Review Quarantine in Exchange Online Protection
Hallo zusammen,
Zum Alltag eines Exchange Administrators in Office 365 gehört dazu, die Quarantine in Exchange Online Protection (EOP) täglich zu prüfen.
Es gibt folgende Gründe, weshalb eine Nachricht in die Quarantine gelangt
- Spam
- Nachricht mit hoher Spamwarscheinlichkeit
- Schadsoftware
- Phishing
- Nachricht mit hoher Phishingwarscheinlichkeit
Meist gibt es ein paar Nachrichten, welche als Phishing erkannt wurden aber vom Absender oder vom Betreff her harmlos klingen, die schaue ich mir dann genauer an.
Meist schaue ich mir erstmal den Message Header an. Insbesondere die Authentication header. Meist kann man anhand vom compauth=fail reason die Ursache erkennen.
Anti-spoofing protection in EOP
Cross-domain spoofing
compauth=fail reason=000/001
Häufig wenn ein Mail über einen Newsletter Service versendet wird und damit das from / mailfrom nicht übereinstimmen.
Intra-org spoofing
compauth=fail reason=6xx
Das passiert, wenn ein Mail von extern kommt mit einer Absenderdomain welche in den Accepted Domains aufgeführt ist.
Man kann sich auch noch eine Vorschau des Mails anschauen um das Mail zu prüfen.
Da im vorliegenden Fall nichts auf Spam oder Phishing hinweist, habe ich die Nachricht freigegeben. Mit dem Häcklein wird die Nachricht an Microsoft gesendet um den Filter weiter zu trainieren und zu verbessern.