In der Global Blocklist werden Crowdsourcing-Daten zu E-Mail-Bedrohungen erfasst. Sie können mithilfe dieser Global Blocklist verhindern, dass schädliche E-Mails oder Spam in die Posteingänge Ihrer Nutzer:innen gelangen. Das Threat Research Lab von KnowBe4 stellt Global Blocklist-Einträge anhand von Daten aus allen PhishER Blocklists und weiteren Quellen zusammen. Mithilfe der Informationen in diesen Einträgen kann Ihr E-Mail-Server ungewünschte E-Mails herausfiltern.

Die Global Blocklist ist nur für Konten mit PhishER Plus verfügbar. Wenn Sie diese Funktion in Ihrem Konto und in Ihrem Microsoft 365-E-Mail-Server aktivieren, kann KnowBe4 Ihren E-Mail-Server mit der Global Blocklist verknüpfen. Wenn das Threat Research Lab Änderungen an der Global Blocklist vornimmt, werden die Einträge automatisch in die Blockliste Ihres E-Mail-Servers übernommen.

Weitere Informationen zur PhishER Blocklist finden Sie im Artikel So verwenden Sie die PhishER Blocklist.

Aktivieren und Autorisieren der Global Blocklist

Bevor Sie die Global Blocklist verwenden können, müssen Sie diese in Ihrer PhishER-Plattform aktivieren. Außerdem muss die Global Blocklist autorisiert werden, indem die Exchange-Administratorrolle mit Microsoft Entra ID zur Global Blocklist in Ihrem Microsoft 365-Konto zugewiesen wird.

Gehen Sie wie folgt vor, um die Global Blocklist zu aktivieren und zu autorisieren:

1. Navigieren Sie in der PhishER-Plattform zu Settings > Blocklist.
2. Klicken Sie auf Connect to Microsoft 365 und fügen Sie eine Verbindung hinzu, wenn noch kein Microsoft 365-E-Mail-Server mit der Blockliste verknüpft wurde.
   Hinweis: Wenn Sie die PhishER Blocklist bereits aktiviert und mit Ihrem Microsoft 365-E-Mail-Server verknüpft haben, können Sie diesen Schritt und Schritt 6 überspringen.
3. Aktivieren Sie den Schalter neben Global Blocklist Disabled.
4. Ein Pop-up-Fenster mit den Allgemeinen Geschäftsbedingungen wird angezeigt. Lesen und akzeptieren Sie die Datenschutzrichtlinie und die Nutzungsbedingungen. Sobald Sie beide Dokumente zur Kenntnis genommen haben, klicken Sie auf I Accept.
5. Klicken Sie auf Save, um Ihre Global Blocklist-Einstellungen zu speichern.
6. Weisen Sie in Ihrem Microsoft Entra ID-Portal der Global Blocklist-Anwendung die Rolle „Exchange-Administrator“ zu. Weitere Informationen finden Sie im Artikel So weisen Sie die Exchange-Administratorrolle zur PhishER Blocklist-Anwendung hinzu.

Überwachen der Global Blocklist-Einträge

Sobald Sie die Global Blocklist aktiviert und autorisiert haben, stehen Ihrer Organisation die Blocklisteneinträge zur Verfügung, die vom Threat Research Lab von KnowBe4 verwaltet werden. Die komplette Liste aller Global Blocklist-Einträge finden Sie unter Blocklist > Your Syncing Entries. Wählen Sie dort unter Filter by Entry Type die Option Global Entries aus.

Wenn Sie die Global Blocklist und die PhishER Blocklist für Ihre Organisation aktiviert haben, werden auf der Unterregisterkarte Your Syncing Entries Ihre PhishER Blocklist-Einträge und die Global Blocklist-Einträge, die mit Ihrem E-Mail-Server synchronisiert wurden, angezeigt. Die Einträge sind nach ihren Werten geordnet. Weitere Informationen zu dieser Unterregisterkarte finden Sie im Screenshot und in der folgenden Liste:

1. Filter by Attribute: Über diesen Filter können Sie Einträge mit einem bestimmten Attributtyp anzeigen.
   Hinweis: Die PhishER Blocklist kann maximal 500 Einträge für die Attribute Sender, URL und File Hash aufweisen.
2. Filter by Status: Über diesen Filter können Sie Einträge mit einem bestimmten Status anzeigen.
3. Filter by Entry Type: Über diesen Filter können Sie entweder nur die Einträge der Global Blocklist oder nur die benutzerdefinierten Einträge in Ihrer PhishER Blocklist anzeigen.
4. Value: Diese Spalte enthält den Wert des Eintrags. Als Werte können die E-Mail-Adresse des Absenders oder der Absenderin, die URL oder der Dateihash verwendet werden. Ihr E-Mail-Server filtert anhand dieser Werte alle E-Mails mit dem identischen Wert. Weitere Informationen zur Filterung der E-Mails finden Sie in der folgenden Liste:
   • URL oder File Hash: Wenn eine E-Mail einen Wert für „URL“ oder „File Hash“ enthält, der mit einem Eintrag übereinstimmt, wird die E-Mail von Ihrem E-Mail-Server automatisch in den Quarantäneordner verschoben.
   • Sender: Wenn eine E-Mail einen Wert für „Sender“ enthält, der mit einem Eintrag übereinstimmt, wird die E-Mail von Ihrem E-Mail-Server automatisch in den Spamordner verschoben.
   Tipp: Wenn Sie auf einen Wert in der Spalte klicken, wird die Seite Blocklist Audit Log angezeigt. Weitere Informationen finden Sie im Abschnitt Überprüfen des Auditprotokolls in diesem Artikel.
5. Status: In dieser Spalte wird der Status des Blocklisteneintrags angezeigt. Weitere Informationen zu Status finden Sie in der folgenden Liste:
   • Pending: Dieser Status gibt an, dass der Eintrag gerade zur Blockliste hinzugefügt oder von dieser gelöscht wird.
   • Active: Dieser Status gibt an, dass der Eintrag zur Blockliste hinzugefügt und mit dem verknüpften E-Mail-Server synchronisiert wurde.
   • Incomplete: Dieser Status gibt an, dass der Eintrag zur Blockliste hinzugefügt, jedoch noch nicht mit allen verknüpften E-Mail-Servern synchronisiert wurde.
   • Failed: Dieser Status gibt an, dass das Hinzufügen und Synchronisieren des Eintrags fehlgeschlagen ist. Wenn mehrere E-Mail-Server mit der Blockliste verknüpft sind und der Eintrag nicht mit allen synchronisiert werden kann, wird der Eintrag als „Failed“ gekennzeichnet.
6. Created By: In dieser Spalte wird angezeigt, wer den Eintrag erstellt hat. Es wird Admin angezeigt, wenn ein bzw. eine PhishER-Administrator:in den Eintrag in Ihrer PhishER Blocklist erstellt hat. Es wird KnowBe4 angezeigt, wenn das Threat Research Lab von KnowBe4 den Eintrag in der Global Blocklist erstellt hat.
7. Created On: Diese Spalte enthält Datum und Uhrzeit der Hinzufügung des Eintrags zur Global Blocklist.
8. Expires On: Diese Spalte enthält Datum und Uhrzeit der Entfernung des Eintrags aus der Global Blocklist und der Zulassungs-/Sperrliste für Mandanten in Microsoft 365.
   Hinweis: Die Synchronisierung der Einträge in der Zulassungs-/Sperrliste für Mandanten in Microsoft 365 mit der Global Blocklist kann bis zu 24 Stunden dauern.
9. Aktionen: In dieser Spalte können Sie auf das Papierkorbsymbol klicken, um das Pop-up-Fenster Delete Blocklist Entry zu öffnen. Dann können Sie einen Eintrag aus Ihrer PhishER Blocklist löschen. Sie können einen Eintrag auch löschen und ignorieren, um zu verhindern, dass er in Ihre PhishER Blocklist aufgenommen wird. Weitere Informationen über zu ignorierende Einträge finden Sie im nachfolgenden Unterabschnitt Ignorieren von Einträgen.

Ignorieren von Einträgen

Wenn Sie verhindern möchten, dass Einträge auf Ihren E-Mail-Servern blockiert werden, können Sie sie zu den zu ignorierenden Einträgen hinzufügen. Ignorierte Einträge können nicht zu Ihrer PhishER Blocklist hinzugefügt werden.

Wenn Sie einen Eintrag ignorieren, erhalten alle übereinstimmenden Einträge in Ihrer PhishER Blocklist den Status „Pending“. Dies weist darauf hin, dass sie gelöscht werden. Sie können keinen übereinstimmenden Eintrag in Ihrer Blockliste erstellen, solange der zu ignorierende Eintrag nicht von der Unterregisterkarte Your Ignored Entries gelöscht wurde.

Gehen Sie wie folgt vor, um einen vorhandenen Blocklisteneintrag zu ignorieren:

1. Melden Sie sich bei der PhishER-Plattform an.
2. Navigieren Sie zu Blocklist > Your Syncing Entries.
3. Suchen Sie den Eintrag, der ignoriert werden soll.
4. Klicken Sie auf das Papierkorbsymbol in der Spalte Actions neben diesem Eintrag. Das Pop-up-Fenster Delete Blocklist Entry wird geöffnet.
5. Klicken Sie im Pop-up-Fenster auf Delete and Ignore. Ein zu ignorierender Eintrag wird unter Your Ignored Entries hinzugefügt und der Blocklisteneintrag erhält den Status „Pending“. Dies weist darauf hin, dass er gelöscht wird.

Gehen Sie wie folgt vor, um einen zu ignorierenden Eintrag auf der Unterregisterkarte Your Ignored Entries zu erstellen:

1. Melden Sie sich bei der PhishER-Plattform an.
2. Navigieren Sie zu Blocklist > Your Ignored Entries.
3. Klicken Sie dann rechts oben auf der Seite auf die Schaltfläche Create Ignored Entry. Das Pop-up-Fenster Create Ignored Entry wird geöffnet.
4. Erstellen Sie im Pop-up-Fenster den Eintrag, der ignoriert werden soll. Weitere Informationen finden Sie im Screenshot und in der folgenden Liste:
   • Attribute: Wählen Sie den Attributtyp aus, den Sie für Ihren zu ignorierenden Eintrag verwenden möchten.
   • Sender: Mit dieser Option können Sie die Absender-E-Mail-Adresse oder -domain als Wert verwenden. Sie können beispielsweise eine vollständige E-Mail-Adresse wie „nutzername@domain.de“ oder einen Domain Name wie „domain.de“ unter Value eingeben.
   • URL: Mit dieser Option können Sie eine vollständige URL oder einen Hostnamen als Wert verwenden. Sie können beispielsweise „www.namederwebsite.de/namederwebseite“ oder „www.namederwebsite.de“ unter Value eingeben.
   • File Hash: Mit dieser Option können Sie einen SHA-256-Dateihash als Wert verwenden.
   • Wert: Geben Sie in diesem Feld den spezifischen Wert ein, der von Ihrem E-Mail-Server nicht blockiert werden soll. Wenn Sie beispielsweise Sender für Attribute auswählen, würden Sie in diesem Feld die E-Mail-Adresse des Absenders bzw. der Absenderin eingeben.
5. Klicken Sie auf Save, um den Eintrag zu Ihren zu ignorierenden Einträgen hinzuzufügen.

Auf der Unterregisterkarte Your Ignored Entries können Sie alle Einträge, die ignoriert werden sollen, im Blick behalten. Weitere Informationen zu dieser Unterregisterkarte finden Sie im Screenshot und in der folgenden Liste:

1. Search...: Hier können Sie mithilfe von Lucene-Abfragen nach zu ignorierenden Einträgen filtern.
   Hinweis: Um nach Einträgen mit ähnlichen Werten zu suchen, müssen Sie Wildcards verwenden. Sie können z. B. nach „*yahoo.com“ suchen, um alle Werte zu finden, die „yahoo.com“ enthalten. Weitere Informationen finden Sie im Artikel So verwenden Sie die Lucene-Abfragesyntax.
2. Filter by Attribute: Über diesen Filter können Sie Einträge mit einem bestimmten Attributtyp anzeigen.
3. Wert: Diese Spalte enthält den Wert des Eintrags.
4. Created On: Diese Spalte enthält Datum und Uhrzeit der Hinzufügung des zu ignorierenden Eintrags.
5. Aktionen: Klicken Sie in dieser Spalte auf das Papierkorbsymbol, um einen zu ignorierenden Eintrag zu löschen. Wenn Sie einen zu ignorierenden Eintrag löschen, können Sie mit dem Wert des Eintrags einen neuen Eintrag für Ihre PhishER Blocklist erstellen.

Überprüfen des Auditprotokolls

Navigieren Sie in der PhishER-Plattform zu Blocklist > Audit Log, um Ihr Auditprotokoll anzuzeigen. Ihr Auditprotokoll umfasst Aktivitäten der PhishER Blocklist und der Global Blocklist, z. B. wann Einträge erstellt, gelöscht und mit E-Mail-Servern synchronisiert werden.

Weitere Informationen zu dieser Unterregisterkarte finden Sie im Screenshot und in der folgenden Liste:

1. Timestamp: In dieser Spalte werden das Datum und die Uhrzeit des Auftretens der in der Spalte Event Action angegebenen Aktion angezeigt.
2. Event Type: In dieser Spalte wird die Art der aufgetretenen Aktion angezeigt. Weitere Informationen zu Ereignistypen finden Sie in der folgenden Liste:
   • Entry Updated: Dieser Ereignistyp verweist darauf, dass ein Eintrag erstellt oder gelöscht wurde.
   • Entry Synced: Dieser Ereignistyp verweist darauf, dass ein Eintrag mit der PhishER Blocklist synchronisiert wurde.
   • Blocklist Synced: Dieser Ereignistyp verweist darauf, dass alle Einträge für alle verknüpften E-Mail-Server synchronisiert wurden.
3. Wert: Diese Spalte enthält den Wert des betroffenen Eintrags.
4. Updated By: In dieser Spalte wird die Quelle der Aktion angezeigt. Wenn ein Eintrag aktualisiert wird, wird in dieser Spalte die E-Mail-Adresse des Nutzers bzw. der Nutzerin angezeigt, der bzw. die ihn aktualisiert hat. Wenn ein einzelner Eintrag oder die Blockliste synchronisiert wird, wird in dieser Spalte die ID oder der Name des E-Mail-Servers angezeigt. Wenn das System die Aktion ausgeführt hat, ist die Spalte leer.
5. Event Action: In dieser Spalte wird angezeigt, welche Aktion für einen Eintrag oder für die Blockliste durchgeführt wurde. Created wird angezeigt, wenn ein Eintrag erstellt wurde. Synced wird angezeigt, wenn ein Eintrag oder eine Blockliste mit den verknüpften E-Mail-Servern synchronisiert wurde. Deleted wird angezeigt, wenn ein Eintrag gelöscht wurde.
6. Status: In dieser Spalte wird angezeigt, ob die Aktion erfolgreich war oder fehlgeschlagen ist.