Zum Inhalt

E-Mails in Quarantäne

Auf der Seite E-Mails in Quarantäne sind die E-Mails aufgeführt, die aus allen geschützten Posteingängen unter Quarantäne gestellt wurden.

Wenn Sie M365 Security nicht verwenden, sehen Sie nur eine Liste mit isolierten Nachrichten aus all Ihren E-Mail-Domänen. Wenn Sie M365 Security verwenden und Automatisches Suchen und Bereinigen oder Manuelles Rückfordern aktiviert haben, sehen Sie zwei Registerkarten. Klicken Sie auf Quarantäne nach der Zustellung, um Nachrichten anzuzeigen, die von M365 Security isoliert wurden. Oder klicken Sie auf Email-Security-Quarantäne, um Ihre anderen isolierten Nachrichten anzuzeigen.

Standardmäßig zeigt der Bericht die während des aktuellen Tages verarbeiteten Nachrichten an.

Hinweis

Sie müssen einen Eigentümer für eine Verteilerliste festlegen, um Nachrichten in Quarantäne und deren Zusammenfassung zu erhalten. Für Informationen, wie Sie einen Eigentümer zu einer Verteilerliste hinzufügen, siehe Eigentümer von Verteilerlisten.

EMS-Modus

Wenn Sie Sophos EMS abonniert haben, scannt Sophos Journalkopien von E-Mails, fängt jedoch die ursprünglichen Nachrichten nicht ab und ergreift auch keine Maßnahmen. Wenn Sie Nachrichten mit der Bezeichnung „In Quarantäne“ auf der Seite Nachrichten in Quarantäne sehen, wurden diese Nachrichten nicht in Quarantäne gestellt. Stattdessen wurden sie an das Postfach des Empfängers gesendet.

Der angezeigte Quarantänestatus ist eine Simulation der Maßnahmen, die Sophos Email als aktiver Sicherheitsdienst ergriffen hätte. Da EMS nur für die Überwachung verwendet wird, wird die Nachricht nicht blockiert oder gespeichert. Wenn eine Nachricht als riskant angesehen wird, müssen Sie die zugestellte E-Mail manuell überprüfen oder zurückrufen.

Weitere Informationen zu Sophos EMS finden Sie unter Sophos EMS (Email Monitoring System).

Nachrichtendetails

Klicken Sie auf die Betreffzeile einer Nachricht, um Details anzuzeigen.

Nachrichtendetails „Email-Security-Quarantäne“

In Nachrichtendetails können Sie auf Folgendes klicken, um weitere Informationen zur Nachricht zu erhalten:

  • Details: Zeigt allgemeine Informationen über die Nachricht an.
  • Raw-Header: Zeigt die Header-Details der E-Mail.
  • Nachricht: Zeigt den Nachrichtentext der E-Mail.
  • Anhänge: Zeigt Name und Größe der Anhänge in der Nachricht.

    Sie können einen oder mehrere Anhänge herunterladen. Sie werden in einer kennwortgeschützten Datei komprimiert.

    Sie können Nachrichtenanhänge entfernen und wieder anhängen. Sie können auch Anhänge neu anhängen, die von Data-Control-Regeln entfernt wurden.

    Wenn die Anhänge einer Nachricht durch eine Data Control-Regelaktion entfernt werden, wird die ursprüngliche Nachricht in Quarantäne verschoben und eine Kopie ohne Anhang an den Empfänger zugestellt. Sie können Anhänge erneut anhängen, bevor Sie die Nachricht freigeben, wenn Sie glauben, dass sie sicher sind. Die Nachricht bleibt in Quarantäne, bis alle Anhänge wieder angehängt und die Nachricht freigegeben wurden.

  • URLs: zeigt alle URLs in der Nachricht an.

Wenn eine Nachricht von der SophosLabs Intelix Threat Analysis in Quarantäne verschoben wurde, können Sie auf Bericht anzeigen klicken, um die Intelix-Bedrohungszusammenfassung für diese Nachricht anzuzeigen. Wenn eine Nachricht mit Anhängen aus anderen Gründen in Quarantäne verschoben wird, bevor sie von Intelix gescannt wird, können Sie sie zum Scannen an Intelix senden. Klicken Sie hierzu auf Mit Intelix scannen.

Nachrichtendetails „Quarantäne nach der Zustellung“

Dieser Abschnitt gilt nur für Nachrichten in der Quarantäne nach der Zustellung-Liste. Wenn der Schutz nach der Zustellung nicht aktiviert ist, wird diese Liste nicht angezeigt.

In Nachrichtendetails können Sie auf folgende Optionen klicken, um weitere Informationen zur Nachricht zu erhalten:

  • Details: Zeigt allgemeine Informationen über die Nachricht an. Sie können auch sehen, ob die Nachricht aufgrund eines Rückforderns in Quarantäne verschoben wurde.
  • Raw-Header: Zeigt die Header-Details der E-Mail.
  • Nachricht: Zeigt den Nachrichtentext der E-Mail.
  • Anhänge: Zeigt Name und Größe der Anhänge.
  • URLs: Zeigt alle URLs in der Nachricht an.

Sie können Nachrichten aus der Nachrichtenliste oder aus Nachrichtendetails löschen oder freigeben. Gehen Sie folgendermaßen vor:

  • Klicken Sie auf Freigeben, um Nachrichten aus der Quarantäne freizugeben und diese an Benutzer zu schicken.
  • Klicken Sie auf Löschen, um Nachrichten in Quarantäne zu löschen.

Wenn Sie die „Erlauben/Blockieren“-Liste für Ihre Benutzer aktiviert haben, können Sie auch Optionen zum Hinzufügen von IP-Adressen und Domänen für „Erlauben/Blockieren“-Listen anzeigen. Siehe Einstellungen für Sophos Central Self-Service verwalten.

Nachrichten in Quarantäne nach der Zustellung, die nicht innerhalb von 30 Tagen freigegeben werden, werden gelöscht.

Anleitung zur Suche

Erfahren Sie, wie Sie Nachrichten mit erweiterten Suchfunktionen auf der Seite Nachrichten in Quarantäne filtern.

Sie können die Erweiterte Suche verwenden, um Nachrichten zu filtern.

Geführte Tour starten

Die folgenden Suchbedingungen stehen in der Erweiterten Suche zur Verfügung:

  • Von: Der Absender. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  • An: Empfänger. Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  • Betreff: Unterstützt Teilausdrücke. Es wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  • Nachrichtengröße: Sucht E-Mails, die kleiner oder größer als ein Megabyte (MB)-Wert sind. Dabei wird die MIME-Größe einer E-Mail verwendet, die größer sein kann als die Raw-Dateigröße. Siehe Dateigrößen für E-Mail-Anhänge werden berechnet.
  • Anhang: Typ des Anhangs. Unterstützt Teilausdrücke.

    Hinweis

    • Bei der Analyse von Absendern und Empfängern von Nachrichten verwenden wir ihre SMTP-Envelope-Absender-Adressen, nicht ihre From-Header- und To-Header-Adressen.
    • Sonderzeichen, einschließlich Satzzeichen wie Punkte (.), Kommas (,) und Hashsymbole (#), sowie Symbole, Akzentzeichen, ASCII-Steuerzeichen und Formatierungszeichen, werden in den Suchkriterienfeldern ignoriert.

Sie können verschiedene Suchbedingungen kombinieren. Wenn Sie mehrere Suchbedingungen verwenden, muss eine Nachricht mit allen Suchbedingungen übereinstimmen. Hierbei wird zudem ein logischer AND-Operator verwendet.

Sie können Nachrichten nach Richtung, Status oder Grund filtern.

Wenn Sie den Datumsbereich ändern oder die Nachrichten filtern, müssen Sie auf das Aktualisierungssymbol klicken, um die Suchergebnisse zu aktualisieren.

Suchergebnisse

In den Suchergebnissen werden die von Ihnen ausgewählten Suchbedingungen im Suchfeld angezeigt. Sie können Ihre Suche anpassen, indem Sie auf das graue Kreuz neben einer Bedingung klicken, um sie zu entfernen. Ihre Suchergebnisse werden sofort aktualisiert.

Sie können auf die Richtungspfeile klicken, um die Ergebnisse nach eingehenden oder ausgehenden Nachrichten zu filtern. Der Abwärtspfeil steht für eingehende Nachrichten, der Aufwärtspfeil für ausgehende Nachrichten. Wenn Sie auf einen Richtungspfeil klicken, werden die Suchergebnisse sofort aktualisiert.

Da alle Nachrichten eingehend sind, wird keine E-Mail-Richtung in der Quarantäne nach der Zustellung-Liste angegeben.

Klicken Sie zum Anzeigen der Nachrichtendetails auf Betreff.

Aktionen

Sie können Aktionen für Nachrichten ausführen, die in Quarantäne gestellt wurden.

Blockieren

Unter Nachrichten in Quarantäne können Sie auf den Betreff von E-Mails klicken, die Sie blockieren möchten, und dann deren Nachrichtendetails anzeigen. Klicken Sie anschließend SMTP-Absender auf Blockieren und wählen Sie Absender blockieren oder Absenderdomäne blockieren aus, um die E-Mail-Adresse des Absenders oder die Domäne zu Ihrer „Blockieren“-Liste hinzuzufügen.

Sie können auch unter IP-Adresse auf IP-Adressen blockieren klicken, um die IP-Adresse zu Ihrer „Blockieren“-Liste hinzuzufügen. Alternativ können Sie E-Mail-Adressen und Domänen aus der Liste Eingehend erlauben/blockieren hinzufügen.

Warnung

Seien Sie vorsichtig, wenn Sie eine IP-Adresse blockieren. Sie können versehentlich einen ganzen Dienst blockieren. Wenn Sie beispielsweise die von Microsoft 365 verwendete IP-Adresse blockieren, erhalten Sie keine Nachrichten von Microsoft-365-Benutzern.

Sie können Beschreibungen hinzufügen, wenn Sie die E-Mail-Adresse, Domäne oder IP-Adresse eines Absenders blockieren, um den Grund für jeden Blockieren-Eintrag anzugeben. Eine mögliche Beschreibung ist etwa „wegen Spam blockiert“. Sie können diese Beschreibungen später in der Liste „Erlauben“/„Blockieren“ anzeigen und bearbeiten.

Für weitere Informationen siehe Eingehend erlauben/blockieren.

Nachrichten löschen oder freigeben

Sie können Nachrichten aus der Nachrichtenliste oder aus Nachrichtendetails löschen oder freigeben.

Nachrichten in Email-Security-Quarantäne freigeben

Nachrichten in Quarantäne nach der Zustellung freigeben

Um Nachrichten zu löschen oder freizugeben, gehen Sie wie folgt vor:

  • Klicken Sie auf Freigeben, um Nachrichten aus der Quarantäne freizugeben und diese an Benutzer zu schicken.
  • Klicken Sie auf Freigeben und erlauben, um Nachrichten freizugeben und die E-Mail-Adresse des Absenders zur Liste Eingehend erlauben/blockieren hinzuzufügen.
  • Klicken Sie auf Löschen, um Nachrichten in Quarantäne zu löschen.
  • Klicken Sie auf Löschen und blockieren, um Nachrichten zu löschen und die E-Mail-Adresse des Absenders zur Liste Eingehend erlauben/blockieren hinzuzufügen.

Wenn Sie die „Erlauben/Blockieren“-Liste für Ihre Benutzer aktiviert haben, können Sie auch Optionen zum Hinzufügen von IP-Adressen und Domänen für „Erlauben/Blockieren“-Listen anzeigen. Siehe Einstellungen für Sophos Central Self-Service verwalten.

Unter Quarantäne gestellte E-Mail-Nachrichten werden nach 30 Tagen gelöscht.