lab://exchange/ überblick
Lab-Edition · Exchange Online · Stand Mai 2026

Postfächer, Mail-Fluss,
Sicherheit — komplett verstanden.

Ein durchgehender Lernpfad durch Microsofts E-Mail-Plattform: von den ersten Konzepten über das Exchange Admin Center und PowerShell V3 bis zu Mail Flow, Transport Rules und der EOP-/Defender-Sicherheitskette. Alles im selben Lab-Tenant, den du aus dem Graph/Azure-Hub kennst.

~7–9 Std Lernzeit 🧪 10 Homelab-Übungen ✅ Fortschritt wird gespeichert 💸 in einem Lab-Tenant kostenlos
01

Das große Bild

◆ 15 Min lesen · Start hier

Exchange ist Microsofts E-Mail-Plattform — und der mit Abstand verbreitetste Mail-Dienst im Unternehmenseinsatz. Bevor wir ins Detail gehen, ein paar Begriffe, die du oft hörst und leicht verwechselst.

Exchange Online

Cloud-Variante, Teil von Microsoft 365. Microsoft betreibt die Server, du verwaltest nur Postfächer und Regeln. Unser Fokus.

🏢
Exchange Server

On-Prem-Variante — du betreibst eigene Server. Heute fast nur noch in alten/regulierten Umgebungen. Letzte Version: 2025 SE (Subscription Edition).

Exchange Hybrid

Beides verbunden. Übergangsmodell während einer Migration in die Cloud. Selten dauerhaft.

▲ Realität 2026

In den allermeisten Firmenumgebungen läuft heute Exchange Online. Wer noch on-prem ist, plant fast immer eine Migration. Wir lernen das, was du am wahrscheinlichsten in echten Tenants vorfindest — und du kannst alles in deinem eigenen Lab-Tenant testen.

Wo Exchange im Microsoft-Universum sitzt

Exchange Online ist ein Service unter mehreren in deinem Microsoft-365-Tenant — neben SharePoint, Teams, OneDrive, Intune. Die Identitäten kommen aus Microsoft Entra ID (vormals Azure AD): Wer in Entra ein Konto hat und eine Exchange-Lizenz, bekommt automatisch ein Postfach.

SchichtWas sie macht
Entra IDIdentität — wer ist der Nutzer?
LizenzWas darf der Nutzer? (z. B. „Exchange Online Plan 1")
Exchange OnlineDas eigentliche Postfach + Regeln + Mail Flow
EOP / DefenderSicherheits-Filterketten über Exchange

Womit du Exchange verwaltest

🌐
EAC (admin.exchange.microsoft.com)

Die grafische Konsole. Gut zum Lernen und für gelegentliche Eingriffe.

PowerShell V3 (EXO)

Das echte Admin-Werkzeug. Schnell, scriptbar, alternativlos für alles, was sich wiederholt.

Microsoft Graph

Für App-Integration und Automatisierung über Tenant-Grenzen. Manche Aufgaben gehen nur über Graph, viele aber besser per EXO PS.

⚡ Schnell-Check
Was ist der Unterschied zwischen Exchange Online und Exchange Server?
Modul abschließenDu verstehst die Landschaft Online / Server / Hybrid
02

Empfänger & Architektur

⬡ 35 Min · 1 Übung · Fundament

Alles in Exchange dreht sich um Recipients (Empfänger). Davon gibt es überraschend viele Typen, und sie zu unterscheiden ist eine der wichtigsten Skills überhaupt — das richtige Objekt für die richtige Situation zu wählen, spart Lizenzen und vermeidet Sicherheitsfehler.

Die Empfänger-Typen im Überblick

TypWofürLogin?Lizenz nötig?
User MailboxNormales Postfach für eine Personjaja (Exchange Online Plan 1/2 oder M365)
Shared MailboxGemeinsames Postfach wie info@, support@neinkostenlos bis 50 GB
Room MailboxBesprechungsraum zum Buchenneinkostenlos
Equipment MailboxBuchbare Ressource (Beamer, Auto …)neinkostenlos
Mail UserExterner Mitarbeiter im Adressbuch, Postfach woandersja (Entra)nein
Mail ContactExterner Eintrag im Adressbuch, ohne Loginneinnein
Distribution GroupKlassischer Verteiler — Mail an allenein
Mail-Enabled Security GroupSicherheitsgruppe, die auch Mails empfangen kannnein
Microsoft 365 GroupModerne Sammelidentität: Postfach + Team + Planner …nein (aber Mitglieder brauchen Lizenz)
Dynamic Distribution GroupVerteiler, dessen Mitglieder per Regel ermittelt werdennein
▲ Häufiger Praxis-Tipp

Eine Shared Mailbox braucht keine eigene Lizenz, solange sie unter 50 GB bleibt. Viele Firmen lizenzieren irrtümlich „Dummy-Nutzer" wie info@firma.com — unnötig und teuer. Korrekt: Shared Mailbox + Mitglieder mit eigenen Konten, die Zugriff bekommen.

Verteilerliste vs. Microsoft-365-Gruppe

Ein häufiger Stolperstein: Wann nehme ich welches?

📧
Distribution Group (Legacy)

Reiner Verteiler. Eine Mail → alle Mitglieder. Kein gemeinsamer Speicher. Gut, wenn du wirklich nur Mails verteilen willst.

👥
M365 Group (modern)

Verteiler plus gemeinsames Postfach, Kalender, OneNote, SharePoint-Site, Planner — und Verbindung zu Teams. Microsofts Empfehlung für Teamarbeit.

Dynamische Verteilerlisten

Statt manuell Mitglieder zu pflegen, beschreibst du sie per Filter: „Alle Nutzer mit Department -eq 'Vertrieb'". Sehr mächtig — die Mitgliedschaft aktualisiert sich automatisch, wenn jemand ins Team kommt oder geht.

dynamische-gruppe.ps1EXO PowerShell
New-DynamicDistributionGroup -Name "Vertrieb-Alle" `
  -RecipientFilter "Department -eq 'Vertrieb' -and RecipientType -eq 'UserMailbox'"

Postfach-Limits, die du kennen solltest

GrößePlan 1Plan 2 / E3 / E5
Postfach50 GB100 GB
Anhang pro Mail150 MB150 MB
Empfänger pro Mail500500
Mails pro Tag (ausgehend)10 00010 000
🧪 Übung 1 · Empfänger-Typen anlegen
Ziel: Im EAC alle wichtigen Empfänger-Objekte einmal selbst erstellt haben.
  1. Erstelle einen Testnutzer mit Exchange-Lizenz im Lab-Tenant.
  2. Lege eine Shared Mailbox support@… an und füge dich als Mitglied hinzu.
  3. Erstelle eine Room Mailbox „Besprechung-Klein" mit 8 Plätzen.
  4. Erstelle eine M365-Gruppe „Lab-Team" und eine klassische Distribution Group „Alle-Mitarbeiter".
  5. Vergleiche im EAC, welche Eigenschaften die Typen jeweils anbieten — die Unterschiede werden sichtbar.
⚡ Schnell-Check
Eure Firma braucht eine zentrale Adresse info@firma.com, auf die 4 Personen aus dem Empfangsteam Zugriff haben. Was nimmst du?
Modul abschließenDu kennst alle Empfänger-Typen und ihre richtige Verwendung
03

Exchange Admin Center

▶ 25 Min · die Konsole

Das Exchange Admin Center (EAC) ist die grafische Verwaltungskonsole für Exchange Online. Du erreichst es unter admin.exchange.microsoft.com oder über das M365-Admin-Center → Admin Centers → Exchange.

ⓘ Wichtig

Das EAC ist nicht dasselbe wie das Microsoft 365 Admin Center. Manche Aufgaben (z. B. Nutzer mit Lizenz anlegen) macht man dort, anderes (Mailbox-Eigenschaften, Mail Flow, Migration) hier. Anfänger verwechseln das oft. Faustregel: Alles rund um Mail-Logik → EAC. Alles rund um Identität & Lizenz → M365 Admin Center / Entra.

Die wichtigsten Bereiche im EAC

BereichWas du dort tust
RecipientsPostfächer, Gruppen, Ressourcen, Kontakte verwalten
Mail flowTransport Rules, Connectors, akzeptierte Domains, Remote-Domänen
RolesAdmin-Rollen und RBAC-Zuweisungen
MigrationPostfächer aus anderen Systemen umziehen (z. B. von on-prem)
MobileMobile-Device-Policies (ActiveSync)
Public foldersÖffentliche Ordner (Legacy, aber noch verbreitet)
ReportsMailflow-, Verschlüsselungs- und Audit-Berichte

EAC vs. Security & Compliance Centers

Eine zweite Verwechslungsgefahr: Anti-Spam, Anti-Phish, Safe Links & Co. liegen nicht im EAC, sondern im Microsoft Defender Portal unter security.microsoft.com. Compliance-Themen (Retention, eDiscovery, Audit) wiederum unter compliance.microsoft.com. Das ist historisch gewachsen und für Einsteiger verwirrend. Wir gehen das in den Sicherheits-/Compliance-Modulen Schritt für Schritt durch.

▲ Lern-Tipp

Das EAC ist hervorragend zum Lernen — du siehst, was es alles gibt. Für echte Admin-Arbeit greifst du danach zu PowerShell. Viele Profis öffnen das EAC nur noch, wenn sie eine selten gebrauchte Einstellung visuell suchen wollen.

EAC und Graph X-Ray

Erinnerst du dich an die Graph X-Ray Extension aus dem ersten Hub? Bei vielen — aber nicht allen — Aktionen im EAC zeigt sie dir die zugrundeliegenden API-Aufrufe. Manche EAC-Funktionen laufen jedoch über klassische Exchange-Remote-PowerShell, nicht über Graph — dort siehst du im X-Ray nichts. Für solche Fälle ist EXO PowerShell die richtige Werkzeug.

⚡ Schnell-Check
Wo konfigurierst du Anti-Phishing-Richtlinien?
Modul abschließenDu weißt, was wo liegt: EAC vs. Defender vs. Compliance
04

Exchange Online PowerShell V3

⌨ 45 Min · 2 Übungen · das echte Admin-Werkzeug

Dies ist das wichtigste Werkzeug eines Exchange-Admins. Das Modul heißt ExchangeOnlineManagement, Version 3 (kurz EXO V3) — REST-basiert, MFA-fähig, läuft auf Windows, macOS und Linux mit PowerShell 7.

Installation & Verbindung

install.ps1PowerShell 5.1 / 7
# Einmalig: Modul aus PowerShell Gallery installieren
Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

# Verbinden — öffnet ein Browser-Fenster zur Anmeldung (MFA-fähig)
Connect-ExchangeOnline -UserPrincipalName admin@deinlab.onmicrosoft.com

# Test, dass die Verbindung steht
Get-Mailbox -ResultSize 5

# Am Ende sauber trennen
Disconnect-ExchangeOnline -Confirm:$false
⚠ Connect-EXOPSSession ist tot

In alten Anleitungen siehst du Connect-EXOPSSession — das war das Legacy-V1-Modul, von Microsoft 2023 eingestellt. Immer Connect-ExchangeOnline verwenden.

Die wichtigsten Cmdlets — Lese-/Schreib-Logik

EXO folgt einer sehr klaren Verb-Substantiv-Logik. Wenn du dieses Muster verinnerlichst, kennst du gefühlt 80 % der Cmdlets:

VerbBedeutungBeispiel
Get-Objekte anzeigenGet-Mailbox alice@…
New-Neu anlegenNew-Mailbox -Shared …
Set-Eigenschaften ändernSet-Mailbox -ProhibitSendQuota 45GB …
Add- / Remove-Mitglieder/BerechtigungenAdd-MailboxPermission …
Enable- / Disable-Feature an/ausEnable-Mailbox …

Die schnellen Get-EXO*-Cmdlets

Für große Tenants gibt es schnelle REST-optimierte Varianten: Get-EXOMailbox, Get-EXORecipient, Get-EXOMailboxStatistics usw. Sie liefern bei Tausenden Objekten ein Vielfaches der Geschwindigkeit von Get-Mailbox — kosten dafür aber, dass du -Properties explizit anfordern musst:

schnell.ps1PowerShell
# Klassisch — langsam bei vielen Postfächern
Get-Mailbox -ResultSize Unlimited

# Schnell — REST-optimiert, default-Felder sind reduziert
Get-EXOMailbox -ResultSize Unlimited `
  -Properties DisplayName, ProhibitSendQuota, WhenCreated

Cmdlets, die du täglich brauchst

alltag.ps1EXO V3
# Ein bestimmtes Postfach inspizieren
Get-Mailbox alice@deinlab.onmicrosoft.com | Format-List

# Postfach-Größe und Item-Anzahl
Get-MailboxStatistics alice@… | Select DisplayName, TotalItemSize, ItemCount

# Wer hat Zugriff auf eine Shared Mailbox?
Get-MailboxPermission support@… | Where { $_.User -notlike "NT AUTHORITY*" }

# Vollzugriff auf Shared Mailbox geben
Add-MailboxPermission support@… -User bob@… -AccessRights FullAccess -InheritanceType All

# Senden im Namen erlauben (Send As)
Add-RecipientPermission support@… -Trustee bob@… -AccessRights SendAs

# Aus User Mailbox eine Shared Mailbox machen (kostenlose Lizenz freigeben!)
Set-Mailbox verlassen@… -Type Shared

Unattended Scripting: Zertifikats-basierte Auth

Für geplante Skripte (Reporting, Provisionierung) willst du keine Passwörter speichern. Der saubere Weg: App in Entra registrieren, ein Zertifikat hochladen, dann ohne Nutzer-Interaktion verbinden:

automation.ps1PowerShell · App-Auth
Connect-ExchangeOnline `
  -AppId             "00000000-0000-0000-0000-000000000000" `
  -CertificateThumbprint "AABBCC...DDEEFF" `
  -Organization      "deinlab.onmicrosoft.com"

Rollen: Was darfst du eigentlich?

EXO setzt RBAC ein. Auch nach erfolgreicher Anmeldung darfst du nur das, was deine Rolle erlaubt. Die wichtigsten:

  • Global Administrator — darf alles (für dein Lab okay, in Produktion vermeiden).
  • Exchange Administrator — volle Exchange-Kontrolle, nichts außerhalb.
  • Exchange Recipient Administrator — Empfänger anlegen/ändern, aber keine globalen Mail-Flow-Einstellungen.
  • Compliance Administrator — Audit, eDiscovery, Retention.
🧪 Übung 2 · Erste Verbindung & Inventur
Ziel: EXO PowerShell läuft und du verstehst, was im Tenant ist.
  1. Installiere ExchangeOnlineManagement und verbinde dich mit deinem Lab-Tenant.
  2. Liste alle Postfächer auf: Get-EXOMailbox -ResultSize Unlimited | ft DisplayName, RecipientTypeDetails.
  3. Filtere nur Shared Mailboxes: … | Where RecipientTypeDetails -eq 'SharedMailbox'.
  4. Exportiere die Liste nach CSV: … | Export-Csv -Path .\mailboxes.csv -NoTypeInformation.
  5. Trenne sauber: Disconnect-ExchangeOnline -Confirm:$false.
🧪 Übung 3 · Shared Mailbox per Skript
Ziel: End-to-End-Automatisierung statt EAC-Klicks.
  1. Erstelle per PowerShell eine Shared Mailbox vertrieb@….
  2. Gib zwei Testnutzern FullAccess und SendAs.
  3. Setze die Quota auf 10 GB.
  4. Prüfe das Ergebnis mit Get-MailboxPermission und Get-Mailbox … | fl *Quota*.
shared-mailbox-end-to-end.ps1EXO V3
# 1. Anlegen
New-Mailbox -Shared -Name "Vertrieb" -DisplayName "Vertrieb" -PrimarySmtpAddress vertrieb@deinlab.onmicrosoft.com

# 2. Mitglieder berechtigen
Add-MailboxPermission vertrieb@… -User alice@… -AccessRights FullAccess -InheritanceType All
Add-RecipientPermission vertrieb@… -Trustee alice@… -AccessRights SendAs -Confirm:$false

# 3. Quota
Set-Mailbox vertrieb@… -ProhibitSendQuota 9GB -ProhibitSendReceiveQuota 10GB -IssueWarningQuota 8GB
⚡ Schnell-Check
Du musst alle 5000 Postfächer eines Tenants schnell auflisten. Welches Cmdlet ist die beste Wahl?
Modul abschließenDu kannst dich verbinden, das Verb-Substantiv-Muster anwenden und scriptest deine Shared Mailbox selbst
05

Mail Flow & Connectors

↔ 40 Min · 1 Übung · Operations

Mail Flow ist die Reise, die eine E-Mail von einem Absender zu deinem Postfach (oder umgekehrt) nimmt. Sie zu verstehen ist die Voraussetzung dafür, Probleme zu lösen — die häufigste Frage eines Admins lautet „Warum ist diese Mail nicht angekommen?".

Die Reise einer eingehenden Mail

Klick auf jede Station, um sie genauer kennenzulernen:

↗ inbound: externe mail → postfach
🌐MX-Record
🚧EOP Connect-Filter
🦠Anti-Malware
📋Transport Rules
🛡Spam / Phish
🔬Defender
📥Mailbox
TippKlick auf eine Station, um Details zu sehen.
▲ Schlüsselerkenntnis

Die Transport Rules sind vor dem Postfach. Das heißt: Sie können Mails umleiten, blockieren oder verändern, bevor der Nutzer sie überhaupt sieht. Genau das macht sie so mächtig — und gefährlich, wenn falsch gesetzt.

Connectors — die Türen für besondere Mail-Wege

Ohne Connector kommt eine Mail einfach „von irgendwo im Internet". Connectors sind benannte, konfigurierte Verbindungen, die du brauchst, wenn:

SzenarioConnector-Typ
Mail von deinem on-prem-Exchange in die Cloud (Hybrid)Inbound „From: your organization's email server"
Mail vor Auslieferung an die Cloud durch externen Spamfilter (z. B. Mimecast)Inbound „From: partner organization"
Mail durch externen Signatur-/Verschlüsselungs-Dienst routen, dann zurückOutbound + zugehörige Mail Flow Rule
Drucker oder Anwendung im LAN, der über M365 versenden sollDirect-Send oder dedizierter Connector mit IP-Beschränkung
⚠ Klassische Falle

Wenn dein MX-Record nicht direkt auf Microsoft zeigt (sondern z. B. auf einen externen Spamfilter davor), musst du Enhanced Filtering for Connectors aktivieren — sonst sieht EOP nur die IP deines Filters als „Absender" und macht Authentifizierungs-Prüfungen (SPF/DKIM) falsch.

E-Mail-Authentifizierung in 30 Sekunden

Drei DNS-Einträge, ohne die moderne Mail-Sicherheit nicht funktioniert:

SPF
Sender Policy Framework

Welche IPs/Hosts dürfen Mail in meinem Namen senden? Ein TXT-Record mit erlaubten Quellen.

DKIM
DomainKeys Identified Mail

Signiert ausgehende Mails kryptografisch. Beweist, dass die Nachricht unterwegs nicht verändert wurde.

DMARC
Authentifizierungs-Richtlinie

Sagt empfangenden Servern, was sie tun sollen, wenn SPF/DKIM fehlschlagen — und wohin sie Berichte schicken sollen.

Mailflow-Diagnose

Wenn eine Mail nicht ankommt, wird das EAC zum Detektiv:

  • Mail flow → Message trace im EAC: zeigt jede Mail mit allen Stationen, Verzögerungen, Fehlern.
  • Per PowerShell: Get-MessageTrace -SenderAddress … -RecipientAddress … -StartDate (Get-Date).AddDays(-7)
  • Connectors → Validate testet Verbindungs-Konfigurationen aktiv.
🧪 Übung 4 · Eine Mail durch das Lab schicken
Ziel: Mail Flow real beobachten, nicht nur theoretisch verstehen.
  1. Schicke aus deinem persönlichen externen Postfach eine Mail an deinen Lab-Testnutzer.
  2. Im EAC → Mail flow → Message trace die Mail suchen (kann 10–15 Min dauern, bis Daten erscheinen).
  3. Öffne die Detailansicht: Welche Stationen siehst du? Wie lange dauert jede?
  4. Schicke jetzt eine Mail mit einem auffälligen Anhang (z. B. test.zip) und vergleiche das Trace-Ergebnis.
⚡ Schnell-Check
Wann brauchst du zwingend einen Connector?
Modul abschließenDu verstehst die Reise einer Mail und wann Connectors nötig sind
06

Transport Rules (Mail Flow Rules)

📋 35 Min · 2 Übungen · der mächtigste Hebel

Transport Rules sind Wenn-Dann-Regeln, die jede einzelne Mail unterwegs inspizieren und manipulieren. Sie sind eines der mächtigsten — und am häufigsten missbrauchten — Werkzeuge in Exchange.

Die Anatomie einer Regel

Eine Regel besteht immer aus drei Teilen:

IF
Bedingungen

Worauf trifft die Regel zu? Sender, Empfänger, Betreff, Header, Anhänge, intern/extern, Größe, Inhaltsmuster …

DO
Aktionen

Was passiert dann? Weiterleiten, blockieren, in Quarantäne legen, Header setzen, Disclaimer, BCC anhängen, an Connector …

¬IF
Ausnahmen

Wann gilt die Regel doch nicht? Wichtig, um sich nicht selbst auszusperren.

Top-5 Praxis-Beispiele

Use CaseBedingungAktion
Externe Mails markierenThe sender is located outside the organizationPrepend subject „[EXTERN] " + Disclaimer
Compliance-ArchivSender ist VorstandBcc an archive@…
Riesige Anhänge blockenAttachment size > 50 MBNachricht ablehnen mit erklärendem Text
Spamfilter-Bypass für PartnerSender ist Partner-DomainSCL-Wert auf -1 setzen
Phishing-Pattern blockenHeader „From" enthält Geschäftsführer-Name, aber Sender-Domain ist externIn Quarantäne

Per EAC oder per PowerShell

Im EAC: Mail flow → Rules → Add a rule → Create a new rule. Per PowerShell ist es kompakter und reproduzierbar:

extern-markieren.ps1EXO V3
# Klassiker: jede externe Mail im Betreff markieren
New-TransportRule -Name "Externe Mails markieren" `
  -FromScope NotInOrganization `
  -SentToScope InOrganization `
  -PrependSubject "[EXTERN] " `
  -ApplyHtmlDisclaimerLocation Prepend `
  -ApplyHtmlDisclaimerText "<p style='color:#b00'>Achtung: Diese Mail kommt von außerhalb der Firma.</p>" `
  -ApplyHtmlDisclaimerFallbackAction Wrap `
  -Mode Enforce

Test-Modus statt scharf schalten

Jede Regel kann in 3 Modi laufen — nutze das beim Lernen ausgiebig:

ModusWas passiertWann nutzen
EnforceRegel greift wirklichIn Produktion
AuditAndNotifyAktion wird simuliert, Sender bekommt Policy-TippÜbergangsphase, Awareness
AuditNur Logging, keine AktionTest ohne Risiko
⚠ Klassische Selbst-Abschuss-Fallen
  • Reihenfolge: Regeln werden in Reihenfolge ausgeführt. Stop processing more rules ist mächtig — und tödlich, wenn an der falschen Stelle.
  • „Alle externen blockieren": sperrt auch Bewerber, Lieferanten, Microsoft-Benachrichtigungen aus. Ausnahmen sind Pflicht.
  • Loops: Eine Regel, die eine Mail weiterleitet und dabei wieder ihre eigene Bedingung erfüllt — und das Loop-Schutz übersieht. Im Lab gefahrlos zu erleben.
🧪 Übung 5 · Externe-Mail-Warnung selbst bauen
Ziel: Die nützlichste Anti-Phishing-Regel überhaupt selbst erstellen.
  1. EAC → Mail flow → Rules → „Add a rule" → „Create a new rule".
  2. Bedingung: The sender is locatedOutside the organization.
  3. Aktion: Prepend the subject of the message with[EXTERN] .
  4. Zweite Aktion: Apply a disclaimer → kurzen HTML-Hinweis.
  5. Modus auf Test with Policy Tips setzen, dann eine Test-Mail von extern senden.
  6. Erst danach auf Enforce umstellen.
🧪 Übung 6 · Regel exportieren & übertragen
Ziel: Eine Regel reproduzierbar zwischen Tenants kopieren.
  1. Exportiere bestehende Regeln: Get-TransportRule | Export-Clixml -Path .\rules.xml.
  2. Schau dir das XML an — es enthält alle Parameter im Klartext.
  3. Lade eine Regel und übertrage Eigenschaften ins New-TransportRule eines anderen Tenants.
  4. Bonus: Erfasse die Regel mit Graph X-Ray, während du sie im EAC änderst — sieh, ob hier Graph oder Exchange-RPS verwendet wird.
⚡ Schnell-Check
Du willst eine neue Regel ausprobieren, ohne Mails zu verändern. Welcher Modus passt?
Modul abschließenDu beherrschst Bedingung/Aktion/Ausnahme und nutzt Audit-Modi
07

EOP & Defender for Office 365

🛡 45 Min · 1 Übung · Sicherheit

E-Mail ist der häufigste Angriffsvektor in Unternehmen. Microsoft begegnet dem mit zwei aufeinander gestapelten Produkten: EOP (in jedem Plan enthalten) und Defender for Office 365 (kostenpflichtig, in E5 oder als Add-on).

Was steckt wo drin?

FunktionEOP (kostenlos im Plan)Defender Plan 1Defender Plan 2
Anti-Spam
Anti-Malware (Signatur)
Connection Filtering
Anti-Phish (Standard)
Impersonation-Schutz
Safe Attachments (Sandbox)
Safe Links (Click-Time)
Threat Explorer / Hunting
Automated Investigation & Response
Attack Simulation Training
▲ Faustregel

EOP = stoppen, was offensichtlich schlecht ist. Defender Plan 1 = stoppen, was clever versteckt ist. Plan 2 = nachträglich verstehen, was passiert ist, und automatisiert aufräumen.

Die Schlüsselfeatures von Defender for O365

🔗
Safe Links

Jeder Link in jeder Mail wird durch Microsoft-URL ersetzt. Klickt der Nutzer, prüft Microsoft die Ziel-URL live — auch wenn die Mail vor Tagen kam.

📎
Safe Attachments

Anhänge werden vor Zustellung in einer Sandbox geöffnet und beobachtet. Verhalten verdächtig → Anhang entfernt.

🎭
Impersonation

Erkennt, wenn jemand den Namen oder die Domain einer geschützten Person/Firma fälscht („CEO-Fraud").

ZAP

Zero-hour Auto Purge: Wenn eine zugestellte Mail nachträglich als bösartig erkannt wird, wird sie aus den Postfächern entfernt.

Wo werden diese Policies konfiguriert?

Nicht im EAC. Alles unter security.microsoft.com → Email & collaboration → Policies & rules → Threat policies:

  • Anti-spam policies — Schwellwerte, Bulk-Limits, Spam-Aktionen, Allow/Block-Listen.
  • Anti-malware policies — Dateitypen, gemeinsame Anhangs-Filterregeln.
  • Anti-phishing policies — Impersonation, Spoof-Intelligenz, Mailbox-Intelligence.
  • Safe Attachments policies — Sandbox-Modus pro Empfängergruppe.
  • Safe Links policies — URL-Umschreibung, Zeitpunkt-Prüfung, Teams-Schutz.

Preset Security Policies — der schnellste Start

Statt jede einzelne Policy zu konfigurieren, gibt es Standard und Strict als Microsoft-empfohlene Profile. Für Lab und kleine Umgebungen ist „Standard" auf alle Empfänger eine sehr gute Default-Wahl.

preset.ps1EXO V3
# Aktuelle Schutz-Konfiguration anzeigen
Get-AntiPhishPolicy | Select Name, Enabled, PhishThresholdLevel
Get-MalwareFilterPolicy | Select Name, Action
Get-HostedContentFilterPolicy | Select Name, BulkThreshold, SpamAction

# Preset Security Policies aktivieren (Defender Portal: Email & collaboration -> Policies -> Preset Security Policies)
# Standard und Strict werden dort als Wizards angeboten

Quarantäne — der zentrale Sammelpunkt

Alle gefilterten Mails landen in der Quarantäne unter security.microsoft.com → Review → Quarantine. Wichtige Aktionen:

  • Release — freigeben (eventuell mit „false positive" melden).
  • Preview — Inhalt sicher ansehen, ohne Schaden anzurichten.
  • Submit to Microsoft — als false positive / missed phish einreichen, verbessert Microsofts ML.
🧪 Übung 7 · Preset Security aktivieren und einen Test-Phish simulieren
Ziel: Sicherheits-Defaults verstehen und einmal in Aktion sehen.
  1. security.microsoft.com → Email & collaboration → Policies & rules → Threat policies → Preset Security Policies.
  2. Aktiviere Standard protection für alle Lab-Nutzer.
  3. Verschicke aus einem externen Account eine harmlose Mail mit dem GTUBE-Spam-Testtext (siehe spamassassin.apache.org/gtube) an deinen Testnutzer.
  4. Schau in Quarantine: Die Mail sollte dort gelandet sein. Vorschau, dann freigeben.
  5. Bonus: Wenn du Defender Plan 2 testen kannst, probier Attack Simulation Training aus.
⚠ Bitte nur im Lab!

GTUBE und ähnliche Testpattern sind sichere Anti-Spam-Testzeichenfolgen — keine echte Schadsoftware. EICAR ist das Äquivalent für Anti-Malware-Tests (siehe eicar.org). Niemals echte Schadsoftware verwenden, auch nicht „nur zum Testen".

⚡ Schnell-Check
Du brauchst Click-Time-Schutz für Links in Mails. Welche Lizenzstufe ist das Minimum?
Modul abschließenDu kennst die Schichten EOP → Defender und wo welche Policy lebt
08

Compliance & Audit

⚖ 30 Min · 1 Übung · was Firmen wirklich brauchen

In echten Firmenumgebungen — besonders im EU-Raum — kommen Aufbewahrungspflichten (DSGVO, HGB, branchenspezifische Vorschriften) und juristische Sicherungspflichten dazu. Exchange Online liefert die Werkzeuge dafür im Microsoft Purview-Portal (vormals „Microsoft 365 Compliance Center").

ⓘ Namens-Verwirrung Teil 47

Microsoft hat das frühere „Compliance Center" in Microsoft Purview umbenannt. URL: compliance.microsoft.com (leitet ggf. auf purview.microsoft.com um). Inhaltlich identisch.

Die vier Werkzeuge, die du kennen musst

📅
Retention Policies

Aufbewahren oder löschen — automatisch nach X Tagen/Jahren. Pro Standort konfigurierbar (Mail, Teams, SharePoint).

🔒
Litigation Hold

Friert ein gesamtes Postfach ein. Auch der Nutzer kann nichts mehr endgültig löschen. Schaltbar bei akuten Rechtsstreits.

🔍
eDiscovery

Volltext-Suche über Mailboxes hinweg. Standard (einfach) und Premium (mit Custodian-Verwaltung, Review, Export).

📜
Audit Log

Alle administrativen und Nutzer-Aktionen werden protokolliert. Standardmäßig 180 Tage aufbewahrt, bei E5 ein Jahr.

Retention: Aufbewahren ≠ Archivieren

KonzeptWas es macht
Retention PolicyDefiniert „bewahre X auf für Y Jahre" oder „lösche X nach Y Jahren"
Online ArchiveZusätzliches Auslagerungs-Postfach (typ. 50 GB / 1,5 TB), ältere Mails wandern automatisch dorthin
Recoverable ItemsVersteckter Ordner pro Postfach, in dem gelöschte Mails überleben — Basis für Litigation Hold

Litigation Hold per PowerShell

hold.ps1EXO V3
# Postfach in Litigation Hold setzen (unbegrenzt)
Set-Mailbox alice@deinlab.onmicrosoft.com -LitigationHoldEnabled $true

# Mit zeitlicher Begrenzung (2555 Tage = ~7 Jahre)
Set-Mailbox alice@… -LitigationHoldEnabled $true -LitigationHoldDuration 2555

# Aktuellen Hold-Status prüfen
Get-Mailbox alice@… | Select LitigationHoldEnabled, LitigationHoldDate, LitigationHoldDuration

Audit Log: jede Aktion nachvollziehbar

Standardmäßig aktiv in neueren Tenants, aber unbedingt prüfen. Beispiele für protokollierte Ereignisse:

  • Wer hat in welchem Postfach welche Mail gelesen / verschoben / gelöscht?
  • Wer hat eine Transport Rule oder Connector geändert?
  • Wer hat einer App welche Rechte gegeben?
audit.ps1EXO V3
# Audit-Status prüfen
Get-AdminAuditLogConfig | Select UnifiedAuditLogIngestionEnabled

# Letzte 7 Tage: alle Mailbox-Lösch-Aktionen suchen
Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) `
  -Operations HardDelete, SoftDelete, MoveToDeletedItems
⚠ Privacy & Recht

Audit-Logs und eDiscovery enthalten potentiell personenbezogene Daten von Beschäftigten. In Deutschland/Österreich braucht Mitarbeiter-Monitoring fast immer eine Betriebsvereinbarung. Im Lab okay — in echten Firmen nie ohne juristische Klärung scharfschalten.

🧪 Übung 8 · Litigation Hold & eDiscovery-Suche
Ziel: Den juristischen Sicherungs-Workflow einmal real durchspielen.
  1. Setze einen Testnutzer per PowerShell unter Litigation Hold.
  2. Schicke ein paar Mails an und vom Postfach, lösche sie dann manuell.
  3. Im Purview-Portal → eDiscovery → eDiscovery (Standard) → neuen Fall anlegen.
  4. Suche im gehaltenen Postfach nach den gelöschten Mails — du findest sie wieder.
  5. Schau dir Get-Mailbox … | fl *Hold* an und entferne den Hold zum Aufräumen.
⚡ Schnell-Check
Ein Nutzer scheidet aus und du löschst sein Konto. Aus Compliance-Gründen sollen die Mails 5 Jahre verfügbar bleiben. Was tust du vorher?
Modul abschließenDu beherrschst Retention, Hold, eDiscovery und das Audit-Log
09

Homelab-Lernpfad

⚙ flexibel · 2 große Übungen · Praxis

Wenn du den Graph/Azure-Hub schon durchgearbeitet hast, hast du bereits einen Lab-Tenant mit Testnutzern. Dieses Modul bündelt die wichtigsten praktischen Übungen zu zwei größeren Szenarien, die du in der Reihenfolge durchgehst.

Was du dafür brauchst

  • Einen M365-Lab-Tenant (siehe Graph/Azure-Hub Modul 6 — Azure Free Account → eigener Entra-Tenant).
  • Exchange-Online-Lizenz für mindestens 2 Testnutzer. Tipp: 30 Tage Microsoft 365 Business Standard Trial → 25 Lizenzen kostenlos.
  • PowerShell 7 + ExchangeOnlineManagement-Modul.
  • Optional: eine eigene Test-Domain, die du im Tenant verifizierst — sonst kannst du nur mit *.onmicrosoft.com arbeiten, was viele Übungen einschränkt.
▲ Kostenlose Test-Domain für Übungen

Wenn du keine eigene Domain kaufen willst, hast du zwei Optionen: (1) die deinlab.onmicrosoft.com-Domain reicht für 80 % der Übungen, (2) eine günstige Hobby-Domain bei einem Registrar (Cloudflare/Hover) kostet ~10 €/Jahr und macht das Lab realistisch.

Szenario A · „Firma einrichten"

🧪 Übung 9 · Komplette Mini-Firma in einem Skript
Ziel: Alles, was eine kleine Firma in Exchange Online braucht, idempotent per Skript aufbauen.
  1. 3 Nutzer mit Exchange-Postfächern: alice, bob, carol.
  2. Eine Shared Mailbox info@… mit allen 3 als Mitgliedern.
  3. Eine M365-Gruppe team@….
  4. Eine Room Mailbox „Meeting-Raum-1" mit 6 Plätzen, Buchung 5 Tage im Voraus erlaubt.
  5. Eine Transport Rule, die externe Mails im Betreff mit [EXTERN] markiert.
  6. Litigation Hold auf Alice für 7 Jahre.
  7. Alles in einem PS-Skript, das du wiederholt ausführen kannst, ohne Fehler bei „existiert schon".
setup-lab-firma.ps1EXO V3
Connect-ExchangeOnline -UserPrincipalName admin@deinlab.onmicrosoft.com

# Helper: nur erstellen wenn nicht existent
function Ensure-Mailbox($name, $type) {
  if (-not (Get-Mailbox -Identity $name -ErrorAction SilentlyContinue)) {
    New-Mailbox -Name $name "-$type"
  }
}

# Shared Mailbox
if (-not (Get-Mailbox info -ErrorAction SilentlyContinue)) {
  New-Mailbox -Shared -Name "info" -DisplayName "Information"
}
"alice","bob","carol" | ForEach-Object {
  Add-MailboxPermission info -User $_ -AccessRights FullAccess -InheritanceType All -ErrorAction SilentlyContinue
  Add-RecipientPermission info -Trustee $_ -AccessRights SendAs -Confirm:$false -ErrorAction SilentlyContinue
}

# Room Mailbox
if (-not (Get-Mailbox raum1 -ErrorAction SilentlyContinue)) {
  New-Mailbox -Room -Name "raum1" -DisplayName "Meeting-Raum-1"
  Set-Place raum1 -Capacity 6
  Set-CalendarProcessing raum1 -AutomateProcessing AutoAccept -BookingWindowInDays 5
}

# Externe-Mail-Warnung
if (-not (Get-TransportRule "Extern markieren" -ErrorAction SilentlyContinue)) {
  New-TransportRule -Name "Extern markieren" `
    -FromScope NotInOrganization -SentToScope InOrganization `
    -PrependSubject "[EXTERN] "
}

# Hold
Set-Mailbox alice -LitigationHoldEnabled $true -LitigationHoldDuration 2555

Write-Host "✓ Lab-Firma steht." -ForegroundColor Green

Szenario B · „Auf Phishing-Vorfall reagieren"

🧪 Übung 10 · Incident-Response simulieren
Ziel: Den Reflex trainieren, der in einer echten Firma zählt.
  1. Stell dir vor: Alice meldet, sie hat auf einen Phishing-Link geklickt.
  2. Trace: Get-MessageTrace -RecipientAddress alice@… -StartDate (Get-Date).AddDays(-2) — welche Mails kamen?
  3. Sperre den verdächtigen Absender per Tenant Allow/Block List im Defender-Portal.
  4. Suche mit eDiscovery, wer die gleiche Mail noch bekommen hat.
  5. Audit: Search-UnifiedAuditLog -UserIds alice@… -StartDate … — hat sich Alice nach dem Klick wo angemeldet?
  6. Zurücksetzen: Sitzungen widerrufen (per Entra/Graph), Passwort + MFA-Reset anstoßen, ggf. weitere Mails per Search-AndDelete entfernen.
▲ Was diese Übung dich lehrt

Du verbindest hier Exchange (Mail Trace), Defender (Block-Listen, eDiscovery), Entra (Session-Revocation) und Audit. Genau diese Cross-Discipline-Reflexe machen den Unterschied zwischen einem Hilfsarbeiter und einem M365-Admin.

Wenn du noch mehr willst

  • Eine zweite Domain im Tenant aufnehmen und ein zweites „Mandanten-Setup" simulieren.
  • Hybrid-Setup nachbauen: kleinen Exchange-Server in einer VM (Eval-Lizenz) + Connector zur Cloud.
  • Eine eigene Anti-Phish-Awareness-Kampagne mit Attack Simulator (Defender Plan 2) durchführen.
  • Den gesamten Lab-Aufbau in Microsoft Graph PowerShell + ExchangeOnlineManagement nebeneinander schreiben — sieh, wo welches Modul stärker ist.
Modul abschließenDu hast eine Mini-Firma in einem Skript aufgebaut und einen Incident gespielt
10

Spickzettel & Ressourcen

≡ zum Nachschlagen

Der dichte Schnellzugriff für die häufigsten Aufgaben und die besten weiterführenden Quellen.

Top-PowerShell-Cmdlets

AufgabeCmdlet
VerbindenConnect-ExchangeOnline -UserPrincipalName admin@…
TrennenDisconnect-ExchangeOnline -Confirm:$false
Verbindungs-InfoGet-ConnectionInformation
Alle Postfächer (schnell)Get-EXOMailbox -ResultSize Unlimited -Properties …
Postfach-GrößeGet-MailboxStatistics alice@…
Berechtigungen lesenGet-MailboxPermission info@…
FullAccess gebenAdd-MailboxPermission info@… -User bob@… -AccessRights FullAccess -InheritanceType All
SendAs gebenAdd-RecipientPermission info@… -Trustee bob@… -AccessRights SendAs
In Shared umwandelnSet-Mailbox alice@… -Type Shared
Quota setzenSet-Mailbox … -ProhibitSendQuota 45GB -ProhibitSendReceiveQuota 50GB
Litigation HoldSet-Mailbox … -LitigationHoldEnabled $true
Message TraceGet-MessageTrace -RecipientAddress … -StartDate …
Audit-SucheSearch-UnifiedAuditLog -StartDate … -EndDate … -Operations …
Transport RulesGet-TransportRule / New-TransportRule / Set-TransportRule
ConnectorsGet-InboundConnector / Get-OutboundConnector

Wichtige Portale auf einen Blick

AufgabePortal
Postfächer, Mail Flow, Connectorsadmin.exchange.microsoft.com
Lizenzen, Nutzer globaladmin.microsoft.com
Identität, Apps, MFAentra.microsoft.com
Sicherheit (EOP, Defender, Quarantäne)security.microsoft.com
Compliance, Retention, eDiscovery, Auditcompliance.microsoft.com

Empfänger-Typen — auf einer Karte

RecipientTypeDetailsBedeutung
UserMailboxNormales Personen-Postfach
SharedMailboxGemeinsames Postfach (info@, support@)
RoomMailboxBuchbarer Raum
EquipmentMailboxBuchbare Ressource
MailUserExterner Nutzer mit Eintrag im Adressbuch
MailContactExterner Kontakt im Adressbuch
MailUniversalDistributionGroupKlassischer Verteiler
GroupMailboxMicrosoft-365-Gruppe
DynamicDistributionGroupVerteiler nach Filter

Offizielle Ressourcen

📘
Exchange-Doku

learn.microsoft.com/exchange — die Quelle

EXO PowerShell V3

EXO V3 Reference

Purview / Compliance

learn.microsoft.com/purview

🎓
MS Learn — MS-203

Lernpfad zur Zertifizierung „Messaging Administrator"

📰
Practical 365

practical365.com — beste Community-Quelle für reale Exchange-Praxis

Glossar

+ Alle Schlüsselbegriffe aufklappen17 Begriffe

Empfohlene Reihenfolge (TL;DR)

  1. Woche 1: Module 1–3 lesen, EAC im Lab erkunden, Übung 1.
  2. Woche 2: Modul 4 — PowerShell. Übungen 2 & 3.
  3. Woche 3: Module 5–6 — Mail Flow + Transport Rules. Übungen 4–6.
  4. Woche 4: Module 7–8 — Security & Compliance. Übungen 7 & 8.
  5. Abschluss: Modul 9 — Mini-Firma + Incident-Response. Übungen 9 & 10.
Lern-Hub abschließen🎉 Glückwunsch — du beherrschst Exchange Online im Lab-Maßstab!