Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/customer/help/de-de/index.html?contextId=Sophos-Mailflow-tamper

Manipulation von Sophos Mailflow

Wenn Konfigurationsänderungen an der M365-Konsole Auswirkungen auf den Sophos Mailflow-Setup haben könnten, werden Sie benachrichtigt.

Sophos erstellt Transportregeln und -Connectors in M365, um Nachrichten von Microsoft 365 zu Sophos Mailflow und zurück zu Microsoft 365 zu leiten. Wenn diese Regeln oder Connectors direkt von der M365-Konsole aus geändert werden, könnte sich dies auf die Funktion von Sophos Email für die Domäne auswirken.

Sophos Email überwacht diese Änderungen, die in der M365-Konfiguration vorgenommen werden, und benachrichtigt den Administrator, wenn diese Änderungen das Sophos Mailflow-Setup manipulieren könnten. Dies umfasst unter anderem die Deaktivierung, Löschung oder Änderung eines Connectors oder einer Transportregel, die für den Hersteller erforderlich sind.

Hinweis

Sophos Email kann diese Änderungen in M365 nur überwachen, wenn die Überwachung in M365 aktiviert ist und Sophos über die erforderlichen Berechtigungen verfügt. Befolgen Sie die unten aufgeführten Schritte, um diese beiden Ziele zu erreichen.

  • Überwachung aktivieren

    Die Protokolle werden in Microsoft nur generiert, wenn die Überwachung in M365 aktiviert wurde. Informationen zum Aktivieren der Überwachung in M365 finden Sie in der Dokumentation zu M365 – Aktivieren oder Deaktivieren der Überwachung.

  • Erteilen der erforderlichen Berechtigungen

    Sophos Email App muss über die Berechtigung Lesen der Aktivitätsdaten für Ihre Organisation, um die in Microsoft 365 generierten Überwachungsprotokolle lesen zu können. Wenn Sie den Mailflow für eine Ihrer Domänen vor dem 12. April 2022 eingerichtet haben, müssen Sie die Domänen trennen und erneut verbinden, um die zusätzlichen Berechtigungen zu gewähren, die Sophos Email benötigt. Wenn Ihre Mail-Flow-Regeln am oder nach dem 12. April 2022 konfiguriert wurden, sollte Sophos bereits über diese Berechtigung verfügen.

Diese Alarme haben einen unterschiedlichen Schweregrad (hoch, mittel und niedrig), der die Bewertung der potenziellen Auswirkungen auf Sophos Mailflow darstellt.

  • Ein Alarm mit hoher Warnstufe bedeutet eine hohe Sicherheit, dass das Sophos Mailflow-Setup beeinträchtigt wird.
  • Ein Alarm mit mittlerer Warnstufe bedeutet, dass es relativ wahrscheinlich ist, dass das Setup beeinträchtigt wird.
  • Ein Alarm mit niedriger Warnstufe dient in der Regel nur zu Informationszwecken.

Sie werden auf 3 Arten benachrichtigt:

  • Alarme in Sophos Central

    Sie können den Alarm im globalen Dashboard von Central anzeigen. Die Alarme werden für alle Schweregrade (hoch, mittel und niedrig) generiert.

  • E-Mail-Benachrichtigungen

    Eine zusätzliche Benachrichtigungs-E-Mail wird an die Administratoren und Super-Admins des Sophos Central-Kontos gesendet. Die Benachrichtigungs-E-Mails werden nur für Alarme der Stufe „hoch“ und „mittel“ gesendet.

  • Statusaktualisierung auf der Seite „Domäneneinstellungen“

    Sie können einen geänderten Status der Domäne auf der Seite M365-Domäneneinstellungen sehen. Der Domänenstatus ändert sich nur bei Alarmen mit dem Schweregrad „hoch“ und „mittel“.

Alarme in Sophos Central

Auf dem globalen Dashboard von Sophos Central werden die neuesten Alarme angezeigt. Wenn es sich bei den MFR-bezogenen Alarme um die neuesten handelt, werden diese hier angezeigt.

Sophos Mailflow-Alarme.

Alternativ können Sie im linken Navigationsbereich zum Abschnitt Alarme gehen, um alle generierten Alarme anzuzeigen. Alarme zu Mail-Flow-Regeln lassen sich ganz einfach auffinden, indem Sie Gruppe aktivieren und auf die Zeile mit der Beschreibung Mail-Flow-Regeln klicken.

Gruppierte Alarme in Sophos Mailflow.

Sophos Mailflow-Gruppen-Alarme.

E-Mail-Benachrichtigung

Die E-Mail-Benachrichtigung wird für Alarme mit dem Schweregrad „hoch“ und „mittel“ generiert. Die E-Mail sieht wie die unten abgebildete aus.

Sophos Mailflow-E-Mail-Benachrichtigung.

Statusaktualisierung auf der Seite „Domäneneinstellungen“

Gehen Sie in Sophos Central zu Meine Produkte > Allgemeine Einstellungen > M365-Nachrichtenfluss Domäneneinstellungen/Status. Wenn eine Alarm generiert wird, ändert sich der Mailflow-Verbindungsstatus für die betroffene Domäne in (!) mit einer Option zum Anzeigen von Details.

Details zu Sophos Mailflow anzeigen.

Wenn Sie auf Details anzeigen klicken, können Sie den Domänennamen, Datum und Uhrzeit der vorgenommenen Änderung, den Namen der geänderten Regel oder Verbindung und die genaue Änderung sehen.

Sophos Mailflow-Änderung.

Vorgehensweise bei Anzeige eines Alarms

Wenn Sie einen Alarm bezüglich möglicher Domänenmanipulationen erhalten, ist es wichtig, Analysen anzustellen. Domänenmanipulationen treten auf, wenn nicht autorisierte Änderungen an Ihren Domäneneinstellungen vorgenommen werden. Dies kann möglicherweise zu Sicherheitslücken oder Unterbrechungen in Ihrem System führen.

Ein Alarm bedeutet nicht unbedingt, dass Ihr MFR-Setup fehlerhaft ist. Sie sollen darauf hinweisen, dass sich einige Konfigurationen in M365 geändert haben. Überprüfen Sie die Konfiguration, und stellen Sie sicher, dass das MFR-Setup intakt ist.

Warnung

Entfernen Sie die Konfiguration der xgeconnector.com-Domäne nicht. Dies könnte den E-Mail-Fluss unterbrechen und die E-Mail-Verarbeitung stoppen. Wenn die Domäne entfernt wird, wird ein Manipulationsalarm generiert.

Jedes Mal, wenn die Domäne einem Mandanten hinzugefügt wird, wird ein DNS-Eintrag innerhalb der Domäne erstellt. Da Sophos die Domäne verwaltet, können DNS-Änderungen nur von Sophos vorgenommen werden. Durch das erneute Hinzufügen der Domäne können Sie DNS-Probleme nicht lösen. Sie müssen also die Verbindung trennen und wieder herstellen, bevor Sie Änderungen vornehmen.

Wenn ein Alarm angezeigt wird, führen Sie die folgenden Schritte je nach Szenario aus:

  • Alarm wurde generiert, weil der Gruppenname in M365 geändert wurde.

    Wenn der Alarm generiert wurde, weil Sie den Gruppennamen (DL-Name) in Microsoft 365 geändert haben, den Sie in Sophos Mailflow verwenden, verfahren Sie wie folgt:

    1. Bestätigen Sie, dass der DL-Name in Sophos Central synchronisiert ist.
    2. Aktualisieren Sie den Gruppennamen auf der Seite mit den M365-Domäneneinstellungen in Sophos Central. Wenn Sie die Änderungen speichern, wird das MFR-Setup korrigiert und der Status wird auf Verbunden zurückgesetzt.

  • Alle anderen Alarme (bekannte und beabsichtigte Änderungen).

    Wenn Sie die Änderung erkennen und beibehalten möchten, sich jedoch nicht sicher sind, ob sich dies auf das Mail-Flow-Setup ausgewirkt hat, verwenden Sie Einen Schnelltest durchführen.

  • Alle anderen Alarme (unbekannte oder unbeabsichtigte Änderungen).

    Wenn Sie die Änderung nicht erkennen, aber wissen, wie Sie sie im Microsoft 365-Portal korrigieren/beheben können, sollten Sie die erforderliche Korrektur in M365 vornehmen. Kehren Sie anschließend zu Sophos Central zurück, und verwenden Sie Einen Schnelltest durchführen.

    Wenn Sie nicht wissen, wie Sie das Problem im M365 Portal beheben können, sollten Sie dennoch einen Schnelltest in Sophos Central durchführen. Wenn das Setup intakt ist, ist die Durchführung eines Schnelltests erfolgreich.

Erfolgreich

Wenn die Ausführung eines Schnelltests erfolgreich war, wird das (!) für die Domäne nicht mehr angezeigt, und der Status kehrt zu (grünes Häkchen) zurück.

Sophos Mailflow-Test erfolgreich.

Fehlgeschlagen

Wenn der Test fehlschlägt und/oder Sie sich nicht sicher sind, wie Sie das Problem beheben können, befolgen Sie einfach den Prozess zum erneuten Verbinden auf der M365-Domänenstatusseite in Sophos Central. Beim erneuten Verbindungsaufbau werden Sie zur Authentifizierung aufgefordert und die fehlenden (oder deaktivierten) Regeln oder Connectors auf Microsoft-Seite werden erstellt (oder aktiviert). Um die erneute Verbindung zu starten, bewegen Sie den Mauszeiger über Details anzeigen und klicken Sie auf das grüne Häkchen, das angezeigt wird.

Tipp

Wenn das Problem weiterhin besteht, ist möglicherweise eine manuelle Bereinigung erforderlich. Bitte wenden Sie sich an den Sophos Support.