blog.icewolf.ch

Let's talk about IT!
posts - 2154, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Review Quarantine in Exchange Online Protection

Hallo zusammen,

Zum Alltag eines Exchange Administrators in Office 365 gehört dazu, die Quarantine in Exchange Online Protection (EOP) täglich zu prüfen.

Es gibt folgende Gründe, weshalb eine Nachricht in die Quarantine gelangt

  • Spam
  • Nachricht mit hoher Spamwarscheinlichkeit
  • Schadsoftware
  • Phishing
  • Nachricht mit hoher Phishingwarscheinlichkeit

Meist gibt es ein paar Nachrichten, welche als Phishing erkannt wurden aber vom Absender oder vom Betreff her harmlos klingen, die schaue ich mir dann genauer an.

Meist schaue ich mir erstmal den Message Header an. Insbesondere die Authentication header. Meist kann man anhand vom compauth=fail reason die Ursache erkennen.

Anti-spoofing protection in EOP

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/anti-spoofing-protection?view=o365-worldwide

 

Cross-domain spoofing

compauth=fail reason=000/001

Häufig wenn ein Mail über einen Newsletter Service versendet wird und damit das from / mailfrom nicht übereinstimmen.

Intra-org spoofing

compauth=fail reason=6xx

Das passiert, wenn ein Mail von extern kommt mit einer Absenderdomain welche in den Accepted Domains aufgeführt ist.

Man kann sich auch noch eine Vorschau des Mails anschauen um das Mail zu prüfen.

Da im vorliegenden Fall nichts auf Spam oder Phishing hinweist, habe ich die Nachricht freigegeben. Mit dem Häcklein wird die Nachricht an Microsoft gesendet um den Filter weiter zu trainieren und zu verbessern.

Grüsse
Andres Bohren

Print | posted on Friday, August 21, 2020 9:44 AM | Filed Under [ Exchange Microsoft365 ]

Powered by:
Powered By Subtext Powered By ASP.NET