Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Windows & Microsoft 365 02.06.2026 · 9 min Lesezeit

Microsoft Defender for Office 365: Phishing-Schutz einrichten

Phishing-Schutz mit Microsoft Defender for Office 365 einrichten: voreingestellte Sicherheitsrichtlinien, Anti-Phishing, Safe Links und Safe Attachments im Defender-Portal und per PowerShell.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Administrator richtet Phishing-Schutz für Microsoft 365 am Bildschirm ein

Mit Microsoft Defender for Office 365 baust du einen mehrschichtigen Phishing-Schutz über deinen reinen Spamfilter hinaus auf. Diese Anleitung richtet sich an Administratoren im Mittelstand und zeigt dir Schritt für Schritt, wie du im Defender-Portal die voreingestellten Sicherheitsrichtlinien aktivierst und anschließend eigene Richtlinien für Identitätswechsel-Schutz, Safe Links und Safe Attachments anlegst. Du erfährst, welche Lizenzen du brauchst, wann du das Portal nutzt und wann die Exchange Online PowerShell schneller ist.

Voraussetzungen

  • Lizenz: Microsoft Defender for Office 365 Plan 1 (Safe Links, Safe Attachments, Anti-Phishing-Basis) oder Plan 2 (zusätzlich Explorer, automatische Untersuchung und Angriffssimulationstraining). Ab 2025 enthalten E3-Lizenzen die Plan-1-Funktionen.
  • Abgrenzung: Defender for Office 365 ist eine Zusatzlizenz und nicht identisch mit dem in Exchange Online enthaltenen EOP-Spamfilter. EOP filtert Spam und bekannte Malware, Defender ergänzt Identitätswechsel-Schutz, URL-Detonation und Anhang-Sandbox.
  • Rollen: Mitglied der Rollengruppe Sicherheitsadministrator oder Organisationsverwaltung in Exchange Online, um Richtlinien anzulegen.
  • Portalzugang: Microsoft Defender Portal unter https://security.microsoft.com.
  • PowerShell: Modul Exchange Online Management für die Cmdlets New-AntiPhishPolicy, New-SafeLinksPolicy und New-SafeAttachmentPolicy.
  • Empfehlung vorab: Richte zusätzlich SPF, DKIM und DMARC für deine Domäne ein, damit Spoofing-Schutz und Authentifizierung ineinandergreifen.

Schritt 1: Exchange Online PowerShell verbinden

Für alle PowerShell-basierten Schritte verbindest du dich einmal mit Exchange Online. Installiere bei Bedarf das Modul und stelle die Verbindung her. Die Anmeldung erfolgt interaktiv mit einem Konto, das die nötigen Rollen besitzt.

Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser
Import-Module ExchangeOnlineManagement
Connect-ExchangeOnline -UserPrincipalName admin@DEINE-DOMAIN.de

Nach erfolgreicher Anmeldung stehen dir alle Defender-Cmdlets zur Verfügung. Den bestehenden Zustand prüfst du jederzeit mit:

Get-AntiPhishPolicy | Format-List
Get-SafeLinksPolicy | Format-List
Get-SafeAttachmentPolicy | Format-List

Schritt 2: Voreingestellte Sicherheitsrichtlinien aktivieren

Der schnellste Einstieg sind die Preset-Richtlinien. Sie liefern von Microsoft gepflegte Einstellungen, die du nicht im Detail konfigurieren musst. Es gibt drei Stufen: Built-in protection (automatisch für alle Empfänger), Standard (empfohlener Baseline-Schutz) und Strict (höherer Schutz, ideal für Prioritätskonten wie Geschäftsführung und Buchhaltung).

So aktivierst du sie im Portal:

  1. Öffne https://security.microsoft.com.
  2. Navigiere zu Email & collaboration > Policies & rules > Threat policies.
  3. Wähle unter Templated policies den Eintrag Preset security policies (Direktpfad /presetSecurityPolicies).
  4. Schalte Standard protection auf On und durchlaufe den Assistenten: Lege fest, für welche Empfänger, Gruppen oder Domänen die Richtlinie gilt.
  5. Aktiviere optional zusätzlich Strict protection und weise dort gezielt deine Prioritätskonten zu.

Beachte die Rangfolge: Strict hat Vorrang vor Standard, dieser vor eigenen (Custom) Richtlinien und zuletzt greift Built-in protection. Ein Empfänger, der in Strict erfasst ist, wird von Standard und Custom nicht mehr berücksichtigt.

Schritt 3: Eigene Anti-Phishing-Richtlinie anlegen

Die Preset-Richtlinien sind ein guter Start, aber für gezielten Identitätswechsel-Schutz brauchst du eine eigene Anti-Phishing-Richtlinie. Hier konfigurierst du Spoofing-Schutz, Postfachintelligenz (Mailbox-Intelligenz), den Schutz vor Identitätswechsel bei Benutzern und Domänen sowie den Phishing-Schwellenwert.

Im Portal: Gehe zu Threat policies > Anti-phishing und klicke auf Create. Aktiviere im Assistenten den Identitätswechsel-Schutz für deine geschützten Benutzer und Domänen, schalte die Postfachintelligenz ein und wähle den Phishing-Schwellenwert.

Der Schwellenwert hat vier Stufen: 1 Standard, 2 Aggressiv, 3 Aggressiver, 4 Aggressivste. In den Cmdlets wird der Wert als PhishThresholdLevel von 1 bis 4 gesetzt. Je höher der Wert, desto strenger die Bewertung, aber desto höher auch das Risiko von Fehlalarmen.

Per PowerShell legst du Richtlinie und Regel an. Wichtig: Policy und Rule sind getrennte Objekte. Eine Policy ohne Rule ist nicht aktiv, eine Rule ohne Policy erzeugt einen Fehler.

New-AntiPhishPolicy -Name 'CustomPolicy' `
  -AdminDisplayName 'Phishing-Schutz Abteilung XY' `
  -EnableOrganizationDomainsProtection $true `
  -EnableMailboxIntelligence $true `
  -PhishThresholdLevel 2

New-AntiPhishRule -Name 'CustomRule' `
  -AntiPhishPolicy 'CustomPolicy' `
  -RecipientDomainIs 'DEINE-DOMAIN.de' `
  -Priority 0

Den Schwellenwert einer bestehenden Richtlinie passt du später so an:

Set-AntiPhishPolicy -Identity 'CustomPolicy' -PhishThresholdLevel 2

Safe Links schützt vor bösartigen Links. Beim Mailflow werden URLs umgeschrieben und beim Klick erneut gegen aktuelle Bedrohungsdaten geprüft (Click-Time-Verifikation). Der Schutz greift in E-Mails sowie in Outlook, Word, Excel, PowerPoint, Teams und den Office-Web-Apps.

Im Portal: Gehe zu Threat policies > Safe Links (Direktpfad /safelinksv2) und erstelle eine Richtlinie. Aktiviere die URL-Prüfung, den Schutz für Teams und schalte das Durchklicken zur Originaladresse bei erkannten Bedrohungen ab.

Per PowerShell:

New-SafeLinksPolicy -Name 'SafeLinks-Policy' `
  -IsEnabled $true `
  -EnableSafeLinksForTeams $true `
  -DeliverMessageAfterScan $true `
  -AllowClickThrough $false `
  -EnableForInternalSenders $true

New-SafeLinksRule -Name 'SafeLinks-Rule' `
  -SafeLinksPolicy 'SafeLinks-Policy' `
  -RecipientDomainIs 'DEINE-DOMAIN.de'

Der Schutz in den Office-Desktop-Apps setzt eine Defender-Lizenz pro Benutzer und eine lokale Anmeldung voraus. In OWA und Teams wirkt Safe Links organisationsweit. Mit AllowClickThrough $false verhinderst du, dass Nutzer eine als gefährlich erkannte Seite trotz Warnung öffnen.

Schritt 5: Safe Attachments mit Dynamic Delivery

Safe Attachments öffnet Anhänge in einer isolierten Sandbox (Detonation) und liefert sie erst aus, wenn sie als sicher eingestuft sind. Die Standardprüfung kann bis zu etwa 15 Minuten dauern. Für zeitkritische Postfächer empfiehlt sich daher Dynamic Delivery: Die Nachricht wird sofort ohne Anhang zugestellt, der Anhang wird parallel geprüft und nach Freigabe nachgereicht.

Im Portal: Gehe zu Threat policies > Safe Attachments (Direktpfad /safeattachmentv2) und erstelle eine Richtlinie. Als Aktion stehen Block, DynamicDelivery und Monitor zur Wahl.

Per PowerShell:

New-SafeAttachmentPolicy -Name 'SafeAttach-Policy' `
  -Enable $true `
  -Action DynamicDelivery

New-SafeAttachmentRule -Name 'SafeAttach-Rule' `
  -SafeAttachmentPolicy 'SafeAttach-Policy' `
  -RecipientDomainIs 'DEINE-DOMAIN.de'

Mit -Action Block werden gefährliche Anhänge komplett blockiert, mit -Action Monitor nur protokolliert (zum Testen ohne Auswirkung auf die Zustellung).

Schritt 6: Quarantäne-Richtlinie und Benutzerfreigabe

Standardmäßig gilt die Richtlinie AdminOnlyAccessPolicy: Nutzer können quarantänisierte Nachrichten nicht selbst freigeben, nur ein Administrator. Wenn deine Anwender Nachrichten selbst freigeben oder eine Freigabe anfordern sollen, brauchst du eine eigene Quarantäne-Richtlinie.

  1. Öffne im Portal Threat policies > Quarantine policies.
  2. Erstelle eine neue Richtlinie.
  3. Wähle PermissionToRelease, damit Nutzer Nachrichten direkt selbst freigeben dürfen, oder PermissionToRequestRelease, damit Nutzer nur eine Freigabe anfordern, die ein Administrator genehmigt.
  4. Weise die Quarantäne-Richtlinie anschließend in deiner Anti-Phishing-, Anti-Spam- oder Anti-Malware-Richtlinie der jeweiligen Bewertungsstufe zu.

Für sensible Umgebungen ist PermissionToRequestRelease der sichere Mittelweg: Nutzer bleiben handlungsfähig, die endgültige Entscheidung bleibt aber beim Administrator.

Schritt 7: Angriffssimulationstraining starten (Plan 2)

Mit Defender for Office 365 Plan 2 oder E5/G5 kannst du realistische Phishing-Kampagnen gegen deine eigenen Nutzer simulieren und gezielt schulen. Das Training misst, wer auf simulierte Links klickt, und weist betroffenen Mitarbeitern automatisch Lerninhalte zu.

  1. Öffne im Portal Email & collaboration > Attack simulation training.
  2. Starte eine neue Simulation und wähle ein Phishing-Szenario, etwa Anmeldedaten-Diebstahl oder einen schädlichen Anhang.
  3. Lege die Zielgruppe fest und plane den Versand.
  4. Werte nach Abschluss die Ergebnisse aus und weise Schulungsmodule zu.

E3-Nutzer können Angriffssimulationen teilweise kostenfrei zu Testzwecken durchführen. Der volle Funktionsumfang gehört zu Plan 2.

Troubleshooting

  • Problem: Die Standard-Richtlinie wirkt zu passiv. Lösung: Identitätswechsel- und Spoofing-Schutz sowie der Schwellenwert müssen in einer eigenen Anti-Phishing-Richtlinie konfiguriert werden. Built-in protection schützt nicht automatisch gegen alle fortgeschrittenen Phishing-Angriffe.
  • Problem: Anhänge werden verzögert zugestellt. Lösung: Die Sandbox-Prüfung kann über 15 Minuten dauern. Setze für zeitkritische Postfächer -Action DynamicDelivery, damit die Nachricht sofort ankommt und der Anhang nachgereicht wird.
  • Problem: Eine eigene Richtlinie greift nicht. Lösung: Prüfe die Rangfolge Strict > Standard > Custom > Built-in. Empfänger in Strict werden von Standard und Custom ausgeschlossen.
  • Problem: PowerShell meldet einen Fehler beim Anlegen der Regel. Lösung: Policy und Rule sind getrennte Objekte. Lege immer zuerst die Policy an, dann die Rule, die auf sie verweist.
  • Problem: Nutzer können quarantänisierte Mails nicht freigeben. Lösung: Der Standard AdminOnlyAccessPolicy erlaubt keine Selbstfreigabe. Erstelle eine eigene Quarantäne-Richtlinie mit PermissionToRelease oder PermissionToRequestRelease.
  • Problem: Safe Links wirkt in Office-Desktop-Apps nicht. Lösung: Dafür ist eine Defender-Lizenz pro Nutzer und eine lokale Anmeldung nötig. OWA und Teams funktionieren organisationsweit.
  • Problem: Legacy-Systeme brechen nach Linkumschreibung. Lösung: Das URL-Rewriting in Safe Links kann Tracking-Parameter verändern. Nimm betroffene Absender oder URLs gezielt aus dem Scope, statt den Schutz pauschal zu deaktivieren.
  • Problem: Nach Aktivierung von Strict bleiben legitime Massen-Mails hängen. Lösung: Setze geprüfte High-Volume-Absender auf eine Zulassungsliste, sonst kommt es zu Zustellproblemen.

Häufige Fragen

Reicht der EOP-Spamfilter nicht aus?

EOP filtert Spam und bekannte Malware und ist in Exchange Online enthalten. Defender for Office 365 ergänzt darüber hinaus Identitätswechsel-Schutz, URL-Detonation per Safe Links und Anhang-Sandbox per Safe Attachments. Für gezielten Phishing-Schutz brauchst du die Defender-Zusatzlizenz.

Sollte ich mit Preset-Richtlinien oder eigenen Richtlinien starten?

Starte mit Standard oder Strict für einen schnellen Baseline-Schutz. Sobald du Identitätswechsel-Schutz für bestimmte Personen, eigene Schwellenwerte oder Dynamic Delivery brauchst, ergänzt du eigene Richtlinien. Beide lassen sich kombinieren, die Rangfolge steuert, welche greift.

Was bedeuten die Phishing-Schwellenwerte?

Der Wert reicht von 1 Standard bis 4 Aggressivste. Höhere Stufen bewerten mehr Nachrichten als Phishing, erhöhen aber das Risiko von Fehlalarmen. Beginne mit Stufe 2 und beobachte die Ergebnisse, bevor du weiter erhöhst.

Wann sollte ich Dynamic Delivery statt Block nutzen?

Dynamic Delivery eignet sich für Postfächer, die schnell erreichbar sein müssen, weil die Nachricht sofort ohne Anhang zugestellt und der geprüfte Anhang nachgereicht wird. Block ist strenger und blockiert gefährliche Anhänge vollständig.

Brauche ich für jede Richtlinie eine eigene Regel?

Ja, bei der Konfiguration per PowerShell. Policy und Rule sind getrennte Objekte. Die Policy enthält die Einstellungen, die Rule definiert über Empfänger oder Domänen, für wen sie gilt. Ohne passende Rule ist die Policy nicht aktiv.

Was gehört zu Plan 1 und was zu Plan 2?

Plan 1 enthält Safe Links, Safe Attachments und die Anti-Phishing-Basis. Plan 2 ergänzt Explorer, automatische Untersuchung und Reaktion sowie das Angriffssimulationstraining. Ab 2025 enthalten E3-Lizenzen die Plan-1-Funktionen.

Fazit

Mit der Kombination aus voreingestellten Sicherheitsrichtlinien und eigenen Anti-Phishing-, Safe-Links- und Safe-Attachments-Richtlinien baust du einen robusten, mehrschichtigen Phishing-Schutz in Microsoft Defender for Office 365 auf. Starte mit der Preset-Richtlinie für einen schnellen Baseline-Schutz, ergänze dann gezielt Identitätswechsel-Schutz, Dynamic Delivery und passende Quarantäne-Richtlinien. Über das Defender-Portal arbeitest du visuell, mit den PowerShell-Cmdlets automatisierst und dokumentierst du deine Konfiguration reproduzierbar.

Weiterführende Anleitungen und Quellen

Quellen: offizielle Microsoft-Learn-Dokumentation zu Anti-Phishing-Richtlinien, voreingestellten Sicherheitsrichtlinien und Safe-Attachments-Konfiguration (Stand 02.06.2026).

Verwandt

Weiter lesen

Alle Artikel →
Symbolbild IT-Sicherheit: Schloss-Symbol vor Programmcode für eine kritische Exchange-Schwachstelle
02.06.2026 ·10 min

SharePoint und OneDrive: Freigaben und externe Gäste sicher konfigurieren

So steuerst du externe Freigaben in SharePoint und OneDrive sicher: Freigabeebenen im SharePoint admin center, Link-Typen, Gast-Ablauf, Entra B2B sowie DLP und Download-Sperren per PowerShell und Portal.
Mitarbeiter richtet neuen Windows-Laptop per Autopilot ein
02.06.2026 ·9 min

Intune: Windows-Geräte per Autopilot ausrollen

So rollst du Windows-Geräte im KMU per Windows Autopilot über Intune aus: Hardware-Hash erfassen, Bereitstellungsprofil anlegen, ESP konfigurieren und automatische MDM-Enrollment aktivieren.
Symbolbild für VPS-Absicherung: Vorhängeschloss vor einem Server als Sinnbild für Firewall, SSH-Keys und Brute-Force-Schutz
02.06.2026 ·9 min

Microsoft 365: MFA und Conditional Access in Entra ID einrichten

MFA für alle Nutzer erzwingen und Conditional Access in Entra ID einrichten: vier praxiserprobte Richtlinien, Report-only-Test und Break-Glass-Konto.