Exchange Online Hardening | Best Practices zu Sicherheit & Datenschutz

Sobald das erste Postfach in der Microsoft Cloud eingerichtet ist, ist es weltweit erreichbar. Microsofts Standardeinstellungen sind dabei primär auf maximale Kompatibilität ausgelegt, nicht auf maximale Sicherheit.

Bevor du die Masse deiner Benutzer migrierst, härtest du deine Umgebung gegen Datenabfluss und Angriffe. Hier sind die wichtigsten Konfigurationen für einen sicheren Exchange Online Tenant.

Die automatische externe Weiterleitung ist bei Exchange Online inzwischen standardmäßig deaktiviert, weil der Standardwert der Outbound-Spam-Richtlinie ("Systembetrieben") sie für die meisten Tenants blockiert. Verlass dich darauf aber nicht blind: Eine automatische Weiterleitung an beliebige externe Adressen (etwa private Gmail- oder GMX-Konten) ist aus Sicht von Datenschutz und Informationssicherheit ein kritisches Einfallstor für Data Exfiltration, weil Unternehmensdaten so unkontrolliert und oft unverschlüsselt den gesicherten Tenant verlassen. Setzt du den Wert explizit auf "Aus", machst du den Schutz deterministisch statt von Microsofts Systemlogik abhängig.

Microsoft empfiehlt mittlerweile primär die Steuerung über die Anti-Spam-Richtlinien im Defender-Portal, weil diese effektiver greifen und bessere Reports liefern. Im Sinne von Defense in Depth konfigurierst du beide Ebenen.

Das ist die bevorzugte Methode, weil sie gezielt am Versender ansetzt und granulare Ausnahmen zulässt.

Die Einstellung "Systembetrieben" (System controlled) ist oft zu tolerant. "Aus" ist die sicherste Wahl.

Diese Einstellung wirkt als globaler Not-Aus-Schalter auf Transport-Ebene und gehört als zweite Verteidigungslinie ebenfalls konfiguriert.

Granulare Steuerung für Ausnahmen: Musst du für spezifische Partner-Firmen oder Abteilungen automatische Weiterleitungen zulassen, baust du keine globale Lücke. Im Defender erstellst du eine neue Outbound-Spam-Richtlinie (etwa "Allow Forwarding for HR"), setzt die Weiterleitung dort auf "Ein" und weist sie nur der spezifischen Benutzergruppe zu. In Exchange erstellst du eine neue Remotedomäne für die Zieladresse (etwa *partnerfirma.de) und erlaubst die Weiterleitung nur für dieses Ziel.

Die Standard-Richtlinie (Default Sharing Policy) in Exchange Online ist oft so konfiguriert, dass Benutzer ihre Kalenderdetails mit externen Personen teilen können. Aus Datenschutzsicht ist das problematisch, weil Bewegungsdaten und Meeting-Inhalte (Betreff, Ort, Teilnehmer) sensible personenbezogene Daten sind. Zudem nutzen Angreifer solche Informationen für gezieltes Social Engineering, etwa CEO-Fraud, wenn bekannt ist, dass die Geschäftsführung im Urlaub ist.

Beschränke die externe Freigabe in der Standard-Richtlinie auf das absolute Minimum. Externen Partnern sollten Benutzer standardmäßig niemals Details (Betreff, Ort) zeigen, höchstens ihre Verfügbarkeit.

Konfiguration:

Benötigen bestimmte Abteilungen (etwa Vertrieb oder Vorstandssekretariat) detailliertere Freigaben für enge Partner, erstellst du dafür eine zusätzliche Sharing Policy und weist sie gezielt nur den entsprechenden Benutzerpostfächern zu, statt den Schutz für die gesamte Organisation zu senken.

Die Default Role Assignment Policy steuert, welche administrativen Aufgaben Endbenutzer in ihren eigenen Optionen (Outlook im Web) selbst durchführen dürfen. In der Standardkonfiguration sind die Rechte oft sehr weit gefasst. Ein klassisches Problem ist die Rolle MyDistributionGroups: Sie erlaubt jedem Mitarbeiter, eigene Verteilergruppen anzulegen und zu verwalten. Das führt zu Wildwuchs in der Globalen Adressliste (GAL), zu Verstößen gegen Namenskonventionen und zu potenziellen Datenlecks, wenn externe Empfänger unbemerkt in solche Gruppen aufgenommen werden.

Entziehe Benutzern daher das Recht, Verteilergruppen selbst zu erstellen. Die Verwaltung von Verteilern gehört zentral in die IT oder in kontrollierte Self-Service-Portale (etwa im Identity Management).

Konfiguration:

Tipp zur Datenqualität: Prüfe im gleichen Menü die Rollen MyContactInformation und MyProfileInformation. Oft ist es sinnvoll, dass Benutzer ihre Stammdaten (etwa Anzeigename oder Telefonnummer) nicht selbst ändern können, damit diese konsistent zu den Daten aus dem HR-System oder Active Directory bleiben.

Microsoft hat die Basisauthentifizierung (Anmeldung nur mit Benutzername und Kennwort ohne MFA) für die meisten Protokolle bereits Ende 2022 abgeschaltet. Bei SMTP-AUTH steht der nächste Schritt an: Nach der aktualisierten Microsoft-Timeline (Stand Januar 2026) schaltet Microsoft die Basisauthentifizierung mit Client Submission (SMTP-AUTH) für bestehende Tenants Ende Dezember 2026 standardmäßig ab. Admins können sie danach bei Bedarf noch einmal aktivieren, neue Tenants ab Dezember 2026 bekommen sie gar nicht mehr. Du solltest die verbleibenden Lücken also jetzt schließen.

SMTP-AUTH wird häufig für Brute-Force-Attacken oder zum Spam-Versand über gekaperte Konten missbraucht. Sofern du keine alten Multifunktionsgeräte (Scanner, Drucker) hast, die zwingend SMTP-Versand brauchen, sollte das Protokoll global deaktiviert sein. Musst du SMTP-AUTH für einen Scanner zulassen, aktivierst du die globale Sperre und schaltest das Protokoll anschließend per PowerShell nur für das spezifische Scanner-Postfach wieder frei. Das ist sicherer, als es für alle offen zu lassen:

Im gleichen Zug prüfst du POP3 und IMAP. Beide Protokolle sind standardmäßig aktiviert, werden aber von den meisten Benutzern nicht gebraucht, weil sie über Outlook, die Outlook Mobile App oder OWA zugreifen. POP3 und IMAP sind nur in sehr spezifischen Szenarien nötig, etwa wenn eine Anwendung direkt mit einem Postfach interagiert, und selbst dann ist eine Graph-API-Anbindung vorzuziehen.

Deaktiviere die Protokolle daher, sofern sie nicht zwingend erforderlich sind. Pro Postfach steuerst du das per PowerShell:

Veraltete Verschlüsselungsstandards (TLS 1.0 und 1.1) sind unsicher. Stelle sicher, dass die Option zur Nutzung von Legacy-TLS-Clients nicht aktiviert ist, damit moderne Verschlüsselung (TLS 1.2) erzwungen wird.

Konfiguration:

Die veralteten Protokolle TLS 1.0 und 1.1 gelten als unsicher und wurden von Microsoft in Microsoft 365 deaktiviert. Die Kommunikation läuft nun zwingend über TLS 1.2 oder höher.

Das ist weniger eine Einstellung im Admin Center als eine Infrastruktur-Aufgabe. Prüfe deine Umgebung auf Altlasten:

Hilf deinen Benutzern, Phishing und CEO-Fraud schneller zu erkennen, indem du die native Markierung für externe E-Mails (External Tagging) aktivierst. Das ist der moderne Nachfolger der alten Methode, bei der per Transport-Regel der Betreff manipuliert wurde (etwa [EXT] im Betreff).

Der Vorteil: Outlook (Web, Mobile, Desktop und Mac) zeigt einen prominenten, aber nicht störenden Extern-Hinweis im Header der E-Mail an. Der Betreff bleibt sauber und lesbar.

Die Funktion ist standardmäßig oft deaktiviert und wird per PowerShell eingeschaltet:

Nach der Aktivierung kann es 24 bis 48 Stunden dauern, bis der Hinweis in allen Outlook-Clients deiner Benutzer sichtbar wird.

Optional nimmst du eng vertraute Domänen oder Adressen von der Markierung aus (Allowlist), damit der Warnhinweis nicht abstumpft:

Directory Based Edge Blocking (DBEB) ist ein oft übersehener, aber wichtiger Sicherheitsmechanismus. Er sorgt dafür, dass E-Mails an Empfänger, die in deinem Entra ID nicht existieren, bereits am Microsoft-Gateway abgelehnt werden (Fehlercode 550 5.4.1 Recipient address rejected: Access denied).

Der Sicherheitsvorteil liegt auf zwei Ebenen. Erstens schützt DBEB vor Directory Harvesting: Angreifer können nicht einfach Tausende Adressen erraten, um zu prüfen, welche existieren (User Enumeration). Zweitens vermeidet es Backscatter, weil dein Tenant keine Unzustellbarkeitsnachrichten (NDRs) an gefälschte Absenderadressen versendet, was deine eigene Spam-Reputation schützt.

Voraussetzung: Deine Domäne muss in Exchange Online als Autorisierend (Authoritative) konfiguriert sein.

Achtung, Hybrid-Falle: Betreibst du eine Hybrid-Umgebung, in der noch Postfächer auf einem lokalen Exchange Server liegen, steht deine Domäne meist auf Internal Relay. In diesem Modus nimmt Exchange Online jede Mail an und versucht, unbekannte Empfänger an deinen lokalen Server weiterzuleiten. DBEB ist dann technisch nicht möglich. Stelle die Domäne niemals auf Autorisierend, solange noch Postfächer On-Premises existieren, sonst kommen dort keine Mails mehr an.

Prüfung: Navigiere im Exchange Admin Center zu Nachrichtenfluss > Akzeptierte Domänen und prüfe den Domänentyp.

Jeder Tenant startet mit einer tenantname.onmicrosoft.com-Adresse (MOERA). Diese technische Adresse unterliegt bei Microsoft strengen Drosselungen, um Missbrauch durch Test-Tenants zu verhindern. Seit der Einführung der MOERA-Throttling-Regel (Microsoft Message Center, gestaffelter Rollout ab Oktober 2025 bis Juni 2026) ist der Versand aus dem onmicrosoft.com-Namespace auf 100 externe Empfänger pro Organisation in einem rollierenden 24-Stunden-Fenster begrenzt. Wird das Limit überschritten, kommt ein NDR mit dem Code 550 5.7.236. Zudem wirkt die Adresse in Fehlermeldungen unprofessionell und wird von externen Spamfiltern kritischer bewertet.

To-Do 1, Standard-Domain: Stelle sicher, dass deine eigene Custom Domain (etwa firma.de) als Standarddomäne eingerichtet ist, damit neue Benutzer automatisch die korrekte Absenderadresse erhalten.

To-Do 2, Postmaster-Adresse: Ist eine Mail unzustellbar, sendet Exchange einen NDR. Standardmäßig kommt dieser von postmaster@tenant.onmicrosoft.com. Ändere das auf deine seriöse Domäne, um das Vertrauen bei Empfängersystemen zu erhöhen:

Stelle sicher, dass die Adresse postmaster@deine-domain.de existiert oder als Alias auf ein Admin-Postfach zeigt, falls Rückfragen kommen.

Ohne weitere Konfiguration darf sich jedes Smartphone oder Tablet mit gültigen Zugangsdaten mit deinem Exchange Online synchronisieren. Unternehmensdaten landen so unkontrolliert auf privaten Geräten, die vielleicht weder verschlüsselt noch per PIN geschützt sind.

Schalte den Standardzugriff für Exchange ActiveSync auf Quarantäne. Neue Geräte können sich dann verbinden, erhalten aber keine Daten, bis ein Administrator das Gerät explizit freigibt. So behältst du die volle Kontrolle darüber, wer mit welchem Gerät zugreift.

Als Best Practice erlaubst du explizit nur die Outlook App für iOS und Android. Native Mail-Apps (Apple Mail, Samsung Mail) cachen Daten oft lokal unsicher, unterstützen moderne Schutzfunktionen wie Intune App Protection nicht vollständig oder umgehen teilweise MFA-Vorgaben. Die Outlook App hält Daten in einem sicheren Container.

Hast du noch kein vollwertiges MDM wie Microsoft Intune, nutzt du die nativen Postfachrichtlinien für mobile Geräte. Dort erzwingst du Mindeststandards, etwa eine 6-stellige PIN oder die Geräteverschlüsselung, bevor eine Synchronisation erlaubt wird.

Ein freigegebenes Postfach (Shared Mailbox) hat im Hintergrund ein eigenes Benutzerkonto, das normalerweise keine Lizenz braucht und auf das mehrere Personen über Berechtigungen zugreifen. Genau dieses Konto ist ein beliebtes Angriffsziel, weil es oft vergessen wird und in manchen Szenarien noch ein Kennwort besitzt. Ein Angreifer, der sich direkt an diesem Konto anmelden kann, umgeht die delegierte Zugriffskontrolle komplett.

Sperre deshalb die interaktive Anmeldung für alle Shared-Mailbox-Konten. Niemand soll sich direkt an buchhaltung@firma.de anmelden, der Zugriff läuft ausschließlich über die zugewiesenen Berechtigungen der Mitarbeiter.

Konfiguration über das Microsoft 365 Admin Center: Unter Benutzer > Aktive Benutzer öffnest du das Konto des freigegebenen Postfachs und setzt den Anmeldestatus auf Anmeldung blockieren.

Per PowerShell prüfst und setzt du das gezielt:

Zwei Punkte runden die Absicherung ab. Erstens: Stelle sicher, dass die Postfachüberwachung aktiv ist, damit nachvollziehbar bleibt, wer welche Mail im geteilten Postfach gelöscht oder verschoben hat. Zweitens: Prüfe regelmäßig, ob die Anmeldung wirklich gesperrt ist, weil ein Konto bei der Migration oder Neuerstellung versehentlich wieder aktiviert werden kann.

Der Zugriff über Outlook im Web (OWA) ist bequem, birgt aber Risiken, besonders wenn sich Benutzer an öffentlichen Computern (Kiosk-PCs, Hotellobby) anmelden. Schnell wird ein Anhang heruntergeladen und versehentlich auf dem Desktop liegen gelassen.

Nutze Outlook Web App-Postfachrichtlinien, um Funktionen granular einzuschränken. Beim Dateizugriff deaktivierst du den direkten Dateizugriff (Download) auf privaten und öffentlichen Computern und erlaubst stattdessen nur die WebReady-Dokumentanzeige. So lesen User Anhänge, können sie aber nicht herunterladen. Den Offline-Modus deaktivierst du, weil er Mails lokal im Browser-Cache speichert, was an fremden PCs ein Datenschutzrisiko ist.

Konfiguration:

Der Wechsel vom Exchange Admin Center in das Microsoft Defender Portal (security.microsoft.com) ist für die Sicherheit entscheidend. Hier konfigurierst du nicht nur statische Filter, sondern verhaltensbasierte Analysen. Navigiere zu E-Mail und Zusammenarbeit > Richtlinien und Regeln > Bedrohungsrichtlinien.

Der Standard-Schutz scannt auf bekannte Viren-Signaturen. Du härtest ihn gegen gefährliche Dateitypen. Aktiviere in der Standardrichtlinie den Filter für gängige Anlagentypen (Common Attachment Filter). Microsoft empfiehlt, potenziell gefährliche Dateiendungen wie .exe, .js, .vbs, .ps1 oder .scr nicht nur zu scannen, sondern direkt zu blockieren. Das stoppt Ransomware-Dropper, bevor sie ausgeführt werden. Stelle außerdem sicher, dass Zero-hour Auto Purge (ZAP) für Malware aktiviert ist. Erkennt Microsoft eine Signatur erst, nachdem die Mail zugestellt wurde, entfernt ZAP die schädliche Nachricht nachträglich aus dem Postfach, bevor der Benutzer sie öffnet.

Ein Hinweis zur Quarantäne: Standardmäßig haben nur Administratoren Zugriff auf Nachrichten in Quarantäne. Über Quarantäne-Richtlinien lässt sich Benutzern erlauben, mit ihren Nachrichten zu interagieren oder sie sogar selbst freizugeben. Bei Malware solltest du die Selbstfreigabe durch Benutzer nicht aktivieren, weil sie damit eine erkannte Bedrohung eigenhändig in ihr Postfach holen könnten.

Die Standard-Spamfilter sind oft zu tolerant eingestellt. In der Anti-Spam-Richtlinie für eingehenden Datenverkehr prüfst du den Schwellenwert für Massen-E-Mails (Bulk Complaint Level, BCL). Der Standardwert liegt bei 7 und lässt oft noch zu viel Werbemüll durch.

Ein Wert von 6 ist ein guter Startpunkt, unter 5 steigt das Risiko von False Positives. Aktiviere zusätzlich die Sicherheitstipps (Safety Tips), um Benutzer bei verdächtigen Mails (etwa erster Kontakt) im Outlook-Header visuell zu warnen.

Diese Funktion benötigt die Lizenz Defender for Office 365 Plan 1 (etwa in Business Premium enthalten). Anhänge werden in einer virtuellen Sandbox zur Detonation gebracht, um unbekannte Bedrohungen (Zero-Day-Exploits) zu erkennen.

Erstelle eine Richtlinie, die für die gesamte Domäne gilt. Beim Modus wählst du Blockieren (die Mail wird erst zugestellt, wenn der Anhang geprüft und sicher ist) oder Dynamische Zustellung (die Mail kommt sofort, der Anhang wird nachgeliefert, sobald der Scan fertig ist). Letzteres ist benutzerfreundlicher, führt aber oft zu Rückfragen nach dem fehlenden Anhang.

Diese Funktion benötigt ebenfalls Defender for Office 365 Plan 1. Sie schützt vor Phishing-Links, die zum Zeitpunkt der Zustellung noch harmlos aussahen, aber später scharfgeschaltet wurden. Links werden beim Klick (Time-of-Click) durch Microsoft-Server geprüft. Aktiviere den Schutz für E-Mails und ebenso für Microsoft Teams und die Office-Apps (Word, Excel, PowerPoint).

Datenschutz-Tipp für den Betriebsrat: Du kannst konfigurieren, dass Benutzer-Klicks nicht nachverfolgt werden ("Benutzerklick nicht nachverfolgen"). Das erhöht die Akzeptanz bei Datenschutzbeauftragten, weil keine Verhaltensüberwachung stattfindet, der Schutz aber aktiv bleibt.

Die Anti-Phishing-Richtlinie ist deine gezielte Verteidigung gegen CEO-Fraud und Business Email Compromise (BEC). Während Anti-Spam auf Massenmüll zielt, erkennt die Impersonation Protection E-Mails, die vortäuschen, von Führungskräften oder bekannten Partnern zu stammen. Der Schaden bei erfolgreichem BEC liegt oft im sechsstelligen Bereich, weil Mitarbeiter auf eine vermeintliche Anweisung der Geschäftsführung hin Überweisungen auslösen oder Daten herausgeben.

Hinterlege in der Anti-Phishing-Richtlinie deine kritischen Postfächer (Geschäftsführung, Buchhaltung, Personal) als geschützte Benutzer und ergänze deine eigenen sowie eng verbundene Partner-Domänen als geschützte Domänen. Die Mailbox-Intelligence für Impersonation und die Spoof-Intelligence solltest du aktiviert lassen. Die granulare Impersonation Protection setzt Defender for Office 365 Plan 1 voraus, die Spoof-Intelligence steht bereits in der Basis-Anti-Phishing-Richtlinie zur Verfügung.

Statt jede Anti-Spam-, Anti-Malware-, Anti-Phishing-, Safe-Links- und Safe-Attachments-Richtlinie einzeln von Hand zu pflegen, gibt dir Microsoft mit den voreingestellten Sicherheitsrichtlinien (Preset Security Policies) eine fertige Baseline. Der große Vorteil: Microsoft hält die Einstellungen automatisch auf dem aktuellen Empfehlungsstand, du musst sie also nicht ständig nachjustieren.

Es gibt drei Profile. Der eingebaute Schutz (Built-in Protection) ist standardmäßig aktiv und liefert allen Empfängern einen Basis-Schutz für Safe Attachments und Safe Links. Standard und Strict dagegen sind standardmäßig ausgeschaltet, bis du sie einschaltest. Strict greift härter durch als Standard und eignet sich für besonders gefährdete Konten wie Geschäftsführung oder Buchhaltung, Standard ist die solide Wahl für den Rest der Organisation.

Empfehlung: Aktiviere die Standard-Policy für alle Empfänger und lege die kritischen Postfächer zusätzlich in die Strict-Policy. Beim Einrichten hinterlegst du im Schritt Impersonation Protection deine zu schützenden Benutzer und Domänen sowie vertrauenswürdige Ausnahmen.

Konfiguration:

Setzt du bewusst eigene (Custom) Richtlinien ein, prüfst du sie regelmäßig mit dem Configuration Analyzer. Das Werkzeug findest du im Defender Portal unter Bedrohungsrichtlinien > Konfigurationsanalyse. Es vergleicht deine vorhandenen EOP- und Defender-Richtlinien mit den Standard- und Strict-Baselines und zeigt dir jede Einstellung, die unter dem empfohlenen Niveau liegt, samt Vorschlag zum direkten Übernehmen.

Voraussetzung: Standard und Strict sowie der Configuration Analyzer setzen mindestens Defender for Office 365 Plan 1 voraus, zur Bearbeitung brauchst du die Rolle Sicherheitsadministrator.

Wenn ein Drittfilter wie Hornetsecurity oder NoSpamProxy vor Exchange Online sitzt, kommen alle Mails mit der IP-Adresse dieses Dienstleisters bei EOP an, nicht mit der echten Absender-IP. Damit verlieren die Spoof-Erkennung und die SPF-Prüfung ihre wichtigste Grundlage, und legitime wie bösartige Mails werden falsch eingestuft. Genau dafür gibt es zwei Mechanismen, die du zusätzlich zum Connector-Lockdown aktivierst.

Enhanced Filtering für Connectors (Skip Listing): Du hinterlegst die IP-Adressen deines Filter-Anbieters, die EOP überspringen soll. Dadurch sieht EOP wieder die ursprüngliche Absender-IP und kann Spoofing, SPF und die maschinellen Anti-Phishing-Modelle korrekt anwenden. Microsoft empfiehlt das ausdrücklich gegenüber einem kompletten Filter-Bypass per Transportregel, weil geteilte Filter-IPs sonst zum Einfallstor für Spoofing werden.

Konfiguration:

ARC Trusted Sealers: Verändert der Drittfilter die Nachricht unterwegs, bricht die DKIM-Signatur und damit oft auch DMARC. Unterstützt der Anbieter ARC (Authenticated Received Chain), trägst du seine ARC-Signierdomäne als vertrauenswürdigen Sealer ein. EOP berücksichtigt dann das ARC-Siegel und erhält die ursprünglichen Authentifizierungsergebnisse, sodass legitime Mails nicht fälschlich im Junk-Ordner oder in der Quarantäne landen. Die Signierdomäne erfährst du beim Anbieter (etwa in der Form mailhop.org). Die Konfiguration liegt im Defender Portal unter den E-Mail-Authentifizierungseinstellungen im Reiter ARC.

Unterstützt der Filter kein ARC, prüfst du den Spoof-Erkennungsbericht und legst für die betroffenen legitimen Absender gezielte Allow-Einträge an.

Nachrichtenfluss-Regeln (ehemals Transport-Regeln) greifen am tiefsten in den Mailverkehr ein und verarbeiten Nachrichten, bevor sie im Postfach landen. Aus Datenschutzsicht sind sie deine erste Linie für DLP Light und erweiterte Sicherheitslogik.

Typische Einsatzgebiete für mehr Sicherheit:

Konnektoren regeln den speziellen Mailfluss jenseits des Standards. Hier lauert oft ein doppeltes Risiko: offene Relays und umgangene Sicherheitsfilter.

Sichere Schnittstellen (Relay und Verschlüsselung): Wenn interne Scanner oder ERP-Systeme Mails über Exchange versenden müssen, darf der Inbound-Konnektor niemals offen sein. Beschränke den Zugriff strikt auf feste IP-Adressen oder Zertifikate, damit dein Tenant nicht zur Spam-Schleuder (Open Relay) wird. Über Outbound-Konnektoren erzwingst du für sensible Partner (etwa Banken) eine TLS-Verschlüsselung oder routest Mails über spezielle Verschlüsselungs-Gateways (Smarthosts).

Den Nebeneingang verriegeln (Connector Lockdown): Nutzt du externe Spamfilter (etwa NoSpamProxy, Hornetsecurity), zeigt dein MX-Record zwar auf diese Dienstleister, aber Exchange Online nimmt standardmäßig weiterhin Mails von jedem Absender an. Angreifer umgehen deinen Filter dann einfach, indem sie direkt an deine onmicrosoft.com-Adresse senden (Direct Delivery Attack). Die Lösung: Erstelle einen Partner-Konnektor, der E-Mails nur annimmt, wenn sie von den IP-Adressen deines Filter-Anbieters kommen, und kombiniere das mit einer Nachrichtenfluss-Regel, die alle anderen direkten Einlieferungen blockiert. So akzeptiert Exchange keine Mails mehr am Filter vorbei.

Sicherheit beginnt im DNS. Ohne diese drei Einträge ist deine Domain schutzlos gegen Identitätsdiebstahl (Spoofing), und deine E-Mails landen bei Empfängern wie Gmail, Yahoo oder T-Online im Spam-Ordner. Seit Februar 2024 sind diese Standards für den Massenversand an Google und Yahoo Pflicht, Microsoft zog 2025 mit eigenen Anforderungen für Großversender an Outlook.com nach.

SPF ist ein DNS-Eintrag, der wie eine Gästeliste funktioniert. Er legt fest, welche IP-Adressen oder Dienstleister im Namen deiner Domain E-Mails versenden dürfen. Ein typischer Eintrag für reine Microsoft 365 Umgebungen sieht so aus:

Der entscheidende Unterschied liegt am Ende. ~all (Soft Fail) sagt dem Empfänger, er solle eine Mail aus einer fremden Quelle zwar annehmen, aber als verdächtig markieren. Das ist gut für die Testphase, aber schlecht für die Sicherheit. -all (Hard Fail) weist Mails ab, die nicht von einer autorisierten Quelle kommen. Prüfe deinen SPF-Record: Viele Standard-Anleitungen empfehlen ~all, dein Ziel für maximale Sicherheit ist aber -all. Stelle vorher sicher, dass wirklich alle Versandquellen (Newsletter-Tools, Webserver, Buchhaltungssoftware) im SPF enthalten sind. Beachte das Limit von maximal 10 DNS-Lookups.

SPF hat eine Schwäche: Bei E-Mail-Weiterleitungen geht die Prüfung oft kaputt. Hier hilft DKIM. Exchange Online fügt ausgehenden E-Mails eine unsichtbare, kryptografische Signatur hinzu, die der Empfänger gegen einen öffentlichen Schlüssel in deinem DNS prüft. So ist garantiert, dass die E-Mail unterwegs nicht verändert wurde und wirklich von deiner Domain stammt.

DKIM ist für Custom Domains nicht standardmäßig aktiviert. So aktivierst du es:

DMARC verbindet SPF und DKIM. Es ist eine Anweisung an den Empfänger, was passieren soll, wenn eine E-Mail die Prüfung von SPF oder DKIM nicht besteht. Technisch entscheidend ist dabei das Alignment: DMARC besteht nur, wenn die sichtbare Absenderdomäne (der From-Header) mit der über SPF oder DKIM authentifizierten Domäne übereinstimmt. Eine Mail kann also eine gültige SPF- oder DKIM-Prüfung haben und DMARC trotzdem reißen, wenn die Domänen nicht zusammenpassen. Genau das macht DMARC zum wirksamen Schutz gegen Domain-Spoofing.

Du arbeitest dich in drei Phasen vor. In Phase 1 (p=none, Monitoring) bekommst du nur Berichte, ohne dass Mails blockiert werden, und siehst, wer in deinem Namen sendet. In Phase 2 (p=quarantine) landen verdächtige Mails im Spam-Ordner des Empfängers. In Phase 3 (p=reject), dem Goldstandard, werden gefälschte Mails komplett abgelehnt.

Erstelle einen TXT-Eintrag _dmarc.deinedomain.de. Ein Startwert sieht so aus:

Ersetze die Adresse durch ein Postfach, das du auswertest, oder nutze Tools wie Dmarcian oder Valimail zur Analyse der XML-Reports. Arbeite dich dann zügig zu p=reject vor.

Transportverschlüsselung (TLS) ist heute Standard, hat aber eine Schwäche: Sie verschlüsselt nur die Leitung von Server zu Server. Sobald die E-Mail beim Empfänger ankommt, liegt sie dort im Klartext.

Wenn sensible Daten (etwa Verträge oder Personaldaten) auch beim Empfänger geschützt bleiben sollen, brauchst du Verschlüsselung auf Nachrichtenebene.

Mit OME sendest du verschlüsselte E-Mails an beliebige Empfänger, unabhängig davon, ob diese Outlook, Gmail, GMX oder Apple Mail nutzen. Microsoft-365-Empfänger öffnen die Mail direkt in Outlook (Desktop, Web, Mobile). Andere Empfänger erhalten einen Link zu einem sicheren OME-Portal, wo sie sich per Einmalcode (OTP) oder Google-Login authentifizieren, um die Nachricht zu lesen. Du behältst die Kontrolle und kannst verhindern, dass der Empfänger die Mail weiterleitet oder druckt ("Nicht weiterleiten").

Voraussetzung: Die IRM-Konfiguration (Information Rights Management) in deinem Tenant muss aktiviert sein.

Das ist die moderne Art der Datenklassifizierung im Microsoft Purview Portal. Statt darauf zu hoffen, dass Nutzer manuell verschlüsseln, gibst du ihnen Labels an die Hand. Erstelle Labels wie "Öffentlich", "Intern" und "Streng Vertraulich". Das Label "Streng Vertraulich" konfigurierst du so, dass es die E-Mail automatisch verschlüsselt, ein Wasserzeichen in Word-Dokumente einfügt und den Zugriff auf interne Mitarbeiter beschränkt. Selbst wenn eine Datei versehentlich per USB-Stick nach außen gelangt, kann sie dort niemand öffnen. Die Labels erscheinen nativ in Outlook und den Office-Apps, was die Akzeptanz bei Benutzern erhöht.

Im Ernstfall (Data Breach, gelöschte Daten oder Sabotage) ist Unwissenheit keine Ausrede. Du musst beantworten können, wer wann was getan hat. Ohne sauber konfiguriertes Logging stehst du im Dunkeln.

Das Unified Audit Log (in Microsoft Purview) sammelt Aktivitäten aus fast allen Diensten (Exchange, SharePoint, Teams, Entra ID). Bei neuen Tenants ist es standardmäßig an, bei älteren oder migrierten Tenants oft noch deaktiviert. Den Status prüfst du so:

Steht der Wert auf False, aktivierst du das Log, damit Daten fließen:

Lizenz-Hinweis: Das Standard-Log zeigt dir, wenn eine Mail gelöscht oder verschoben wurde. Um zu beweisen, dass ein Angreifer eine E-Mail nur gelesen hat (Ereignis MailItemsAccessed), brauchst du Microsoft Purview Audit (Premium), meist in E5 oder als Add-on. Ohne diese Lizenz ist der reine Lesezugriff forensisch oft nicht nachweisbar.

Besonders kritisch sind Shared Mailboxes (etwa buchhaltung@), auf die mehrere Personen Zugriff haben. Verschwindet eine wichtige Mail, musst du wissen, wer es war. Microsoft nutzt Default Auditing, das aber Lücken hat: Aktionen des Besitzers werden oft weniger streng protokolliert als die von Stellvertretern. Willst du sicherstellen, dass auch das endgültige Löschen (Hard Delete) durch den Besitzer protokolliert wird (Schutz vor Sabotage durch Mitarbeiter), prüfst und schärfst du die Einstellungen. So erzwingst du das Auditing für kritische Postfächer:

Prüfe bei Shared Mailboxes regelmäßig, ob AuditEnabled aktiv ist, weil das bei der Erstellung manchmal verzögert greift.

Ein Backup schützt vor technischem Ausfall (Disaster Recovery), eine Retention Policy schützt vor rechtlichen Problemen und Compliance-Verstößen. Im Microsoft Purview Portal (Data Lifecycle Management) definierst du, wie lange Daten aufbewahrt werden müssen (etwa 6 oder 10 Jahre für steuerlich relevante Mails).

Eine Richtlinie sorgt dafür, dass eine E-Mail selbst nach einem Hard Delete im Hintergrund im Ordner Recoverable Items unveränderbar für eDiscovery erhalten bleibt. Der Benutzer merkt davon nichts, aber die Daten sind sicher. Retention ist kein Ersatz für ein klassisches Backup (für schnelles Restore bei Anwenderfehlern), aber zwingend notwendig für die Rechtssicherheit bei Revisionen.

Du kannst nicht rund um die Uhr Audit-Logs lesen, und genau das nutzen Angreifer aus: Sie agieren nachts oder am Wochenende. Warnrichtlinien (Alert Policies) sind dein digitales Alarmsystem. Die Konfiguration erfolgt im Microsoft Defender Portal. Viele Basis-Richtlinien sind standardmäßig aktiv, du solltest sie aber prüfen und schärfen.

Drei Alarme sind Pflicht, weil sie fast immer auf einen erfolgreichen Angriff oder einen Insider-Vorfall hindeuten:

Zwei Punkte zur Konfiguration: Stelle sicher, dass diese Alarme an eine Adresse gehen, die auch außerhalb deiner Exchange-Umgebung erreichbar ist (oder an ein Ticket-System), falls dein Tenant kompromittiert ist. Und setze kritische Alarme auf den Schweregrad Hoch, damit sie im Dashboard oben erscheinen.

Die Versuchung ist groß, einen blockierten, aber legitimen Absender schnell per Transportregel mit SCL -1 durchzuwinken. Das ist gefährlich, weil eine solche Regel die gesamte Filterung für diesen Absender aushebelt, auch für Malware und Phishing. Der richtige Ort für Ausnahmen ist die Tenant Allow/Block List (Mandanten-Zulassungs-/Sperrliste). Dort pflegst du gezielte Allow- und Block-Einträge für Absender und Domänen, URLs, Dateien (per Hash) und gespoofte Absender, ohne die übrigen Schutzmechanismen zu deaktivieren.

Wichtig: Allow-Einträge sind in der TABL bewusst temporär. Microsoft entfernt sie automatisch wieder, sobald die zugrundeliegende Fehleinstufung behoben ist, damit keine dauerhaften Lücken entstehen. Block-Einträge bleiben bestehen, bis du sie löschst.

Konfiguration:

Deine Benutzer sind ein wertvoller Sensor. Damit gemeldete Phishing-Mails auch ankommen und ausgewertet werden, konfigurierst du das Meldeverhalten zentral und nutzt das Submissions-Portal, um Fehleinstufungen an Microsoft zurückzuspielen.

Benutzer-Meldungen: Über die integrierte Schaltfläche Melden in Outlook (Web, Desktop, Mobile) melden Benutzer verdächtige Nachrichten. Im Defender Portal legst du unter Einstellungen > E-Mail und Zusammenarbeit > Vom Benutzer gemeldete Einstellungen fest, ob die Meldungen an Microsoft, an ein internes Postfach des Security-Teams oder an beide gehen. Ein internes Sammelpostfach ist sinnvoll, damit dein Team einen Überblick behält und schnell reagieren kann.

Submissions (Übermittlungen): Im Defender Portal unter Aktionen und Übermittlungen > Übermittlungen meldest du als Admin falsch eingestufte Nachrichten, URLs und Anhänge. Übermittelst du eine fälschlich blockierte, legitime Mail (False Positive), erzeugt Microsoft daraus automatisch einen passenden, temporären Allow-Eintrag in der Tenant Allow/Block List. Umgekehrt meldest du durchgerutschte Phishing- oder Spam-Mails (False Negative), um die Filterung zu schärfen. So bleibt deine Konfiguration ohne dauerhafte manuelle Ausnahmen aktuell.