Hallo zusammen, Ich teste ja gerne hin und wieder DMARC Auswertungstools. Aktuell habe ich https://dmarcadvisor.com/ getestet. Man kann dort eine kostenlose Trialversion anfordern.
Dazu muss man einfach einen Account eröffnen
Anschliessend erhält man eine Email, bei dem man auf den Aktivierungslink klicken muss. Danach kann man sich mit dem Account einloggen
Es wird einem gleich ein neuer DMARC Record vorgeschlagen. Im gegensatz zum vorgeschlagenen Record habe ich auch gleich noch das Value für sp (subdomain) erstellt.
Hallo zusammen, Dass ich das "Advanced Hunting" in Office 365 Defender mag, hat man wohl schon beim lesen meines ersten Blog Artikels gemerkt https://blog.icewolf.ch/archive/2021/08/23/defender-for-office-365-advanced-hunting.aspx
Kürzlich habe ich mich gefragt, wie viel denn Zero-hour auto purge (ZAP) überhaupt angewindet wird und ob das was bringt.
Zero-hour auto purge (ZAP) in Exchange Online
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/zero-hour-auto-purge?view=o365-worldwide
Dafür habe ich mir folgende Query zusammengebaut
EmailPostDeliveryEvents | summarize count () by bin(Timestamp, 1d), Action, ActionType | order by count_ | render columnchart Man sieht, dass täglich über 5'500 Mails durch ZAP entfernt werden.
Hallo zusammen, Microsoft hat im M365 Defender Portal das GUI für die Antimalware File Types überarbeitet. Bisher waren nur folgende 13 File Extensions im Common Attachment Filter vorhanden.
ace ani app cab docm exe iso jar jnlp reg scr vbe vbs Direktlink https://security.microsoft.com/antimalwarev2 Neu sind bis zu 96 Extensions in einer Liste auswählbar.
Get-MalwareFilterPolicy -Identity <Identity> | select -ExpandProperty FileTypes | measure Get-MalwareFilterPolicy -Identity <Identity> | select -ExpandProperty FileTypes Nun sind folgende 96 Extensions auswählbar ace ani app docm exe jar reg scr vbe vbs ade adp asp bas bat cer chm cmd com cpl crt csh der dll dos fxp gadget hlp Hta Inf Ins Isp Its js Jse Ksh Lnk mad maf mag mam maq mar mas mat mau mav maw mda mdb mde mdt mdw mdz msc msh msh1 msh1xml msh2 msh2xml mshxml msi msp mst obj ops os2 pcd pif plg prf prg ps1 ps1xml ps2 ps2xml psc1 psc2 pst rar scf sct shb shs tmp url vb vsmacros vsw vxd w16 ws wsc wsf wsh xnk Oder man kann die Liste auf 159 erweitern.
Hallo zusammen, Im Exchange Team Blog hat Microsoft die Preview von ExchangeOnlineManagement Modul ohne WinRM Basic Auth angekündigt. https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-powershell-v2-module-preview-now-more-secure/ba-p/2922946
Um die WinRM Einstellungen abzurufen, muss der Service natürlich laufen
Läuft der Service nicht, so erhält man folgende Fehlermeldung
Mit dem folgenden Befehl fragt man die Einstellungen für den Client ab. Wie man sieht, ist da Basic Auth noch aktiviert.
winrm get winrm/config/client Mit dem folgenden Befehl deaktiviere ich die Basic Auth winrm set winrm/config/client/auth @{Basic="
Hallo zusammen, Gestern war Microsoft Patchday und es wurden wieder Security Updates für Exchange Server 2013/2016/2019 veröffentlicht
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169
In diesem Blog Artikel habe ich das Update auf meinem Exchange Server 2016 durchgeführt Security Update For Exchange Server 2016 CU22 (KB5007409)
https://www.microsoft.com/en-us/download/details.aspx?id=103644
Denkt daran, das Exchange Update aus einem CMD "Als Administrator" auszuführen.
Liebe Grüsse Andres Bohren
Hallo zusammen, In Exchange Online Protection (EOP) gibt es was neues: Quarantine Policy https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/quarantine-policies?view=o365-worldwide#configure-global-quarantine-notification-settings-in-the-microsoft-365-defender-portal
Eine kleine Randbemerkung sei mir gestattet: Die Screenshots im obenstehenden Links stammen vom letzten Jahr. Hat also fast ein Jahr geauert, bis das Feature live gegangen ist. Da sieht man mal wieder, wie lange gewisse Features brauchen, bis diese veröffentlicht werden.
Den Zusammenhang zwischen AntiSpamPolicy und QuarantinePolicy sieht man hier Get-HostedContentFilterPolicy | fl Identity, *quar*
Get-QuarantinePolicy | fl Identity, QuarantinePolicyType, QuarantineRetentionDays, EndUserSpamNotificationFrequencyInDays, EndUserSpamNotificationLanguage, EndUserQuarantinePermissions
Hallo zusammen, Ich habe kürzlich eine Werbung für einen kostenlosen DMARC Monitor für M365 gesehen.
https://use.valimail.com/ms-dmarc-monitor.html Nach der Anmeldung erhält man eine Mail mit einem Link
Nach dem vergeben eine Passwortes landet man im Portal. Um den Dienst zu nutzen muss man den DMARC DNS Record anpassen.
Klickt man auf "Not Configured" wird eine entsprechender DMARC Record value angezeigt
Meine DNS Zone läuft in Azure https://azure.microsoft.com/en-us/pricing/details/dns/ und eine Anpassung ist rasch gemacht.
Hallo zusammen,
In diesem Blog Artikel zeige ich euch, wie man unter Exchange Online eine Emailadressrichtlinie für Office 365 Groups einrichtet, basierend auf Attributen vom Ersteller des O365 Group/Teams.
Auf meinem O365 Tenant habe ich zwei Accepted Custom Domains registriert:
icewolf.ch irgendwoiminternet.ch Schaut man sich die Befehle für EmailaddressPolicy an, so sieht man, dass es vier commands dazu gibt
Get-Command *EmailAddressPolicy*
Dasselbe auf einem OnPrem Exchange Server mache, sieht man, dass es noch ein Update command gibt
Hallo zusammen,
Vor ein paar Monaten musste man den "First Contact Safety Top" in Exchange Online Protection (EOP) noch mit Transport Rules erstellen. Nun kann das auch bequem über die Anti Phishing Policy erledigt werden
Anti-phishing policies in Microsoft 365 https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-anti-phishing-policies?view=o365-worldwide Grüsse Andres Bohren
Hallo zusammen,
Wie man Office 365 Defender for Office 365 (Damals hiess das noch "Office 365 ATP") einrichtet, habe ich schon mal gebloggt.
Was jedoch passiert, wenn ein Dokument von Safe Attachment als Malware erkannt wird, habe ich damals nicht ausprobiert.
Um das zu testen habe ich ein Word Dokument mit Makro erstellt, welches beim öffnen das Eicar (Anti Malware Testfile) File herunterlädt. Ein klassischer Fall, bei dem das Attachment keine Malware selbst enthält, sondern diese zur Laufzeit nachlädt.
