Bericht über den Nachrichtenverlauf
Diese Option ist nur verfügbar, wenn Ihre Lizenz Sophos Email beinhaltet.
Der Bericht „Nachrichtenverlauf“ bietet einen Überblick über die E-Mail-Aktivitäten für Ihre geschützten Postfächer.
Gehen Sie zu Berichte > Protokolle Email Security > Nachrichtenverlauf.
Der Bericht enthält einen Verlauf sowohl verarbeiteter Nachrichten als auch von Nachrichten, die abgelehnt wurden, weil das Postfach nicht gefunden wurde. Der Bericht enthält folgende Tabs:
-
Verarbeitet: Nachrichten, die erfolgreich von Sophos Email Security verarbeitet wurden.
Wenn Sie über Domänen verfügen, die mit Sophos Gateway und Sophos Mailflow verbunden sind, klicken Sie auf Kategorie, um auszuwählen, ob ein Typ oder alle angezeigt werden sollen.
-
Abgelehnt: Nachrichten, die abgelehnt wurden, weil das Postfach nicht gefunden wurde.
Sie können den Zeitraum festlegen, für den Sie den Nachrichtenverlauf oder den Ablehnungsprotokollbericht anzeigen möchten. Standardmäßig zeigt der Bericht die während des aktuellen Tages verarbeiteten oder abgelehnten Nachrichten an. Wenn Sie den Datumsbereich ändern oder Filter anwenden, klicken Sie auf das Aktualisierungssymbol , um den Bericht zu aktualisieren.
Sie können die Berichte 30 Tage lang im Nachrichtenverlauf anzeigen.
Bericht „Verarbeitet“
Der Bericht „Verarbeitet“ zeigt Nachrichten an, die von Sophos Email verarbeitet wurden. Wenn eine Nachricht an mehr als einen Empfänger gesendet wird, gibt es nur eine Zeile für diese Nachricht.
Für jede verarbeitete Nachricht zeigt der Bericht die folgenden Details an:
- Richtung: Eingehend oder ausgehend. Klicken Sie auf die Pfeile, um die Zeilen zu sortieren.
- Absender: E-Mail-Adresse des Absenders.
- Empfänger: E-Mail-Adressen der Empfänger.
- Typ: Nachrichtentyp, entweder Gateway oder Mailflow.
- Betreff: Klicken Sie auf den Betreff und gehen Sie zu Nachrichtendetails für diese Nachricht.
- Letzter Status: Die letzte Aktivität für die Nachricht. Siehe Letzter Status.
- Datum: Das Datum der letzten Aktivität für die Nachricht.
- Kategorie: Die Kategorie der Nachricht. Siehe Kategorie.
- Unterkategorie: Detailliertere Kategorisierung der Nachricht.
Wenn eine Nachricht verdächtig ist, können Sie den Mauszeiger über den Kategorie-Eintrag bewegen, um zu sehen, warum die Nachricht unter Quarantäne gestellt oder gelöscht wurde.
E-Mails mit einer Quarantänezusammenfassung, die an Ihre Benutzer gesendet wurden, werden in diesem Bericht nicht angezeigt.
Hinweis
Ob eine E-Mail unter Quarantäne gestellt oder gelöscht wird, hängt von Ihren Spamschutz-Einstellungen ab. Siehe Email Security-Richtlinie.
Sie können den Bericht „Verarbeitet“ als benutzerdefinierten Bericht planen. Mit Als benutzerdefinierten Bericht speichern können Sie den Bericht Verarbeitet mit der Vorlage „Nachrichtenverlauf“ auf der Seite Berichte speichern.
Weitere Informationen zum Speichern oder Planen von Berichten finden Sie unter E-Mail-Berichte.
Letzter Status
Die möglichen Werte für Letzter Status können wie folgt lauten:
- Gelöscht: Die Nachricht wurde aufgrund ihres Inhalts oder einer Block-List gelöscht. Wenn Sie Gelöscht auswählen, können Sie einen Grund zum Löschen auswählen.
- Isoliert: Die Nachricht wurde aufgrund ihres Inhalts oder einer Block-List als Spam gekennzeichnet. Sie können isolierte Nachrichten auf der Seite E-Mails in Quarantäne einsehen. Siehe E-Mails in Quarantäne.
- Abgewiesen Die Nachricht wurde unter Angabe des Grundes für die nicht erfolgte Zustellung an den Absender zurückgesendet.
- Weitergeleitet: Die Nachricht wurde nicht an den ursprünglichen Empfänger zugestellt. Sie wurde an eine andere E-Mail-Adresse umgeleitet.
- Verarbeitung läuft: Die Nachricht wird noch verarbeitet. Dies gilt für Nachrichten in der Sandbox-Umgebung und Nachrichten, die für die Zustellung in die Warteschlange gestellt wurden.
- Angenommen: Die Nachrichten ist eingegangen und wird von unserem System verarbeitet.
- Zustellung erfolgreich: Die Nachricht wurde erfolgreich verarbeitet und wird zur Zustellung gesendet.
- Zustellung fehlgeschlagen: Es wurde mehrmals ohne Erfolg versucht, die Nachrichten zuzustellen. Der Vorgang wurde aufgrund einer Zeitüberschreitung abgebrochen.
-
In Zustellwarteschlange: Der Zustellversuch ist fehlgeschlagen und die Nachricht befindet sich in der Warteschlange für eine erneute Zustellung.
Wir versuchen, eingehende Nachrichten für bis zu 5 Tage und ausgehende Nachrichten für bis zu 1 Tag zuzustellen. Mögliche Gründe für einen Fehler sind der Offline-Status des E-Mail-Servers des Empfängers oder Probleme beim Abrufen der DNS-Einträge des Empfängers. Nachrichten, die zur Zustellung in die Warteschlange gestellt wurden und sich jetzt in der Verarbeitungsphase befinden, werden mit dem Status Verarbeitung läuft angezeigt.
-
Verschlüsselung läuft: Die Nachricht wird gerade Push-verschlüsselt oder der Empfänger muss noch sein Kennwort festlegen, damit die Push-verschlüsselte Nachricht zugestellt werden kann.
- Verschlüsselte Zustellung: Eine mit Push-Verschlüsselung verschlüsselte Nachricht wurde zugestellt.
- Portalzustellung: Eine mit Portal-Verschlüsselung verschlüsselte Nachricht wurde an das Sophos Secure Message-Portal zugestellt.
- An M365 zurückgegeben: Eine Sophos Mailflow-E-Mail wurde erfolgreich an Microsoft 365 zurückgegeben.
- In Warteschlange für die Rückgabe an M365: Eine Sophos Mailflow-E-Mail wurde in eine Warteschlange gestellt, um an Microsoft 365 zurückgegeben zu werden.
- Rückgabe an M365 fehlgeschlagen: Eine Sophos Mailflow-E-Mail konnte nicht an Microsoft 365 zurückgegeben werden.
- Rückruf erfolgreich: Die Nachricht wurde nach der Zustellung an die Empfänger erfolgreich in die Quarantäne nach der Zustellung zurückgerufen.
- Rückruf gestartet: Der Prozess zum Zurückrufen der Nachricht wurde eingeleitet.
- Rückruf fehlgeschlagen: Der Versuch, die Nachricht zurückzurufen, war nicht erfolgreich.
- Rückruf freigegeben: Die Anforderung zum Zurückrufen der Nachricht wurde abgebrochen oder freigegeben. Die Nachricht wird nicht zurückgerufen.
Kategorie
Die möglichen Werte für Kategorie und ihre Unterkategorien lauten wie folgt:
- Echtzeit-blockiert: Die Nachricht wurde in Echtzeit blockiert.
-
Enterprise-blockiert: Die Nachricht wurde durch Sicherheitsrichtlinien der Enterprise-Ebene blockiert.
- Administrator-blockiert: Die Nachricht wurde von einer Administratoreinstellung blockiert.
- Vom Benutzer blockiert: Die Nachricht wurde von einer Benutzereinstellung blockiert.
-
Malware: Die Nachricht enthält Malware.
-
Unscannbar: Die Nachricht konnte nicht auf Bedrohungen gescannt werden.
- Übermäßige URLs: Die Nachricht enthält eine ungewöhnlich hohe Anzahl an URLs.
-
Intelix-Bedrohung: Die Nachricht wird basierend auf der Analyse von Intelix als potenzielle Bedrohung markiert.
- Bösartig: Die Nachricht enthält schädliche Inhalte oder Links zu diesen.
- Intelix nicht scanbar: Die Nachricht konnte nicht von Intelix gescannt werden.
- Verdächtig: Die Nachricht wird als verdächtig markiert, aber nicht als schädlich bestätigt.
-
URL/QR-Code: Die Nachricht enthält URLs oder QR-Codes, die auf schädliche oder unsichere Websites verweisen.
- Schädliche URL (hohes Risiko): Das Risiko der URL wird aufgrund der Reputation der Quelle als hoch eingestuft.
-
Schädliche URL (strafbar): Die URL ist mit kriminellen Aktivitäten oder Absichten verknüpft.
Hinweis
Wenn eine E-Mail einen Link auf der Liste krimineller URLs der Internet Watch Foundation enthält, sind wir gesetzlich verpflichtet, die E-Mail zu löschen. Außerdem sind wir gesetzlich verpflichtet, den Link, einschließlich des Nachrichtenverlaufs, nicht in Sophos Central anzuzeigen. Siehe IWF: URL-Liste.
Diese E-Mails werden immer gelöscht. Die Einstellungen in Ihren Email-Security-Richtlinien werden nicht verwendet.
-
QR-Code (hohes Risiko): Das Risiko durch diesen QR-Code wird aufgrund des Rufs der verknüpften Website als hoch eingestuft.
- QR-Code (strafbar): Der QR-Code ist mit einer Website verknüpft, die an kriminellen Aktivitäten oder Absichten beteiligt ist.
- Sicherer QR-Code: Der QR-Code ist mit einer Website verknüpft, die alle Sicherheitsprüfungen bestanden hat und keine Anzeichen für böswilliges Verhalten zeigte.
-
Identitätstäuschung: Die Nachricht hat einen vertrauenswürdigen Absender vorgetäuscht.
- Marke: Die Nachricht hat eine bekannte Marke oder Organisation nachgeahmt.
- Interne VIP: Die Nachricht richtete sich an eine hochrangige Person in Ihrem Unternehmen.
- Externe VIP: Die Nachricht richtete sich an einen vertrauenswürdigen externen Kontakt, z. B. einen Anbieter, Kunden oder Partner.
- Allgemein: Die Nachricht wird als Identitätstäuschung betrachtet, stimmt aber nicht mit einem bestimmten VIP oder einer bestimmten Marke überein. Sie wird basierend auf maschinellem Lernen oder Anti-Phishing-Heuristiken gekennzeichnet.
Tipp
Klicken Sie auf den Betreff einer Nachricht, die als Identitätstäuschung gekennzeichnet ist, um weitere Details anzuzeigen. Sie können prüfen, ob die Nachricht von einem internen oder externen VIP oder von mehreren VIPs stammt oder ob ihr Modus als aggressiv gekennzeichnet ist.
-
Spam: Die Nachricht wird als unerwünschte Massen-E-Mail gekennzeichnet, auch als Junk-E-Mail bezeichnet.
- Spamverdacht-Stufe L<x: Die Nachricht wird als Spamverdacht mit einem Level markiert, das von L1 bis L5 reichen kann. Für weitere Informationen zu den Spamverdacht-Levels, siehe Anti-Spam.
- Bestätigt: Die Nachricht wurde als Spam identifiziert, weil sie bekannte und verifizierte Spam-Muster enthält.
- Unzulässiges Land: Die Nachricht stammt aus einem Land, das gemäß Ihrer Richtlinie nicht erlaubt ist.
- Unzulässige Sprache: Die Nachricht enthält Inhalte in einer Sprache, die von Ihrer Richtlinie nicht zugelassen ist.
- BATV: Die Nachricht hat die BATV-Prüfung (Bounce Address Tag Validation) nicht bestanden, da ihr ein gültiges Bounce Address Tag fehlte, das zur Verifizierung legitimer Bounce-Nachrichten erforderlich ist. Dies kann auf eine gefälschte Rücksendeadresse hindeuten, die häufig bei Spam- oder Backscatter-Angriffen beobachtet wird.
-
Bulk: Die Nachricht wurde an eine große Gruppe von Empfängern gesendet, wie Newsletter, Mailinglisten oder andere Formen von angeforderten E-Mails.
-
Authentifizierungsfehler: Die Nachricht hat die DMARC-, SPF- oder DKIM-Authentifizierungsprüfungen nicht bestanden.
- DKIM: Die Meldung hat die von Ihnen in der Richtlinie konfigurierten DKIM-Prüfung nicht bestanden.
- DMARC: Die Meldung hat die von Ihnen in der Richtlinie konfigurierten DMARC-Prüfung nicht bestanden.
- SPF: Die Meldung hat die von Ihnen in der Richtlinie konfigurierten SPF-Prüfung nicht bestanden.
- Header-Anomalie: Die Überprüfung auf Header-Anomalien ist fehlgeschlagen, weil die Absenderadresse nicht mit dem echten Absender übereinstimmt oder sich von der Absenderadresse im Envelope unterscheidet. Dies könnte bedeuten, dass die E-Mail gefälscht wurde.
- Domänen-Anomalie: Die Nachricht hat die Prüfung auf Domänenanomalien nicht bestanden, weil sie von einer nicht vorhandenen oder falsch konfigurierten Domäne ohne gültige MX- oder A-Einträge gesendet wurde.
-
Data Control: Die Nachricht wird gekennzeichnet, weil sie eine Data Control-Richtlinienregel ausgelöst hat.
- Push-verschlüsselt: Die Nachricht wurde mit Push-Verschlüsselung verschlüsselt, weil sie eine Data Control-Regel ausgelöst hat.
- Portal-verschlüsselt: Die Nachricht wurde verschlüsselt und im Sophos Secure Message-Portal gespeichert, weil sie eine Data Control-Regel ausgelöst hat.
-
Secure Message: Die Nachricht wird verschlüsselt, um die Vertraulichkeit zu gewährleisten und sensible Daten zu schützen.
- Push-verschlüsselt: Die Nachricht wurde mit Push-Verschlüsselung verschlüsselt, wie in Ihrer Secure-Message-Richtlinie konfiguriert.
- Portal-verschlüsselt: Die Nachricht wurde verschlüsselt und im Sophos Secure Message-Portal gespeichert, wie in Ihrer Secure-Message-Richtlinie konfiguriert.
- S/MIME: Die Nachricht wurde mit dem S/MIME-Protokoll signiert oder verschlüsselt, wie in Ihrer Secure-Message-Richtlinie konfiguriert.
- TLS v1.2: Die Nachricht wurde sicher mit TLS 1.2-Verschlüsselung zugestellt, wie in Ihrer Secure-Message-Richtlinie konfiguriert.
- TLS v1.3: Die Nachricht wurde sicher mit TLS 1.3-Verschlüsselung zugestellt, wie in Ihrer Secure-Message-Richtlinie konfiguriert.
-
Legitime: Die Nachricht wird als gültig und vertrauenswürdig eingestuft.
- S/MIME: Die Nachricht wurde mit dem S/MIME-Protokoll als signiert oder verschlüsselt empfangen.
- PT-Kampagne: Die Nachricht ist Teil einer Phish Threat-Kampagne.
Anleitung zur Suche
Erfahren Sie, wie Sie Nachrichten mit erweiterten Suchfunktionen im Nachrichtenverlauf filtern.
Erweiterte Suche
Im Nachrichtenverlauf können Sie die Erweiterte Suche verwenden, um bestimmte Nachrichten zu filtern und zu suchen.
Klicken Sie auf Erweiterte Suche, um zu beginnen.
Die Optionen für die erweiterte Suche können für „Verarbeitet“ und „Abgelehnt“ variieren.
Sie können Nachrichten nach den folgenden Suchfeldern filtern:
- Von: Absender. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
- An: Empfänger. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
- Betreff: Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden. Klicken Sie auf die Betreffzeile einer Nachricht, um Details anzuzeigen. Siehe Nachrichtendetails.
- Nachrichtengröße: Größer oder kleiner als ein MB-Wert. Dabei wird die MIME-Größe einer E-Mail verwendet, die größer sein kann als die Raw-Dateigröße. Siehe Dateigrößen für E-Mail-Anhänge werden berechnet.
- Anhang: Art des Anhangs. Unterstützt Teilausdrücke.
-
DSN-Code: Wählen Sie einen DSN-Code (Delivery Status Notification) aus.
Sie können einen ganzen DSN-Code eingeben oder eine der folgenden Optionen auswählen:
- 2.*.*: Zustellung erfolgreich
- 4.*.*: Vorübergehender Fehler
- 5.*.*: Permanenter Fehler
Hinweis
- Bei der Analyse von Absendern und Empfängern von Nachrichten verwenden wir ihre SMTP-Envelope-Absender- und -Empfängeradressen, nicht ihre Von- und An-Nachrichtenheader.
- Sonderzeichen, einschließlich Satzzeichen wie Punkte, Kommas und Hashsymbole (
#
), sowie Symbole, Akzentzeichen, ASCII-Steuerzeichen und Formatierungszeichen, werden in den Suchkriterienfeldern ignoriert.
Sie können Nachrichten nach den folgenden Suchfeldern filtern:
- Von: Absender. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
- An: Empfänger. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
- Absender-IP: Die IP-Adresse des Absenders. Unterstützt einen partiellen IP-Adresswert.
Sie können mehrere Suchkriterien konfigurieren. Die Suchergebnisse enthalten Nachrichten, die allen Kriterien entsprechen.
Sie können Nachrichten nach Richtung, Status oder Grund filtern.
Wenn Sie den Datumsbereich ändern oder die Nachrichten filtern, müssen Sie auf das Aktualisierungssymbol klicken, um die Suchergebnisse zu aktualisieren.
Suchergebnisse
In den Suchergebnissen werden die von Ihnen ausgewählten Parameter im Suchfeld angezeigt. Sie können auf einzelne Parameter klicken, um sie aus der Suche zu entfernen. Ihre Suchergebnisse werden sofort aktualisiert.
Sie können auf den Richtungspfeil klicken, um die Suche auf eingehende oder ausgehende Nachrichten zu beschränken. Der Abwärtspfeil steht für eingehende Nachrichten, der Aufwärtspfeil für ausgehende Nachrichten. Wenn Sie auf einen Richtungspfeil klicken, werden die Suchergebnisse sofort aktualisiert.
Nachrichtendetails
Klicken Sie zum Anzeigen der Nachrichtendetails auf die Betreff einer Nachricht.
Die Registerkarte „URLs“ ist Teil der erweiterten Suche, die möglicherweise noch nicht allen Benutzern zur Verfügung steht.
Durch Klicken auf die folgenden Registerkarten können Sie weitere Informationen zu einer Nachricht anzeigen.
- Details zeigt allgemeine Informationen zur Nachricht und einen Verlauf der Ereignisse für die Nachricht an. Der Ereignisverlauf wird nach Empfängern gruppiert.
- Raw-Header: zeigt die Header-Details.
- Anhänge: zeigt Name und Größe der Anhänge.
-
URLs zeigt alle URLs in der Nachricht an.
Wir berechnen die Größe der Anhänge anhand der MIME-Codierung der E-Mail. Wir verwenden nicht die Größe der Raw-Dateien. Dies bedeutet, dass Dateigrößen von Anhängen oft als größer als die tatsächliche Datei angegeben werden. Siehe Dateigrößen für E-Mail-Anhänge werden berechnet.
Für eingehende und ausgehende „Spam“-E-Mails sehen Sie abhängig von unserer Nachrichtenanalyse entweder Bedrohung melden oder Als sicher melden. Klicken Sie auf eine dieser Optionen, um die Nachricht an die SophosLabs zu senden und somit unsere Spam-Erkennung zu verbessern.
Blockieren
Im Nachrichtenverlauf können Sie auf den Betreff einer Nachricht klicken, die Sie blockieren möchten, und dann deren Nachrichtendetails anzeigen. Klicken Sie anschließend SMTP-Absender auf Blockieren und wählen Sie Absender blockieren oder Absenderdomäne blockieren aus, um die E-Mail-Adresse des Absenders oder die Domäne zu Ihrer „Blockieren“-Liste hinzuzufügen.
Sie können auch unter IP-Adresse auf IP-Adressen blockieren klicken, um die IP-Adresse zu Ihrer „Blockieren“-Liste hinzuzufügen. Alternativ können Sie E-Mail-Adressen und Domänen aus der Liste Eingehend erlauben/blockieren hinzufügen.
Warnung
Seien Sie vorsichtig, wenn Sie eine IP-Adresse blockieren. Sie können versehentlich einen ganzen Dienst blockieren. Wenn Sie beispielsweise die von Microsoft 365 verwendete IP-Adresse blockieren, erhalten Sie keine Nachrichten von Microsoft-365-Benutzern.
Sie können Beschreibungen hinzufügen, wenn Sie die E-Mail-Adresse, Domäne oder IP-Adresse eines Absenders blockieren, um den Grund für jeden Blockieren-Eintrag anzugeben. Eine mögliche Beschreibung ist etwa „wegen Spam blockiert“. Sie können diese Beschreibungen später in der Liste „Erlauben“/„Blockieren“ anzeigen und bearbeiten.
Für weitere Informationen siehe Eingehend erlauben/blockieren.
Gelöschte Nachrichten wiederherstellen
Sie müssen Superadmin sein, um diese Funktion verwenden zu können.
Als Spam markierte ausgehende Nachrichten werden gelöscht. Dies liegt daran, dass Server die Reputation von Sophos Email-Zustellungs-IP-Adressen herabsetzen, wenn sie Spam von Sophos Email empfangen. Wenn der Superadmin prüfen möchte, ob es sich bei gelöschten Nachrichten um False Positives handelte, kann er sie wiederherstellen und zur weiteren Prüfung in Quarantäne stellen. Dies betrifft eingehende und ausgehende E-Mails.
Sie können die gelöschten Nachrichten wiederherstellen und im Nachrichtenverlauf unter Quarantäne stellen. Die einzigen gelöschten Nachrichten, die Sie wiederherstellen und in die Quarantäne zurücksenden können, sind Folgende:
-
Als Malware gekennzeichnete eingehende Nachrichten:
- Virus
- Intelix-Bedrohung (nicht scanbar)
- Intelix-Bedrohung (schädlich)
-
Als Spam markierte ausgehende Nachrichten
Klicken Sie auf den Betreff einer Nachricht, um deren Nachrichtendetails anzuzeigen, und klicken Sie dann auf Gelöscht, um die Nachrichtenwiederherstellung zu starten. Sie können Für alle Empfänger wiederherstellen auswählen, um die Nachricht für alle Empfänger wiederherzustellen, und dann auf Wiederherstellen klicken.
Hinweis
Nachrichten, die in Quarantäne wiederhergestellt werden, müssen vor ihrer Freigabe einer gründlichen Bewertung unterzogen werden, damit die Sicherheit des Empfängers nicht beeinträchtigt wird.
Es kann einige Minuten dauern, bis die Nachricht in der Quarantäne wiederhergestellt ist. Wenn die Nachricht in der Quarantäne wiederhergestellt ist, müssen Sie die Nachricht gründlich prüfen, indem Sie sie beispielsweise an Intelix zum Scannen senden. Sie können die Anhänge herunterladen, um sie auf schädliche Inhalte zu überprüfen. Sie können den Nachrichteninhalt lesen, um festzustellen, ob es sich um Spam handelt. Siehe E-Mails in Quarantäne.
Wenn Sie ausgehende Spam-Nachrichten freigeben, beeinträchtigt dies die Reputation der Delivery-IP-Adressen von Sophos Email. Eine beeinträchtigte Reputation kann zu Verzögerungen oder Ablehnung von Nachrichten für alle Kunden führen. Daher können Sie pro Stunde nur eine begrenzte Anzahl gelöschter ausgehender Spam-Nachrichten wiederherstellen. Pro Stunde können Sie maximal fünf Nachrichten wiederherstellen. Eine Nachricht, die an mehrere Empfänger adressiert wurde, zählt als eine Nachricht.
Das folgende Video zeigt Ihnen, wie Sie gelöschte Nachrichten in der Quarantäne wiederherstellen und die Quarantäne Ihrer Benutzer als schreibgeschützt konfigurieren.
Spamverdacht-Nachrichten
Eingehende Nachrichten werden auf Spam gescannt. Anschließend werden Nachrichten anhand der Scan-Ergebnisse kategorisiert. Wenn Sophos Central eine verdächtige Nachricht erkennt, kennzeichnet es sie als „verdächtig“ und fügt ihre Spam-Stufe hinzu.
Sophos Central kategorisiert die Nachrichten mit Spamverdacht nach ihrer Stufe. Eine Nachricht, die einer L3-Spam-Stufe entspricht, wird zum Beispiel im Nachrichtenverlauf als „Verdächtig L3“ markiert.
Die Aktion hängt von den Einstellungen ab, die Sie auf dem Schieberegler vorgenommen haben. Sie setzen zum Beispiel den Schieberegler auf „L3“ und die Aktion auf „Quarantäne“. In diesem Fall werden vermutete Spam-Nachrichten von L1 bis L3 unter Quarantäne gestellt und von L4 bis L5 an den Empfänger gesendet.
Sie können die Nachrichten nach Spamverdacht-Stufe filtern. Sie können auch auf den Betreff einer Nachricht klicken, um weitere Details und die Spamverdacht-Stufe anzuzeigen. Die Spamverdacht-Stufe, die Sie mit dem Schieberegler für die Empfindlichkeit konfiguriert haben, wird unter Grund angezeigt und die in Sophos Central validierte Spamverdacht-Stufe wird unter Unterkategorie angezeigt.
Mehrere Empfänger
Wenn eine Nachricht an mehrere Empfänger gesendet wird, können Sie unter Details Folgendes tun:
- Blättern Sie durch die SMTP-Empfänger und Header-Empfänger.
- Sie können eine Liste der Empfänger mit ihrem letzten Zustellstatus anzeigen. Sie können Ereignisse auch nach Empfänger-E-Mail-Adresse oder Domäne durchsuchen. Sie können eine Nachricht erweitern, um alle damit verbundenen Ereignisse anzuzeigen.
- Filtern Sie die Nachrichten, indem Sie auf die Links unter Statuszusammenfassungklicken.
Manuelles Rückfordern
Sie können Nachrichten, die als anstößig eingestuft wurden, manuell aus M365-Postfächern von Empfängern zurückrufen und sie in die Quarantäne nach der Zustellung verschieben.
Diese Funktion gilt für einzelne Empfänger, E-Mail-Aliasnamen und Verteilerlisten. Nach einem erfolgreichen Rückrufversuch bleibt der Rückrufstatus für Verteilerlisten „Rückruf gestartet“.
Bevor Sie einen Rückruf durchführen, beachten Sie die folgenden Punkte:
- Sie können eine Nachricht nur zurückrufen, wenn sie an ein M365-Postfach gesendet wurde, dessen Domäne für den Schutz nach der Zustellung verbunden ist.
- Es kann bis zu 10 Minuten dauern, bis eine Nachricht aus einem M365-Postfach zurückgerufen wird.
- Eine Nachricht, die aus der Quarantäne nach der Lieferung freigegeben wurde, kann nicht wieder zurückgerufen werden.
Sie können eine Nachricht an SophosLabs melden und sie gleichzeitig zurückrufen. Der Rückruf beginnt, nachdem Sie die Nachricht an SophosLabs gesendet haben, solange sie erfolgreich an ein unterstütztes M365-Postfach zugestellt wurde.
Eine Erkennung wird an MDR gesendet, wenn Sie während des Rückrufs einen Grund auswählen. Der Grund wird als Suffix in der Spalte Erkennungsregel auf der Seite Erkennungen im Threat Analysis Center angezeigt.
Nach einem erfolgreichen Rückruf werden die Nachrichten in Quarantäne verschoben. Sie können die Nachrichten über die „Quarantäne nach der Zustellung“-Liste überprüfen und freigeben, wenn sie legitim bzw. nicht schädlich ist. Siehe E-Mails in Quarantäne.
Mithilfe der Rückruf-API können Sie auch Nachrichten aus dem Postfach eines Empfängers zurückrufen. Für weitere Informationen siehe Email-Management-API.
Die folgenden Optionen stehen für den manuellen Rückruf zur Verfügung.
Nachrichten in Nachrichtenverlauf zurückrufen
Sie können Nachrichten direkt auf der Seite Nachrichtenverlauf zurückrufen.
Gehen Sie dazu wie folgt vor:
- Gehen Sie in Sophos Central zu Berichte > Protokolle Email Security > Nachrichtenverlauf.
-
Wählen Sie die Nachrichten aus, die Sie zurückrufen möchten. Sie können bis zu 100 Nachrichten gleichzeitig auswählen.
Tipp
- Sie können die Erweiterte Suche verwenden, um die Nachrichtenauswahl einzugrenzen.
- Sie können das Kontrollkästchen neben dem Aufwärts-/Abwärtspfeil verwenden, um alle Meldungen auf der aktuellen Seite auszuwählen. Stellen Sie sicher, dass nur eingehende Nachrichten angezeigt werden, da nur diese zurückgerufen werden können.
- Sie können nach zugestellten Nachrichten filtern, weil nur erfolgreich zugestellte Nachrichten zurückgerufen werden können.
-
Klicken Sie auf Rückforderung starten.
Das Dialogfeld Nachrichten zurückrufen wird angezeigt.
-
(Optional) Wählen Sie aus den folgenden Optionen einen Grund für den Rückruf der ausgewählten Nachrichten aus:
- Spam-E-Mails
- Malware-E-Mails
- Phishing-E-Mails
- Unerwünschte E-Mails
-
(Optional) Wenn Sie Spam-E-Mails, Malware-E-Mails oder Phishing-E-Mails ausgewählt haben, können Sie die Nachrichten über die Option E-Mails an SophosLabs melden an SophosLabs melden.
Dadurch helfen Sie uns, unsere Bedrohungserkennung zu verbessern.
-
Klicken Sie auf Bestätigen, um Nachrichten aus den M365-Postfächern zurückzurufen.
Nachrichten in Nachrichtendetails zurückrufen
Sie können Nachrichten auf der Seite mit den Nachrichtendetails zurückrufen.
Gehen Sie dazu wie folgt vor:
- Gehen Sie in Sophos Central zu Berichte > Protokolle Email Security > Nachrichtenverlauf.
- Klicken Sie auf den Betreff einer zurückzurufenden Nachricht, um deren Nachrichtendetails anzuzeigen.
- Klicken Sie auf Rückforderung starten.
- Wählen Sie die Empfänger aus, von denen Sie die zugestellte Nachricht zurückrufen möchten.
-
Wählen Sie aus den folgenden Optionen einen Grund für den Rückruf der ausgewählten Nachricht aus:
- Spam-E-Mails
- Malware-E-Mails
- Phishing-E-Mails
- Unerwünschte E-Mails
-
(Optional) Wenn Sie Spam-E-Mails, Malware-E-Mails oder Phishing-E-Mails ausgewählt haben, können Sie die Nachricht über E-Mails an SophosLabs melden an SophosLabs melden.
Dadurch helfen Sie uns, unsere Bedrohungserkennung zu verbessern.
-
(Optional) Klicken Sie auf Bericht anzeigen, um den Bericht „Nach-der-Zustellung-Übersicht“ für die zurückgerufenen Nachrichten anzuzeigen. Siehe Nach-der-Zustellung-Übersichtsbericht.
- Klicken Sie auf *Zurück*rufen, um Nachrichten aus den M365-Postfächern der ausgewählten Empfänger zurückzurufen.
Bericht „Abgelehnt“
Der Bericht „Abgelehnt“, auch bekannt als „Ablehnungsprotokollbericht“, zeigt Nachrichten an, die abgelehnt wurden, weil das Postfach nicht in Sophos Email gefunden wurde.
Warnung
Wenn wir mehr als 1.000 Nachrichten von einer einzelnen IP-Adresse innerhalb eines 5-Minuten-Fensters erkennen, beenden wir vorübergehend die Protokollierung weiterer Nachrichten von dieser IP-Adresse und senden einen Alarm. Sie können den Alarm auf der Seite Alarme sehen.
Nach fünf Minuten setzen wir die normale Protokollierung von Ablehnungsnachrichten fort.
Für jede abgelehnte Nachricht zeigt der Bericht die folgenden Details an:
- Datum: Das Datum und die Zeit der letzten Aktivität für die Nachricht.
- Absender: Die E-Mail-Adresse des Absenders.
- Absender-IP: Die IP-Adresse des Absenders.
- Empfänger: Die E-Mail-Adresse des Empfängers.
- Typ: Nachrichtentyp, entweder Gateway oder Mailflow.
- Grund: Der Grund, warum die Nachricht abgelehnt wurde, z. B. weil ein Postfach nicht gefunden wurde.
Sie können den Bericht „Abgelehnt“ als benutzerdefinierten Bericht planen. Mit Als benutzerdefinierten Bericht speichern können Sie den Bericht Abgelehnt mit der Vorlage „E-Mail-Ablehnungsbericht“ auf der Seite Berichte speichern.
Weitere Informationen zum Speichern oder Planen von Berichten finden Sie unter E-Mail-Berichte.