Hinweis Diese Beschreibung basiert auf dem Stand des Microsoft 365 Portals im Juni 2023. Änderungen an der Benutzeroberfläche seitens Microsoft sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden. Alle Angaben ohne Gewähr.
Konfiguration des Whitelistings für Awareness PLUS in Microsoft 365 (früher: Office365)
Letzte Anpassung: 02.2023
Neu:
Neu-Ordnung der Konfigurations-Schritte
Neue Abschnitte:
Erweiterte Zustellung für den Microsoft 365 Defender
Sichere Links im Microsoft 365 Defender
Spoofintelligenz konfigurieren
Whitelisting Technischer Absender
Exchange-Online-Protection-Spamfilter und Clutter-Ordner
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
-
Whitelisting
Damit die simulierten Phishing-Mails des Awareness PLUS-Trainings nicht vom Microsoft Mailserver oder Microsoft Defender blockiert werden, muss an verschiedenen Stellen ein Whitelisting konfiguriert werden. Die einzelnen Schritte sollten in der angegebenen Reihenfolge durchgeführt werden.
Basis Konfiguration
Erweiterte Zustellung für Phishing-Simulationen für den Microsoft 365 Defender
Auf Phishing-Simulation klicken und anschließend auf Bearbeiten, um Einträge hinzuzufügen.
Abb.7
Hier die Domäne des technischen Absenders eintragen (der gesamte Teil, der dem "@" der E-Mail-Adresse folgt, z.B. admin@ttt-point.de → ttt-point.de). Die IPv4-Adressen eintragen ( Auflistung aller verwendeten Adressen). Die verwendeten Simulations-URLs in den Phishing-Links in das Feld eintragen (im Format: "anyideas.de"). Anschließend Speichern
Warnhinweis im Microsoft 365 Defender
Die in der Phishing-Simulation benutzten Domains können im Microsoft 365 Defender (ehemals Advanced Threat Protection - ATP) hinterlegt werden, sodass kein Warnhinweis angezeigt wird.
Sichere Links einrichten im Microsoft 365 Defender
In Domain der eigenen Organisation als Empfängerdomäne angeben
Abb.7
Wählt aus, dass URLs neu geschrieben werden können
Benutzerklicks sollen verfolgt werden können
Benutzer sollen sich zur ursprünglichen URL durchklicken können
Auf 0-URLs verwalten klicken
Abb.8
Schaltfläche URLs hinzufügen wählen
Abb.9
URLs eintragen, welche sich unter "Simulation" → "Whitelisting" → "Liste verwendeter Domains in den Phishing-Links" befinden. Dabei das Format https://domain/* einhalten.
Erster Wert muss der gespoofte Benutzer (Anzeigename in der E-Mail) sein, dieser findet sich unter: Mandant wählen Startseite Simulation E-Mail-Vorlagen , in der Spalte "Absender". Zweiter Wert (getrennt durch ein Komma) muss die IPv4-Adresse wie aus dem Whitelisting sein. Da es mehrere IP-Adressen gibt, sieht ein vollständiger Eintrag für einen gespooften Benutzer wie folgt aus:
user1@Anyideas.de, erste IPv4-Adresse
user1@Anyideas.de, zweite IPv4-Adresse
user1@Anyideas.de, dritte IPv4-Adresse
Der Spoof-Typ muss "Intern" sein und die Aktion muss auf "Zulassen" gestellt sein.
Weitere Schritte
Sollten die oben stehenden Anleitungen für das Whitelisting bei Microsoft-Produkten nicht ausreichend sein, können folgende zusätzliche Schritte helfen:
Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen
Abb.5
Auf die Schaltfläche Eine Regel hinzufügen klicken
Im Dropdownmenu Eine neue Regel erstellen auswählen
Abb.6
Eindeutigen Namen für die Regel vergeben (hier: Spam- und Clutterfilter vermeiden
Im Dropdownmenü Diese Regel Anwenden wenn… den Eintrag Der Absender auswählen
Dann im Dropdownmenü den Eintrag IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
Auf Enter words klicken
Abb.7
IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
Abb.8
Im Dropdownmenü Gehen Sie wie folgt vor: den Eintrag Nachrichteneigenschaften ändern wählen
Dann im nächstem Menu Nachrichtenkopf festlegen wählen
Auf den Eintrag Verbindungsfilterrichtlinie klicken
Abb.7
Link Verbindungsrichtlinie bearbeiten anklicken
Abb.8
IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit Speichern übernehmen In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
Auf den Eintrag Antispam-Einrichtungslinie (Standard) klicken
Abb.8
Im Popup-Fenster auf Zugelassene und blockierte Absender und Domänen bearbeiten klicken
Abb.9
Unter Absender(x) auf x Absender verwalten klicken
Abb.10
Im Fenster Zulässige Absender verwalten auf Sender hinzufügen klicken
Abb.11
Die E-Mail-Adresse des technischen Absenders aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen. Auf Sender hinzufügen klicken, um die Einträge abzuspeichern.
Ggf. landen die E-Mails trotzdem in der Quarantäne, dann muss zusätzlich zum technischen auch der angezeigte Absender (z.B. absender@anyideas.de) eingetragen werden.
Junk-Filter umgehen
Eine weitere Regel wird benötigt, um den Junk-Filter zu umgehen
Menü E-Mail-Fluss ausklappen und Untermenü Regeln wählen
Abb.5
Auf Eine Regel hinzufügen klicken
Im Dropdownmenü Neue Regel erstellen klicken
Abb.6
Eindeutigen Namen für die Regel vergeben (hier z.B.: Junkfilter nach IP-Adresse umgehen )
Bei Diese Regel anwenden, wennDer Absender auswählen
IP liegt in einem dieser Bereiche oder stimmt genau überein mit auswählen
Auf Enter words klicken. Siehe dazu nächste Abbildung
Abb.7
IP-Adresse(n) aus dem Abschnitt Whitelisting der Phishing-Simulation eintragen und mit OK übernehmen In der Abb. sind Beispiel-IPs, die nicht verwendet werden!
Abb.8
Bei Gehen Sie wie folgt vor:Nachrichteneigenschaften ändern auswählen
Nachrichtenkopf festlegen auswählen
Den Nachrichtenkopf (3) und den Wert (4) über einen Klick auf Enter text eintragen
Abb.9
Folgende Werte eintragen:
Bei Nachrichtenkopf (1): x-Forefront-Antispam-Report
Bei Wert (2): SFV:SKI;
Anschließend auf Weiter klicken
Abb.10
Bei Regelmodus wird Erzwingen ausgewählt
Bei Schweregrad genügt Nicht angegeben
Nach Belieben kann eingestellt werden zwischen welche Zeiten diese Regel aktiv sein soll
Abb.11
Überprüfen, ob die Einstellungen korrekt sind und dann auf Fertig stellen klicken