Exchange Online Protection (EOP) inklusive Advanced Threat Protection (ATP)
Was ist die Exchange Online Protection (EOP)?
Die Exchange Online Protection besteht aus mehreren Bestandteilen und ist ein Cloud-Basierter Filterdienst. Konkret soll er von Dingen wie Spam, Schädlichen E-Mail-Anhängen und weiteren Mail-Bedrohungen schützen.
Die Exchange Online Protection ist Standardmäßig in Exchange Online enthalten und per Default aktiv. Einzig die Advanced Threat Protection (ATP) kann Optional zu dem sonst standardmäßigen Paket hinzugebucht werden.
Die Exchange Online Protection ist dabei zu 99,999% im Monat Verfügbar (entspricht 719,9928 von 720 Stunden im Monat). Die Effektivität liegt bei >99%. Und die Wahrscheinlichkeit, dass eine E-Mail fälschlicher-weise gefiltert wird liegt bei <1:250.000. Also wird mit einer Wahrscheinlichkeit von 0,000004% eine E-Mail gefiltert, die kein Spam o.ä. war (somit sind von 1.000.000 E-Mails sind 4 „false positive“).
Die Exchange Online Protection ist somit bereits mit seinen Standard-Einstellungen ein sehr hilfreiches Tool zum Schutz vor Spam und Bösartigen E-Mails.
Diese sehr guten Zahlen können durch ein Weltweites Netz an Rechenzentren gegeben werden, in welchen die EOP ausgeführt und bereitgestellt wird. Sollte dabei eines dieser Rechenzentren ausfallen werden alle E-Mails ohne Dienstunterbrechung an das am nächsten liegende Rechenzentrum umgeleitet. Um eines der Rechenzentren nicht zu überlasten, wird ein Loadbalancing zwischen den Datacentern betrieben, welches allerdings nicht Global agiert, sondern sich auf die Rechenzentren einer Region (Bsp.: Europa) beschränkt.
Aus welchen Bestandteilen besteht die EOP?
Wie bereits kurz erwähnt sind in der Exchange Online Protection per Default alle Komponenten enthalten, bis auf die Advanced Threat Protection (ATP). Diese muss mit einer zusätzlichen Lizenz dazugebucht werden.
Alle Bestandteile der Exchange Online Protection (Inklusive ATP werden im Folgenden einzeln erklärt).
- Connection Filter
- Maleware Scanner
- Mail-Flow-Rules
- Spam Filter
- Zusätzlich: Advanced Threat Protection (ATP)
Connection Filter
Der Connection Filter filtert bereits den Großteil der eingehenden Spam-Nachrichten. Sobald eine Nachricht eingeht, beurteilt der Connection Filter die Autorität des Absenders anhand ihrer IP-Adresse. Der Connection Filter selbst besteht aus drei Listen.
- IP-Allow-List
- IP-Block-List
- Save-List
Die IP-Allow- und die IP-Block-List sind Listen, die durch einen Administrator mit IP-Adressen von E-Mail-Servern ergänzt werden können, die je nach Liste vom Connection Filter Erlaubt (IP-Allow-List) oder blockiert (IP-Block-List) werden.
Diese Listen zum Erlauben oder Blockieren können im Microsoft 365 Defender Portal bearbeitet werden. Hinzugefügt werden können dort nicht nur einzelne IP-Adressen, sondern auch ganze Adress-Bereiche oder Netze.
Zu beachten gibt es, dass die IP-Allow-List und die Safe-List Vorrang vor der IP-Block-List haben. Außerdem können in den Allow- und Block-Listen jeweils „nur“ 1273 Einträge eingetragen werden, wobei ein Eintrag entweder eine IP, ein IP-Bereich oder ein Netzwerk darstellt.
Bei der Safe-List ist das nochmal ein wenig anders. Diese ist eine von Microsoft Dynamisch gepflegte Liste mit Einträgen, die der Exchange Online akzeptiert. Sie erfordert daher auch keine Konfiguration durch einen Administrator der Exchange Online Organisation. Auch das Anpassen dieser Liste ist nicht möglich. Die Safe-List wird von Microsoft dynamisch erstellt und verwendet dazu Listen von weiteren Drittherstellern. Außerdem sollte man beachten, dass die Safe-List manuell aktiviert werden muss. Das geht im Microsoft 365 Defender Portal unter „Richtlinien und Regeln“ -> „Bedrohungsrichtlinien“ -> „Antispamrichtlinien“ -> „Verbindungsfilterrichtlinie (Standard)“ -> „Verbindungsfilterrichtlinie bearbeiten“ -> „Turn on Safe List“.
Außerdem können hier die IP-Allow-List und die IP-Block-List mit Einträgen gefüllt werden.
Sollte ein E-Mail Server in der IP-Allow-List (also durch einen Administrator explizit erlaubt) sein wird auch der nachfolgende Spamfilter/Inhaltsfilter übersprungen.
Maleware Scanner
Die Anit-Maleware Protection in EOP bietet beispielsweise Schutz vor Viren, Spyware und Ransomware, welche an eine Exchange Online Organisation geschickt werden. Dazu nutzt sie gleich mehrere Antischadsoftware-Scan-Engines, welche eingehende E-Mails nach benannten und bisher unbekannten Bedrohungen scannen. Dadurch, dass mehrere Scan-Engines eingesetzt werden, kann eine höhere Sicherheit geschaffen werden.
Durch die Echt-Zeit Bedrohungsanalyse können Microsoft Security Experten, im Falle eines Ausbruchs einer unbekannten, bedrohlichen Software die Scan Engines, die im Maleware-Scanner verwendet werden, so anpassen, dass auch diese neue Bedrohung durch den Scanner erkannt wird. Diese Änderungen werden alle zwei Stunden auf das Globale Rechenzentrums-Netzwerk der Exchange Online Protection angewandt.
Sobald einer der Algorithmen eine Bedrohung erkannt hat wird die gesamte E-Mail in Quarantäne gelegt. Je nach Einstellung können die Empfänger oder Administratoren mit der Nachricht in Quarantäne agieren und ggf. freigeben. Diese Einstellung können durch Quarantäne-Richtlinien im Microsoft 365 Defender Portal festgelegt werden. Standardmäßig können nur Exchange-Online-Administratoren auf Quarantäne-Mails zugreifen.
Mail Flow Rules
Mail-Flow-Regeln, werden auch oft als „Transportregeln“ bezeichnet und sind von Administratoren angelegte Regeln, die den Standard-E-Mail-Fluss beeinflussen. Eine Mail-Fluss-Regel kann beispielsweise ergänzend zur EOP erstellt werden.
Mit einer solchen Regel kann man im Prinzip festlegen, was mit einer E-Mail passieren soll, wenn Sie bestimmten, vordefinierten Kriterien entspricht. Beispielsweise kann folgendes eingestellt werden.
Wenn eine Mail diesen Kriterien entspricht:
Dann soll folgendes auf Sie angewandt werden:
Bei Mail-Flow-Regeln können sowohl die Kriterien als auch die Vorgänge kombiniert werden, sodass auch mehrere Kriterien zutreffen müssen oder mehrere Aktionen durchgeführt werden, wenn die Regel auf E-Mails zutreffen.
Mail-Flow-Regeln können im Exchange Admin-Center unter „E-Mail-Fluss“ -> „Regeln“ definiert werden.
Inhalts Filter
Der Inhalts-Filter (ebenfalls zuständig für Anti Spam und Anti Spoofing) kategorisiert eingehende, als schädlich erkannte E-Mails in fünf Kategorien eingeteilt werden.
- Spam mit hoher Spamwahrscheinlichkeit
- Spam
- Massen-E-Mails
- Phishing-E-Mails
- Phishing-E-Mails mit hoher Vertrauenswürdigkeit
Anhand dieser Kategorisierung kann dann mit Quarantäne-Richtlinien festgelegt werden, welche Aktionen auf die E-Mails einer bestimmten Kategorie angewandt werden sollen. Außerdem kann festgelegt werden welche Benutzer auf welche E-Mail-Kategorien in der Quarantäne zugreifen können.
Standardmäßig werden alle E-Mails, die als Spam gekennzeichnet werden in den Spam-Ordner des E-Mail-Users zugestellt.
Advanced Threat Protection (ATP)
Advanced Threat Protection ist eine Erweiterung zur Exchange Online Protection und nicht standardmäßig enthalten. Enthalten ist ATP beispielsweise in den Lizenzplänen M365 Enterprise E5 und M365 Business Premium.
Sobald eine E-Mail durch alle Filter der Standard-Exchange Online Protection ist wird sie durch die beiden Bestandteile des ATP weiter untersucht. Die beiden Teile sind „Safe Attachments“ und „Safe Links“.
Sollten unsichere Anhänge (Attachments) erkannt werden kann auch hier über Policy‘s eingestellt werden, was damit passieren soll. Es stehen die folgenden Optionen zur Verfügung:
| Option: | Beschreibung: |
|---|---|
|
Aus |
Es findet keine weitere Prüfung durch ATP statt. |
|
Überwachen |
Die E-Mails werden übermittelt und es wird nachverfolgt, was mit der erkannten Schadsoftware passiert. |
|
Blockieren |
Nachrichten, die als schädlich erkannt werden werden nicht zugestellt und unter Quarantäne gestellt. |
|
Replace |
Alle Anhänge, die als schädlich erkannt werden werden entfernt und der Empfänger wird darüber informiert. |
|
Dynamische Zustellung |
E-Mails werden sofort zugestellt allerdings mit Platzhaltern an Stelle der Anhänge, bis die Überprüfung der Anhänge durch Safe-Attachments abgeschlossen ist. E-Mails mit schädlichen Anhängen werden nachträglich unter Quarantäne gestellt. |
Die „Safe Links“ Funktion in ATP prüft URL’s, die in einer E-Mail oder angehangenen Dokument enthalten sind, ob diese Seriös sind oder nicht. Beispielsweise, ob die URL auf eine Fishing-Website umleitet oder ähnliches.
Auch bei den Safe-Links gibt es mehrere Policy-Optionen:
Ablauf und Funktionsweise der Exchange Online Protection (EOP)
Die Exchange Online Protection mit dem Zusatzpaket „Advanced Threat Protection (ATP)“ behandelt alle eingehenden E-Mails wie folgt.
Sobald eine E-Mail in der Exchange Online Protection eingeht, wird zunächst mit dem Connection Filter gearbeitet. Dieser prüft seine drei Listen (IP-Allow-List, IP-Block-List und Save-List) und lehnt anhand dieser Listen bereits den Großteil an Spamnachrichten ab.
Danach geht es weiter zum Schadsoftware Scan. Dort werden sowohl die E-Mail, als auch die Anlagen mit Hilfe von mehreren Maleware-Scan Engines auf schädliche Inhalte überprüft. Alle E-Mails, bei denen schädlicher Inhalt erkannt wird werden in Quarantäne gestellt. Sollten die Scans nichts feststellen geht es weiter zu dem Mail-Flow Rules.
Hier wird geprüft, ob die E-Mail auf die konfigurierten Regeln und deren Kriterien zutrifft. Wenn die E-Mail auf eine der Regeln zutrifft, wird die in der Regel definierte Aktion dafür ausgeführt. Danach oder wenn keine Mail-Fluss-Regeln definiert sind folgt der Inhalts Filter von EOP.
Der Inhaltsfilter kategorisiert dann die E-Mails anhand der bisher stattgefundenen Befunde und behandelt sie mit den definierten Antispamrichtlinien und Quarantänerichtlinien.
Sollte man das Zusatzfeature „Advanced Threat Protection“ dazugebucht haben folgt diese nach dem Inhaltsfilter (s. Diagram).
In der Advanced Threat Protection werden dann noch einzeln die Anhänge und die in der E-Mail enthaltenen Links auf ihre Sicherheit überprüft. Dazu verwendet ATP für die Anhänge ein Sandboxing und die Links werden unter anderem gegen eine bekannte Liste schädlicher URLs abgeglichen.
Sollte die Exchange Online Protection inklusive ATP keine schädlichen Inhalte finden wird die E-Mail dem Empfänger zugestellt.
Fazit / Persönliche Meinung
Die Exchange Online Protection (EOP) gerade mit dem Zusatz der Advanced Threat Protection (ATP) sind ein sehr hilfreiches Tool zum Schutz vor Maleware et cetera.
Auch die einzelnen Komponenten der EOP und ATP lassen sich sehr granular einstellen, was in meinen Augen ein deutlicher Pluspunkt ist. Dazu kommt das, im Microsoft 365 Defender Portal verfügbare Monitoring über alle gefilterten E-Mails.
Erfahrungsgemäß ist die EOP (richtig konfiguriert) völlig ausreichend und somit macht Sie zusätzliche Drittanbieter-Tools, wie einen Sophos SMTP-Proxy (für lokale oder hybride Exchange Bereitstellungen) hinfällig.
Nicht zuletzt ist Exchange Online Protection durch die oben beschriebene, sehr geringe Fehlerquote und hohe Dienstverfügbarkeit ein sehr sicheres und einfach zu implementierendes Tool zum Absichern des E-Mail-Verkehrs in einem Unternehmen.
In meinen Augen ist die Exchange Online Protection ein Muss für jeden, der Exchange Online nutzt. Wenn die EOP richtig eingestellt ist kann sie sehr viel Kummer ersparen.