Microsoft erweiterte seine Exchange Online Advanced Threat Protection (ATP) um eine neue Funktion: „Dynamic Delivery“. Für alle, die nicht firm sind, wie ATP arbeitet, ein paar allgemeine Erläuterungen: Sobald eine Email mit einem Anhang ankommt, wird dieser untersucht. Dabei wird kein klassisches signaturbasierter Scan durchgeführt, sondern der Anhang in einer Sandbox geöffnet und auf sein Verhalten untersucht. Dies führt dazu das eingehende Emails mit einer Verzögerung von bis zu 12 Minuten das Postfach des Empfängers erreichen. Dies ist in der Praxis nicht tragisch, da in der Regel dies nicht bemerkt wird.

Trotzdem kann es sein, dass für manche Kunden diese Latenz nicht akzeptiert werden kann. Dafür gibt es nun Dynamic Delivery. Mit aktiviertem Dynmic Delivery wird die Email nun sofort ausgeliefert. Die Anhänge wurden aber durch eine Nachricht ersetzt, dass diese noch gescannt werden. Ist dieser erfolgreich verlaufen und die Anhänge sind sicher, wird die bereits ausgelieferte Email nun durch die eigentliche Email mit den Anhängen ersetzt.

 

Wie funktioniert das mit aktiviertem Journaling?

Auch hier ein paar Grundlagen schaffende Worte: Journaling wird in Exchange Online unterstützt, die Journalmailbox darf aber nicht in der Cloud liegen. Sie liegt dadurch also zwangsweise an einem Ort auf den ATP keinen Zugriff hat und dadurch nicht nachträglich die ausgelieferte Email verändern kann.
Hier verhält sich ATP nun so, dass die Email an das Journal sofort mit den Anhängen ausgeliefert wird, die Email an die Benutzermailbox aber wie oben geschildert gesichert ist.

 

Redakt.: Andreas Badur