External Email Warning in Office 365 und Outlook

Deutsch, Exchange Online, Microsoft365

–> Also available in english!

Cyber Angriffe durch Phishing Mails sind immer noch eine der beliebtesten Methoden. Zusätzlich werden diese Angriffe immer raffinierter und authentischer. Natürlich gibt es Sicherheitsmechanismen, wie DKIM, DMARC oder SPF. Der Einsatz dieser ist auch zwingend zu empfehlen. Dennoch können wir auch damit keinen hundertprozentigen Schutz garantieren. Umso wichtiger ist es, unsere User im Umgang mit der IT zu schulen und für Sicherheitsrisiken zu sensibilisieren. Exchange Online bietet ein paar Feature, um es den Usern einfacher zu machen Gefahren zu erkennen:

  • External E-Mail Tags
  • Manipulation des Betreffs der E-Mail
  • Farbige Warnung im Body der E-Mail

Zusätzlich möchte ich in diesem Blogpost euch einen MailTip in Outlook zeigen, der Standardmäßig nicht aktiviert ist, aber dem User einen Hinweis gibt, wenn er eine E-Mail an eine Person außerhalb der Organisation sendet. Dieser Tipp kann vor dem Abfließen von intern/vertrauenswürdigen Dokumenten schützen.

External E-Mail Tags

Starten wir mit einem relativ neuem Feature. Wir haben nun die Möglichkeit externe E-Mails in Outlook Clients mit einem „External“ Tag zu versehen. Das sieht beispielsweise in Outlook im Web so aus:

Dieses Feature müsst ihr einmal tenantweit für alle Mailbox aktivieren:

Set-ExternalInOutlook -Enabled $true

Beachtet bitte, dass es bis zu 48 Stunden dauern kann, bis die Einstellung greift. Möchtet ihr beispielsweise Emailadressen oder Domains von Partnerorganisationen davon ausnehmen, dann könnt ihr diese Domains auf eine „AllowList“ setzen:

Set-ExternalInOutlook -AllowList  @{Add="daniel@dako365.de", "dako365.com"}

Und das wars auch schon! Meiner Meinung nach, einfach aktivieren, da es eigentlich gar nicht stört. Jetzt kann man aber natürlich diskutieren, wie gut dieser doch recht kleine Hinweis funktioniert. Zumal dieser, wie bereits kurz erwähnt, nur in Outlook (egal, ob Web, Client oder App) sichtbar ist. Weiterhin sind die Einstellungsmöglichkeiten sehr begrenzt. Eigentlich geht nur An oder Aus. Klar man kann aufwändig eine Whitelist per PowerShell pflegen, aber damit hebelt man dann auch direkt den Grundgedanken aus. Wenn nämlich nicht alle externen E-Mails getaggt werden, wie soll ein user dann interpretieren, ob diese E-Mail jetzt gut oder schlecht ist?!

Wenn ihr einen anderen Weg, der mehr Konfigurationsmöglichkeiten bietet, sucht, dann schaut euch doch das nächste Kapitel an.

Manipulation des Betreffs der E-Mail

Dies ist wohl die klassische Art und Weise, wie man es schon in Exchange on-premises gemacht hat. Mit Hilfe einer (oder mehrerer) Transportregeln, manipulieren wir den Betreff jeder externen E-Mail beim Eingang. Ein übliches Vorgehen ist es hier, dem Betreff mit einem Präfix, wie zum Beispiel „*EXTERNAL*“ zu versehen:

Ich möchte euch einmal zeigen, wie ihr das in Exchange Online konfiguriert.
Zunächst einmal müssen wir ins Exchange Online Admin Center. Hier klickt ihr unter „Mail flow“ auf die „Rules“.

Hier erstellen wir unter dem Reiter „Add a new rule“ einen neue Regel mit „Create a new rule“

Dann geben wir der Regel einen entsprechenden Namen und wählen die unten stehenden Einstellungen. Ihr seht jetzt hier schon. dass uns die Transportregeln viel mehr Raum für benutzerdefinierte Anpassungen bieten. Wir können bspw. auch User oder gesamte Gruppen von der Regel ausnehmen (Except if) und diesen andere Regeln mit einem anderen Präfix zuweisen. So ist es viel einfacher seinen eigenen Vorstellungen gerecht zu werden.

Zuletzt könnt ihr einen Testmodus einstellen, wenn ihr eure Regeln zunächst erst testen wollt. Die Gewichtung (Severity) der Regel sollte entsprechend eurer anderer Regeln eingestellt werden. Die Priorität der Regel können wir im Nachgang einstellen.

Denn wichtig ist es, dass ihr die Regel nach dem Erstellen noch aktiviert. Sonst passiert nämlich gar nichts 😉

Für alle jene, die einfach mehr Gestaltungsspielraum bei der Markierung von E-Mails benötigen, sind die Transportregeln immer noch das Mittel der Wahl. Es hat aber noch einen weiteren Vorteil: Dadurch, dass wir den Betreff manipulieren, haben wir unabhängig des verwendeten Clients immer eine Warnung. Verwendet ihr also andere Clients als Outlook (zum Beispiel die native Mail App auf eurem Smartphone), dann habt ihr hier keinerlei Einbußen, wie z.B. bei Variante 1.

Auch S/MIME verschlüsselte E-Mails können so manipuliert werden, auch wenn die Entschlüsselung erst im Outlook Client passiert. Der Betreff steht im Header und ist somit nicht verschlüsselt.

‚.

Farbige Warnung im Body der E-Mail

Ihr habt besonders schützenswerte Accounts und euch sind diese Hinweise immer noch zu wenig? Dann könnt ihr mit Transportregeln auch farbige Hinweise in den Body der E-Mail einfügen. Somit habt ihr auch nochmal einen farbigen Trigger. Allerdings sehe ich hier häufig von ab, da es für den Usern störend sein kann, da dieser Hinweise als Text im Body steht und damit auch beim Antwort mit versendet wird (wie beim Betreff auch).

Wenn ihr es dennoch mal testen wollt, erstellt ihr euch wieder eine Transportregel, wie oben gezeigt. Im Bereich „Do the following“ könnt ihr nun mit HTML eine Warnung mit Text und Farbe nach eurem Empfinden eintragen. Ich habe mich für die Folgende entschieden, da diese den „Microsoft Style“ hat:

Achtung: Diese E-Mail wurde von einer externen Adresse verschickt. Wenn Sie den Absender nicht kennen, klicken Sie auf keine Links und öffnen Sie keine Anhänge. Wenn Sie sich unsicher sind, kontaktieren Sie stets den Service Desk. 

<!-- Gelbes Warnbanner -->
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%">
  <tr>
    <!-- Dunkelgelber Rand -->
    <td style="background:#ffb900;padding:5pt 2pt 5pt 2pt"></td>

    <!-- Textfeld -->
    <td width="100%" cellpadding="7px 6px 7px 15px" style="background:#fff8e5;padding:5pt 4pt 5pt 12pt;word-wrap:break-word">
      <div style="color:#222222;">
        <span style="color:#222; font-weight:bold;">Achtung:</span>
        Diese E-Mail wurde von einer externen Adresse verschickt. Wenn Sie den Absender nicht kennen, klicken Sie auf keine Links und öffnen Sie keine Anhänge. Wenn Sie sich unsicher sind, kontaktieren Sie stets den Service Desk.
      </div>
    </td>
  </tr>
</table>
<br />

Wenn ihr so eine Regel erstellt, ist es wichtig eine Fall Back Option mitzugeben, falls die Regel nicht angewendet werden kann, um keine Fehler zu produzieren. So könnte bspw. eine Transportregel aussehen.

Im Gegensatz zur Betreffmanipulation, können Mails, die verschlüsselt sind, so nicht bearbeitet werden. Die Veränderung des Body ist durch die Verschlüsselung nicht möglich.

MailTips in Outlook

Ihr habt sicherlich alle schon mal in Outlook die MailTips gesehen. Den meisten wird aufgefallen sein, dass sie Hinweise bekommen, wenn sie eine E-Mail an eine Person mit Abwesenheitsnachricht schreiben oder der Empfängerkreis mehr als 25 Personen groß ist.

Aber wusstet ihr, dass es genau einen MailTip gibt, der standardmäßig ausgeschaltet ist?

Wie in der Einleitung schon erwähnt, können wir einen MailTip aktivieren, der uns davor warnt, wenn eine Empfängeradresse außerhalb des Unternehmens ist. Das ist auch wieder ein einfacher Hinweis für eure User, aufmerksam zu sein, wenn sie Informationen versenden. Gerade bei der Verwendung von Verteilern, kann dieses Feature sehr nützlich sein.

Aber wie aktiviert man es? Natürlich per PowerShell:

Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true

Und hiermit könnt ihr euch mal alle MailTips anzeigen lassen:

Get-OrganizationConfig | select *Mailtips*

Von mir auch hier die klare Empfehlung zur Aktivierung: Dieses Feature hat mehr Nutzen, als, dass es jemanden beeinträchtigt.

Links and Facts

MailTips in Exchange Online | Microsoft Learn

Native external sender callouts on email in Outlook – Microsoft Community Hub

Set-ExternalInOutlook (ExchangePowerShell) | Microsoft Learn

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert