Eine Phishing-Mail passiert morgens um 8 Uhr den Filter, weil der Link dahinter noch harmlos ist. Um 11 Uhr schalten die Angreifer die Zielseite scharf, und die Mail liegt längst im Postfach. Genau für dieses Szenario gibt es in Exchange Online eine Funktion, die kaum jemand auf dem Radar hat: Zero-Hour Auto Purge (ZAP). Sie räumt bereits zugestellte Nachrichten nachträglich weg, ist in jeder Cloud-Mailbox enthalten und braucht keine Zusatzlizenz. Trotzdem wird sie oft unabsichtlich ausgehebelt. Schauen wir genauer hin.
Was ZAP macht
Klassische Filterung entscheidet einmal, im Moment der Zustellung. ZAP arbeitet danach weiter: Der Dienst gleicht bereits zugestellte Nachrichten laufend mit den aktualisierten Spam-, Phishing- und Malware-Erkennungen ab. Wird eine Mail nachträglich als bösartig eingestuft, verschiebt ZAP sie automatisch in den Junk-Ordner oder in die Quarantäne. Das Zeitfenster umfasst die letzten 48 Stunden nach der Zustellung, und auch der Ordner «Gelöschte Elemente» wird berücksichtigt. Die Benutzer merken davon nichts; es gibt keine Benachrichtigung. ZAP gehört zu den Bordmitteln von Exchange Online Protection, also zur Stufe 1 der drei Schutzstufen, die ich im letzten Beitrag beschrieben habe.