DMARCGeeks
Login 📅 Anfragen Tool starten

← alle Services

M Service · Microsoft 365 Threat-Protection

M365 Threat-Hardening,
das wirklich greift.

EOP und Defender for Office 365 können viel mehr als Microsoft im Default einschaltet. Wir bringen deinen Tenant auf Strict-Preset-Niveau oder darüber — mit gruppenspezifischen Custom-Policies, sauberer Quarantäne-UX und Compliance-tauglicher Doku.

Erstgespräch buchen Was wir konfigurieren
⭐ Schwerpunkt-Service · Festpreis CHF 1'990 / Tenant · EOP + MDO P1/P2 · Liefer-Garantie 5 Werktage
8 standardisierte Policies
5 Werktage bis Live
100 % reversibel via DSC-Skript
PDF Auditor-Bericht im Paket

Microsofts Default ist „okay-ish" — aber nicht ausreichend

Was M365 out-of-the-box nicht einschaltet (obwohl's da ist):

🎭

Impersonation-Protection ist aus

CEO-Fraud, fingierte CFO-Mails, look-alike-Domains. Microsoft hat den Schutz dafür — aber er muss explizit pro VIP eingerichtet werden.

📤

Outbound-Spam-Tuning auf Standard

Wenn ein User-Account kompromittiert wird, schickt der Tausende Spams raus — und versaut deine ganze IP-Reputation. Auto-Restrict greift erst spät.

🚪

Quarantäne ist unbenutzbar

Default-Notifikation ist 1× Mail mit Verfallsdatum. 90 % der User ignorieren das. Echte Self-Service-Workflows brauchen eigene Konfiguration.

Unser Blueprint: 8 Policies, sauber dokumentiert

Standardisiert pro Tenant. Auf Wunsch als JSON-Export, PowerShell-Bundle oder Auditor-Doku-PDF.

🛡️
BP_AntiPhishing CEO-Impersonation, Trusted-Senders, Spoof-Intelligence Strict, Mailbox-Intelligence aktiv
📧
BP_AntiSpam_Inbound Strict-Filter, geo-Block, ZAP für gelandete Mails, Bulk-Threshold tightened
📤
BP_AntiSpam_Outbound Auto-Forward-Block, Restrict bei Auffälligkeit, Throttle pro User
🦠
BP_AntiMalware Common-Attachment-Filter erweitert, ZAP, Notify-Admin bei Detection
🔒
BP_SafeLinks URL-Detonation aktiv, Tracking, Office & Teams-Apps inkludiert
📎
BP_SafeAttachments Sandbox-Detonation für unbekannte Dateien, dynamic delivery
🚪
BP_Quarantine User-Self-Release nur für Bulk/Spam, Admin-only für Phish/Malware
📊
BP_Reporting Daily Digest + Real-Time-Alerts, Sentinel/Splunk-Forwarding

Alle Policies werden mit PowerShell DSC deployed — du bekommst das Skript, damit du sie reproduzierbar in weitere Tenants übernehmen kannst.

Was die Policies konkret machen

👔 CEO-Impersonation-Protection

Wir hinterlegen in der Anti-Phishing-Policy deine wichtigsten internen Adressen (CEO, CFO, Finanzbuchhaltung) und vertraute externe Partner. Mails die aussehen wie von diesen Personen, aber nicht von ihnen kommen, werden quarantäniert oder mit Warning-Banner versehen. Stoppt die meisten BEC-Versuche.

🛡️ Spoof-Intelligence-Tuning

Microsoft hat ein eingebautes Spoof-Intelligence-System, das aber per Default sehr permissiv ist. Wir tunen es auf Strict, pflegen die Allow-List nur für wirklich legitime Spoofs (Salesforce-from-your-domain etc.).

📤 Outbound-Schutz

Anti-Spam-Outbound-Policy mit konservativen Throttles und Auto-Restrict bei Auffälligkeiten — ein kompromittierter Account macht so nicht 50'000 Spam-Mails bevor jemand was merkt.

📎 Safe-Attachments mit Dynamic Delivery

Verdächtige Anhänge werden in Microsofts Sandbox detoniert — die Mail bekommt der User aber sofort (mit Anhang-Platzhalter), so dass keine Latenz entsteht. Sandbox-Result wird nachgereicht.

🚪 Quarantäne mit Branded User-Digest

Tägliche Digest-Mail mit allen quarantänierten Items, klare „Freigeben"-Buttons pro Mail, „Frag den MSP"-Button für Unsicherheits-Fälle. User-Self-Release ist nur für Bulk/Spam aktiv — Phish/Malware geht nur über den Admin.

📊 Real-Time-Alerts & SIEM-Forwarding

Mass-Mail-Outbound-Detection, Compromised-User-Alerts, ungewöhnliche Forward-Setups — alles in deinen Slack/Teams-Channel oder PagerDuty/OpsGenie. Plus Audit-Logs strukturiert nach Sentinel/Splunk.

Was inklusive ist — und was nicht

Damit klar ist was du bekommst. Add-ons möglich, aber nicht im Standard-Paket.

✓ Im Festpreis dabei

  • Komplettes EOP/MDO-Tuning (8 Policies, Strict-Preset-Niveau oder darüber)
  • Konfiguration in Test-Group + 24h Beobachtung vor Roll-out
  • PowerShell-DSC-Skript zum Reproduzieren in weiteren Tenants
  • Branded User-Quarantine-Digest (deine Brand-Farbe + Logo)
  • Auditor-tauglicher Bericht (PDF) mit Mapping auf NIS2 / ISO 27001
  • Übergabe-Workshop (1h Video) inkl. Recording
  • 30 Tage Mail-Support nach Übergabe

— Nicht im Festpreis

  • Mail-Server-Migration (z.B. Exchange On-Prem → M365)
  • Hybrid-Connector-Setup (+ ½ Tag, separates Angebot)
  • Attack-Simulator-Kampagnen / Phishing-Awareness-Schulung
  • Conditional Access / MFA-Roll-out (separates Identity-Projekt)
  • SeppMail-/HIN-Connector — siehe SeppMail / HIN
  • M365-Lizenzen (Microsoft direkt, keine Wiederverkäufer-Marge)

Das Paket

Festpreis. Liefer-Garantie 5 Werktage nach Kick-Off.

Schwerpunkt-Service
M365 EOP-HARDENING

M365 Threat-Hardening

CHF 1'990
einmalig · 1 Tenant · 1 Tag
  • ✓ EOP/MDO Threat-Policies auf Strict-Preset-Niveau (oder darüber)
  • ✓ Anti-Phishing-Policy mit CEO/CFO-Impersonation-Protection
  • ✓ Anti-Spam Inbound/Outbound mit Custom-Tuning
  • ✓ Safe-Links & Safe-Attachments aktiv (Mail/Teams/SharePoint)
  • ✓ Quarantine-Policies + branded End-User-Digest
  • ✓ Tenant-Allow/Block-Listen sauber pflegen
  • ✓ PowerShell-DSC-Skript zum Reproduzieren in weiteren Tenants
  • ✓ Auditor-tauglicher Bericht (PDF)
  • ✓ 30 Tage Mail-Support
Buchen

Brauchst du Attack-Simulator-Setup oder Connector-Migration für Hybrid-Setups? Beides als Add-on möglich — bei Anfrage besprechen.
Bundle-Tipp: M365-Hardening + DMARC-Reise zusammen = sauberer Inbound-Schutz UND authentifizierter Outbound.

Stimme aus der Praxis

„Wir hatten EOP auf Standard-Preset und dachten: passt schon, ist ja Microsoft. Nach dem Hardening: Quarantäne-Volumen +35 % im ersten Monat — alles legitime Phishing-Versuche, die vorher durchgekommen wären. Der branded Digest ist das, was die User endlich überhaupt nutzen."

MK
Marc K. · CTO, Treuhand-Gruppe DACH (anonymisiert) · M365 E5, ~140 User

Häufige Fragen.

Brauche ich Defender for Office 365 P1 oder P2?

P1 reicht für die meisten Mittelstand-Tenants (Safe-Links, Safe-Attachments, Anti-Phishing). P2 lohnt für Enterprise mit Threat-Hunting, Attack-Simulator und Auto-Investigation. Wir prüfen das im Erstgespräch.

Funktioniert das mit Hybrid-Exchange?

Ja. Wir setzen die Connectors so dass weder DKIM-Signing noch DMARC-Alignment kaputt gehen — typischer Fehler bei Hybrid-Migrations. Hybrid-Setup: ggf. +½ Tag Aufwand.

Was wenn ihr was kaputt macht?

Wir konfigurieren erst in einer Test-Group (3-5 User), beobachten 24h, dann Roll-out auf alle. Plus: alle Änderungen sind reversibel — vor Roll-out exportieren wir den existing State per PowerShell.

Kombinierbar mit DMARC-Reise?

Sehr sinnvoll, sogar. M365-Hardening + DMARC-Reise zusammen heißt: Inbound ist sauber UND Outbound ist authentifiziert. Bei kombinierter Buchung gibt's Bundle-Rabatt.

Wer hält die Doku auf Stand wenn Microsoft was ändert?

Wir veröffentlichen Quartals-Updates für unsere Standard-Blueprints. Mit Retainer (ab CHF 990 / Mo) kommen die Updates automatisch in dein Tenant.

Wie lange dauert das ganze?

5 Werktage nach Kick-Off. Tag 1: Bestandsaufnahme. Tag 2-3: Konfiguration in Test-Group. Tag 4: Roll-out und Beobachtung. Tag 5: Doku, Übergabe-Workshop, Abschluss.

Verwandte Services

📨

DMARC, SPF & DKIM

Mail-Authentifizierung von p=none bis p=reject. 6-12 Wochen Begleitung. Festpreise ab CHF 690.

DETAILS →
🔐

SeppMail Mail-Encryption

Schweizer Standard für Mail-Verschlüsselung. M365-Connector-Setup ohne DMARC-Bruch. FINMA-konform.

DETAILS →
⚕️

HIN für Gesundheitswesen

Health Info Net Setup für Spitäler & Praxen. M365-Integration mit korrekter DMARC-Konfiguration.

DETAILS →

→ Alle Services im Überblick · → Wissens-Wiki · → Domain-Check (gratis)

30 Min Erstgespräch — gratis.

Du zeigst uns deinen Tenant (oder erzählst nur). Wir sagen dir was zu tun ist und ob's mit dem Festpreis-Paket abgedeckt ist.

Erstgespräch buchen Alle Services
M365 Threat-Hardening — Festpreis CHF 1'990 Erstgespräch →