Dieser Artikel beschreibt die Konfiguration des Cyber Guru Connectors in Exchange Online, basierend auf der Authentifizierung mittels TLS-Zertifikat und beschränkt auf die Simulationsabsenderdomains.
Diese Konfiguration ist die von der offiziellen Microsoft-Dokumentation empfohlene Lösung, um das von Exchange Online Protection auf Phishing-Simulationsmails angewendete Throttling zu vermeiden.
Warum der Connector notwendig ist
Phishing-Simulationskampagnen beinhalten naturgemäß das Versenden großer Mengen von E-Mails aus einer externen Infrastruktur an den Tenant des Kunden. Die Anti-Abuse-Engine von Microsoft Exchange Online Protection (EOP) bewertet kontinuierlich und automatisch die Reputation der Absender-IP-Adressen neu und kann ein reputationsbasiertes Throttling (Verzögerung der Zustellung) für nicht authentifizierte Absender anwenden.
Wenn dies geschieht, werden die Simulationsmails im Tenant des Kunden weder abgelehnt noch blockiert, sondern von Microsoft vorgelagert verzögert mit folgendem Antwortcode:
451 4.7.500 Server busy. Please try again later from [85.235.135.191].
Wichtige Merkmale dieses Phänomens:
- Es handelt sich um eine temporäre Verzögerung (soft-defer), keinen endgültigen Block und keine Blacklist: Die Nachrichten bleiben in der Warteschlange und werden erneut versucht.
- Es ist tenantübergreifend: Die Absender-IP ist gegenüber allen Microsoft 365-Empfängern betroffen, daher muss im Kundentenant nichts freigeschaltet werden (die E-Mails erscheinen weder in der Quarantäne noch in den Logs des Tenants).
- Eventuelle von Microsoft angeforderte Maßnahmen (Delisting) sind nur vorübergehend: Die Reputation wird automatisch neu bewertet und das Throttling kann erneut auftreten.
Für diesen spezifischen Fehler empfiehlt die offizielle Microsoft-Dokumentation (Fix NDR error 451 4.7.500-699 (ASxxx) in Exchange Online) als Lösung für den Administrator des empfangenden Tenants ausdrücklich die Konfiguration eines Connectors.
Mit dem Connector authentifiziert sich der Cyber Guru Versandserver beim Tenant durch Vorlage seines TLS-Zertifikats: Der Datenverkehr gilt nicht mehr als „anonym“ und das Throttling — das nur für nicht authentifizierte Absender gilt — wird nicht angewendet. Die Wirkung ist sofort und unabhängig von Maßnahmen oder Wartezeiten seitens Microsoft.
Warum diese Konfiguration auch sicherer ist
Die Authentifizierung über ein TLS-Zertifikat stellt eine Verschärfung der Kontrollen dar:
- Der Geltungsbereich ist begrenzt: Der Connector ist ausschließlich auf die für Phishing-Simulationen verwendeten Domains beschränkt.
- Die Identifizierung erfolgt über ein von einer öffentlichen CA ausgestelltes TLS-Zertifikat mit verpflichtendem TLS: Ein stärkeres und besser überprüfbares Kriterium als das Vertrauen auf eine IP-Adresse.
- Anti-Spoofing: Mit dieser Einschränkung wird jede Nachricht, die eine der Simulationsdomains angibt, aber nicht das Cyber Guru Zertifikat vorlegt, vom Tenant abgelehnt.
- Ein einziges Zertifikat deckt alle Simulationsdomains ab und bleibt auch bei Änderung der Versand-IP gültig: Die Konfiguration muss nur einmalig vorgenommen werden.
- Es handelt sich um eine einzelne, dokumentierte Konfiguration, die jederzeit deaktiviert werden kann und vollständig in den Administrationswerkzeugen des Tenants nachvollziehbar ist.
Voraussetzungen
- Zugang zur Exchange Admin-Konsole mit Administratorrechten
- Liste der Absenderdomains von Cyber Guru
- Domainname des TLS-Zertifikats des Cyber Guru Versandservers:
pmail.cyberguru.report
|
WO FINDE ICH DIE KOMPLETTE LISTE DER ABSENDERDOMAINS
|
Detaillierte Anleitung
1. Zugriff auf die Microsoft Admin-Konsole
2. Navigieren Sie zu "Nachrichtenfluss > Connectors" und wählen Sie "+ Connector hinzufügen"
3. Wählen Sie die Option "Partnerorganisation" und Verbindung zu "Office 365", dann auf "Weiter" klicken
4. Geben Sie den Namen des Connectors "Cyber Guru Connector" ein, lassen Sie das Kontrollkästchen "Aktivieren" angehakt und klicken Sie auf "Weiter"
5. Wählen Sie "Indem überprüft wird, ob die Absenderdomain mit einer der folgenden Domains übereinstimmt" und fügen Sie die Cyber Guru Absenderdomains hinzu
Fügen Sie alle Absenderdomains hinzu (verfügbar auf der Plattform im Bereich "Hilfe > Support - Knowledge"), klicken Sie nach jeder Domain auf das "+"-Symbol und dann auf "Weiter".
Hinweis: Die Domains müssen exakt wie angegeben eingegeben werden, ohne Wildcards oder Präfixe.
6. Aktivieren Sie die Überprüfung des TLS-Zertifikats
Im Bildschirm für Sicherheitseinschränkungen:
- Lassen Sie die Option "E-Mails ablehnen, wenn sie nicht über TLS gesendet werden" aktiviert (Standard).
- Wählen Sie die Option "Und verlangen, dass der Name des Antragstellers im vom Partner zur Authentifizierung mit Office 365 verwendeten Zertifikat mit diesem Domainnamen übereinstimmt" und geben Sie ein:
pmail.cyberguru.report
7. Überprüfen Sie die Zusammenfassung und klicken Sie auf "Connector erstellen"
8. Abschließende Überprüfung
Nach Abschluss der Konfiguration fordern Sie den Versand einer Test-E-Mail von der Plattform an, um die korrekte Zustellung zu überprüfen. Bei Bedarf wenden Sie sich an den Cyber Guru Support für eine gemeinsame Konfigurations- und Testsitzung.
Wichtige Hinweise
- Der Connector ersetzt nicht die erweiterte Zustellung in Microsoft Defender, die weiterhin die wichtigste Konfiguration im gesamten Whitelisting-Prozess bleibt: 1. Erweiterte Zustellung (Microsoft Defender).
- Falls bereits ein Cyber Guru Connector auf Basis der IP-Adresse vorhanden ist, muss dieser mit der in diesem Artikel beschriebenen Zertifikatsprüfung aktualisiert werden: Die Identifizierung über die IP-Adresse befreit nicht vom Throttling.