interne Mails von ATP Scanning ausnehmen

Die Office 365 Advanced Threat Protection ist ja ein guter, proaktiver Schutz gegen unbekannte Malware. Und die Prüfung der Attachments in der Sandbox dauert in der Regel nur wenige Minuten und diese Verzögerung fällt im normalen Mailverkehr nicht wirklich auf.

Es gibt allerdings einige Umstände, wo die Mailverzögerung doch zu Unzufriedenheit der Benutzer führt:

Dynamic Delivery

Beim Erstellen der ATP Rule habe ich ja folgende Optionen:

image

Empfohlen ist hier ja “Block” oder “Replace”.

“Dynamic Delivery” klingt nach einer brauchbaren, intelligenten Option:
Hey, super, da bekommt der User die Mail gleich und meistens braucht er das Attachment eh erst später. Kluges Feature” – und schon wird die Option enabled.

In der Praxis führt diese Option aber dazu, das die User vermehrt bei der IT anrufen und sich aufregen: “Stundenlang warten wir auf die Attachments!” “Das müßt ihr gleich wieder ausschalten” “Ich kann nicht mehr arbeiten”

Hintergrund: Durch diese Option bekommt der User die Scanzeit (die in der Regel unter 2 Minuten liegt – die sich aber wie Stunden anfühlen) erst richtig mit. Kommt die Mail aber 1-2 Minuten später an, fällt das niemanden auf in der Regel. Daher: Nicht verwenden !

Scan2Mail

Scan2Mail ist hier aber eine Ausnahme. Hier erwarte ich mir, das mein Scan sofort in der Inbox auftaucht. Kenne ich von mir selber: Beim Scan2Mail unserer Multifunktionsdrucker bleibe ich immer so lange beim Drucker stehen, bis der Scan auf meinem Handy in der Inbox ist, weil – wie soll ich sagen – die Kommunikation des Druckers verbesserungswürdig ist, weil er nicht wirklich sagt, das alles OK ist.

ATP scannt alle Mails – auch den internen Mailverkehr. (Was aus meiner Sicht auch sinnvoll ist) Aber damit auch die Scans der Multifunktionsdrucker. Und hier sind Wartezeiten nicht so erfreulich.

Leider kann man in der ATP Rule zwar auf bestimmte EMPFÄNGER einschränken (sinnvoll, wenn ich die ATP Lizenzen nicht für alle Mitarbeiter gekauft habe), aber keine ABSENDER ausnehmen.

Hier ist die Lösung, wie das trotzdem geht:

Im Exchange Admin Center unter “mail flow” eine neue Regel anlegen:

Name: Bypass ATP

Apply this rule: Hier entweder die Absenderadressen der MFA-Drucker oder die IP Ranges eintragen

Do the following: Set the message header ‚X-MS-Exchange-Organization-SkipSafeAttachmentProcessing‘ to the value ‚1‘

Damit werden diese Attachments nicht mit ATP gescannt.

(Kleiner Nebensatz: Sollen gewisse URLs nicht umgeschrieben werden, einfach “X-MS-Exchange-Organization-SkipSafeLinksProcessing” auf 1 setzen)

Achtung: Ich rate davon ab, standardmäßig alle INTERNEN Mails von der Attachmentprüfung auszunehmen !

Aus 2 Gründen:

a) Auch Interne können Malware verbreiten (die der Mailscanner am Client noch nicht erkennt) und Attachments eines Kollegen/einer Kollegin öffne ich wesentlich vertrauensvoller als bei externen Mails.

b) Wenn intern viele Attachments verschickt werden, würde ich eher an eine Userschulung denken und den Usern zeigen, wie man Dokumente per Link teilt…

Hope this helps…

Viel Spaß damit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert