Postfächer, Mail-Fluss,
Sicherheit — komplett verstanden.
Ein durchgehender Lernpfad durch Microsofts E-Mail-Plattform: von den ersten Konzepten über das Exchange Admin Center und PowerShell V3 bis zu Mail Flow, Transport Rules und der EOP-/Defender-Sicherheitskette. Alles im selben Lab-Tenant, den du aus dem Graph/Azure-Hub kennst.
Das große Bild
Exchange ist Microsofts E-Mail-Plattform — und der mit Abstand verbreitetste Mail-Dienst im Unternehmenseinsatz. Bevor wir ins Detail gehen, ein paar Begriffe, die du oft hörst und leicht verwechselst.
Exchange Online
Cloud-Variante, Teil von Microsoft 365. Microsoft betreibt die Server, du verwaltest nur Postfächer und Regeln. Unser Fokus.
Exchange Server
On-Prem-Variante — du betreibst eigene Server. Heute fast nur noch in alten/regulierten Umgebungen. Letzte Version: 2025 SE (Subscription Edition).
Exchange Hybrid
Beides verbunden. Übergangsmodell während einer Migration in die Cloud. Selten dauerhaft.
In den allermeisten Firmenumgebungen läuft heute Exchange Online. Wer noch on-prem ist, plant fast immer eine Migration. Wir lernen das, was du am wahrscheinlichsten in echten Tenants vorfindest — und du kannst alles in deinem eigenen Lab-Tenant testen.
Wo Exchange im Microsoft-Universum sitzt
Exchange Online ist ein Service unter mehreren in deinem Microsoft-365-Tenant — neben SharePoint, Teams, OneDrive, Intune. Die Identitäten kommen aus Microsoft Entra ID (vormals Azure AD): Wer in Entra ein Konto hat und eine Exchange-Lizenz, bekommt automatisch ein Postfach.
| Schicht | Was sie macht |
|---|---|
| Entra ID | Identität — wer ist der Nutzer? |
| Lizenz | Was darf der Nutzer? (z. B. „Exchange Online Plan 1") |
| Exchange Online | Das eigentliche Postfach + Regeln + Mail Flow |
| EOP / Defender | Sicherheits-Filterketten über Exchange |
Womit du Exchange verwaltest
EAC (admin.exchange.microsoft.com)
Die grafische Konsole. Gut zum Lernen und für gelegentliche Eingriffe.
PowerShell V3 (EXO)
Das echte Admin-Werkzeug. Schnell, scriptbar, alternativlos für alles, was sich wiederholt.
Microsoft Graph
Für App-Integration und Automatisierung über Tenant-Grenzen. Manche Aufgaben gehen nur über Graph, viele aber besser per EXO PS.
Empfänger & Architektur
Alles in Exchange dreht sich um Recipients (Empfänger). Davon gibt es überraschend viele Typen, und sie zu unterscheiden ist eine der wichtigsten Skills überhaupt — das richtige Objekt für die richtige Situation zu wählen, spart Lizenzen und vermeidet Sicherheitsfehler.
Die Empfänger-Typen im Überblick
| Typ | Wofür | Login? | Lizenz nötig? |
|---|---|---|---|
| User Mailbox | Normales Postfach für eine Person | ja | ja (Exchange Online Plan 1/2 oder M365) |
| Shared Mailbox | Gemeinsames Postfach wie info@, support@ | nein | kostenlos bis 50 GB |
| Room Mailbox | Besprechungsraum zum Buchen | nein | kostenlos |
| Equipment Mailbox | Buchbare Ressource (Beamer, Auto …) | nein | kostenlos |
| Mail User | Externer Mitarbeiter im Adressbuch, Postfach woanders | ja (Entra) | nein |
| Mail Contact | Externer Eintrag im Adressbuch, ohne Login | nein | nein |
| Distribution Group | Klassischer Verteiler — Mail an alle | — | nein |
| Mail-Enabled Security Group | Sicherheitsgruppe, die auch Mails empfangen kann | — | nein |
| Microsoft 365 Group | Moderne Sammelidentität: Postfach + Team + Planner … | — | nein (aber Mitglieder brauchen Lizenz) |
| Dynamic Distribution Group | Verteiler, dessen Mitglieder per Regel ermittelt werden | — | nein |
Eine Shared Mailbox braucht keine eigene Lizenz, solange sie unter 50 GB bleibt. Viele Firmen lizenzieren irrtümlich „Dummy-Nutzer" wie info@firma.com — unnötig und teuer. Korrekt: Shared Mailbox + Mitglieder mit eigenen Konten, die Zugriff bekommen.
Verteilerliste vs. Microsoft-365-Gruppe
Ein häufiger Stolperstein: Wann nehme ich welches?
Distribution Group (Legacy)
Reiner Verteiler. Eine Mail → alle Mitglieder. Kein gemeinsamer Speicher. Gut, wenn du wirklich nur Mails verteilen willst.
M365 Group (modern)
Verteiler plus gemeinsames Postfach, Kalender, OneNote, SharePoint-Site, Planner — und Verbindung zu Teams. Microsofts Empfehlung für Teamarbeit.
Dynamische Verteilerlisten
Statt manuell Mitglieder zu pflegen, beschreibst du sie per Filter: „Alle Nutzer mit Department -eq 'Vertrieb'". Sehr mächtig — die Mitgliedschaft aktualisiert sich automatisch, wenn jemand ins Team kommt oder geht.
New-DynamicDistributionGroup -Name "Vertrieb-Alle" ` -RecipientFilter "Department -eq 'Vertrieb' -and RecipientType -eq 'UserMailbox'"
Postfach-Limits, die du kennen solltest
| Größe | Plan 1 | Plan 2 / E3 / E5 |
|---|---|---|
| Postfach | 50 GB | 100 GB |
| Anhang pro Mail | 150 MB | 150 MB |
| Empfänger pro Mail | 500 | 500 |
| Mails pro Tag (ausgehend) | 10 000 | 10 000 |
- Erstelle einen Testnutzer mit Exchange-Lizenz im Lab-Tenant.
- Lege eine Shared Mailbox
support@…an und füge dich als Mitglied hinzu. - Erstelle eine Room Mailbox „Besprechung-Klein" mit 8 Plätzen.
- Erstelle eine M365-Gruppe „Lab-Team" und eine klassische Distribution Group „Alle-Mitarbeiter".
- Vergleiche im EAC, welche Eigenschaften die Typen jeweils anbieten — die Unterschiede werden sichtbar.
info@firma.com, auf die 4 Personen aus dem Empfangsteam Zugriff haben. Was nimmst du?Exchange Admin Center
Das Exchange Admin Center (EAC) ist die grafische Verwaltungskonsole für Exchange Online. Du erreichst es unter admin.exchange.microsoft.com oder über das M365-Admin-Center → Admin Centers → Exchange.
Das EAC ist nicht dasselbe wie das Microsoft 365 Admin Center. Manche Aufgaben (z. B. Nutzer mit Lizenz anlegen) macht man dort, anderes (Mailbox-Eigenschaften, Mail Flow, Migration) hier. Anfänger verwechseln das oft. Faustregel: Alles rund um Mail-Logik → EAC. Alles rund um Identität & Lizenz → M365 Admin Center / Entra.
Die wichtigsten Bereiche im EAC
| Bereich | Was du dort tust |
|---|---|
| Recipients | Postfächer, Gruppen, Ressourcen, Kontakte verwalten |
| Mail flow | Transport Rules, Connectors, akzeptierte Domains, Remote-Domänen |
| Roles | Admin-Rollen und RBAC-Zuweisungen |
| Migration | Postfächer aus anderen Systemen umziehen (z. B. von on-prem) |
| Mobile | Mobile-Device-Policies (ActiveSync) |
| Public folders | Öffentliche Ordner (Legacy, aber noch verbreitet) |
| Reports | Mailflow-, Verschlüsselungs- und Audit-Berichte |
EAC vs. Security & Compliance Centers
Eine zweite Verwechslungsgefahr: Anti-Spam, Anti-Phish, Safe Links & Co. liegen nicht im EAC, sondern im Microsoft Defender Portal unter security.microsoft.com. Compliance-Themen (Retention, eDiscovery, Audit) wiederum unter compliance.microsoft.com. Das ist historisch gewachsen und für Einsteiger verwirrend. Wir gehen das in den Sicherheits-/Compliance-Modulen Schritt für Schritt durch.
Das EAC ist hervorragend zum Lernen — du siehst, was es alles gibt. Für echte Admin-Arbeit greifst du danach zu PowerShell. Viele Profis öffnen das EAC nur noch, wenn sie eine selten gebrauchte Einstellung visuell suchen wollen.
EAC und Graph X-Ray
Erinnerst du dich an die Graph X-Ray Extension aus dem ersten Hub? Bei vielen — aber nicht allen — Aktionen im EAC zeigt sie dir die zugrundeliegenden API-Aufrufe. Manche EAC-Funktionen laufen jedoch über klassische Exchange-Remote-PowerShell, nicht über Graph — dort siehst du im X-Ray nichts. Für solche Fälle ist EXO PowerShell die richtige Werkzeug.
Exchange Online PowerShell V3
Dies ist das wichtigste Werkzeug eines Exchange-Admins. Das Modul heißt ExchangeOnlineManagement, Version 3 (kurz EXO V3) — REST-basiert, MFA-fähig, läuft auf Windows, macOS und Linux mit PowerShell 7.
Installation & Verbindung
# Einmalig: Modul aus PowerShell Gallery installieren Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser # Verbinden — öffnet ein Browser-Fenster zur Anmeldung (MFA-fähig) Connect-ExchangeOnline -UserPrincipalName admin@deinlab.onmicrosoft.com # Test, dass die Verbindung steht Get-Mailbox -ResultSize 5 # Am Ende sauber trennen Disconnect-ExchangeOnline -Confirm:$false
In alten Anleitungen siehst du Connect-EXOPSSession — das war das Legacy-V1-Modul, von Microsoft 2023 eingestellt. Immer Connect-ExchangeOnline verwenden.
Die wichtigsten Cmdlets — Lese-/Schreib-Logik
EXO folgt einer sehr klaren Verb-Substantiv-Logik. Wenn du dieses Muster verinnerlichst, kennst du gefühlt 80 % der Cmdlets:
| Verb | Bedeutung | Beispiel |
|---|---|---|
Get- | Objekte anzeigen | Get-Mailbox alice@… |
New- | Neu anlegen | New-Mailbox -Shared … |
Set- | Eigenschaften ändern | Set-Mailbox -ProhibitSendQuota 45GB … |
Add- / Remove- | Mitglieder/Berechtigungen | Add-MailboxPermission … |
Enable- / Disable- | Feature an/aus | Enable-Mailbox … |
Die schnellen Get-EXO*-Cmdlets
Für große Tenants gibt es schnelle REST-optimierte Varianten: Get-EXOMailbox, Get-EXORecipient, Get-EXOMailboxStatistics usw. Sie liefern bei Tausenden Objekten ein Vielfaches der Geschwindigkeit von Get-Mailbox — kosten dafür aber, dass du -Properties explizit anfordern musst:
# Klassisch — langsam bei vielen Postfächern Get-Mailbox -ResultSize Unlimited # Schnell — REST-optimiert, default-Felder sind reduziert Get-EXOMailbox -ResultSize Unlimited ` -Properties DisplayName, ProhibitSendQuota, WhenCreated
Cmdlets, die du täglich brauchst
# Ein bestimmtes Postfach inspizieren Get-Mailbox alice@deinlab.onmicrosoft.com | Format-List # Postfach-Größe und Item-Anzahl Get-MailboxStatistics alice@… | Select DisplayName, TotalItemSize, ItemCount # Wer hat Zugriff auf eine Shared Mailbox? Get-MailboxPermission support@… | Where { $_.User -notlike "NT AUTHORITY*" } # Vollzugriff auf Shared Mailbox geben Add-MailboxPermission support@… -User bob@… -AccessRights FullAccess -InheritanceType All # Senden im Namen erlauben (Send As) Add-RecipientPermission support@… -Trustee bob@… -AccessRights SendAs # Aus User Mailbox eine Shared Mailbox machen (kostenlose Lizenz freigeben!) Set-Mailbox verlassen@… -Type Shared
Unattended Scripting: Zertifikats-basierte Auth
Für geplante Skripte (Reporting, Provisionierung) willst du keine Passwörter speichern. Der saubere Weg: App in Entra registrieren, ein Zertifikat hochladen, dann ohne Nutzer-Interaktion verbinden:
Connect-ExchangeOnline ` -AppId "00000000-0000-0000-0000-000000000000" ` -CertificateThumbprint "AABBCC...DDEEFF" ` -Organization "deinlab.onmicrosoft.com"
Rollen: Was darfst du eigentlich?
EXO setzt RBAC ein. Auch nach erfolgreicher Anmeldung darfst du nur das, was deine Rolle erlaubt. Die wichtigsten:
- Global Administrator — darf alles (für dein Lab okay, in Produktion vermeiden).
- Exchange Administrator — volle Exchange-Kontrolle, nichts außerhalb.
- Exchange Recipient Administrator — Empfänger anlegen/ändern, aber keine globalen Mail-Flow-Einstellungen.
- Compliance Administrator — Audit, eDiscovery, Retention.
- Installiere
ExchangeOnlineManagementund verbinde dich mit deinem Lab-Tenant. - Liste alle Postfächer auf:
Get-EXOMailbox -ResultSize Unlimited | ft DisplayName, RecipientTypeDetails. - Filtere nur Shared Mailboxes:
… | Where RecipientTypeDetails -eq 'SharedMailbox'. - Exportiere die Liste nach CSV:
… | Export-Csv -Path .\mailboxes.csv -NoTypeInformation. - Trenne sauber:
Disconnect-ExchangeOnline -Confirm:$false.
- Erstelle per PowerShell eine Shared Mailbox
vertrieb@…. - Gib zwei Testnutzern FullAccess und SendAs.
- Setze die Quota auf 10 GB.
- Prüfe das Ergebnis mit
Get-MailboxPermissionundGet-Mailbox … | fl *Quota*.
# 1. Anlegen New-Mailbox -Shared -Name "Vertrieb" -DisplayName "Vertrieb" -PrimarySmtpAddress vertrieb@deinlab.onmicrosoft.com # 2. Mitglieder berechtigen Add-MailboxPermission vertrieb@… -User alice@… -AccessRights FullAccess -InheritanceType All Add-RecipientPermission vertrieb@… -Trustee alice@… -AccessRights SendAs -Confirm:$false # 3. Quota Set-Mailbox vertrieb@… -ProhibitSendQuota 9GB -ProhibitSendReceiveQuota 10GB -IssueWarningQuota 8GB
Mail Flow & Connectors
Mail Flow ist die Reise, die eine E-Mail von einem Absender zu deinem Postfach (oder umgekehrt) nimmt. Sie zu verstehen ist die Voraussetzung dafür, Probleme zu lösen — die häufigste Frage eines Admins lautet „Warum ist diese Mail nicht angekommen?".
Die Reise einer eingehenden Mail
Klick auf jede Station, um sie genauer kennenzulernen:
Die Transport Rules sind vor dem Postfach. Das heißt: Sie können Mails umleiten, blockieren oder verändern, bevor der Nutzer sie überhaupt sieht. Genau das macht sie so mächtig — und gefährlich, wenn falsch gesetzt.
Connectors — die Türen für besondere Mail-Wege
Ohne Connector kommt eine Mail einfach „von irgendwo im Internet". Connectors sind benannte, konfigurierte Verbindungen, die du brauchst, wenn:
| Szenario | Connector-Typ |
|---|---|
| Mail von deinem on-prem-Exchange in die Cloud (Hybrid) | Inbound „From: your organization's email server" |
| Mail vor Auslieferung an die Cloud durch externen Spamfilter (z. B. Mimecast) | Inbound „From: partner organization" |
| Mail durch externen Signatur-/Verschlüsselungs-Dienst routen, dann zurück | Outbound + zugehörige Mail Flow Rule |
| Drucker oder Anwendung im LAN, der über M365 versenden soll | Direct-Send oder dedizierter Connector mit IP-Beschränkung |
Wenn dein MX-Record nicht direkt auf Microsoft zeigt (sondern z. B. auf einen externen Spamfilter davor), musst du Enhanced Filtering for Connectors aktivieren — sonst sieht EOP nur die IP deines Filters als „Absender" und macht Authentifizierungs-Prüfungen (SPF/DKIM) falsch.
E-Mail-Authentifizierung in 30 Sekunden
Drei DNS-Einträge, ohne die moderne Mail-Sicherheit nicht funktioniert:
Sender Policy Framework
Welche IPs/Hosts dürfen Mail in meinem Namen senden? Ein TXT-Record mit erlaubten Quellen.
DomainKeys Identified Mail
Signiert ausgehende Mails kryptografisch. Beweist, dass die Nachricht unterwegs nicht verändert wurde.
Authentifizierungs-Richtlinie
Sagt empfangenden Servern, was sie tun sollen, wenn SPF/DKIM fehlschlagen — und wohin sie Berichte schicken sollen.
Mailflow-Diagnose
Wenn eine Mail nicht ankommt, wird das EAC zum Detektiv:
- Mail flow → Message trace im EAC: zeigt jede Mail mit allen Stationen, Verzögerungen, Fehlern.
- Per PowerShell:
Get-MessageTrace -SenderAddress … -RecipientAddress … -StartDate (Get-Date).AddDays(-7) - Connectors → Validate testet Verbindungs-Konfigurationen aktiv.
- Schicke aus deinem persönlichen externen Postfach eine Mail an deinen Lab-Testnutzer.
- Im EAC → Mail flow → Message trace die Mail suchen (kann 10–15 Min dauern, bis Daten erscheinen).
- Öffne die Detailansicht: Welche Stationen siehst du? Wie lange dauert jede?
- Schicke jetzt eine Mail mit einem auffälligen Anhang (z. B. test.zip) und vergleiche das Trace-Ergebnis.
Transport Rules (Mail Flow Rules)
Transport Rules sind Wenn-Dann-Regeln, die jede einzelne Mail unterwegs inspizieren und manipulieren. Sie sind eines der mächtigsten — und am häufigsten missbrauchten — Werkzeuge in Exchange.
Die Anatomie einer Regel
Eine Regel besteht immer aus drei Teilen:
Bedingungen
Worauf trifft die Regel zu? Sender, Empfänger, Betreff, Header, Anhänge, intern/extern, Größe, Inhaltsmuster …
Aktionen
Was passiert dann? Weiterleiten, blockieren, in Quarantäne legen, Header setzen, Disclaimer, BCC anhängen, an Connector …
Ausnahmen
Wann gilt die Regel doch nicht? Wichtig, um sich nicht selbst auszusperren.
Top-5 Praxis-Beispiele
| Use Case | Bedingung | Aktion |
|---|---|---|
| Externe Mails markieren | The sender is located outside the organization | Prepend subject „[EXTERN] " + Disclaimer |
| Compliance-Archiv | Sender ist Vorstand | Bcc an archive@… |
| Riesige Anhänge blocken | Attachment size > 50 MB | Nachricht ablehnen mit erklärendem Text |
| Spamfilter-Bypass für Partner | Sender ist Partner-Domain | SCL-Wert auf -1 setzen |
| Phishing-Pattern blocken | Header „From" enthält Geschäftsführer-Name, aber Sender-Domain ist extern | In Quarantäne |
Per EAC oder per PowerShell
Im EAC: Mail flow → Rules → Add a rule → Create a new rule. Per PowerShell ist es kompakter und reproduzierbar:
# Klassiker: jede externe Mail im Betreff markieren New-TransportRule -Name "Externe Mails markieren" ` -FromScope NotInOrganization ` -SentToScope InOrganization ` -PrependSubject "[EXTERN] " ` -ApplyHtmlDisclaimerLocation Prepend ` -ApplyHtmlDisclaimerText "<p style='color:#b00'>Achtung: Diese Mail kommt von außerhalb der Firma.</p>" ` -ApplyHtmlDisclaimerFallbackAction Wrap ` -Mode Enforce
Test-Modus statt scharf schalten
Jede Regel kann in 3 Modi laufen — nutze das beim Lernen ausgiebig:
| Modus | Was passiert | Wann nutzen |
|---|---|---|
Enforce | Regel greift wirklich | In Produktion |
AuditAndNotify | Aktion wird simuliert, Sender bekommt Policy-Tipp | Übergangsphase, Awareness |
Audit | Nur Logging, keine Aktion | Test ohne Risiko |
- Reihenfolge: Regeln werden in Reihenfolge ausgeführt.
Stop processing more rulesist mächtig — und tödlich, wenn an der falschen Stelle. - „Alle externen blockieren": sperrt auch Bewerber, Lieferanten, Microsoft-Benachrichtigungen aus. Ausnahmen sind Pflicht.
- Loops: Eine Regel, die eine Mail weiterleitet und dabei wieder ihre eigene Bedingung erfüllt — und das Loop-Schutz übersieht. Im Lab gefahrlos zu erleben.
- EAC → Mail flow → Rules → „Add a rule" → „Create a new rule".
- Bedingung: The sender is located → Outside the organization.
- Aktion: Prepend the subject of the message with →
[EXTERN]. - Zweite Aktion: Apply a disclaimer → kurzen HTML-Hinweis.
- Modus auf Test with Policy Tips setzen, dann eine Test-Mail von extern senden.
- Erst danach auf Enforce umstellen.
- Exportiere bestehende Regeln:
Get-TransportRule | Export-Clixml -Path .\rules.xml. - Schau dir das XML an — es enthält alle Parameter im Klartext.
- Lade eine Regel und übertrage Eigenschaften ins New-TransportRule eines anderen Tenants.
- Bonus: Erfasse die Regel mit Graph X-Ray, während du sie im EAC änderst — sieh, ob hier Graph oder Exchange-RPS verwendet wird.
EOP & Defender for Office 365
E-Mail ist der häufigste Angriffsvektor in Unternehmen. Microsoft begegnet dem mit zwei aufeinander gestapelten Produkten: EOP (in jedem Plan enthalten) und Defender for Office 365 (kostenpflichtig, in E5 oder als Add-on).
Was steckt wo drin?
| Funktion | EOP (kostenlos im Plan) | Defender Plan 1 | Defender Plan 2 |
|---|---|---|---|
| Anti-Spam | ✓ | ✓ | ✓ |
| Anti-Malware (Signatur) | ✓ | ✓ | ✓ |
| Connection Filtering | ✓ | ✓ | ✓ |
| Anti-Phish (Standard) | ✓ | ✓ | ✓ |
| Impersonation-Schutz | — | ✓ | ✓ |
| Safe Attachments (Sandbox) | — | ✓ | ✓ |
| Safe Links (Click-Time) | — | ✓ | ✓ |
| Threat Explorer / Hunting | — | — | ✓ |
| Automated Investigation & Response | — | — | ✓ |
| Attack Simulation Training | — | — | ✓ |
EOP = stoppen, was offensichtlich schlecht ist. Defender Plan 1 = stoppen, was clever versteckt ist. Plan 2 = nachträglich verstehen, was passiert ist, und automatisiert aufräumen.
Die Schlüsselfeatures von Defender for O365
Safe Links
Jeder Link in jeder Mail wird durch Microsoft-URL ersetzt. Klickt der Nutzer, prüft Microsoft die Ziel-URL live — auch wenn die Mail vor Tagen kam.
Safe Attachments
Anhänge werden vor Zustellung in einer Sandbox geöffnet und beobachtet. Verhalten verdächtig → Anhang entfernt.
Impersonation
Erkennt, wenn jemand den Namen oder die Domain einer geschützten Person/Firma fälscht („CEO-Fraud").
ZAP
Zero-hour Auto Purge: Wenn eine zugestellte Mail nachträglich als bösartig erkannt wird, wird sie aus den Postfächern entfernt.
Wo werden diese Policies konfiguriert?
Nicht im EAC. Alles unter security.microsoft.com → Email & collaboration → Policies & rules → Threat policies:
- Anti-spam policies — Schwellwerte, Bulk-Limits, Spam-Aktionen, Allow/Block-Listen.
- Anti-malware policies — Dateitypen, gemeinsame Anhangs-Filterregeln.
- Anti-phishing policies — Impersonation, Spoof-Intelligenz, Mailbox-Intelligence.
- Safe Attachments policies — Sandbox-Modus pro Empfängergruppe.
- Safe Links policies — URL-Umschreibung, Zeitpunkt-Prüfung, Teams-Schutz.
Preset Security Policies — der schnellste Start
Statt jede einzelne Policy zu konfigurieren, gibt es Standard und Strict als Microsoft-empfohlene Profile. Für Lab und kleine Umgebungen ist „Standard" auf alle Empfänger eine sehr gute Default-Wahl.
# Aktuelle Schutz-Konfiguration anzeigen Get-AntiPhishPolicy | Select Name, Enabled, PhishThresholdLevel Get-MalwareFilterPolicy | Select Name, Action Get-HostedContentFilterPolicy | Select Name, BulkThreshold, SpamAction # Preset Security Policies aktivieren (Defender Portal: Email & collaboration -> Policies -> Preset Security Policies) # Standard und Strict werden dort als Wizards angeboten
Quarantäne — der zentrale Sammelpunkt
Alle gefilterten Mails landen in der Quarantäne unter security.microsoft.com → Review → Quarantine. Wichtige Aktionen:
- Release — freigeben (eventuell mit „false positive" melden).
- Preview — Inhalt sicher ansehen, ohne Schaden anzurichten.
- Submit to Microsoft — als false positive / missed phish einreichen, verbessert Microsofts ML.
- security.microsoft.com → Email & collaboration → Policies & rules → Threat policies → Preset Security Policies.
- Aktiviere Standard protection für alle Lab-Nutzer.
- Verschicke aus einem externen Account eine harmlose Mail mit dem GTUBE-Spam-Testtext (siehe spamassassin.apache.org/gtube) an deinen Testnutzer.
- Schau in Quarantine: Die Mail sollte dort gelandet sein. Vorschau, dann freigeben.
- Bonus: Wenn du Defender Plan 2 testen kannst, probier Attack Simulation Training aus.
GTUBE und ähnliche Testpattern sind sichere Anti-Spam-Testzeichenfolgen — keine echte Schadsoftware. EICAR ist das Äquivalent für Anti-Malware-Tests (siehe eicar.org). Niemals echte Schadsoftware verwenden, auch nicht „nur zum Testen".
Compliance & Audit
In echten Firmenumgebungen — besonders im EU-Raum — kommen Aufbewahrungspflichten (DSGVO, HGB, branchenspezifische Vorschriften) und juristische Sicherungspflichten dazu. Exchange Online liefert die Werkzeuge dafür im Microsoft Purview-Portal (vormals „Microsoft 365 Compliance Center").
Microsoft hat das frühere „Compliance Center" in Microsoft Purview umbenannt. URL: compliance.microsoft.com (leitet ggf. auf purview.microsoft.com um). Inhaltlich identisch.
Die vier Werkzeuge, die du kennen musst
Retention Policies
Aufbewahren oder löschen — automatisch nach X Tagen/Jahren. Pro Standort konfigurierbar (Mail, Teams, SharePoint).
Litigation Hold
Friert ein gesamtes Postfach ein. Auch der Nutzer kann nichts mehr endgültig löschen. Schaltbar bei akuten Rechtsstreits.
eDiscovery
Volltext-Suche über Mailboxes hinweg. Standard (einfach) und Premium (mit Custodian-Verwaltung, Review, Export).
Audit Log
Alle administrativen und Nutzer-Aktionen werden protokolliert. Standardmäßig 180 Tage aufbewahrt, bei E5 ein Jahr.
Retention: Aufbewahren ≠ Archivieren
| Konzept | Was es macht |
|---|---|
| Retention Policy | Definiert „bewahre X auf für Y Jahre" oder „lösche X nach Y Jahren" |
| Online Archive | Zusätzliches Auslagerungs-Postfach (typ. 50 GB / 1,5 TB), ältere Mails wandern automatisch dorthin |
| Recoverable Items | Versteckter Ordner pro Postfach, in dem gelöschte Mails überleben — Basis für Litigation Hold |
Litigation Hold per PowerShell
# Postfach in Litigation Hold setzen (unbegrenzt) Set-Mailbox alice@deinlab.onmicrosoft.com -LitigationHoldEnabled $true # Mit zeitlicher Begrenzung (2555 Tage = ~7 Jahre) Set-Mailbox alice@… -LitigationHoldEnabled $true -LitigationHoldDuration 2555 # Aktuellen Hold-Status prüfen Get-Mailbox alice@… | Select LitigationHoldEnabled, LitigationHoldDate, LitigationHoldDuration
Audit Log: jede Aktion nachvollziehbar
Standardmäßig aktiv in neueren Tenants, aber unbedingt prüfen. Beispiele für protokollierte Ereignisse:
- Wer hat in welchem Postfach welche Mail gelesen / verschoben / gelöscht?
- Wer hat eine Transport Rule oder Connector geändert?
- Wer hat einer App welche Rechte gegeben?
# Audit-Status prüfen Get-AdminAuditLogConfig | Select UnifiedAuditLogIngestionEnabled # Letzte 7 Tage: alle Mailbox-Lösch-Aktionen suchen Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) ` -Operations HardDelete, SoftDelete, MoveToDeletedItems
Audit-Logs und eDiscovery enthalten potentiell personenbezogene Daten von Beschäftigten. In Deutschland/Österreich braucht Mitarbeiter-Monitoring fast immer eine Betriebsvereinbarung. Im Lab okay — in echten Firmen nie ohne juristische Klärung scharfschalten.
- Setze einen Testnutzer per PowerShell unter Litigation Hold.
- Schicke ein paar Mails an und vom Postfach, lösche sie dann manuell.
- Im Purview-Portal → eDiscovery → eDiscovery (Standard) → neuen Fall anlegen.
- Suche im gehaltenen Postfach nach den gelöschten Mails — du findest sie wieder.
- Schau dir
Get-Mailbox … | fl *Hold*an und entferne den Hold zum Aufräumen.
Homelab-Lernpfad
Wenn du den Graph/Azure-Hub schon durchgearbeitet hast, hast du bereits einen Lab-Tenant mit Testnutzern. Dieses Modul bündelt die wichtigsten praktischen Übungen zu zwei größeren Szenarien, die du in der Reihenfolge durchgehst.
Was du dafür brauchst
- Einen M365-Lab-Tenant (siehe Graph/Azure-Hub Modul 6 — Azure Free Account → eigener Entra-Tenant).
- Exchange-Online-Lizenz für mindestens 2 Testnutzer. Tipp: 30 Tage Microsoft 365 Business Standard Trial → 25 Lizenzen kostenlos.
- PowerShell 7 + ExchangeOnlineManagement-Modul.
- Optional: eine eigene Test-Domain, die du im Tenant verifizierst — sonst kannst du nur mit
*.onmicrosoft.comarbeiten, was viele Übungen einschränkt.
Wenn du keine eigene Domain kaufen willst, hast du zwei Optionen: (1) die deinlab.onmicrosoft.com-Domain reicht für 80 % der Übungen, (2) eine günstige Hobby-Domain bei einem Registrar (Cloudflare/Hover) kostet ~10 €/Jahr und macht das Lab realistisch.
Szenario A · „Firma einrichten"
- 3 Nutzer mit Exchange-Postfächern:
alice,bob,carol. - Eine Shared Mailbox
info@…mit allen 3 als Mitgliedern. - Eine M365-Gruppe
team@…. - Eine Room Mailbox „Meeting-Raum-1" mit 6 Plätzen, Buchung 5 Tage im Voraus erlaubt.
- Eine Transport Rule, die externe Mails im Betreff mit
[EXTERN]markiert. - Litigation Hold auf Alice für 7 Jahre.
- Alles in einem PS-Skript, das du wiederholt ausführen kannst, ohne Fehler bei „existiert schon".
Connect-ExchangeOnline -UserPrincipalName admin@deinlab.onmicrosoft.com # Helper: nur erstellen wenn nicht existent function Ensure-Mailbox($name, $type) { if (-not (Get-Mailbox -Identity $name -ErrorAction SilentlyContinue)) { New-Mailbox -Name $name "-$type" } } # Shared Mailbox if (-not (Get-Mailbox info -ErrorAction SilentlyContinue)) { New-Mailbox -Shared -Name "info" -DisplayName "Information" } "alice","bob","carol" | ForEach-Object { Add-MailboxPermission info -User $_ -AccessRights FullAccess -InheritanceType All -ErrorAction SilentlyContinue Add-RecipientPermission info -Trustee $_ -AccessRights SendAs -Confirm:$false -ErrorAction SilentlyContinue } # Room Mailbox if (-not (Get-Mailbox raum1 -ErrorAction SilentlyContinue)) { New-Mailbox -Room -Name "raum1" -DisplayName "Meeting-Raum-1" Set-Place raum1 -Capacity 6 Set-CalendarProcessing raum1 -AutomateProcessing AutoAccept -BookingWindowInDays 5 } # Externe-Mail-Warnung if (-not (Get-TransportRule "Extern markieren" -ErrorAction SilentlyContinue)) { New-TransportRule -Name "Extern markieren" ` -FromScope NotInOrganization -SentToScope InOrganization ` -PrependSubject "[EXTERN] " } # Hold Set-Mailbox alice -LitigationHoldEnabled $true -LitigationHoldDuration 2555 Write-Host "✓ Lab-Firma steht." -ForegroundColor Green
Szenario B · „Auf Phishing-Vorfall reagieren"
- Stell dir vor: Alice meldet, sie hat auf einen Phishing-Link geklickt.
- Trace:
Get-MessageTrace -RecipientAddress alice@… -StartDate (Get-Date).AddDays(-2)— welche Mails kamen? - Sperre den verdächtigen Absender per Tenant Allow/Block List im Defender-Portal.
- Suche mit eDiscovery, wer die gleiche Mail noch bekommen hat.
- Audit:
Search-UnifiedAuditLog -UserIds alice@… -StartDate …— hat sich Alice nach dem Klick wo angemeldet? - Zurücksetzen: Sitzungen widerrufen (per Entra/Graph), Passwort + MFA-Reset anstoßen, ggf. weitere Mails per Search-AndDelete entfernen.
Du verbindest hier Exchange (Mail Trace), Defender (Block-Listen, eDiscovery), Entra (Session-Revocation) und Audit. Genau diese Cross-Discipline-Reflexe machen den Unterschied zwischen einem Hilfsarbeiter und einem M365-Admin.
Wenn du noch mehr willst
- Eine zweite Domain im Tenant aufnehmen und ein zweites „Mandanten-Setup" simulieren.
- Hybrid-Setup nachbauen: kleinen Exchange-Server in einer VM (Eval-Lizenz) + Connector zur Cloud.
- Eine eigene Anti-Phish-Awareness-Kampagne mit Attack Simulator (Defender Plan 2) durchführen.
- Den gesamten Lab-Aufbau in Microsoft Graph PowerShell + ExchangeOnlineManagement nebeneinander schreiben — sieh, wo welches Modul stärker ist.
Spickzettel & Ressourcen
Der dichte Schnellzugriff für die häufigsten Aufgaben und die besten weiterführenden Quellen.
Top-PowerShell-Cmdlets
| Aufgabe | Cmdlet |
|---|---|
| Verbinden | Connect-ExchangeOnline -UserPrincipalName admin@… |
| Trennen | Disconnect-ExchangeOnline -Confirm:$false |
| Verbindungs-Info | Get-ConnectionInformation |
| Alle Postfächer (schnell) | Get-EXOMailbox -ResultSize Unlimited -Properties … |
| Postfach-Größe | Get-MailboxStatistics alice@… |
| Berechtigungen lesen | Get-MailboxPermission info@… |
| FullAccess geben | Add-MailboxPermission info@… -User bob@… -AccessRights FullAccess -InheritanceType All |
| SendAs geben | Add-RecipientPermission info@… -Trustee bob@… -AccessRights SendAs |
| In Shared umwandeln | Set-Mailbox alice@… -Type Shared |
| Quota setzen | Set-Mailbox … -ProhibitSendQuota 45GB -ProhibitSendReceiveQuota 50GB |
| Litigation Hold | Set-Mailbox … -LitigationHoldEnabled $true |
| Message Trace | Get-MessageTrace -RecipientAddress … -StartDate … |
| Audit-Suche | Search-UnifiedAuditLog -StartDate … -EndDate … -Operations … |
| Transport Rules | Get-TransportRule / New-TransportRule / Set-TransportRule |
| Connectors | Get-InboundConnector / Get-OutboundConnector |
Wichtige Portale auf einen Blick
| Aufgabe | Portal |
|---|---|
| Postfächer, Mail Flow, Connectors | admin.exchange.microsoft.com |
| Lizenzen, Nutzer global | admin.microsoft.com |
| Identität, Apps, MFA | entra.microsoft.com |
| Sicherheit (EOP, Defender, Quarantäne) | security.microsoft.com |
| Compliance, Retention, eDiscovery, Audit | compliance.microsoft.com |
Empfänger-Typen — auf einer Karte
| RecipientTypeDetails | Bedeutung |
|---|---|
UserMailbox | Normales Personen-Postfach |
SharedMailbox | Gemeinsames Postfach (info@, support@) |
RoomMailbox | Buchbarer Raum |
EquipmentMailbox | Buchbare Ressource |
MailUser | Externer Nutzer mit Eintrag im Adressbuch |
MailContact | Externer Kontakt im Adressbuch |
MailUniversalDistributionGroup | Klassischer Verteiler |
GroupMailbox | Microsoft-365-Gruppe |
DynamicDistributionGroup | Verteiler nach Filter |
Offizielle Ressourcen
MS Learn — MS-203
Lernpfad zur Zertifizierung „Messaging Administrator"
Glossar
+ Alle Schlüsselbegriffe aufklappen17 Begriffe
Empfohlene Reihenfolge (TL;DR)
- Woche 1: Module 1–3 lesen, EAC im Lab erkunden, Übung 1.
- Woche 2: Modul 4 — PowerShell. Übungen 2 & 3.
- Woche 3: Module 5–6 — Mail Flow + Transport Rules. Übungen 4–6.
- Woche 4: Module 7–8 — Security & Compliance. Übungen 7 & 8.
- Abschluss: Modul 9 — Mini-Firma + Incident-Response. Übungen 9 & 10.