Eine Phishing-Mail passiert morgens um 8 Uhr den Filter, weil der Link dahinter noch harmlos ist. Um 11 Uhr schalten die Angreifer die Zielseite scharf, und die Mail liegt längst im Postfach. Genau für dieses Szenario gibt es in Exchange Online eine Funktion, die kaum jemand auf dem Radar hat: Zero-Hour Auto Purge (ZAP). Sie räumt bereits zugestellte Nachrichten nachträglich weg, ist in jeder Cloud-Mailbox enthalten und braucht keine Zusatzlizenz. Trotzdem wird sie oft unabsichtlich ausgehebelt. Schauen wir genauer hin.
Was ZAP macht
Klassische Filterung entscheidet einmal, im Moment der Zustellung. ZAP arbeitet danach weiter: Der Dienst gleicht bereits zugestellte Nachrichten laufend mit den aktualisierten Spam-, Phishing- und Malware-Erkennungen ab. Wird eine Mail nachträglich als bösartig eingestuft, verschiebt ZAP sie automatisch in den Junk-Ordner oder in die Quarantäne. Das Zeitfenster umfasst die letzten 48 Stunden nach der Zustellung, und auch der Ordner «Gelöschte Elemente» wird berücksichtigt. Die Benutzer merken davon nichts; es gibt keine Benachrichtigung. ZAP gehört zu den Bordmitteln von Exchange Online Protection, also zur Stufe 1 der drei Schutzstufen, die ich im letzten Beitrag beschrieben habe.
Die vier Varianten im Überblick
| Variante | Wirkt auf | Aktion |
| ZAP für Malware | Gelesene und ungelesene Mails | Immer Quarantäne |
| ZAP für High Confidence Phishing | Gelesene und ungelesene Mails | Immer Quarantäne; Empfänger können nur Freigabe beantragen, nicht selbst freigeben |
| ZAP für Phishing | Gelesene und ungelesene Mails | Abhängig von der Aktion in der Anti-Spam-Richtlinie (Junk-Ordner oder Quarantäne) |
| ZAP für Spam | Nur ungelesene Mails | Abhängig von der Aktion in der Anti-Spam-Richtlinie (Junk-Ordner oder Quarantäne) |
Alle vier Varianten sind standardmässig aktiviert. Seit einiger Zeit gibt es ZAP zusätzlich für Microsoft Teams: Interne Chat-Nachrichten mit Malware oder High Confidence Phishing werden für alle Chat-Teilnehmer blockiert. Teams-ZAP ist die einzige Variante mit Lizenzanforderung; sie setzt Defender for Office 365 Plan 1 oder Plan 2 voraus. Seit dem Packaging-Update vom Sommer 2026 ist Plan 1 in den E3-Suiten enthalten, damit steht Teams-ZAP deutlich mehr Organisationen zur Verfügung.
Der wichtigste Fallstrick: die falsche Richtlinien-Aktion
Hier hebeln sich viele Umgebungen ZAP unbewusst aus: Bei Phishing und Spam übernimmt ZAP die Aktion aus der Anti-Spam-Richtlinie, aber nur, wenn diese «In Junk-E-Mail-Ordner verschieben» oder «Nachricht in Quarantäne» lautet. Ist als Aktion «X-Header hinzufügen», «Betreffzeile mit Text voranstellen», «Nachricht umleiten» oder «Nachricht löschen» konfiguriert, tut ZAP schlicht nichts. Wer also etwa Spam per X-Header markiert und über Transportregeln weiterverarbeitet, verzichtet unbemerkt auf den nachträglichen Schutz. Am sichersten fährt man mit den voreingestellten Sicherheitsrichtlinien (Standard oder Strict), dort sind die Aktionen ZAP-kompatibel gesetzt.
Weitere Grenzen, die man kennen sollte
On-Premises-Postfächer: ZAP funktioniert nur für Postfächer in Exchange Online. In Hybrid-Umgebungen bleiben lokale Postfächer aussen vor, auch wenn deren Mailflow durch EOP läuft.
Drittanbieter-Gateway: Zeigt der MX-Record auf eine andere Lösung und wird die Spam-Filterung per Transportregel (SCL -1) umgangen, greift ZAP bei High Confidence Phishing nicht.
Allow-Einträge und Transportregeln: Safe-Sender-Listen, Transportregeln sowie Allow-Einträge aus Admin-Submissions (standardmässig 45 Tage nach letzter Verwendung gültig) können ZAP-Aktionen verhindern. Auch Phishing-Simulationen und SecOps-Postfächer aus der Advanced-Delivery-Richtlinie sind ausgenommen, das ist so gewollt.
Kontrolle per PowerShell
Ob ZAP in den eigenen Richtlinien aktiv ist, zeigt eine kurze Abfrage im Exchange Online PowerShell:
Get-MalwareFilterPolicy | Format-Table Name, ZapEnabled
Get-HostedContentFilterPolicy | Format-Table Name, PhishZapEnabled, SpamZapEnabled
Alle drei Parameter stehen ab Werk auf True. Deaktivieren liesse sich ZAP über Set-MalwareFilterPolicy mit dem Parameter ZapEnabled beziehungsweise Set-HostedContentFilterPolicy mit PhishZapEnabled und SpamZapEnabled; empfehlen würde ich das höchstens für dedizierte Testumgebungen.
Hat ZAP bei mir schon zugeschlagen?
Zwei Wege führen zur Antwort: Der Mailflow-Statusbericht im Defender Portal zeigt in der Mailflow-Ansicht die Anzahl der von ZAP verarbeiteten Nachrichten. Detailanalysen pro Nachricht bietet der Threat Explorer (Plan 2), dort lässt sich in der Spalte «Additional action» nach dem Wert «ZAP» filtern. Wichtig zu wissen: Im Exchange-Mailbox-Auditlog taucht ZAP nicht als Systemaktion auf; wer dort sucht, sucht vergebens.
Fazit
ZAP ist einer der stillen Helfer in Exchange Online: keine Zusatzlizenz, keine Konfiguration nötig, und trotzdem schliesst es genau die Lücke, die klassische Filterung offen lässt, nämlich die Zeit nach der Zustellung. Die Aufgabe des Admins beschränkt sich auf zwei Punkte: sicherstellen, dass die Aktionen in den Anti-Spam-Richtlinien ZAP-kompatibel sind (Junk oder Quarantäne), und die bekannten Grenzen im Hinterkopf behalten, allen voran On-Premises-Postfächer und Drittanbieter-Gateways. Wer beides beachtet, bekommt nachträglichen Schutz geschenkt, rund um die Uhr.
Quellen: Microsoft Learn: Zero-hour auto purge (ZAP), Set-HostedContentFilterPolicy, Set-MalwareFilterPolicy
Keine Kommentare:
Kommentar veröffentlichen