Exchange Online Hardening | Best Practices zu Sicherheit & Datenschutz

Sobald das erste Postfach in der Microsoft Cloud eingerichtet ist, ist es weltweit erreichbar. Doch Vorsicht: Microsofts Standardeinstellungen sind primär auf maximale Kompatibilität ausgelegt, nicht auf maximale Sicherheit. Bevor du die Masse deiner Benutzer migrierst, solltest du diesen Guide durcharbeiten, um deine Umgebung gegen Datenabfluss und Angriffe zu härten.

Hier sind die wichtigsten Konfigurationen für einen sicheren Exchange Online Tenant.

1. Automatische Weiterleitungen begrenzen

Standardmäßig erlaubt Exchange Online oft, dass Benutzer ihre geschäftlichen E-Mails automatisch an beliebige externe Adressen (wie private Gmail- oder GMX-Konten) weiterleiten. Aus Sicht des Datenschutzes und der Informationssicherheit ist dies ein kritisches Einfallstor für Data Exfiltration, da Unternehmensdaten so unkontrolliert und oft unverschlüsselt den gesicherten Tenant verlassen.

Empfehlung: Microsoft empfiehlt mittlerweile primär die Steuerung über die Anti-Spam-Richtlinien im Defender Portal, da diese effektiver greifen und bessere Reports liefern. Wir setzen hier auf „Defense in Depth“ und konfigurieren beide Ebenen.

A. Der moderne Standard: Outbound Spam Policy (Defender)

Dies ist die präferierte Methode, da sie spezifisch den Versender reglementiert und granulare Ausnahmen zulässt.

1. Navigiere zum Microsoft Defender Portal (security.microsoft.com).
2. Gehe zu E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien > Anti-Spam.
3. Wähle die Richtlinie für ausgehenden Spam (Standard) (Anti-spam outbound policy / Default) aus.
4. Klicke auf Schutzeinstellungen bearbeiten.
5. Setze im Bereich Weiterleitungsregeln die Option Automatische Weiterleitungsregeln auf: Aus – Weiterleitung ist deaktiviert (Off – Forwarding is disabled).
   • Hinweis: Die Einstellung „Systembetrieben“ (System controlled) ist oft zu tolerant. „Aus“ ist die sicherste Wahl.

B. Die klassische Basis-Absicherung: Remote Domains (Exchange)

Diese Einstellung wirkt als globaler „Not-Aus-Schalter“ auf Transport-Ebene und sollte als zweite Linie der Verteidigung ebenfalls konfiguriert werden.

1. Navigiere im Exchange Admin Center zu Nachrichtenfluss > Remotedomänen.
2. Wähle den Eintrag Default aus.
3. Klicke auf Antworttypen bearbeiten.
4. Entferne den Haken bei Automatische Weiterleitung zulassen.

Granulare Steuerung (Ausnahmen) | Falls du für spezifische Partner-Firmen oder Abteilungen automatische Weiterleitungen zulassen musst, erstelle keine globale Lücke.

• Im Defender: Erstelle eine neue Outbound-Spam-Richtlinie (z. B. „Allow Forwarding for HR“), setze dort die Weiterleitung auf „Ein“ und weise sie nur der spezifischen Benutzergruppe zu.
• In Exchange: Erstelle eine neue Remotedomäne für die Zieladresse (z. B. *partnerfirma.de) und erlaube die Weiterleitung explizit nur für dieses Ziel.

2. Externe Kalenderfreigaben minimieren (Sharing Policies)

Die Standard-Richtlinie („Default Sharing Policy“) in Exchange Online ist oft so konfiguriert, dass Benutzer ihre Kalenderdetails mit externen Personen teilen können. Aus Datenschutzsicht ist dies problematisch, da Bewegungsdaten und Meeting-Inhalte (Betreff, Ort, Teilnehmer) sensible personenbezogene Daten sind. Zudem nutzen Angreifer solche Informationen gerne für gezieltes Social Engineering (z. B. CEO-Fraud, wenn bekannt ist, dass die Geschäftsführung im Urlaub ist).

• Empfehlung: Beschränke die externe Freigabe in der Standard-Richtlinie auf das absolute Minimum. Benutzer sollten externen Partnern standardmäßig niemals Details (Betreff/Ort), sondern höchstens ihre Verfügbarkeit anzeigen dürfen.
• Konfiguration:
  1. Navigiere im Exchange Admin Center zu Organisation > Freigabe (Sharing).
  2. Wähle im Bereich Individuelle Freigabe die Default Sharing Policy aus.
  3. Bearbeite die Regel für Sharing with all domains (oft als * dargestellt) oder spezifische Domänen.
  4. Setze die Berechtigungsstufe auf Kalenderfrei/gebucht-Informationen nur mit Zeit (Calendar free/busy information with time only).

• Differenzierung: Benötigen bestimmte Abteilungen (z. B. Vertrieb oder Vorstandssekretariat) detailliertere Freigaben für enge Partner, erstelle hierfür eine zusätzliche Sharing Policy und weise diese gezielt nur den entsprechenden Benutzerpostfächern zu, anstatt den Schutz für die gesamte Organisation zu senken.

3. Benutzer-Selbstverwaltung einschränken (Default Role Assignment Policy)

Die Default Role Assignment Policy steuert, welche administrativen Aufgaben Endbenutzer in ihren eigenen Optionen (Outlook im Web) selbstständig durchführen dürfen.

In der Standardkonfiguration sind die Rechte oft sehr weit gefasst. Ein klassisches Problem ist die Rolle MyDistributionGroups: Sie erlaubt es jedem Mitarbeiter, eigene Verteilergruppen anzulegen und zu verwalten.

Dies führt unweigerlich zu einem Wildwuchs in der Globalen Adressliste (GAL), Verstößen gegen Namenskonventionen und potenziellen Datenlecks, wenn externe Empfänger unbemerkt in solche Gruppen aufgenommen werden.

• Empfehlung: Entziehe Benutzern das Recht, Verteilergruppen selbst zu erstellen. Die Verwaltung von Verteilern sollte zentral durch die IT oder über kontrollierte Self-Service-Portale (z. B. im Identity Management) erfolgen.
• Konfiguration:
  1. Navigiere im Exchange Admin Center zu Rollen > Benutzerrollen.
  2. Wähle die Default Role Assignment Policy aus.
  3. Klicke auf Berechtigungen verwalten.
  4. Deaktiviere die Checkbox bei MyDistributionGroups.

• Zusatz-Tipp (Datenqualität): Prüfe im gleichen Menü auch die Rolle MyContactInformation bzw. MyProfileInformation. Oft ist es wünschenswert, dass Benutzer ihre Stammdaten (wie Anzeigename oder Telefonnummer) nicht selbst ändern können, damit diese konsistent zu den Daten aus dem HR-System oder Active Directory bleiben.

4. SMTP-AUTH und Legacy-TLS global deaktivieren

Obwohl Microsoft die „Basic Authentication“ (Anmeldung nur mit Benutzername und Kennwort ohne MFA) mittlerweile weitgehend abgeschaltet hat, lohnt sich ein Blick in die Nachrichtenflusseinstellungen, um zwei verbleibende Sicherheitslücken mit wenigen Klicks zu schließen.

• SMTP-AUTH: Das Protokoll „SMTP Authentication“ wird häufig von Angreifern für Brute-Force-Attacken oder zum Versand von Spam über gekaperte Konten missbraucht. Sofern du keine alten Multifunktionsgeräte (Scanner/Drucker) hast, die zwingend SMTP-Versand benötigen, sollte dieses Protokoll global deaktiviert sein.
  • Szenario Scanner: Musst du SMTP-AUTH für einen Scanner zulassen, kannst du die globale Sperre hier aktivieren und das Protokoll anschließend per PowerShell (Set-CASMailbox -SmtpClientAuthenticationDisabled $false) nur für das spezifische Scanner-Postfach wieder freischalten. Das ist sicherer, als es für alle offen zu lassen.
• Legacy-TLS: Veraltete Verschlüsselungsstandards (TLS 1.0/1.1) sind unsicher. Stelle sicher, dass die Option zur Nutzung von Legacy-TLS-Clients nicht aktiviert ist, um moderne Verschlüsselung (TLS 1.2) zu erzwingen.

Konfiguration:

1. Navigiere im Exchange Admin Center zu Einstellungen > Nachrichtenfluss.
2. Aktiviere im Bereich Sicherheit die Checkbox: Deaktivieren des SMTP-AUTH-Protokolls für Ihre Organisation.
3. Stelle sicher, dass die Checkbox Aktivieren Sie die Verwendung von Legacy-TLS-Clients deaktiviert bleibt.

5. Verschlüsselung: TLS 1.2 ist Pflicht

Die veralteten Verschlüsselungsprotokolle TLS 1.0 und 1.1 gelten als unsicher und wurden von Microsoft in Microsoft 365 mittlerweile deaktiviert. Die Kommunikation erfolgt nun zwingend über TLS 1.2 oder höher.

To-Do für Admins: Dies ist weniger eine Einstellung im Admin Center, sondern eine Infrastruktur-Aufgabe. Prüfe deine Umgebung auf „Altlasten“:

• Drucker & Scanner: Firmware-Updates prüfen. Alte Geräte können oft keine Mails mehr versenden (Scan-to-Mail), wenn sie TLS 1.2 nicht unterstützen.
• Skripte & Server: Prüfe .NET-Anwendungen oder PowerShell-Skripte auf Servern, die Mails versenden. Sie müssen explizit TLS 1.2 nutzen.
• Loadbalancer: Stelle sicher, dass Hardware vor Exchange Hybrid Servern aktuelle Cipher-Suites nutzt.

6. Phishing-Schutz: Native „External“-Markierung

Helfe deinen Benutzern, Phishing und CEO-Fraud schneller zu erkennen, indem du die native Markierung für externe E-Mails (External Tagging) aktivierst. Dies ist der moderne Nachfolger der alten Methode, bei der per Transport-Regel der Betreff manipuliert wurde (z. B. [EXT] Betreff).

Vorteil: Outlook (Web, Mobile, Desktop und Mac) zeigt einen prominenten, aber nicht störenden „Extern“-Hinweis im Header der E-Mail an. Der Betreff bleibt dabei sauber und lesbar.

Aktivierung: Diese Funktion ist standardmäßig oft deaktiviert und muss per PowerShell eingeschaltet werden:

Set-ExternalInOutlook -Enabled $true

Wichtig (Geduld bewahren): Nach der Aktivierung kann es 24 bis 48 Stunden dauern, bis der Hinweis tatsächlich in allen Outlook-Clients deiner Benutzer sichtbar wird.

Optional (Ausnahmen): Du kannst spezifische Domänen oder E-Mail-Adressen von dieser Markierung ausnehmen, wenn diese eng vertraut sind (AllowList), damit der Warnhinweis nicht abstumpft:

Set-ExternalInOutlook -AllowList "partnerfirma.de", "tochterfirma.com"

7. Ungültige Empfänger sofort ablehnen (DBEB)

Directory Based Edge Blocking (DBEB) ist ein oft übersehener, aber wichtiger Sicherheitsmechanismus. Er sorgt dafür, dass E-Mails an Empfänger, die in deinem Azure AD nicht existieren, bereits am Microsoft-Gateway abgelehnt werden (Fehlercode: 550 5.4.1 Recipient address rejected: Access denied).

Sicherheits-Vorteil:

• Schutz vor Directory Harvesting: Angreifer können nicht einfach Tausende von E-Mail-Adressen „erraten“, um zu prüfen, welche davon existieren (User Enumeration).
• Vermeidung von Backscatter: Dein Tenant versendet keine Unzustellbarkeitsnachrichten (NDRs) an gefälschte Absenderadressen, was deine eigene Spam-Reputation schützt.

Voraussetzung: Deine Domäne muss in Exchange Online als „Autorisierend“ (Authoritative) konfiguriert sein.

Achtung (Hybrid-Falle): Betreibst du eine Hybrid-Umgebung, in der noch Postfächer auf einem lokalen Exchange Server liegen? Dann steht deine Domäne meist auf „Internal Relay“.

• In diesem Modus nimmt Exchange Online jede Mail an und versucht, unbekannte Empfänger an deinen lokalen Server weiterzuleiten.
• Konsequenz: DBEB ist in diesem Szenario technisch nicht möglich. Stelle die Domäne niemals auf „Autorisierend“, solange noch Postfächer On-Premises existieren, sonst kommen dort keine Mails mehr an!

Prüfung: Navigiere im Exchange Admin Center zu Nachrichtenfluss > Akzeptierte Domänen und prüfe den Domänentyp.

8. Reputation stärken: Standard-Domain & Postmaster

Jeder Tenant startet mit einer tenantname.onmicrosoft.com-Adresse (MOERA). Diese technische Adresse unterliegt bei Microsoft strengen Drosselungen (oft max. 100 Mails/Tag an externe Empfänger), um Missbrauch durch Test-Tenants zu verhindern. Zudem wirkt sie in Fehlermeldungen unprofessionell und wird von externen Spamfiltern oft kritischer bewertet.

• To-Do 1 (Standard-Domain): Stelle sicher, dass deine eigene Custom Domain (z. B. firma.de) als Standarddomäne eingerichtet ist, damit neue Benutzer automatisch die korrekte Absenderadresse erhalten.
• To-Do 2 (Postmaster-Adresse): Wenn eine Mail unzustellbar ist, sendet Exchange einen NDR. Standardmäßig kommt dieser von postmaster@tenant.onmicrosoft.com. Ändere dies auf deine seriöse Domäne, um das Vertrauen bei Empfängersystemen zu erhöhen.

Set-TransportConfig -ExternalPostmasterAddress postmaster@deine-domain.de

Hinweis: Stelle sicher, dass die E-Mail-Adresse postmaster@deine-domain.de auch existiert oder als Alias auf ein Admin-Postfach zeigt, falls Rückfragen kommen.

9. Mobile Geräte kontrollieren (ActiveSync & Outlook App)

Ohne weitere Konfiguration darf sich jedes Smartphone oder Tablet, das Zugangsdaten besitzt, mit deinem Exchange Online synchronisieren. Das bedeutet: Unternehmensdaten landen unkontrolliert auf privaten Geräten, die vielleicht weder verschlüsselt noch per PIN geschützt sind.

• Empfehlung (Quarantäne): Schalte den Standardzugriff für Exchange ActiveSync auf Quarantäne.
  • Effekt: Neue Geräte können sich verbinden, erhalten aber keine Daten, bis ein Administrator das Gerät explizit freigibt. Du behältst die volle Kontrolle darüber, wer mit welchem Gerät zugreift.
• Best Practice (Outlook Only): Erlaube explizit nur die Outlook App für iOS und Android.
  • Begründung: Native Mail-Apps (Apple Mail, Samsung Mail) cachen Daten oft lokal unsicher, unterstützen moderne Schutzfunktionen (wie Intune App Protection) nicht vollständig oder umgehen teilweise MFA-Vorgaben. Die Outlook App hält Daten in einem sicheren Container.
• Basis-Schutz ohne Intune: Falls du noch kein vollwertiges MDM (wie Microsoft Intune) einsetzt, nutze die nativen Postfachrichtlinien für mobile Geräte. Hier kannst du Mindeststandards erzwingen, z. B. eine 6-stellige PIN oder die Geräteverschlüsselung, bevor eine Synchronisation erlaubt wird.

10. Browser-Sicherheit härten (OWA Policies)

Der Zugriff über „Outlook im Web“ (OWA) ist bequem, birgt aber Risiken – besonders wenn sich Benutzer an öffentlichen Computern (Kiosk-PCs, Hotellobby) anmelden. Schnell wird ein Anhang heruntergeladen und versehentlich auf dem Desktop liegen gelassen.

• Empfehlung: Nutze Outlook Web App-Postfachrichtlinien, um Funktionen granular einzuschränken.
• Wichtige Einstellungen:
  1. Dateizugriff: Deaktiviere den „Direkten Dateizugriff“ (Download) auf privaten/öffentlichen Computern. Erlaube stattdessen nur die „WebReady-Dokumentanzeige“. So können User Anhänge lesen, aber nicht herunterladen.
  2. Offline-Modus: Deaktiviere den Offline-Modus. Dieser speichert Mails lokal im Browser-Cache, was an fremden PCs ein Datenschutzrisiko darstellt.
• Konfiguration:
  1. Navigiere zu Rollen > Outlook Web App-Richtlinien.
  2. Bearbeite die OwaMailboxPolicy-Default.
  3. Passe die Einstellungen unter Dateizugriff und Offlinezugriff an.

11. Microsoft Defender: Malware, Spam & Zero-Day-Schutz

Der Wechsel vom Exchange Admin Center in das Microsoft Defender Portal (security.microsoft.com) ist für die Sicherheit entscheidend. Hier konfigurierst du nicht nur statische Filter, sondern verhaltensbasierte Analysen. Navigiere zu E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien.

A. Anti-Malware (Schadsoftware)

Der Standard-Schutz scannt auf bekannte Viren-Signaturen. Wir härten ihn gegen gefährliche Dateitypen.

• Common Attachment Filter: Aktiviere in der Standardrichtlinie den „Filter für gängige Anlagentypen“. Microsoft empfiehlt, potenziell gefährliche Dateiendungen (wie .exe, .vbs, .ps1, .scr) nicht nur zu scannen, sondern direkt zu blockieren. Dies stoppt Ransomware-Dropper, bevor sie ausgeführt werden können.
• Zero-hour Auto Purge (ZAP): Stelle sicher, dass ZAP für Malware aktiviert ist. Erkennt Microsoft eine Signatur erst nachdem die Mail zugestellt wurde, entfernt ZAP die schädliche Nachricht nachträglich aus dem Postfach, bevor der Benutzer sie öffnet.

B. Anti-Spam

Die Standard-Spamfilter sind oft zu tolerant eingestellt.

• Bulk Email Threshold (BCL): In der Anti-Spam-Richtlinie für eingehenden Datenverkehr solltest du den Schwellenwert für Massen-E-Mails (Bulk Compliant Level) prüfen. Ein Wert von 6 oder 7 ist ein guter Startpunkt. Der Standardwert 7 lässt oft noch zu viel Werbe-Müll durch, ein Wert unter 5 erzeugt oft False-Positives.
• Sicherheitstipps: Aktiviere die Sicherheitstipps (Safety Tips), um Benutzer bei verdächtigen Mails (z. B. erster Kontakt) im Outlook-Header visuell zu warnen.

C. Sichere Anlagen (Safe Attachments)

Hinweis: Benötigt Lizenz „Defender for Office 365 Plan 1“ (z. B. in Business Premium). Hier werden Anhänge in einer virtuellen Sandbox zur Explosion gebracht („Detonation“), um unbekannte Bedrohungen (Zero-Day-Exploits) zu erkennen.

• Konfiguration: Erstelle eine Richtlinie, die für die gesamte Domäne gilt.
• Modus: Wähle Blockieren (die Mail wird erst zugestellt, wenn der Anhang geprüft und sicher ist) oder Dynamische Zustellung (die Mail kommt sofort, der Anhang wird nachgeliefert, sobald der Scan fertig ist). Letzteres ist benutzerfreundlicher, führt aber oft zu Rückfragen („Wo ist mein Anhang?“).

D. Sichere Links (Safe Links)

Hinweis: Benötigt Lizenz „Defender for Office 365 Plan 1“ (z. B. in Business Premium). Schützt vor Phishing-Links, die zum Zeitpunkt der Zustellung noch harmlos aussahen, aber später „scharfgeschaltet“ wurden.

• Funktionsweise: Links werden beim Klick („Time-of-Click“) durch Microsoft-Server geprüft.
• Schutzumfang: Aktiviere den Schutz nicht nur für E-Mails, sondern auch für Microsoft Teams und Office-Apps (Word, Excel, PowerPoint).
• Datenschutz-Tipp (Betriebsrat): Du kannst konfigurieren, dass Benutzer-Klicks nicht nachverfolgt werden („Benutzerklick nicht nachverfolgen“). Das erhöht die Akzeptanz bei Datenschutzbeauftragten, da keine Verhaltensüberwachung stattfindet, der Schutz aber aktiv bleibt.

12. Nachrichtenfluss-Regeln (Transport Rules)

Nachrichtenfluss-Regeln (ehemals Transport-Regeln) sind das mächtigste Werkzeug in Exchange. Sie greifen tief in den Mailverkehr ein und verarbeiten Nachrichten, noch bevor sie im Postfach landen. Aus Datenschutz-Sicht sind sie deine erste Linie für „DLP Light“ und erweiterte Sicherheitslogik.

• Einsatzgebiete für mehr Sicherheit:
  1. DLP Light / Compliance: Erstelle Regeln, die verhindern, dass sensible Daten (z. B. Kreditkartennummern oder Dokumente mit dem Stichwort „Streng Vertraulich“) den Tenant verlassen. Du kannst den Versand blockieren und den Absender mit einem erklärenden Text benachrichtigen („Policy Tip“).
  2. Blockieren gefährlicher Inhalte: Blockiere E-Mails mit passwortgeschützten (verschlüsselten) ZIP-Anhängen. Diese werden von Virenscannern oft nicht durchdrungen und sind ein beliebtes Versteck für Malware wie Emotet.
  3. Erweiterte Warnhinweise: Falls dir das native „External Tagging“ (siehe Punkt 6) nicht ausreicht, kannst du hier Regeln erstellen, die bei Mails von bestimmten kritischen Absendern oder mit bestimmten Schlüsselwörtern Warnhinweise in den Nachrichtenkörper einfügen (Vorsicht: verändert die DKIM-Signatur).
  4. Forensik (BCC): Leite Kopien verdächtiger Mails (z. B. von bestimmten IP-Bereichen) stillschweigend an ein Sicherheits-Postfach zur Analyse weiter.
  5. Rechtliche Hinweise: Erzwinge zentrale Disclaimer oder Impressums-Angaben für ausgehende Mails, um Abmahnrisiken zu minimieren.

13. Sichere Schnittstellen & „Nebeneingänge“ schließen

Konnektoren regeln den speziellen Mailfluss jenseits des Standards. Hier lauert jedoch oft ein doppeltes Risiko: Offene Relays und umgangene Sicherheitsfilter.

• Sichere Schnittstellen (Relay & Verschlüsselung):
  • Inbound: Wenn interne Scanner oder ERP-Systeme Mails über Exchange versenden müssen, darf der Konnektor niemals offen sein. Beschränke den Zugriff strikt auf feste IP-Adressen oder Zertifikate, um zu verhindern, dass dein Tenant zur Spam-Schleuder (Open Relay) wird.
  • Outbound: Nutze Konnektoren, um für sensible Partner (z. B. Banken) eine TLS-Verschlüsselung zu erzwingen oder Mails über spezielle Verschlüsselungs-Gateways (Smarthosts) zu routen.

• Den „Nebeneingang“ verriegeln (Connector Lockdown):
  • Das Risiko: Wenn du externe Spamfilter (z. B. NoSpamProxy, Hornetsecurity) nutzt, zeigt dein MX-Record zwar auf diese Dienstleister, aber Exchange Online nimmt standardmäßig weiterhin Mails von jedem Absender an. Angreifer können deinen Filter einfach umgehen, indem sie direkt an deine .onmicrosoft.com-Adresse senden („Direct Delivery Attack“).
  • Die Lösung: Erstelle einen Partner-Konnektor, der E-Mails nur annimmt, wenn sie von den IP-Adressen deines Filter-Anbieters kommen. Kombiniere dies idealerweise mit einer Nachrichtenfluss-Regel, die alle anderen direkten Einlieferungen blockiert. So wird Exchange zur Festung und akzeptiert keine Mails mehr am Filter vorbei.

14. SPF, DKIM & DMARC (Die Basis der E-Mail-Hygiene)

Sicherheit beginnt im DNS. Ohne diese drei Einträge ist deine Domain schutzlos gegen Identitätsdiebstahl (Spoofing) und deine E-Mails landen bei Empfängern wie Gmail, Yahoo oder T-Online zwangsläufig im Spam-Ordner. Seit Februar 2024 sind diese Standards für den Massenversand sogar Pflicht.

A. SPF (Sender Policy Framework) – Der Türsteher

SPF ist ein DNS-Eintrag, der wie eine Gästeliste funktioniert. Er legt fest, welche IP-Adressen oder Dienstleister im Namen deiner Domain E-Mails versenden dürfen.

• Die Syntax: Ein typischer Eintrag für reine Microsoft 365 Umgebungen sieht so aus: v=spf1 include:spf.protection.outlook.com -all
• Der entscheidende Unterschied (~all vs -all):
  • ~all (Soft Fail): Sagt dem Empfänger: „Wenn die Mail von woanders kommt, nimm sie an, aber markiere sie evtl. als verdächtig.“ Das ist gut für die Testphase, aber schlecht für die Sicherheit.
  • -all (Hard Fail): Sagt klar: „Wenn die Mail nicht von hier kommt, weise sie ab.“
• To-Do: Prüfe deinen SPF-Record. Viele Standard-Anleitungen empfehlen ~all. Dein Ziel für maximale Sicherheit muss aber -all sein. Stelle vorher sicher, dass wirklich alle Versandquellen (Newsletter-Tools, Webserver, Buchhaltungssoftware) im SPF enthalten sind (Limit: max. 10 DNS-Lookups!).

B. DKIM (DomainKeys Identified Mail) – Das digitale Siegel

SPF hat eine Schwäche: Bei E-Mail-Weiterleitungen geht die Prüfung oft kaputt. Hier hilft DKIM. Exchange Online fügt ausgehenden E-Mails eine unsichtbare, kryptografische Signatur hinzu. Der Empfänger prüft diese gegen einen öffentlichen Schlüssel in deinem DNS.

• Der Vorteil: DKIM garantiert, dass die E-Mail unterwegs nicht verändert wurde und dass sie wirklich von deiner Domain stammt.
• To-Do: DKIM ist für Custom Domains nicht standardmäßig aktiviert!
  1. Navigiere zum Microsoft Defender Portal (E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien > DKIM).
  2. Wähle deine Domain aus und klicke auf „DKIM-Schlüssel erstellen“.
  3. Veröffentliche die angezeigten zwei CNAME-Einträge bei deinem DNS-Provider.
  4. Warte kurz und aktiviere dann den Schalter „DKIM-Signaturen für Nachrichten für diese Domäne signieren“.

C. DMARC (Domain-based Message Authentication) – Der Chef

DMARC verbindet SPF und DKIM. Es ist eine Anweisung an den Empfänger, was passieren soll, wenn eine E-Mail die Prüfung von SPF oder DKIM nicht besteht.

• Die Phasen:
  1. Phase 1 (Monitoring): p=none. Du bekommst nur Berichte, aber keine Mail wird blockiert. Wichtig, um zu sehen, wer in deinem Namen sendet (legitim oder Angreifer).
  2. Phase 2 (Quarantäne): p=quarantine. Verdächtige Mails landen im Spam-Ordner des Empfängers.
  3. Phase 3 (Reject): p=reject. Der Goldstandard. Gefälschte Mails werden komplett abgelehnt.
• To-Do: Erstelle einen TXT-Eintrag _dmarc.deinedomain.de.
  • Beispiel für den Start: v=DMARC1; p=none; rua=mailto:dmarc-reports@deinedomain.de
  • Ersetze die E-Mail-Adresse durch ein Postfach, das du auswertest (oder nutze Tools wie Dmarcian oder Valimail zur Analyse der XML-Reports). Arbeite dich dann zügig zu p=reject vor.

15. Verschlüsselung & Kennzeichnung: Kontrolle über den Transport hinaus

Transportverschlüsselung (TLS) ist heute Standard, hat aber eine Schwäche: Sie verschlüsselt nur die „Leitung“ von Server zu Server. Sobald die E-Mail beim Empfänger ankommt, liegt sie dort im Klartext. Wenn du sicherstellen willst, dass sensible Daten (z. B. Verträge, Personaldaten) auch beim Empfänger geschützt bleiben, brauchst du Verschlüsselung auf Nachrichtenebene.

A. Office 365 Message Encryption (OME)

Mit OME kannst du verschlüsselte E-Mails an beliebige Empfänger senden – egal ob diese Outlook, Gmail, GMX oder Apple Mail nutzen.

• Funktionsweise:
  • Microsoft 365 Empfänger: Die Mail öffnet sich nahtlos in Outlook (Desktop/Web/Mobile).
  • Andere Empfänger (z. B. Gmail): Sie erhalten einen Link zu einem sicheren OME-Portal, wo sie sich entweder per Einmalcode (OTP) oder Google-Login authentifizieren, um die Nachricht zu lesen.
• Der Vorteil: Du behältst die Kontrolle. Du kannst verhindern, dass der Empfänger die Mail weiterleitet oder druckt („Nicht weiterleiten“-Option).
• To-Do: Stelle sicher, dass die IRM-Konfiguration (Information Rights Management) in deinem Tenant aktiviert ist. Dies ist Voraussetzung für OME.

B. Sensitivity Labels (Vertraulichkeitsbezeichnungen)

Dies ist die moderne Art der Datenklassifizierung im Microsoft Purview Portal. Anstatt darauf zu hoffen, dass Nutzer manuell verschlüsseln, gibst du ihnen Labels an die Hand.

• Automatisierung: Erstelle Labels wie „Intern“, „Öffentlich“ und „Streng Vertraulich“.
• Verknüpfte Aktionen: Konfiguriere das Label „Streng Vertraulich“ so, dass es automatisch:
  1. Die E-Mail verschlüsselt.
  2. Ein Wasserzeichen in Word-Dokumente einfügt.
  3. Den Zugriff auf interne Mitarbeiter beschränkt (selbst wenn die Datei versehentlich per USB-Stick nach außen gelangt, kann sie dort niemand öffnen).
• Integration: Die Labels werden nativ in Outlook und Office-Apps angezeigt, was die Akzeptanz bei Benutzern erhöht.

16. Auditing & Forensik: Vertrauen ist gut, Logs sind besser

Im Ernstfall (Data Breach, gelöschte Daten oder Sabotage) ist Unwissenheit keine Ausrede. Du musst beantworten können: Wer hat wann was getan? Ohne sauber konfiguriertes Logging stehst du im Dunkeln.

A. Unified Audit Log (Das zentrale Gedächtnis)

Das Unified Audit Log (in Microsoft Purview) sammelt Aktivitäten aus fast allen Diensten (Exchange, SharePoint, Teams, Entra ID).

• Status prüfen: Bei neuen Tenants ist es standardmäßig an („On by Default“), bei älteren oder migrierten Tenants ist es oft noch deaktiviert.

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

Aktivierung: Steht dies auf False, musst du es zwingend aktivieren, damit Daten fließen:

Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

• Wichtiger Lizenz-Hinweis (Audit Premium): Das Standard-Log zeigt dir, wenn eine Mail gelöscht oder bewegt wurde. Um zu beweisen, dass ein Angreifer eine E-Mail nur gelesen hat (Event: MailItemsAccessed), benötigst du Microsoft Purview Audit (Premium) Lizenzen (meist in E5 oder als Add-On enthalten). Ohne diese Lizenz ist der reine Lese-Zugriff oft forensisch nicht nachweisbar.

B. Mailbox Auditing (Wer hat die Mail gelöscht?)

Besonders kritisch ist dies bei Shared Mailboxes (Freigegebenen Postfächern), auf die mehrere Personen (z. B. buchhaltung@) Zugriff haben. Wenn eine wichtige Mail verschwindet, musst du wissen, wer es war.

• Standard vs. Realität: Microsoft nutzt „Default Auditing“. Das ist gut, hat aber Lücken. Oft werden Aktionen des Besitzers (Owner) – also des Users selbst – weniger streng protokolliert als die von Stellvertretern (Delegates).
• Härtung: Wenn du sicherstellen willst, dass auch das „Hard Delete“ (endgültiges Löschen) durch den Besitzer selbst protokolliert wird (Schutz vor Sabotage durch Mitarbeiter), solltest du die Einstellungen prüfen und ggf. anpassen.
• Konfiguration: Erzwinge das Auditing für kritische Postfächer und stelle sicher, dass es aktiv ist:

Set-Mailbox -Identity "buchhaltung@firma.de" -AuditEnabled $true

Tipp: Prüfe bei Shared Mailboxes regelmäßig, ob AuditEnabled aktiv ist, da dies bei der Erstellung manchmal verzögert greift.

C. Aufbewahrung (Retention Policies / Data Lifecycle)

Ein Backup schützt vor technischem Ausfall (Disaster Recovery), eine Retention Policy (Aufbewahrungsrichtlinie) schützt vor rechtlichen Problemen und Compliance-Verstößen.

• GoBD & Compliance: Definiere im Microsoft Purview Portal (Data Lifecycle Management), wie lange Daten aufbewahrt werden müssen (z. B. 6 oder 10 Jahre für steuerlich relevante Mails).
• Funktionsweise: Eine Richtlinie sorgt dafür, dass selbst wenn ein Benutzer eine E-Mail aus dem Papierkorb löscht („Hard Delete“), diese im Hintergrund im Ordner „Recoverable Items“ (Wiederherstellbare Elemente) unveränderbar für eDiscovery erhalten bleibt. Der Benutzer merkt davon nichts, aber die Daten sind sicher.
• Wichtige Unterscheidung: Retention ist kein Ersatz für ein klassisches Backup (für schnelles Restore bei User-Fehlern), aber essenziell für die Rechtssicherheit bei Revisionen.

17. Alert Policies: Automatische Wächter für deine Umgebung

Du kannst nicht 24/7 Audit-Logs lesen. Und genau das nutzen Angreifer aus: Sie agieren nachts oder am Wochenende. Warnrichtlinien (Alert Policies) sind dein digitales Alarmsystem, das dich sofort benachrichtigt, wenn verdächtige Aktivitäten auftreten.

Die Konfiguration erfolgt im Microsoft Defender Portal. Viele Basis-Richtlinien sind standardmäßig aktiv, aber du solltest sie dringend prüfen und schärfen.

Die „Big Three“: Diese Alarme sind Pflicht | Es gibt Hunderte möglicher Alarme, aber diese drei Szenarien deuten fast immer auf einen erfolgreichen Angriff oder einen Insider-Vorfall hin:

1. Erstellung von Weiterleitungs-/Umleitungsregeln (The Silent Hack)
   • Das Szenario: Ein Angreifer knackt ein Benutzerkonto (Business Email Compromise). Um unentdeckt zu bleiben, erstellt er sofort eine Posteingangsregel: „Leite alle Mails mit dem Wort ‚Rechnung‘ an hacker@evil.com weiter und lösche sie danach aus dem Posteingang.“
   • Die Maßnahme: Konfiguriere eine Richtlinie, die bei jeder Erstellung einer Weiterleitungsregel sofort die Admins benachrichtigt. So kannst du das Konto sperren, oft noch bevor Daten abfließen.
   • Standard-Policy: „Creation of forwarding/redirect rule“.
2. Ungewöhnliche Massenlöschung (Sabotage & Vertuschung)
   • Das Szenario: Ein frustrierter Mitarbeiter löscht vor seinem Abgang Projektdaten, oder Ransomware verschlüsselt (und löscht) Originaldateien in OneDrive/SharePoint.
   • Die Maßnahme: Die Richtlinie „Unusual volume of file deletion“ lernt das normale Verhalten deiner Nutzer. Weicht jemand signifikant davon ab (löscht z. B. 1.000 Dateien in 5 Minuten), schlägt das System Alarm.
3. Erteilung von Admin-Rechten (Privilege Escalation)
   • Das Szenario: Ein normales Benutzerkonto erhält plötzlich die Rolle „Global Administrator“ oder „Exchange Administrator“. Entweder war das ein Fehler eines Kollegen oder ein Angreifer weitet seine Rechte aus.
   • Die Maßnahme: Überwache Änderungen an der Rollenzugehörigkeit (Role Group Membership). Jede Ernennung zum Admin sollte einen Alert auslösen, der verifiziert werden muss.

Konfiguration & Triage

• Empfänger: Stelle sicher, dass diese Alarme an eine E-Mail-Adresse gehen, die auch außerhalb deiner Exchange-Umgebung erreichbar ist (oder an ein Ticket-System), falls dein Tenant kompromittiert ist.
• Schweregrad: Setze kritische Alarme auf „Hoch“, damit sie im Dashboard oben erscheinen.

– weitere Quellen

This post is also available in: Deutsch