Hilfeinhalte durchsuchen

ESET Cloud Office Security – Inhaltsverzeichnis

E-Mail-Regeln

Navigationshilfe

ESET Online-Hilfe > ESET Cloud Office Security > Navigieren in ESET Cloud Office Security > Policies > E-Mail-Regeln

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Mit dieser Funktion können Sie Bedingungen festlegen und gefilterte E-Mail-Aktionen zuweisen. Verwenden Sie Bedingungen mit Authentifizierungsmethoden (SPF, DKIM, DMARC und ARC), um benutzerdefinierte Absenderverifizierungs- und Anti-Spoofing-Regeln zu definieren. Klicken Sie beim Erstellen einer Policy > Regeln neben E-Mail-Regeln auf Bearbeiten, um eine neue Regel zu erstellen oder eine vorhandene zu ändern.

1.Falls Sie eine neue Regel erstellen möchten, klicken Sie zunächst auf Erstellen, um einen Assistenten zu öffnen.

2.Wählen Sie vordefinierte Vorlage oder klicken Sie auf Überspringen und erstellen Sie neue Regel.

3.Geben Sie einen (leicht wiedererkennbaren) Namen für die Regel ein. Dieser Name wird später in der Liste der Regeln angezeigt. Falls Sie eine Regel für die spätere Verwendung vorbereiten möchten, können Sie den Schalter neben Aktiv anklicken, um die Regel zu deaktivieren.

4.Folgen Sie dem Assistenten, um Bedingungen und Aktionen anzugeben. Klicken Sie auf Neue Bedingung hinzufügen, wählen Sie die Bedingung Quelle im Dropdown-Menü aus und konfigurieren Sie die entsprechenden Werte.

5.Definieren Sie zuerst die Bedingungen, und geben Sie dann die entsprechenden Aktionen an. Sie können einer einzelnen Regel mehrere Bedingungen und Aktionen hinzufügen. In diesem Fall wird die Regel nur angewendet, wenn alle Bedingungen erfüllt sind. Alle Bedingungen werden mit dem logischen Operator UND verknüpft. Selbst wenn die meisten Bedingungen erfüllt sind und nur eine Bedingung nicht erfüllt ist, gilt das Auswertungsergebnis als nicht erfüllt, und die Aktion für die Regel wird nicht ausgeführt.

Template

Wählen Sie die vordefinierte Vorlage im Dropdown-Menü aus.

Template	Beschreibung
Externe Absender-Banner hinzufügen	Fügt E-Mails, die außerhalb Ihrer Organisation stammen, ein Banner hinzu, damit Nutzer externe Nachrichten schnell identifizieren können.
Interne Absender-Banner hinzufügen	Markiert E-Mails interner Absender mit einem Banner, das bestätigt, dass die Nachricht aus Ihrer Organisation stammt, um Verwirrung zu vermeiden und Vertrauen aufzubauen. Falsch konfigurierte SPF- oder Relay-Probleme können das Erscheinen des Banners verhindern oder zu falscher Markierung führen.
Zeigen Sie die Werte "From" und "Sender" im Banner an	Zeigt sowohl "From" als auch "Sender"-Header im Banner zur Transparenz an, sodass Nutzer Spoofing-Versuche erkennen können, bei denen Angreifer den echten Absender verbergen. Einige legitime Mailing-Systeme (zum Beispiel Newsletter) verwenden unterschiedliche "Absender"-Werte, was zu Verwirrung führen kann.
Warnung zu häufigem Homoglyphenzeichen im "From"-Header.	Warnt Nutzer, wenn die "From"-Adresse kyrillische oder griechische Zeichen enthält, die lateinische Buchstaben nachahmen, was eine gängige Imitationstaktik ist. Das hilft, Homoglyphen-Angriffe zu verhindern. Auch legitime internationale E-Mails können diese Warnung auslösen.
Warnung für das häufige Homoglyphenzeichen im "Sender"-Header.	Warnt Nutzer, wenn die "Absender"-Adresse kyrillische oder griechische Zeichen enthält, die lateinische Buchstaben nachahmen, was eine gängige Imitationstaktik ist. Das hilft, Homoglyphen-Angriffe zu verhindern. Auch legitime internationale E-Mails können diese Warnung auslösen.
Verdächtiger Stichwortfilter	Es markiert E-Mails, die gängige Phishing- oder Betrugsformulierungen wie "Verifizieren Sie Ihre Identität sofort" oder "Sie haben gewonnen" enthalten, die stark mit Betrugsversuchen in Verbindung stehen. Marketing-E-Mails oder legitime Warnungen können gelegentlich ähnliche Formulierungen verwenden, daher ist Vorsicht geboten. Es wird empfohlen, eine Liste verdächtiger Schlüsselwörter zu erstellen, die auf die Bedürfnisse Ihrer Organisation zugeschnitten ist.
Werbe-E-Mail-Filter	Identifiziert Werbe-E-Mails, indem es Abmeldelinks und nicht-geschäftliche Domains erkennt und Nutzern hilft, wichtige Nachrichten zu priorisieren. Einige transaktionale E-Mails (z. B. Rechnungen) enthalten Abmeldelinks und können fälschlicherweise markiert werden.
Markiere Hochrisiko-TLD-Domains	Warnt Nutzer vor E-Mails von Domains mit hohen Missbrauchsraten (zum Beispiel .tk, .ml, .xyz). Diese TLDs werden häufig für Spam und Phishing verwendet. Einige seriöse Dienste nutzen diese Domains, daher ist Verifizierung wichtig.
Off-Response-Header-Mismatch	Warnt Nutzer, wenn die Antwortadresse von der des Absenders abweicht, eine gängige Phishing-Taktik, um Antworten umzuleiten. Einige Mailing-Systeme verwenden unterschiedliche Antwortadressen für Support oder Ticketing, was zu Fehlalarmen führen kann.
Nicht authentifizierte E-Mails in den Junk verschieben (SPF-Fehlschlag)	Markiert E-Mails, die die SPF-Prüfungen nicht bestehen oder teilweise nicht bestehen, was auf mögliche Fälschung hinweist. SPF bestätigt die Authentizität des Absenders. Falsch konfigurierte SPF-Datensätze oder Weiterleitungsdienste können Fehlalarme verursachen.
Nicht authentifizierte E-Mails in den Junk verschieben (SPF Soft Failure)	Markiert E-Mails, die die SPF-Prüfungen nicht bestehen oder teilweise nicht bestehen, was auf mögliche Fälschung hinweist. SPF bestätigt die Authentizität des Absenders. Falsch konfigurierte SPF-Datensätze oder Weiterleitungsdienste können Fehlalarme verursachen.
Warnung bei dringenden E-Mails ohne SPF	Warnt Nutzer, wenn eine hochprioritäre E-Mail keine SPF-Validierung hat. Angreifer markieren Phishing-E-Mails oft als dringend, um Druck auf Empfänger zu setzen. Einige legitime Systeme stellen den SPF möglicherweise nicht korrekt ein, daher wird eine Überprüfung empfohlen, bevor Sie fortfahren.
Warnung bei fehlgeschlagenen ARC- und DMARC-Prüfungen	Es markiert E-Mails, die DMARC- und ARC-Prüfungen nicht bestehen, welche die Absenderidentität und die Integrität der Nachricht überprüfen. Das verhindert Fälschung und Manipulation. Weitergeleitete E-Mails oder Mailinglisten können diese Prüfungen nicht bestehen und zu Fehlalarmen führen.
Markiere PHP-Mailer-E-Mails	Warnt Nutzer vor E-Mails, die über den PHP-Mailer gesendet werden und häufig von Spammern in niedrigen Sicherheitssystemen ausgenutzt werden. Obwohl PHP-Mailer häufig in legitimen Webanwendungen verwendet wird, sollten Empfänger die Echtheit überprüfen.
ARC-Fehlschlagbanner	Warnt Nutzer, wenn die ARC-Authentifizierung fehlschlägt, was auf mögliche Manipulationen bei der Nachrichtweiterleitung hinweist. ARC hilft, die Authentifizierung durch Weiterleitungsketten zu erhalten. Einige E-Mail-Weiterleitungsdienste können ARC-Fehler verursachen.
Quarantäne von makroaktivierten Anhängen von E-Mails	Warnt Benutzer, wenn eine E-Mail makro-aktivierte Office-Dateien enthält, die bösartigen Code ausführen können. Dies ist eine gängige Methode zur Bereitstellung von Schadsoftware. Einige legitime Arbeitsabläufe verwenden makroaktivierte Dateien, daher sollten Administratoren vor der Sperrung überprüfen.
E-Mails mit ausführbaren Anhängen in Quarantäne stellen	Blockiert E-Mails mit ausführbaren Dateien, um Malware-Infektionen zu verhindern. Ausführbare Dateien sind ein Hochrisiko-Dateityp. Seltene legitime Anwendungsfälle (z. B. Softwaredistribution) können betroffen sein.
E-Mails mit passwortgeschützten Anhängen in Quarantäne stellen	Blockiert E-Mails mit passwortgeschützten Dateien, die bösartige Inhalte verbergen könnten. Angreifer verwenden oft Verschlüsselung, um das Scannen zu umgehen. Auch legitime, sichere Dateiübertragungen können blockiert werden.
Quarantäne von E-Mails mit doppelten Erweiterungsanhängen	Blockiert E-Mails mit Anhängen mit doppelten Erweiterungen (zum Beispiel invoice.pdf.exe), eine gängige Malware-Taktik, die verwendet wird, um ausführbare Dateien zu tarnen. Seltene legitime Namenskonventionen können diese Regel ebenfalls auslösen.
Interne Domänen-Spoofing verhindern (SPAF-Fehler) Interne Domain-Spoofing verhindern (DKIM-Fehler) Interne Domain-Spoofing verhindern (DMARC-Fehler) Interne Domain-Fälschung verhindern (Sender-Header)	Es werden E-Mails, die scheinbar von Ihrer Domain stammen, aber die Authentifizierungsprüfungen nicht bestehen, in Quarantäne gesteckt, um interne Spoofing-Angriffe zu verhindern. Falsch konfigurierte DNS-Datensätze oder Relay-Systeme können Fehlalarme verursachen.
Blockiere dringende E-Mails mit DKIM fehlschlagen	Blockiert E-Mails, die als "dringend" gekennzeichnet sind, aber die DKIM-Authentifizierung nicht bestehen, da Angreifer oft Dringlichkeit nutzen, um Empfänger unter Druck zu setzen und Sicherheitskontrollen zu umgehen. Diese Regel hilft, Versuche von Social Engineering zu verhindern. Allerdings können einige legitime dringende E-Mails DKIM aufgrund von Weiterleitung oder falscher Konfiguration von Mailservern scheitern.

Bedingungen

Wählen Sie die Bedingung Quelle im Dropdown-Menü aus. Die Parameterfelder ändern sich je nach ausgewählter Quelle. Alternativ können Sie einen regulären Ausdruck angeben, indem Sie Art der Übereinstimmung: „RegEx-Übereinstimmung“ auswählen.

Bedingung „Quelle“

Beschreibung

Absender

Gilt für Nachrichten von einem bestimmten Absender.

IP-Adresse des Absenders

Gilt für Nachrichten von einer bestimmten Absender-IP-Adresse. Sie können neue Adressen als Bedingung sowohl im IPv4- als auch im IPv6-Format hinzufügen.

Domäne des Absenders

Gilt für Nachrichten von Absendern mit einer bestimmten Domäne in der E-Mail-Adresse.

Absender/Absendername

„From:“-Wert aus den Nachrichtenheadern. Dieser Anzeigename wird dem Empfänger angezeigt. Allerdings wird nicht überprüft, ob das sendende System dazu berechtigt ist, im Namen dieser Adresse zu senden. Er wird häufig von Angreifern verwendet, um den Absender zu fälschen. Diese Bedingung vergleicht die Domäne(n) im „From“-Header der E-Mail und den Umschlag-Absender mit den Domänenlisten.

Betreff

Gilt für Nachrichten, deren Betreff eine bestimmte Zeichenfolge (bzw. einen regulären Ausdruck) enthält bzw. nicht enthält.

Körper

Der Nachrichtentext wird nach dem angegebenen Satz durchsucht. Mit der Funktion „HTML-Tags entfernen“ können Sie HTML-Tags, Attribute und Werte entfernen und nur den Text beibehalten. Anschließend wird der Nachrichtentext durchsucht.

Name des Anhangs

Gilt für Nachrichten, die Anhänge mit einem bestimmten Namen enthalten. Dies gilt auch für Dateien, die in einem Archiv enthalten sind.

Nur für Anlagen der obersten Ebene auswerten - Wenn diese Option aktiviert ist, werden Dateien in einem Archiv nicht ausgewertet.

Vollständigen Pfad für Objekte im Anhang verwenden - Wenn diese Option aktiviert ist, wird der vollständige Pfad des Objekts ausgewertet, nicht nur der Dateiname.

Erweiterung des Anhangs

Gilt für Nachrichten, deren Anhang eine bestimmte Größe nicht erfüllt, in einem angegebenen Bereich zwischen zwei Größen liegt oder eine bestimmte Größe überschreitet.

Art des Anhangs

Gilt für Nachrichten mit einem bestimmten Dateityp als Anhang. Dateitypen werden zur einfachen Auswahl in Gruppen kategorisiert. Sie können mehrere Dateitypen oder ganze Kategorien auswählen. ESET Cloud Office Security erkennt den tatsächlichen Dateityp unabhängig von der Dateierweiterung. Gleiches gilt für den Inhalt eines Archivs.

Nur für Anlagen der obersten Ebene auswerten - Wenn diese Option aktiviert ist, werden Dateien in einem Archiv nicht ausgewertet.

Für die Regelbedingung Art des Anhangs gilt eine bekannte Einschränkung: Die ESET Cloud Office Security Erkennungsroutine kann zusätzliche kleine Textdateien mit einer Länge von weniger als 10 Byte in ASCII/ANSI-Codierung nicht erkennen.

Uhrzeit des Empfangs

Gilt für Nachrichten, die vor oder nach einem bestimmten Zeitpunkt oder während eines angegebenen Zeitintervalls empfangen wurden.

SPF ergebnis
SPF-Ergebnis - From-Header
SPF ergebnis HELO

Gilt für Nachrichten mit dem SPF-Auswertungsergebnis (Sender Policy Framework):

Bestanden – Die IP-Adresse wird für den Versand von der Domain autorisiert (SPF-Kennzeichner "+").

Nicht bestanden – Der Server oder die IP-Adresse des Absenders ist nicht im SPF-Eintrag enthalten (SPF-Kennzeichner "-").

Behebbarer Fehler – Die IP-Adresse wird möglicherweise für den Versand von der Domain autorisiert (SPF-Kennzeichner "~").

Neutral – Der Domain-Eigentümer hat im SPF-Eintrag angegeben, dass die IP-Adresse nicht für den Versand von der Domain autorisiert werden soll (SPF-Kennzeichner "?").

Unbekannt – Das SPF-Ergebnis None bedeutet, dass die Domäne keine Einträge veröffentlicht hat oder dass keine überprüfbare Domäne des Absenders für die angegebene Identität gefunden wurde.

Unter RFC 4408 finden Sie weitere Details zu SPF.

DMARC ergebnis

Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener SPF-, DKIM- oder beiden Prüfungen, alternativ falls Unbekannt.

DKIM

Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener DKIM-Prüfung, alternativ falls Unbekannt.

ARC

Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener ARC-Prüfung, alternativ falls Unbekannt.

Kopfzeilen

Die Namen und Werte des Header-Felds der E-Mail-Nachricht werden als Bedingung verwendet. Art des Vergleichs:

Header-Namen – Übereinstimmende Header-Namen, die Bedingung ist erfüllt, wenn der angegebene Header-Name existiert.

Header-Werte – Übereinstimmende Header-Namen und Header-Werte, der Übereinstimmungstyp wird nur für die Header-Werte gemäß dem ausgewählten Übereinstimmungstyp verwendet. Um die Bedingung zu erfüllen, müssen die angegebenen Header-Namen exakt übereinstimmen (der Übereinstimmungstyp gilt nicht für die Werte der Header-Namen).

Malware-Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Nicht gescannt, gesäubert, infiziert, deaktiviert.

Phishing-Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Nicht gescannt, gesäubert, Phishing, deaktiviert.

Spam-Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Nicht gescannt, gesäubert, Spam, deaktiviert.

Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Deaktiviert, Malware, Phishing, Spam, Analyse, Fehler, gesäubert, nicht gescannt.

Aktionen

Sie können Aktionen für Nachrichten und/oder Anhänge hinzufügen, die die Regelbedingungen erfüllen.

Aktionsname	Beschreibung
E-Mail in Quarantäne verschieben	Die Nachricht wird nicht an den Empfänger zugestellt, sondern stattdessen in die E-Mail-Quarantäne verschoben.
E-Mail löschen	Löscht eine infizierte Nachricht.
Anhänge löschen	Löscht einen Nachrichtenanhang. Die Nachricht wird ohne Anhang an den Empfänger zugestellt.
Scan überspringen	Die Nachricht wird vom Malware-, Phishing- und Spam-Schutz nicht gescannt.
Besitzer benachrichtigen	Definieren Sie Betreff und Nachrichtentext, die an E-Mail-Empfänger/-Besitzer gesendet werden, um sie zu benachrichtigen. Alle Parameter für den Nachrichtentext müssen in geschweifte Klammern eingeschlossen werden, z. B. {ParameterName}.
Administratoren benachrichtigen	Geben Sie Admin-E-Mails ein und definieren Sie Betreff sowie Nachrichtentext, die als Benachrichtigung an Administratoren gesendet werden. Alle Parameter für den Nachrichtentext müssen in geschweifte Klammern eingeschlossen werden, z. B. {ParameterName}.
Betreffpräfix hinzufügen	Fügt ein Präfix zu einem Betreff hinzu.
Nächste Regeln auswerten	Mit der Auswertung weiterer Regeln können Benutzer verschiedene Sätze von Bedingungen definieren und entsprechende Aktionen festlegen.
In Junk verschieben	Die Nachricht wird in den Junk-/Spam-Ordner im Postfach des Benutzers verschoben.
Text-Banner hinzufügen	Ein Banner wird der E-Mail-Nachricht hinzugefügt und den Empfängern angezeigt. Sie können das Erscheinungsbild des Banners anpassen, wenn es in die Nachricht eingefügt wurde.

˄˅