Warum der Microsoft 365 Spamfilter allein nicht ausreicht
TL;DR: Exchange Online Protection (EOP) in Microsoft 365 filtert zwar Massen-Spam zuverlässig, versagt aber bei gezielten Phishing-Angriffen, Business Email Compromise (BEC) und Zero-Day-Malware. Ein vorgelagertes E-Mail Security Gateway wie Conbool MailGuard schließt diese Lücken durch mehrstufige Filterung, Deep-Link-Analyse und Sandbox-Technologie.
Microsoft 365 ist das meistgenutzte E-Mail-System in deutschen Unternehmen. Laut Bitkom (2024) setzen über 70% der mittelständischen Unternehmen auf Microsoft 365 oder Exchange Online für ihre E-Mail-Kommunikation. Der integrierte Spamfilter – Exchange Online Protection (EOP) – ist standardmäßig aktiviert und bietet einen soliden Basisschutz.
Doch genau diese Verbreitung macht Microsoft 365 zum bevorzugten Ziel für Angreifer. Und der Basisschutz hat Grenzen.
Was leistet Exchange Online Protection (EOP)?
EOP ist der Standard-Spamfilter in Microsoft 365. Er bietet:
- Reputationsbasierte Filterung: Bekannte Spam-Absender und IPs werden blockiert.
- Content-Filterung: Typische Spam-Muster in Betreffzeilen und E-Mail-Text werden erkannt.
- Malware-Scan: Anhänge werden gegen bekannte Signaturen geprüft.
- Transportregeln: Administratoren können eigene Filterregeln definieren.
Für Massen-Spam – also die klassischen „Sie haben gewonnen"-E-Mails – funktioniert das gut. Microsoft gibt eine Erkennungsrate von über 99% für bekannten Spam an.
Wo versagt der Standard-Spamfilter?
Das Problem liegt nicht beim bekannten Spam, sondern bei den unbekannten Angriffen:
Gezielte Phishing-Angriffe (Spear Phishing)
Spear-Phishing-E-Mails sind individuell auf den Empfänger zugeschnitten. Sie verwenden keine bekannten Spam-Muster, sondern imitieren reale Geschäftspartner, Lieferanten oder Vorgesetzte. Laut dem BSI Lagebericht 2024 sind Phishing-Angriffe die häufigste Ursache für erfolgreiche Cyberangriffe auf deutsche Unternehmen.
EOP erkennt diese E-Mails oft nicht, weil:
- Der Absender neu ist (keine Reputationsdaten)
- Die E-Mail keine typischen Spam-Merkmale enthält
- Der Link auf eine frisch registrierte Domain verweist, die noch auf keiner Blacklist steht
Business Email Compromise (BEC)
BEC-Angriffe enthalten weder Malware noch verdächtige Links. Ein Angreifer gibt sich als Geschäftsführer oder CFO aus und fordert per E-Mail eine Überweisung an. Diese E-Mails sind für Content-Filter unsichtbar, weil sie wie normale Geschäftskorrespondenz aussehen.
Zero-Day-Malware
Signaturbasierte Malware-Scanner erkennen nur bekannte Schadsoftware. Neue Varianten – sogenannte Zero-Day-Exploits – passieren den EOP-Filter, bevor sie in die Signaturdatenbank aufgenommen werden. Die Zeitspanne zwischen Erstauftritt und Signaturupdate beträgt laut Branchendaten durchschnittlich 24 bis 48 Stunden.
Was macht ein E-Mail Security Gateway anders?
Ein vorgelagertes Gateway wie Conbool MailGuard agiert als zusätzliche Schutzschicht vor dem Microsoft-365-Mailserver. Es empfängt E-Mails zuerst, analysiert sie in Echtzeit und leitet nur geprüfte Nachrichten weiter.
Mehrstufige Filterarchitektur
| Schicht | EOP (Microsoft) | MailGuard (Conbool) |
|---|
| Reputationsfilter | Ja | Ja, plus eigene RBL-Listen |
| Content-Analyse | Regelbasiert | KI-basierte Mustererkennung |
| Link-Prüfung | URL-Rewrite (Safe Links, nur Defender) | Deep-Link-Analyse in Echtzeit |
| Anhang-Prüfung | Signaturbasiert | Sandbox-Detonation |
| BEC-Erkennung | Begrenzt | Header-Analyse + Absenderverifikation |
| False-Positive-Rate | Mittel | Niedrig (durch mehrstufige Validierung) |
Deep-Link-Analyse
Wo EOP Links nur gegen bekannte Blacklists prüft, analysiert MailGuard:
- Die Zielseite in einer isolierten Umgebung
- Weiterleitungsketten und URL-Shortener
- JavaScript-Verhalten und Credential-Harvesting-Muster
- SSL-Zertifikate und Domain-Alter
Sandbox-Technologie
Verdächtige Anhänge werden in einer isolierten Sandbox-Umgebung ausgeführt. Das System beobachtet das Verhalten der Datei – ob sie Systemaufrufe macht, Netzwerkverbindungen aufbaut oder Dateien verschlüsselt – bevor die E-Mail zugestellt wird.
Wie funktioniert die Integration mit Microsoft 365?
Die Einrichtung erfolgt über eine MX-Record-Änderung:
- MX-Records umstellen: E-Mails werden zuerst an MailGuard geleitet.
- Connector in Exchange Online erstellen: MailGuard leitet geprüfte E-Mails über einen dedizierten Connector an Microsoft 365 weiter.
- EOP-Regeln anpassen: Die Zustellung wird auf den MailGuard-Connector eingeschränkt, sodass kein direkter Bypass möglich ist.
Die gesamte Einrichtung dauert typischerweise weniger als eine Stunde und erfordert keine Änderungen an den Endgeräten.
Was kostet ein fehlender Schutz?
Die Kosten eines erfolgreichen Angriffs übersteigen die Investition in ein Gateway um ein Vielfaches:
- Durchschnittlicher Schaden eines BEC-Angriffs: 120.000 EUR (Quelle: Allianz Risk Barometer 2024)
- Durchschnittliche Ausfallzeit nach Ransomware: 21 Tage (Quelle: Coveware)
- DSGVO-Bußgelder: Bis zu 20 Millionen EUR oder 4% des Jahresumsatzes
Demgegenüber steht ein Gateway, das wenige Euro pro Postfach und Monat kostet.
Häufige Fragen
Brauche ich MailGuard, wenn ich bereits Microsoft Defender for Office 365 habe?
Defender bietet erweiterte Features wie Safe Links und Safe Attachments. Allerdings arbeitet es reaktiv innerhalb des Microsoft-Ökosystems. Ein vorgelagertes Gateway filtert Bedrohungen, bevor sie die Microsoft-Infrastruktur erreichen – ein Defense-in-Depth-Ansatz, den auch das BSI empfiehlt.
Verlangsamt ein vorgelagertes Gateway die E-Mail-Zustellung?
Nein. Die Latenz beträgt typischerweise unter 2 Sekunden – für den Endnutzer nicht wahrnehmbar.
Funktioniert MailGuard auch mit Google Workspace oder On-Premise Exchange?
Ja. MailGuard ist mailserver-agnostisch und unterstützt jedes System, das E-Mails über SMTP empfängt.
Wie hoch ist die False-Positive-Rate?
Durch die mehrstufige Filterarchitektur liegt die False-Positive-Rate unter 0,01%. Administratoren können Ausnahmeregeln pro Absender oder Domain konfigurieren.
Fazit
Der Microsoft 365 Spamfilter ist ein guter Basisschutz, aber kein ausreichender Schutzschild gegen moderne Bedrohungen. Wer Phishing, BEC und Zero-Day-Malware ernst nimmt, braucht eine vorgelagerte Schutzschicht.
Conbool MailGuard bietet genau das: KI-basierte Filterung, Deep-Link-Analyse und Sandbox-Technologie – nahtlos integriert in Microsoft 365 und Exchange Online.
Testen Sie MailGuard 30 Tage kostenlos oder kontaktieren Sie uns für eine Demo.
Lesen Sie auch: Digitale Souveränität durch automatisierte E-Mail-Verschlüsselung und E-Mail-Sicherheit aus dem CyberLab Karlsruhe.
