Hilfeinhalte durchsuchen

ESET Cloud Office Security – Inhaltsverzeichnis

E-Mail-Regeln

Navigationshilfe

ESET Online-Hilfe > ESET Cloud Office Security > Navigieren in ESET Cloud Office Security > Policies > E-Mail-Regeln

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Mit dieser Funktion können Sie Bedingungen festlegen und gefilterte E-Mail-Aktionen zuweisen. Verwenden Sie Bedingungen mit Authentifizierungsmethoden wie SPF, DKIM, DMARC und ARC, um benutzerdefinierte Absenderverifizierungs- und Anti-Spoofing-Regeln zu definieren. Klicken Sie beim Erstellen einer Policy > Regeln neben E-Mail-Regeln auf Bearbeiten, um eine neue Regel zu erstellen oder eine vorhandene zu ändern.

1.Falls Sie eine neue Regel erstellen möchten, klicken Sie zunächst auf Erstellen, um einen Assistenten zu öffnen.

2.Wählen Sie eine vordefinierte Vorlage oder klicken Sie auf Überspringen und erstellen Sie eine neue Regel.

3.Geben Sie einen (leicht wiedererkennbaren) Namen für die Regel ein. Dieser Name wird später in der Liste der Regeln angezeigt. Falls Sie eine Regel für die spätere Verwendung vorbereiten möchten, können Sie den Schalter neben Aktiv anklicken, um die Regel zu deaktivieren.

4.Folgen Sie dem Assistenten, um Bedingungen und Aktionen anzugeben. Klicken Sie auf Neue Bedingung hinzufügen, wählen Sie die Bedingung Quelle im Dropdown-Menü aus und konfigurieren Sie die entsprechenden Werte.

5.Definieren Sie zuerst die Bedingungen, und geben Sie dann die entsprechenden Aktionen an. Sie können einer einzelnen Regel mehrere Bedingungen und Aktionen hinzufügen. In diesem Fall wird die Regel nur angewendet, wenn alle Bedingungen erfüllt sind. Alle Bedingungen werden mit dem logischen Operator UND verknüpft. Selbst wenn die meisten Bedingungen erfüllt sind und nur eine Bedingung nicht erfüllt ist, gilt das Auswertungsergebnis als nicht erfüllt, und die Aktion für die Regel wird nicht ausgeführt.

Template

Wählen Sie die vordefinierte Vorlage im Dropdown-Menü aus.

Template	Beschreibung
Externe Absender-Banner hinzufügen	Fügt E-Mails, die von außerhalb Ihres Unternehmens eingehen, Banner hinzu, damit Benutzer externe Nachrichten schnell identifizieren können.
Interne Absender-Banner hinzufügen	Markiert E-Mails interner Absender mit einem Banner, mit dem bestätigt wird, dass die Nachricht aus Ihrem Unternehmen stammt, um Unsicherheit zu vermeiden und Vertrauen zu schaffen. Falsch konfigurierte SPF- oder Relay-Probleme können das Erscheinen des Banners verhindern oder zu falscher Markierung führen.
Werte „Von“ und „Absender“ im Banner anzeigen	Zeigt aus Gründen der Transparenz den „Von“- sowie den „Absender“-Header im Banner an, sodass Benutzer Spoofing-Versuche erkennen können, bei denen Angreifer den echten Absender verschleiern. Einige legitime Mailing-Systeme (zum Beispiel Newsletter) verwenden unterschiedliche „Absender“-Werte, was zu Verwirrung führen kann.
Warnt vor häufigem Homoglyphenzeichen im „Von“-Header.	Warnt Benutzer, wenn die „Von“-Adresse kyrillische oder griechische Zeichen enthält, die lateinische Buchstaben nachahmen, was eine gängige Taktik beim Identitätswechsel ist. Dies verhindert Homoglyphen-Angriffe. Auch legitime internationale E-Mails können diese Warnung auslösen.
Warnt vor häufigem Homoglyphenzeichen im „Absender“-Header.	Warnt Benutzer, wenn die „Absender“-Adresse kyrillische oder griechische Zeichen enthält, die lateinische Buchstaben nachahmen, was eine gängige Taktik beim Identitätswechsel ist. Dies verhindert Homoglyphen-Angriffe. Auch legitime internationale E-Mails können diese Warnung auslösen.
Filter für verdächtige Stichwörter	Markiert E-Mails, die gängige Phishing- oder Betrugsformulierungen wie „Bestätigen Sie sofort Ihre Identität“ oder „Sie haben gewonnen“ enthalten, die häufig mit Betrugsversuchen in Verbindung stehen. Marketing-E-Mails oder legitime Warnungen können gelegentlich ähnliche Formulierungen verwenden, daher ist Vorsicht geboten. Es wird empfohlen, eine Liste verdächtiger Stichwörter zu erstellen, die auf die Anforderungen Ihres Unternehmens zugeschnitten ist.
Werbe-E-Mail-Filter	Identifiziert Werbe-E-Mails, indem Abmeldelinks und nicht-geschäftliche Domänen erkannt werden, sodass Benutzer wichtige Nachrichten priorisieren können. Einige Transaktions-E-Mails (z. B. Rechnungen) enthalten Abmeldelinks und können fälschlicherweise markiert werden.
Hochrisiko-TLD-Domänen markieren	Warnt Benutzer vor E-Mails von Domänen mit hohen Missbrauchsraten (zum Beispiel .tk, .ml, .xyz). Diese TLDs werden häufig für Spam und Phishing verwendet. Einige seriöse Dienste nutzen diese Domänen, daher ist eine Verifizierung wichtig.
Abweichender Antwort-Header	Warnt Benutzer, wenn die Antwortadresse von der des Absenders abweicht, was eine gängige Phishing-Taktik zur Umleitung von Antworten ist. Einige Mailing-Systeme verwenden abweichende Antwortadressen für Support oder Ticketing, was zu Fehlerkennungen führen kann.
Nicht authentifizierte E-Mails in den Spam-Ordner verschieben (SPF-Fehler)	Markiert E-Mails, die den SPF-Scan nicht bestehen oder teilweise nicht bestehen, was auf mögliches Spoofing hinweist. SPF bestätigt die Authentizität des Absenders. Falsch konfigurierte SPF-Datensätze oder Weiterleitungsdienste können Fehlerkennungen auslösen.
Nicht authentifizierte E-Mails in den Spam-Ordner verschieben (SPF Soft Fail)	Markiert E-Mails, die den SPF-Scan nicht bestehen oder teilweise nicht bestehen, was auf mögliches Spoofing hinweist. SPF bestätigt die Authentizität des Absenders. Falsch konfigurierte SPF-Datensätze oder Weiterleitungsdienste können Fehlerkennungen auslösen.
Warnung bei dringenden E-Mails ohne SPF	Warnt Benutzer, wenn eine E-Mail mit hoher Priorität keine SPF-Validierung hat. Angreifer markieren Phishing-E-Mails oft als dringend, um Druck auf Empfänger auszuüben. Einige legitime Systeme stellen SPF möglicherweise nicht korrekt ein, daher wird eine Überprüfung empfohlen, bevor Sie fortfahren.
Warnung bei fehlgeschlagenen ARC- und DMARC-Scans	Markiert E-Mails, die DMARC- und ARC-Scans nicht bestehen, welche die Absenderidentität und die Integrität der Nachricht überprüfen. Das verhindert Spoofing und Manipulation. Weitergeleitete E-Mails oder Mailinglisten bestehen diese Scans möglicherweise nicht, was zu Fehlerkennungen führt.
PHPMailer-E-Mails markieren	Warnt Benutzer vor E-Mails, die über PHPMailer gesendet wurden, was häufig von Spammern in Umgebungen mit niedrigen Sicherheitseinstellungen ausgenutzt wird. Auch wenn PHPMailer häufig in legitimen Webanwendungen verwendet wird, sollten Empfänger die Echtheit überprüfen.
Banner bei ARC-Fehler	Warnt Benutzer, wenn die ARC-Authentifizierung fehlschlägt, was auf mögliche Manipulationen bei der Nachrichtweiterleitung hinweist. ARC hilft, die Authentifizierung durch Weiterleitungsketten zu erhalten. Einige E-Mail-Weiterleitungsdienste können einen ARC-Fehler verursachen.
E-Mails mit Anhängen, die Makros enthalten, in Quarantäne verschieben	Warnt Benutzer, wenn eine E-Mail Office-Dateien mit Makros enthält, die Schadcode ausführen können. Dies ist eine gängige Methode beim Versenden von Malware. Einige legitime Workflows verwenden Dateien mit Makros, daher sollten Administratoren die vor dem Blockieren überprüfen.
E-Mails mit ausführbaren Anhängen in Quarantäne verschieben	Blockiert E-Mails, die ausführbare Dateien enthalten, um Malware-Infektionen zu verhindern. Ausführbare Dateien sind ein Hochrisiko-Dateityp. Seltene legitime Anwendungsfälle (z. B. Softwaredistribution) können betroffen sein.
E-Mails mit passwortgeschützten Anhängen in Quarantäne verschieben	Blockiert E-Mails, die passwortgeschützte Dateien enthalten, die schädliche Inhalte verbergen könnten. Angreifer verwenden oft Verschlüsselung, um Scans zu umgehen. Auch legitime, sichere Dateiübertragungen können blockiert werden.
E-Mails mit Anhängen, die doppelte Erweiterungen enthalten, in Quarantäne verschieben	Blockiert E-Mails, die Anhänge mit doppelten Erweiterungen (zum Beispiel invoice.pdf.exe) enthalten, eine gängige Malware-Taktik zur Tarnung ausführbarer Dateien. Seltene legitime Benennungskonventionen können diese Regel ebenfalls auslösen.
Internes Domänen-Spoofing verhindern (SPAF-Fehler) Internes Domänen-Spoofing verhindern (DKIM-Fehler) Internes Domänen-Spoofing verhindern (DMARC-Fehler) Internes Domänen-Spoofing verhindern (Absender-Header)	Verschiebt E-Mails in die Quarantäne, die scheinbar von Ihrer Domäne stammen, aber die Authentifizierungsprüfungen nicht bestehen, um interne Spoofing-Angriffe zu verhindern. Falsch konfigurierte DNS-Datensätze oder Relay-Systeme können Fehlerkennungen auslösen.
Dringende E-Mails mit DKIM-Fehler blockieren	Blockiert E-Mails, die als „dringend“ gekennzeichnet sind, aber die DKIM-Authentifizierung nicht bestehen, da Angreifer oft Dringlichkeit nutzen, um Empfänger unter Druck zu setzen und Sicherheitskontrollen zu umgehen. Diese Regel hilft, Social-Engineering-Versuche zu verhindern. Allerdings bestehen einige legitime dringende E-Mails DKIM aufgrund von Weiterleitung oder falscher Konfiguration von E-Mail-Servern möglicherweise nicht.

Bedingungen

Wählen Sie die Bedingung Quelle im Dropdown-Menü aus. Die Parameterfelder ändern sich je nach ausgewählter Quelle. Alternativ können Sie einen regulären Ausdruck angeben, indem Sie Art der Übereinstimmung: „RegEx-Übereinstimmung“ auswählen.

Bedingung „Quelle“

Beschreibung

Absender

Gilt für Nachrichten von einem bestimmten Absender.

IP-Adresse des Absenders

Gilt für Nachrichten von einer bestimmten Absender-IP-Adresse. Sie können neue Adressen als Bedingung sowohl im IPv4- als auch im IPv6-Format hinzufügen.

Domäne des Absenders

Gilt für Nachrichten von Absendern mit einer bestimmten Domäne in der E-Mail-Adresse.

Absender/Absendername

„From:“-Wert aus den Nachrichtenheadern. Dieser Anzeigename wird dem Empfänger angezeigt. Allerdings wird nicht überprüft, ob das sendende System dazu berechtigt ist, im Namen dieser Adresse zu senden. Er wird häufig von Angreifern verwendet, um den Absender zu fälschen. Diese Bedingung vergleicht die Domäne(n) im „From“-Header der E-Mail und den Umschlag-Absender mit den Domänenlisten.

Betreff

Gilt für Nachrichten, deren Betreff eine bestimmte Zeichenfolge (bzw. einen regulären Ausdruck) enthält bzw. nicht enthält.

Körper

Der Nachrichtentext wird nach dem angegebenen Satz durchsucht. Mit der Funktion „HTML-Tags entfernen“ können Sie HTML-Tags, Attribute und Werte entfernen und nur den Text beibehalten. Anschließend wird der Nachrichtentext durchsucht.

Name des Anhangs

Gilt für Nachrichten, die Anhänge mit einem bestimmten Namen enthalten. Dies gilt auch für Dateien, die in einem Archiv enthalten sind.

Nur für Anlagen der obersten Ebene auswerten - Wenn diese Option aktiviert ist, werden Dateien in einem Archiv nicht ausgewertet.

Vollständigen Pfad für Objekte im Anhang verwenden - Wenn diese Option aktiviert ist, wird der vollständige Pfad des Objekts ausgewertet, nicht nur der Dateiname.

Erweiterung des Anhangs

Gilt für Nachrichten, deren Anhang eine bestimmte Größe nicht erfüllt, in einem angegebenen Bereich zwischen zwei Größen liegt oder eine bestimmte Größe überschreitet.

Art des Anhangs

Gilt für Nachrichten mit einem bestimmten Dateityp als Anhang. Dateitypen werden zur einfachen Auswahl in Gruppen kategorisiert. Sie können mehrere Dateitypen oder ganze Kategorien auswählen. ESET Cloud Office Security erkennt den tatsächlichen Dateityp unabhängig von der Dateierweiterung. Gleiches gilt für den Inhalt eines Archivs.

Nur für Anlagen der obersten Ebene auswerten - Wenn diese Option aktiviert ist, werden Dateien in einem Archiv nicht ausgewertet.

Für die Regelbedingung Art des Anhangs gilt eine bekannte Einschränkung: Die ESET Cloud Office Security Erkennungsroutine kann zusätzliche kleine Textdateien mit einer Länge von weniger als 10 Byte in ASCII/ANSI-Codierung nicht erkennen.

Uhrzeit des Empfangs

Gilt für Nachrichten, die vor oder nach einem bestimmten Zeitpunkt oder während eines angegebenen Zeitintervalls empfangen wurden.

SPF ergebnis
SPF-Ergebnis - From-Header
SPF ergebnis HELO

Gilt für Nachrichten mit dem SPF-Auswertungsergebnis (Sender Policy Framework):

Bestanden – Die IP-Adresse wird für den Versand von der Domain autorisiert (SPF-Kennzeichner "+").

Nicht bestanden – Der Server oder die IP-Adresse des Absenders ist nicht im SPF-Eintrag enthalten (SPF-Kennzeichner "-").

Behebbarer Fehler – Die IP-Adresse wird möglicherweise für den Versand von der Domain autorisiert (SPF-Kennzeichner "~").

Neutral – Der Domain-Eigentümer hat im SPF-Eintrag angegeben, dass die IP-Adresse nicht für den Versand von der Domain autorisiert werden soll (SPF-Kennzeichner "?").

Unbekannt – Das SPF-Ergebnis None bedeutet, dass die Domäne keine Einträge veröffentlicht hat oder dass keine überprüfbare Domäne des Absenders für die angegebene Identität gefunden wurde.

Unter RFC 4408 finden Sie weitere Details zu SPF.

DMARC ergebnis

Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener SPF-, DKIM- oder beiden Prüfungen, alternativ falls Unbekannt.

DKIM

Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener DKIM-Prüfung, alternativ falls Unbekannt.

ARC

Gilt für Nachrichten mit bestandener bzw. fehlgeschlagener ARC-Prüfung, alternativ falls Unbekannt.

Kopfzeilen

Die Namen und Werte des Header-Felds der E-Mail-Nachricht werden als Bedingung verwendet. Art des Vergleichs:

Header-Namen – Übereinstimmende Header-Namen, die Bedingung ist erfüllt, wenn der angegebene Header-Name existiert.

Header-Werte – Übereinstimmende Header-Namen und Header-Werte, der Übereinstimmungstyp wird nur für die Header-Werte gemäß dem ausgewählten Übereinstimmungstyp verwendet. Um die Bedingung zu erfüllen, müssen die angegebenen Header-Namen exakt übereinstimmen (der Übereinstimmungstyp gilt nicht für die Werte der Header-Namen).

Malware-Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Nicht gescannt, gesäubert, infiziert, deaktiviert.

Phishing-Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Nicht gescannt, gesäubert, Phishing, deaktiviert.

Spam-Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Nicht gescannt, gesäubert, Spam, deaktiviert.

Scan-Ergebnis

Wählen Sie im Dropdown-Menü aus, für welche Nachrichten die Regel gelten soll. Option: Deaktiviert, Malware, Phishing, Spam, Analyse, Fehler, gesäubert, nicht gescannt.

Aktionen

Sie können Aktionen für Nachrichten und/oder Anhänge hinzufügen, die die Regelbedingungen erfüllen.

Aktionsname	Beschreibung
E-Mail in Quarantäne verschieben	Die Nachricht wird nicht an den Empfänger zugestellt, sondern stattdessen in die E-Mail-Quarantäne verschoben.
E-Mail löschen	Löscht eine infizierte Nachricht.
Anhänge löschen	Löscht einen Nachrichtenanhang. Die Nachricht wird ohne Anhang an den Empfänger zugestellt.
Scan überspringen	Die Nachricht wird vom Malware-, Phishing- und Spam-Schutz nicht gescannt.
Besitzer benachrichtigen	Definieren Sie Betreff und Nachrichtentext, die an E-Mail-Empfänger/-Besitzer gesendet werden, um sie zu benachrichtigen. Alle Parameter für den Nachrichtentext müssen in geschweifte Klammern eingeschlossen werden, z. B. {ParameterName}.
Administratoren benachrichtigen	Geben Sie Admin-E-Mails ein und definieren Sie Betreff sowie Nachrichtentext, die als Benachrichtigung an Administratoren gesendet werden. Alle Parameter für den Nachrichtentext müssen in geschweifte Klammern eingeschlossen werden, z. B. {ParameterName}.
Betreffpräfix hinzufügen	Fügt ein Präfix zu einem Betreff hinzu.
Nächste Regeln auswerten	Mit der Auswertung weiterer Regeln können Benutzer verschiedene Sätze von Bedingungen definieren und entsprechende Aktionen festlegen.
In Junk verschieben	Die Nachricht wird in den Junk-/Spam-Ordner im Postfach des Benutzers verschoben.
Text-Banner hinzufügen	Ein Banner wird der E-Mail-Nachricht hinzugefügt und den Empfängern angezeigt. Sie können das Erscheinungsbild des Banners anpassen, wenn es in die Nachricht eingefügt wurde.

˄˅