Abgerufen von „https://wiki.securepoint.de/index.php?title=AWP/Whitelisting-MS365&oldid=94726