URL-Safeguard Link wird von Microsoft Defender als bösartig eingestuft und alle Mails landen in Quarantäne

[it-welcome]

Hallo,

leider werden seit kurzem alle intern weitergeleiteten eMAils mit URL Safugeard geschützten Links von Microsoft Defender als Nachricht mit hoher Phishingwahrscheinlichkeit bewertet und in Quarantäne geschoben.
Interessanterweise gehen die ursprünglichen Mails mit dem selben verschlüsselten Link von extern durch.

Wo muss man das in 365 konfigurieren?

Danke & Grüße
Marcus

 

[Fabian]

Hallo Marcus,

du kannst im Microsoft Defender Portal unter Policies & rules > Threat policies > Tenant Allow/Block List > URLs die URLs welche ignoriert werden sollen als Muster einfügen:



Am besten einmal hierzu die MS-Dokus durchlesen.

LG
Fabian

 

[Sakul]

Das Whitelisten der URLs funktioniert aber nur für den eigenen Tenant. Was passiert mit den Emails, wenn man diese bewusst oder versehentlich nach extern in einen anderen MS365-Tenant verschickt?

In einem solchen Fall (nicht NSP-bezogen) hat MS die Emails mit den betroffenen Links in allen weltweiten Tenants geblockt. Wir konnten das nur doch ein aufwändiges Whitelisting über die den 3rd-Level-Support von MS lösen.

 

[Fabian]

Das Whitelisten der URLs funktioniert aber nur für den eigenen Tenant.

Jo, ich habe mich auch nur auf das eigene Tenant bezogen (ggf. die Eingangsaussage falsch interpretiert) - wenn es über dein Tenant hinaus geht, müssen dies die Empfänger bei sich einstellen oder der MS-Support muss davon überzeugt werden.

LG
Fabian

 

[Sakul]

wenn es über dein Tenant hinaus geht, müssen dies die Empfänger bei sich einstellen oder der MS-Support muss davon überzeugt werden.

Korrekt!