Die PhishER Blocklist unterstützt Sie dabei, zu verhindern, dass schädliche oder Spam-E-Mails in die Posteingänge Ihrer Nutzerinnen und Nutzer gelangen. Beim Überprüfen der von Nutzerinnen und Nutzern gemeldeten E-Mails können Sie die Blockliste aktualisieren, sodass Informationen zu Bedrohungen oder Spam an Ihren Microsoft 365-E-Mail-Server gesendet werden.

Sobald Sie die Blockliste aktivieren und mit Ihrem E-Mail-Server verknüpfen, können Sie Ihre Blocklisteneinträgen erstellen und verwalten. Jeder Eintrag enthält Informationen, anhand derer Ihr E-Mail-Server Mitteilungen herausfiltert. Wenn Sie beispielsweise einen Eintrag für eine schädliche E-Mail-Adresse erstellen, werden in Zukunft E-Mails von dieser E-Mail-Adresse von Ihrem E-Mail-Server automatisch in die Spamordner Ihrer Nutzerinnen und Nutzer verschoben.

Weitere Informationen zur PhishER Blocklist finden Sie in den nachfolgenden Abschnitten.

Aktivieren und Autorisieren der PhishER Blocklist

Zum Erstellen von Einträgen muss zuerst die PhishER Blocklist aktiviert werden. Außerdem muss die Blockliste autorisiert werden. Dazu muss der PhishER Blocklist in Microsoft Entra ID in Ihrem Microsoft 365-Konto die Exchange-Administratorrolle zugewiesen werden.

Gehen Sie wie folgt vor, um die Blockliste zu aktivieren und zu autorisieren:

1. Navigieren Sie in der PhishER-Konsole zu Settings > Blocklist.
2. Klicken Sie auf Connect to Microsoft 365 und fügen Sie eine Verbindung hinzu, wenn noch kein Microsoft 365-E-Mail-Server mit der Blockliste verknüpft wurde.
3. Aktivieren Sie oben auf der Seite den Schalter neben Disabled und klicken Sie dann auf Save.
4. Weisen Sie in Ihrem Microsoft Entra ID-Portal der PhishER Blocklist-Anwendung die Rolle „Exchange-Administrator“ zu.
   
   
   Hinweis: Weitere Informationen zum Aktivieren der Blockliste finden Sie im Abschnitt Blockliste im Artikel PhishER-Einstellungen: Integrationen. Weitere Informationen zum Zuweisen der Rolle finden Sie im Artikel So weisen Sie die Exchange-Administratorrolle zur PhishER Blocklist-Anwendung hinzu.

Erstellen von PhishER Blocklist-Einträgen

Auf der Registerkarte Blocklist oder auf der Seite Message Details können Sie Einträge erstellen, die zur Blockliste hinzugefügt werden. Wenn PhishML aktiviert ist, können Sie mithilfe von PhishML-Tags auch Nachrichten mit Werten priorisieren, die Sie der Blockliste hinzufügen möchten.

In den nachfolgenden Unterabschnitten erfahren Sie, wie Sie Einträge auf der Registerkarte Blocklist oder der Seite Message Details erstellen.

Erstellen von Einträgen auf der Registerkarte „Blocklist“

Gehen Sie wie folgt vor, um einen neuen Eintrag auf der Registerkarte Blocklist zu erstellen:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Navigieren Sie zu Blocklist > Your Syncing Entries.
3. Klicken Sie dann rechts oben auf der Seite auf die Schaltfläche Create Blocklist Entry. Das Pop-up-Fenster Create Blocklist Entry wird geöffnet.
4. Füllen Sie im Pop-up-Fenster die Felder aus, um Ihren Eintrag zu erstellen. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste:
   
   1. Attribute: Wählen Sie dann das Attribut aus, das Sie für Ihren Eintrag verwenden möchten. Das Attribut ist die Art von Information, die Ihr E-Mail-Server filtern soll. Wählen Sie die Option Sender aus, um die E-Mail-Adresse oder Domain der Absenderin oder des Absenders als Wert zu verwenden. Sie können beispielsweise eine vollständige E-Mail-Adresse wie „nutzername@domain.de“ oder einen Domain Name wie „domain.de“ unter Value eingeben. Wählen Sie die Option URL aus, um eine vollständige URL oder einen Hostnamen als Wert zu verwenden. Sie können beispielsweise „www.namederwebsite.de/namederwebseite“ oder „www.namederwebsite.de“ unter Value eingeben. Wählen Sie die Option File Hash aus, um einen SHA-256-Dateihash als Wert zu verwenden.
   2. Wert: Geben Sie in diesem Feld die jeweiligen Informationen ein, um das Filtern einer Nachricht durch den E-Mail-Server auszulösen. Wenn Sie beispielsweise Sender für Attribute auswählen, würden Sie in diesem Feld die E-Mail-Adresse des Absenders bzw. der Absenderin eingeben.
   3. Dauer: Wählen Sie in diesem Drop-down-Menü die Dauer aus, für die der Eintrag in der Blockliste verbleiben soll. Nach Ablauf dieser Dauer werden Einträge automatisch aus der Blockliste entfernt. Standardmäßig ist eine Dauer von 30 Tagen ausgewählt. Sie ist ähnlich lang wie die Dauer für die Zulassungs-/Sperrliste für Mandanten von Microsoft.
      Hinweis: Wenn auf der Unterregisterkarte Preferences Ihrer PhishER-Einstellungen die Einstellung Allow Blocklist entries without an expiration date aktiviert ist, ist die Option Never Expire verfügbar.
      Cyberkriminelle können ihre Angriffsmethoden schnell umstellen. Daher ist es wichtig, dass Ihre Blockliste stets auf dem neuesten Stand ist. Durch Festlegen einer Dauer wird Ihre Blockliste mit Daten aus kürzlich von Ihren Nutzerinnen und Nutzern gemeldeten Nachrichten aktualisiert.
5. Klicken Sie auf Save, um den Eintrag zur Blockliste hinzuzufügen.

Nach dem Erstellen des Eintrags können Sie den Status und weitere Details überwachen. Weitere Informationen finden Sie im Abschnitt Überwachen der Blocklisteneinträge in diesem Artikel.

Erstellen von Einträgen von der Seite „Message Details“

Gehen Sie wie folgt vor, um auf der Seite Message Details einen neuen Eintrag zu erstellen:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Navigieren Sie zur Registerkarte Inbox.
3. Klicken Sie auf eine Nachricht, um die Seite Message Details zu öffnen.
4. Klicken Sie neben einem Attribut auf das rote Blockieren-Symbol. Das Pop-up-Fenster Create Blocklist Entry wird geöffnet.
5. Füllen Sie im Pop-up-Fenster die Felder aus, um Ihren Eintrag zu erstellen. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste:
   
   1. Attribute: Wählen Sie dann das Attribut aus, das Sie für Ihren Eintrag verwenden möchten. Das Attribut ist die Art von Information, die Ihr E-Mail-Server filtern soll. Wählen Sie die Option Sender aus, um die E-Mail-Adresse oder Domain der Absenderin oder des Absenders als Wert zu verwenden. Sie können beispielsweise eine vollständige E-Mail-Adresse wie „nutzername@domain.de“ oder einen Domain Name wie „domain.de“ unter Value eingeben. Wählen Sie die Option URL aus, um eine vollständige URL oder einen Hostnamen als Wert zu verwenden. Sie können beispielsweise „www.namederwebsite.de/namederwebseite“ oder „www.namederwebsite.de“ unter Value eingeben. Wählen Sie die Option File Hash aus, um einen SHA-256-Dateihash als Wert zu verwenden.
   2. Wert: Geben Sie in diesem Feld die jeweiligen Informationen ein, um das Filtern einer Nachricht durch den E-Mail-Server auszulösen. Wenn Sie beispielsweise Sender für Attribute auswählen, würden Sie in diesem Feld die E-Mail-Adresse des Absenders bzw. der Absenderin eingeben.
   3. Dauer: Wählen Sie in diesem Drop-down-Menü die Dauer aus, für die der Eintrag in der Blockliste verbleiben soll. Nach Ablauf dieser Dauer werden Einträge automatisch aus der Blockliste entfernt. Standardmäßig ist eine Dauer von 30 Tagen ausgewählt. Sie ist ähnlich lang wie die Dauer für die Zulassungs-/Sperrliste für Mandanten von Microsoft.
      Hinweis: Wenn auf der Unterregisterkarte Preferences Ihrer PhishER-Einstellungen die Einstellung Allow Blocklist entries without an expiration date aktiviert ist, ist die Option Never Expire verfügbar.
      Cyberkriminelle können ihre Angriffsmethoden schnell umstellen. Daher ist es wichtig, dass Ihre Blockliste stets auf dem neuesten Stand ist. Durch Festlegen einer Dauer wird Ihre Blockliste mit Daten aus kürzlich von Ihren Nutzerinnen und Nutzern gemeldeten Nachrichten aktualisiert.
6. Klicken Sie auf Save, um den Eintrag zur Blockliste hinzuzufügen.

Nach dem Erstellen des Eintrags können Sie den Status und weitere Details überwachen. Weitere Informationen finden Sie im Abschnitt Überwachen der Blocklisteneinträge in diesem Artikel.

Überwachen von PhishER Blocklist-Einträgen

Auf der Unterregisterkarte Your Syncing Entries können Sie all Ihre Blocklisteneinträge im Blick behalten. Die Einträge sind nach ihren Werten geordnet.

Nach dem Erstellen von Einträgen werden diese auf der Unterregisterkarte Your Syncing Entries der Registerkarte Blocklist angezeigt. Sie können Einträge auch löschen und den Synchronisierungsstatus jedes Eintrags auf Ihren E-Mail-Servern anzeigen.

Weitere Informationen zu dieser Unterregisterkarte finden Sie im Screenshot und in der folgenden Liste:

1. Filter by Attribute: Über diesen Filter können Sie Einträge mit einem bestimmten Attribut anzeigen.
   Hinweis: Die PhishER Blocklist kann maximal 500 Einträge für die Attribute Sender, URL und File Hash aufweisen.
2. Filter by Status: Über diesen Filter können Sie Einträge mit einem bestimmten Status anzeigen.
3. Filter by Entry Type: Wenn Sie die Global Blocklist aktiviert haben, können Sie über diesen Filter entweder die Einträge der Global Blocklist oder nur die benutzerdefinierten Einträge in Ihrer PhishER Blocklist anzeigen.
4. Wert: Diese Spalte enthält den Wert des Eintrags. Als Werte können die E-Mail-Adresse des Absenders oder der Absenderin, die URL oder der Dateihash verwendet werden. Ihr E-Mail-Server filtert anhand dieser Werte alle E-Mails mit dem identischen Wert. Weitere Informationen zur Filterung der E-Mails finden Sie in der folgenden Liste:
   • URL oder File Hash: Wenn eine E-Mail einen Wert für „URL“ oder „File Hash“ enthält, der mit einem Eintrag übereinstimmt, wird die E-Mail von Ihrem E-Mail-Server automatisch in den Quarantäneordner verschoben.
   • Sender: Wenn eine E-Mail einen Wert für „Sender“ enthält, der mit einem Eintrag übereinstimmt, wird die E-Mail von Ihrem E-Mail-Server automatisch in den Spamordner verschoben.
   Tipp: Wenn Sie auf einen Wert in der Spalte klicken, wird die Seite Blocklist Audit Log angezeigt. Weitere Informationen finden Sie im Abschnitt Überprüfen des Auditprotokolls in diesem Artikel.
5. Status: Diese Spalte enthält den Status des Eintrags. Weitere Informationen zu Status finden Sie in der folgenden Liste:
   • Pending: Dieser Status gibt an, dass der Eintrag gerade zur Blockliste hinzugefügt oder von dieser gelöscht wird.
   • Active: Dieser Status gibt an, dass der Eintrag zur Blockliste hinzugefügt und mit dem verknüpften E-Mail-Server synchronisiert wurde.
   • Incomplete: Dieser Status gibt an, dass der Eintrag zur Blockliste hinzugefügt, jedoch noch nicht mit allen verknüpften E-Mail-Servern synchronisiert wurde.
   • Failed: Dieser Status gibt an, dass das Hinzufügen und Synchronisieren des Eintrags fehlgeschlagen ist. Wenn mehrere E-Mail-Server mit der Blockliste verknüpft sind und der Eintrag nicht mit allen synchronisiert werden kann, wird der Eintrag als „Failed“ angezeigt.
6. Created By: In dieser Spalte wird angezeigt, wer den Eintrag erstellt hat. Es wird Admin angezeigt, wenn ein bzw. eine PhishER-Admin den Eintrag in Ihrer PhishER Blocklist erstellt hat. Es wird KnowBe4 angezeigt, wenn das Threat Research Lab von KnowBe4 den Eintrag in der Global Blocklist erstellt hat.
7. Created On: Diese Spalte enthält Datum und Uhrzeit der Hinzufügung des Eintrags zur Blockliste.
8. Expires On: Diese Spalte enthält Datum und Uhrzeit der automatischen Entfernung des Eintrags von der Blockliste.
   Hinweis: Die PhishER Blocklist wird alle 10 Minuten mit dem Microsoft 365-E-Mail-Server synchronisiert. Währenddessen werden ausstehende Einträge auf der Zulassungs-/Sperrliste für Mandanten von Microsoft 365 zur Unterregisterkarte Your Syncing Entries Ihrer PhishER-Konsole hinzugefügt. Die Synchronisierung der vorhandenen Einträge in der Zulassungs-/Sperrliste für Mandanten mit der PhishER Blocklist kann bis zu 24 Stunden dauern. Für einen synchronisierten Eintrag werden in der Spalte Expires On Datum und Uhrzeit der Entfernung aus beiden Listen angezeigt. Bei Zulassungs-/Sperrlisteneinträgen oder PhishER Blocklist-Einträgen ohne Ablaufdatum wird in der Spalte Expires On der Wert Never Expires angezeigt.
9. Aktionen: In dieser Spalte können Sie auf das Papierkorbsymbol klicken, um das Pop-up-Fenster Delete Blocklist Entry zu öffnen. Dann können Sie einen Eintrag aus Ihrer PhishER Blocklist löschen. Sie können einen Eintrag auch löschen und ignorieren, um zu verhindern, dass er in Ihre PhishER Blocklist aufgenommen wird. Weitere Informationen über zu ignorierende Einträge finden Sie im nachfolgenden Unterabschnitt Ignorieren von Einträgen.

Ignorieren von Einträgen

Wenn Sie verhindern möchten, dass Einträge auf Ihren E-Mail-Servern blockiert werden, können Sie sie zu den zu ignorierenden Einträgen hinzufügen. Ignorierte Einträge können nicht zu Ihrer PhishER Blocklist hinzugefügt werden. Die Domain Ihrer Organisation wird automatisch ignoriert und kann nicht manuell zu den ignorierten Einträgen hinzugefügt werden.

Wenn Sie einen Eintrag ignorieren, erhalten alle übereinstimmenden Einträge in Ihrer PhishER Blocklist den Status „Pending“. Dies weist darauf hin, dass sie gelöscht werden. Sie können keinen übereinstimmenden Eintrag in Ihrer Blockliste erstellen, solange der zu ignorierende Eintrag nicht von der Unterregisterkarte Your Ignored Entries gelöscht wurde.

Gehen Sie wie folgt vor, um einen vorhandenen Blocklisteneintrag zu ignorieren:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Navigieren Sie zu Blocklist > Your Syncing Entries.
3. Suchen Sie den Eintrag, der ignoriert werden soll.
4. Klicken Sie auf das Papierkorbsymbol in der Spalte Actions neben diesem Eintrag. Das Pop-up-Fenster Delete Blocklist Entry wird geöffnet.
5. Klicken Sie im Pop-up-Fenster auf Delete and Ignore. Ein zu ignorierender Eintrag wird unter Your Ignored Entries hinzugefügt und der Blocklisteneintrag erhält den Status „Pending“. Dies weist darauf hin, dass er gelöscht wird.

Gehen Sie wie folgt vor, um einen zu ignorierenden Eintrag auf der Unterregisterkarte Your Ignored Entries zu erstellen:

1. Melden Sie sich bei der PhishER-Konsole an.
2. Navigieren Sie zu Blocklist > Your Ignored Entries.
3. Klicken Sie dann rechts oben auf der Seite auf die Schaltfläche Create Ignored Entry. Das Pop-up-Fenster Create Ignored Entry wird geöffnet.
4. Erstellen Sie im Pop-up-Fenster den Eintrag, der ignoriert werden soll. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste:
   1. Attribute: Wählen Sie den Attributtyp aus, den Sie für Ihren zu ignorierenden Eintrag verwenden möchten. Wählen Sie die Option Sender aus, um die E-Mail-Adresse oder Domain der Absenderin oder des Absenders als Wert zu verwenden. Sie können beispielsweise eine vollständige E-Mail-Adresse wie „nutzername@domain.de“ oder einen Domain Name wie „domain.de“ unter Value eingeben. Wählen Sie die Option URL aus, um eine vollständige URL oder einen Hostnamen als Wert zu verwenden. Sie können beispielsweise „www.namederwebsite.de/namederwebseite“ oder „www.namederwebsite.de“ unter Value eingeben. Wählen Sie die Option File Hash aus, um einen SHA-256-Dateihash als Wert zu verwenden.
   2. Wert: Geben Sie in diesem Feld den spezifischen Wert ein, der von Ihrem E-Mail-Server nicht blockiert werden soll. Wenn Sie beispielsweise Sender für Attribute auswählen, würden Sie in diesem Feld die E-Mail-Adresse des Absenders bzw. der Absenderin eingeben.
   
5. Klicken Sie auf Save, um den Eintrag zu Ihren zu ignorierenden Einträgen hinzuzufügen.

Auf der Unterregisterkarte Your Ignored Entries können Sie alle Einträge, die ignoriert werden sollen, im Blick behalten. Weitere Informationen zu dieser Unterregisterkarte finden Sie im Screenshot und in der folgenden Liste:

1. Search...: Hier können Sie mithilfe von Lucene-Abfragen nach zu ignorierenden Einträgen filtern.
   
   
   Hinweis: Um nach Einträgen mit ähnlichen Werten zu suchen, müssen Sie Wildcards verwenden. Sie können z. B. nach „*yahoo.com“ suchen, um alle Werte zu finden, die „yahoo.com“ enthalten. Weitere Informationen finden Sie im Artikel So verwenden Sie die Lucene-Abfragesyntax.
2. Filter by Attribute: Über diesen Filter können Sie Einträge mit einem bestimmten Attributtyp anzeigen.
3. Wert: Diese Spalte enthält den Wert des Eintrags.
4. Created On: Diese Spalte enthält Datum und Uhrzeit der Hinzufügung des zu ignorierenden Eintrags.
5. Aktionen: Klicken Sie in dieser Spalte auf das Papierkorbsymbol, um einen zu ignorierenden Eintrag zu löschen. Wenn Sie einen zu ignorierenden Eintrag löschen, können Sie mit dem Wert des Eintrags einen neuen Eintrag für Ihre PhishER Blocklist erstellen.

Überprüfen des Auditprotokolls

Navigieren Sie in der PhishER-Konsole zu Blocklist > Audit Log, um Ihr Auditprotokoll anzuzeigen. Ihr Auditprotokoll umfasst Aktivitäten der PhishER Blocklist und der Global Blocklist, z. B. wann Einträge erstellt, gelöscht und mit E-Mail-Servern synchronisiert werden.

Weitere Informationen zu dieser Unterregisterkarte finden Sie im Screenshot und in der folgenden Liste:

1. Timestamp: In dieser Spalte werden das Datum und die Uhrzeit des Auftretens der in der Spalte Event Action angegebenen Aktion angezeigt.
2. Event Type: In dieser Spalte wird die Art der aufgetretenen Aktion angezeigt. Weitere Informationen zu Ereignistypen finden Sie in der folgenden Liste:
   • Entry Updated: Dieser Typ zeigt an, dass ein Eintrag erstellt oder gelöscht wurde.
   • Entry Synced: Dieser Typ zeigt an, dass ein Eintrag mit der PhishER Blocklist synchronisiert wurde.
   • Blocklist Synced: Dieser Typ zeigt an, dass alle Einträge für alle verknüpften E-Mail-Server synchronisiert wurden.
3. Wert: Diese Spalte enthält den Wert des betroffenen Eintrags.
4. Updated By: In dieser Spalte wird die Quelle der Aktion angezeigt. Wenn ein Eintrag aktualisiert wird, wird in dieser Spalte die E-Mail-Adresse des Nutzers bzw. der Nutzerin angezeigt, der bzw. die ihn aktualisiert hat. Wenn ein einzelner Eintrag oder die Blockliste synchronisiert wird, wird in dieser Spalte die ID oder der Name des E-Mail-Servers angezeigt. Wenn das System die Aktion ausgeführt hat, ist die Zeile leer.
5. Event Action: In dieser Spalte wird angezeigt, welche Aktion für einen bestimmten Eintrag oder für die Blockliste durchgeführt wurde. Created wird angezeigt, wenn ein Eintrag erstellt wurde. Synced wird angezeigt, wenn ein Eintrag oder eine Blockliste mit den verknüpften E-Mail-Servern synchronisiert wurde. Deleted wird angezeigt, wenn ein Eintrag gelöscht wurde.
6. Status: In dieser Spalte wird angezeigt, ob die Aktion erfolgreich war oder fehlgeschlagen ist.