Transportregeln Transport Rules

Bedingungen, Aktionen, Ausnahmen, DLP und Message Trace für Exchange Mail Flow Rules. Conditions, actions, exceptions, DLP, and message trace for Exchange mail flow rules.

📘 Exchange Online Übersicht 📘 Exchange Online Overview

Architektur, DNS, Limits, Migration und Kern-Cmdlets. Architecture, DNS, limits, migration, and core cmdlets.

📬 Postfachverwaltung 📬 Mailbox Management

Benutzer-, Shared-, Raum- und Archivpostfächer verwalten. Manage user, shared, room, and archive mailboxes.

🛡️ Anti-Spam & Sicherheit 🛡️ Anti-Spam & Security

EOP, Defender, SPF, DKIM, DMARC und Quarantäne. EOP, Defender, SPF, DKIM, DMARC, and quarantine.

Mail Flow Rules in Exchange Online Mail flow rules in Exchange Online

Transportregeln werden tenantweit in der Transportpipeline verarbeitet. Sie sind ideal für einheitliche Geschäftsregeln, aber keine Ersatzlösung für fein granulare Postfachberechtigungen oder Defender-Richtlinien. Transport rules are processed tenant-wide in the transport pipeline. They are ideal for consistent business rules but are not a replacement for fine-grained mailbox permissions or Defender policies.

Was sind Transportregeln? What are transport rules?

Transportregeln, im EAC auch Mail Flow Rules genannt, prüfen Nachrichten anhand definierter Bedingungen und führen anschließend Aktionen aus. Typische Einsatzfelder sind Disclaimer, Klassifizierungs-Header, Blockieren bestimmter Dateitypen, Erzwingen von Verschlüsselung oder Umleitung an Prüfpostfächer. Transport rules, also called mail flow rules in the EAC, inspect messages against defined conditions and then perform actions. Typical use cases include disclaimers, classification headers, blocking specific file types, enforcing encryption, or redirecting messages to review mailboxes.

IF IF

⚙️ Bedingungslogik ⚙️ Condition logic

Kombinieren Sie Absender, Empfänger, Inhalt, Header, Scopes und Attachment-Merkmale. Combine sender, recipient, content, header, scope, and attachment characteristics.

THEN THEN

🎯 Aktionen 🎯 Actions

Ändern Sie Betreff, Header, Routing, SCL, Moderation, Disclaimer oder Verschlüsselung. Modify subject, headers, routing, SCL, moderation, disclaimers, or encryption.

EXCEPT EXCEPT

🚫 Ausnahmen 🚫 Exceptions

Verhindern Sie Fehlalarme über gezielte Ausnahmen für VIPs, interne Prozesse oder Partner. Prevent false positives with targeted exceptions for VIPs, internal processes, or partners.

ORDER ORDER

📏 Priorität 📏 Priority

Die niedrigste Prioritätszahl wird zuerst verarbeitet; StopRuleProcessing beendet weitere Regeln. The lowest priority number is processed first; StopRuleProcessing stops additional rules.

Regeln erstellen: EAC und PowerShell Create rules: EAC and PowerShell

Geschäftsfall definieren Define the business case

Dokumentieren Sie exakt, welche Nachrichten betroffen sein sollen und welche Aktion erwartet wird. Document exactly which messages should be affected and which action is expected.

Bedingungen minimal halten Keep conditions minimal

Starten Sie mit möglichst wenigen, klaren Bedingungen und erweitern Sie nur bei Bedarf. Start with as few clear conditions as possible and extend only as needed.

Ausnahmen bewusst ergänzen Add exceptions deliberately

Ausnahmen reduzieren Fehlalarme, erhöhen aber auch die Komplexität. Exceptions reduce false positives but also increase complexity.

Modus und Priorität prüfen Review mode and priority

Setzen Sie Regeln ggf. zuerst im Testmodus und platzieren Sie sie an der richtigen Stelle. Optionally start rules in test mode and place them at the correct priority position.

Mit Message Trace verifizieren Validate with message trace

Nach Bereitstellung sollte die Wirkung anhand realer Testnachrichten überprüft werden. After deployment, verify the effect with real test messages.

PowerShell PowerShell

        
New-TransportRule -Name "Add External Disclaimer" -SentToScope NotInOrganization -ApplyHtmlDisclaimerLocation Append -ApplyHtmlDisclaimerText "<p>Contoso external email disclaimer</p>" -ApplyHtmlDisclaimerFallbackAction Wrap
Get-TransportRule -Identity "Add External Disclaimer" | Format-List Name,State,Mode,Priority
        
        
New-TransportRule -Name "Add External Disclaimer" -SentToScope NotInOrganization -ApplyHtmlDisclaimerLocation Append -ApplyHtmlDisclaimerText "<p>Contoso external email disclaimer</p>" -ApplyHtmlDisclaimerFallbackAction Wrap
Get-TransportRule -Identity "Add External Disclaimer" | Format-List Name,State,Mode,Priority

PowerShell PowerShell

        
Get-TransportRule |
    Sort-Object Priority |
    Select-Object Name,Priority,State,Mode,Comments,WhenChanged
        
        
Get-TransportRule |
    Sort-Object Priority |
    Select-Object Name,Priority,State,Mode,Comments,WhenChanged

Bedingungen Conditions

Bedingung Condition	PowerShell Parameter PowerShell parameter	Beispiel Example	Einsatz Usage	Beschreibung Description
Absender ist Absender ist	Sender is Sender is	`-From` `-From`	`"ceo@contoso.com"` `"ceo@contoso.com"`	Exakte Absenderadresse oder mehrere Werte. Exakte Absenderadresse oder mehrere Werte.
Empfänger ist Empfänger ist	Recipient is Recipient is	`-SentTo` `-SentTo`	`"legal@contoso.com"` `"legal@contoso.com"`	Exakte Zieladresse. Exakte Zieladresse.
Absender ist Mitglied von Absender ist Mitglied von	Sender is member of Sender is member of	`-FromMemberOf` `-FromMemberOf`	`"Executives"` `"Executives"`	Nützlich für rollenbasierte Regeln. Nützlich für rollenbasierte Regeln.
Empfänger ist Mitglied von Empfänger ist Mitglied von	Recipient is member of Recipient is member of	`-SentToMemberOf` `-SentToMemberOf`	`"HR Team"` `"HR Team"`	Zielt auf Gruppen und Verteiler. Zielt auf Gruppen und Verteiler.
Zwischen zwei Gruppen Zwischen zwei Gruppen	Between two groups Between two groups	`-BetweenMemberOf1AndMemberOf2` `-BetweenMemberOf1AndMemberOf2`	`"Sales","Partners"` `"Sales","Partners"`	Spezielle Kommunikationspfade zwischen Gruppen. Spezielle Kommunikationspfade zwischen Gruppen.
Betreff enthält Wörter Betreff enthält Wörter	Subject contains words Subject contains words	`-SubjectContainsWords` `-SubjectContainsWords`	`"urgent","confidential"` `"urgent","confidential"`	Rein Betreff-basiert. Rein Betreff-basiert.
Betreff oder Text enthält Wörter Betreff oder Text enthält Wörter	Subject or body contains words Subject or body contains words	`-SubjectOrBodyContainsWords` `-SubjectOrBodyContainsWords`	`"invoice","payment"` `"invoice","payment"`	Breiter als reiner Betreff. Breiter als reiner Betreff.
Headername enthält Headername enthält	Header contains name Header contains name	`-HeaderContainsMessageHeader` `-HeaderContainsMessageHeader`	`"X-Originating-IP"` `"X-Originating-IP"`	Verwendet zusammen mit Header-Inhalt. Verwendet zusammen mit Header-Inhalt.
Headerinhalt enthält Headerinhalt enthält	Header contains words Header contains words	`-HeaderContainsWords` `-HeaderContainsWords`	`"marketing"` `"marketing"`	Prüft Header-Werte. Prüft Header-Werte.
Absenderdomäne ist Absenderdomäne ist	Sender domain is Sender domain is	`-SenderDomainIs` `-SenderDomainIs`	`"partner.example"` `"partner.example"`	Für Partner oder bestimmte Domains. Für Partner oder bestimmte Domains.
Empfängerdomäne ist Empfängerdomäne ist	Recipient domain is Recipient domain is	`-RecipientDomainIs` `-RecipientDomainIs`	`"contoso.com"` `"contoso.com"`	Reagiert auf Ziel-Domänen. Reagiert auf Ziel-Domänen.
Empfängeradresse enthält Text Empfängeradresse enthält Text	Recipient address contains words Recipient address contains words	`-AnyOfRecipientAddressContainsWords` `-AnyOfRecipientAddressContainsWords`	`"finance"` `"finance"`	Hilfreich bei Funktionspostfächern. Hilfreich bei Funktionspostfächern.
To-Header enthält To-Header enthält	To header contains To header contains	`-AnyOfToHeader` `-AnyOfToHeader`	`"board@contoso.com"` `"board@contoso.com"`	Prüft nur sichtbare To-Empfänger. Prüft nur sichtbare To-Empfänger.
Cc-Header enthält Cc-Header enthält	Cc header contains Cc header contains	`-AnyOfCcHeader` `-AnyOfCcHeader`	`"audit@contoso.com"` `"audit@contoso.com"`	Prüft sichtbare Cc-Empfänger. Prüft sichtbare Cc-Empfänger.
Absender-Scope Absender-Scope	Sender scope Sender scope	`-FromScope` `-FromScope`	`InOrganization` `InOrganization`	Intern, extern oder Partner-Scope. Intern, extern oder Partner-Scope.
Empfänger-Scope Empfänger-Scope	Recipient scope Recipient scope	`-SentToScope` `-SentToScope`	`NotInOrganization` `NotInOrganization`	Erkennt interne vs. externe Ziele. Erkennt interne vs. externe Ziele.
Nachrichtentyp Nachrichtentyp	Message type Message type	`-MessageTypeMatches` `-MessageTypeMatches`	`AutoForward` `AutoForward`	Z. B. automatische Weiterleitung. Z. B. automatische Weiterleitung.
Klassifizierung vorhanden Klassifizierung vorhanden	Has classification Has classification	`-HasClassification` `-HasClassification`	`"Confidential"` `"Confidential"`	Arbeitet mit Exchange-Klassifizierungen. Arbeitet mit Exchange-Klassifizierungen.
Keine Klassifizierung Keine Klassifizierung	Has no classification Has no classification	`-HasNoClassification` `-HasNoClassification`	`$true` `$true`	Verwendbar für Default-Header. Verwendbar für Default-Header.
Vertraulichkeit Vertraulichkeit	Sensitivity Sensitivity	`-HasSensitivity` `-HasSensitivity`	`CompanyConfidential` `CompanyConfidential`	Verarbeitet klassische Sensitivity-Markierungen. Verarbeitet klassische Sensitivity-Markierungen.
Wichtigkeit Wichtigkeit	Importance Importance	`-HasImportance` `-HasImportance`	`High` `High`	Priorisiert kritische Nachrichten. Priorisiert kritische Nachrichten.
Anlagename passt auf Muster Anlagename passt auf Muster	Attachment name matches patterns Attachment name matches patterns	`-AttachmentNameMatchesPatterns` `-AttachmentNameMatchesPatterns`	`".zip",".7z"` `".zip",".7z"`	Arbeitet mit Dateinamenmustern. Arbeitet mit Dateinamenmustern.
Dateiendung entspricht Dateiendung entspricht	Attachment extension matches Attachment extension matches	`-AttachmentExtensionMatchesWords` `-AttachmentExtensionMatchesWords`	`"exe","js","vbs"` `"exe","js","vbs"`	Häufig für Blockregeln genutzt. Häufig für Blockregeln genutzt.
Anlage ist passwortgeschützt Anlage ist passwortgeschützt	Attachment is password protected Attachment is password protected	`-AttachmentIsPasswordProtected` `-AttachmentIsPasswordProtected`	`$true` `$true`	Kann DLP und Prüfpfade triggern. Kann DLP und Prüfpfade triggern.
Anlage enthält ausführbaren Code Anlage enthält ausführbaren Code	Attachment has executable content Attachment has executable content	`-AttachmentHasExecutableContent` `-AttachmentHasExecutableContent`	`$true` `$true`	Nützlich für Security-Regeln. Nützlich für Security-Regeln.
Anlagenverarbeitung überschritten Anlagenverarbeitung überschritten	Attachment processing exceeded Attachment processing exceeded	`-AttachmentProcessingLimitExceeded` `-AttachmentProcessingLimitExceeded`	`$true` `$true`	Falls Datei nicht vollständig analysiert werden konnte. Falls Datei nicht vollständig analysiert werden konnte.
Nachricht größer als Nachricht größer als	Message size over Message size over	`-MessageSizeOver` `-MessageSizeOver`	`20MB` `20MB`	Für große Anlagen oder Sonderrouten. Für große Anlagen oder Sonderrouten.
Absender-IP-Bereich Absender-IP-Bereich	Sender IP ranges Sender IP ranges	`-SenderIpRanges` `-SenderIpRanges`	`192.0.2.0/24` `192.0.2.0/24`	Wird eher mit Konnektoren kombiniert. Wird eher mit Konnektoren kombiniert.
Empfängeradresse passt auf Regex-Muster Empfängeradresse passt auf Regex-Muster	Recipient address matches patterns Recipient address matches patterns	`-RecipientAddressMatchesPatterns` `-RecipientAddressMatchesPatterns`	`".@vip.contoso.com"` `".@vip.contoso.com"`	Flexible Zieladress-Logik. Flexible Zieladress-Logik.
Absender in Managementbeziehung Absender in Managementbeziehung	Sender in management relationship Sender in management relationship	`-SenderManagementRelationship` `-SenderManagementRelationship`	`Manager` `Manager`	Bezieht Management-Hierarchien ein. Bezieht Management-Hierarchien ein.
Manager-Adressen Manager-Adressen	Manager addresses Manager addresses	`-ManagerAddresses` `-ManagerAddresses`	`"director@contoso.com"` `"director@contoso.com"`	Nützlich für VIP-Workflows. Nützlich für VIP-Workflows.
Textmuster im Header Textmuster im Header	Header matches patterns Header matches patterns	`-HeaderMatchesPatterns` `-HeaderMatchesPatterns`	`"X-Classification"` `"X-Classification"`	Erweiterte Header-Szenarien. Erweiterte Header-Szenarien.

Aktionen Actions

Aktion Action	PowerShell Parameter PowerShell parameter	Beispiel Example	Typischer Nutzen Typical benefit	Beschreibung Description
Betreff ändern Betreff ändern	Modify subject Modify subject	`-ModifySubject` `-ModifySubject`	`"[Review Required] "` `"[Review Required] "`	Ersetzt den bestehenden Betreff ganz oder teilweise. Ersetzt den bestehenden Betreff ganz oder teilweise.
Betreff voranstellen Betreff voranstellen	Prepend subject Prepend subject	`-PrependSubject` `-PrependSubject`	`"[EXTERNAL] "` `"[EXTERNAL] "`	Klassischer externer Warnhinweis. Klassischer externer Warnhinweis.
Header setzen Header setzen	Set header Set header	`-SetHeaderName` + `-SetHeaderValue` `-SetHeaderName` + `-SetHeaderValue`	`X-Data-Classification: Confidential` `X-Data-Classification: Confidential`	Für nachgelagerte Systeme oder Journaling. Für nachgelagerte Systeme oder Journaling.
Header entfernen Header entfernen	Remove header Remove header	`-RemoveHeader` `-RemoveHeader`	`"X-Legacy-Flag"` `"X-Legacy-Flag"`	Bereinigt veraltete Header. Bereinigt veraltete Header.
Nachricht umleiten Nachricht umleiten	Redirect message Redirect message	`-RedirectMessageTo` `-RedirectMessageTo`	`review@contoso.com` `review@contoso.com`	Leitet statt normaler Zustellung um. Leitet statt normaler Zustellung um.
Bcc hinzufügen Bcc hinzufügen	Blind copy to Blind copy to	`-BlindCopyTo` `-BlindCopyTo`	`archive@contoso.com` `archive@contoso.com`	Versteckte Kopie an Prüfpostfach. Versteckte Kopie an Prüfpostfach.
Empfänger hinzufügen Empfänger hinzufügen	Add to recipients Add to recipients	`-AddToRecipients` `-AddToRecipients`	`compliance@contoso.com` `compliance@contoso.com`	Erweitert die ursprünglichen Empfänger. Erweitert die ursprünglichen Empfänger.
Kopie senden Kopie senden	Copy to Copy to	`-CopyTo` `-CopyTo`	`audit@contoso.com` `audit@contoso.com`	Offene Zusatzkopie. Offene Zusatzkopie.
Nachricht löschen Nachricht löschen	Delete message Delete message	`-DeleteMessage` `-DeleteMessage`	`$true` `$true`	Hartes Unterdrücken einer Nachricht. Hartes Unterdrücken einer Nachricht.
Nachricht ablehnen Nachricht ablehnen	Reject message Reject message	`-RejectMessageReasonText` `-RejectMessageReasonText`	`"External forwarding blocked"` `"External forwarding blocked"`	Mit verständlicher Fehlermeldung ablehnen. Mit verständlicher Fehlermeldung ablehnen.
HTML Disclaimer HTML Disclaimer	HTML disclaimer HTML disclaimer	`-ApplyHtmlDisclaimerText` `-ApplyHtmlDisclaimerText`	`"<p>Legal text</p>"` `"<p>Legal text</p>"`	Typischer Haftungsausschluss oder externer Banner. Typischer Haftungsausschluss oder externer Banner.
OME anwenden OME anwenden	Apply OME Apply OME	`-ApplyOME` `-ApplyOME`	`$true` `$true`	Verschlüsselt Nachrichten regelbasiert. Verschlüsselt Nachrichten regelbasiert.
Moderation durch Benutzer Moderation durch Benutzer	Moderate by user Moderate by user	`-ModerateMessageByUser` `-ModerateMessageByUser`	`approver@contoso.com` `approver@contoso.com`	Genehmiger muss freigeben. Genehmiger muss freigeben.
Moderation durch Manager Moderation durch Manager	Moderate by manager Moderate by manager	`-ModerateMessageByManager` `-ModerateMessageByManager`	`$true` `$true`	Management-Hierarchie als Freigabepfad. Management-Hierarchie als Freigabepfad.
Spam Confidence Level setzen Spam Confidence Level setzen	Set SCL Set SCL	`-SetSCL` `-SetSCL`	`9` `9`	Erhöht oder reduziert Spam-Einstufung. Erhöht oder reduziert Spam-Einstufung.
Audit Severity setzen Audit Severity setzen	Set audit severity Set audit severity	`-SetAuditSeverity` `-SetAuditSeverity`	`High` `High`	Hilft bei Nachverfolgung und Reporting. Hilft bei Nachverfolgung und Reporting.
Classification anwenden Classification anwenden	Apply classification Apply classification	`-ApplyClassification` `-ApplyClassification`	`"Internal"` `"Internal"`	Klassische Exchange-Klassifizierungen. Klassische Exchange-Klassifizierungen.
Rights Protection anwenden Rights Protection anwenden	Apply rights protection Apply rights protection	`-RightsProtectMessage` `-RightsProtectMessage`	`"Do Not Forward"` `"Do Not Forward"`	IRM/RMS-bezogene Schutzregel. IRM/RMS-bezogene Schutzregel.
Outbound Connector routen Outbound Connector routen	Route via outbound connector Route via outbound connector	`-RouteMessageOutboundConnector` `-RouteMessageOutboundConnector`	`"Partner TLS Connector"` `"Partner TLS Connector"`	Spezielle Route für Partner oder Smarthost. Spezielle Route für Partner oder Smarthost.
Incident Report Incident Report	Generate incident report Generate incident report	`-GenerateIncidentReport` `-GenerateIncidentReport`	`soc@contoso.com` `soc@contoso.com`	Löst Zusatzbericht bei Treffern aus. Löst Zusatzbericht bei Treffern aus.
Benachrichtigung an Sender Benachrichtigung an Sender	Notify sender Notify sender	`-NotifySender` `-NotifySender`	`RejectMessageEnhancedStatusCode` `RejectMessageEnhancedStatusCode`	Sender erhält Info über Regelwirkung. Sender erhält Info über Regelwirkung.
OME entfernen OME entfernen	Remove OME Remove OME	`-RemoveOME` `-RemoveOME`	`$true` `$true`	Hebt bestehende OME-Markierung auf. Hebt bestehende OME-Markierung auf.
Stop Rule Processing Stop Rule Processing	Stop rule processing Stop rule processing	`-StopRuleProcessing` `-StopRuleProcessing`	`$true` `$true`	Beendet weitere Regelverarbeitung. Beendet weitere Regelverarbeitung.
Quarantäne Quarantäne	Quarantine Quarantine	`-Quarantine` `-Quarantine`	`$true` `$true`	Stellt Nachricht in Quarantäne. Stellt Nachricht in Quarantäne.

Ausnahmen Exceptions

Ausnahme Exception	PowerShell Parameter PowerShell parameter	Beispiel Example	Nutzen Benefit	Beschreibung Description
Außer wenn Absender ist Außer wenn Absender ist	Except if sender is Except if sender is	`-ExceptIfFrom` `-ExceptIfFrom`	`"ceo@contoso.com"` `"ceo@contoso.com"`	VIP-Ausnahme für fixe Adressen. VIP-Ausnahme für fixe Adressen.
Außer wenn Empfänger ist Außer wenn Empfänger ist	Except if recipient is Except if recipient is	`-ExceptIfSentTo` `-ExceptIfSentTo`	`"helpdesk@contoso.com"` `"helpdesk@contoso.com"`	Schließt spezifische Ziele aus. Schließt spezifische Ziele aus.
Außer wenn Absender Mitglied von Außer wenn Absender Mitglied von	Except if sender is member of Except if sender is member of	`-ExceptIfFromMemberOf` `-ExceptIfFromMemberOf`	`"IT Admins"` `"IT Admins"`	Befreit Admin- oder Serviceteams. Befreit Admin- oder Serviceteams.
Außer wenn Empfänger Mitglied von Außer wenn Empfänger Mitglied von	Except if recipient is member of Except if recipient is member of	`-ExceptIfSentToMemberOf` `-ExceptIfSentToMemberOf`	`"Executives"` `"Executives"`	Verhindert Eingriffe für VIP-Gruppen. Verhindert Eingriffe für VIP-Gruppen.
Außer wenn Betreff Wörter enthält Außer wenn Betreff Wörter enthält	Except if subject contains words Except if subject contains words	`-ExceptIfSubjectContainsWords` `-ExceptIfSubjectContainsWords`	`"approved"` `"approved"`	Nützlich für Sonderkennzeichen. Nützlich für Sonderkennzeichen.
Außer wenn Text Wörter enthält Außer wenn Text Wörter enthält	Except if body contains words Except if body contains words	`-ExceptIfSubjectOrBodyContainsWords` `-ExceptIfSubjectOrBodyContainsWords`	`"ticket number"` `"ticket number"`	Schließt Workflow-Mails aus. Schließt Workflow-Mails aus.
Außer wenn Senderdomäne ist Außer wenn Senderdomäne ist	Except if sender domain is Except if sender domain is	`-ExceptIfSenderDomainIs` `-ExceptIfSenderDomainIs`	`"trusted.partner"` `"trusted.partner"`	Partner-Ausnahmen. Partner-Ausnahmen.
Außer wenn Empfängerdomäne ist Außer wenn Empfängerdomäne ist	Except if recipient domain is Except if recipient domain is	`-ExceptIfRecipientDomainIs` `-ExceptIfRecipientDomainIs`	`"subsidiary.contoso"` `"subsidiary.contoso"`	Tochtergesellschaften ausnehmen. Tochtergesellschaften ausnehmen.
Außer wenn Absender-Scope Außer wenn Absender-Scope	Except if sender scope Except if sender scope	`-ExceptIfFromScope` `-ExceptIfFromScope`	`InOrganization` `InOrganization`	Interne Kommunikation ausnehmen. Interne Kommunikation ausnehmen.
Außer wenn Empfänger-Scope Außer wenn Empfänger-Scope	Except if recipient scope Except if recipient scope	`-ExceptIfSentToScope` `-ExceptIfSentToScope`	`InOrganization` `InOrganization`	Interne Ziele ausnehmen. Interne Ziele ausnehmen.
Außer wenn Anhangsmuster passt Außer wenn Anhangsmuster passt	Except if attachment pattern matches Except if attachment pattern matches	`-ExceptIfAttachmentNameMatchesPatterns` `-ExceptIfAttachmentNameMatchesPatterns`	`".signed.pdf"` `".signed.pdf"`	Legitime Sonderdateien zulassen. Legitime Sonderdateien zulassen.
Außer wenn Dateiendung passt Außer wenn Dateiendung passt	Except if extension matches Except if extension matches	`-ExceptIfAttachmentExtensionMatchesWords` `-ExceptIfAttachmentExtensionMatchesWords`	`"msg"` `"msg"`	Erlaubt definierte Endungen. Erlaubt definierte Endungen.
Außer wenn Passwortschutz Außer wenn Passwortschutz	Except if password protected Except if password protected	`-ExceptIfAttachmentIsPasswordProtected` `-ExceptIfAttachmentIsPasswordProtected`	`$true` `$true`	Kann legitime geschützte Dateien erlauben. Kann legitime geschützte Dateien erlauben.
Außer wenn Header enthält Außer wenn Header enthält	Except if header contains Except if header contains	`-ExceptIfHeaderContainsWords` `-ExceptIfHeaderContainsWords`	`"trusted-system"` `"trusted-system"`	Technische Systemheader ausnehmen. Technische Systemheader ausnehmen.
Außer wenn Headername Außer wenn Headername	Except if header name Except if header name	`-ExceptIfHeaderContainsMessageHeader` `-ExceptIfHeaderContainsMessageHeader`	`"X-App"` `"X-App"`	Kombiniert mit Headerwert-Ausnahmen. Kombiniert mit Headerwert-Ausnahmen.
Außer wenn Nachrichtentyp Außer wenn Nachrichtentyp	Except if message type Except if message type	`-ExceptIfMessageTypeMatches` `-ExceptIfMessageTypeMatches`	`OOF` `OOF`	Out-of-office Nachrichten ausschließen. Out-of-office Nachrichten ausschließen.
Außer wenn Größe größer als Außer wenn Größe größer als	Except if message size over Except if message size over	`-ExceptIfMessageSizeOver` `-ExceptIfMessageSizeOver`	`10MB` `10MB`	Ausnahmen für große Dateien. Ausnahmen für große Dateien.
Außer wenn Empfängeradresse Muster Außer wenn Empfängeradresse Muster	Except if recipient address matches patterns Except if recipient address matches patterns	`-ExceptIfRecipientAddressMatchesPatterns` `-ExceptIfRecipientAddressMatchesPatterns`	`".@lab.contoso.com"` `".@lab.contoso.com"`	Lab- oder Testdomänen ausnehmen. Lab- oder Testdomänen ausnehmen.
Außer wenn To-Header enthält Außer wenn To-Header enthält	Except if To header contains Except if To header contains	`-ExceptIfAnyOfToHeader` `-ExceptIfAnyOfToHeader`	`"sandbox@contoso.com"` `"sandbox@contoso.com"`	Spezielle Verteiler ausnehmen. Spezielle Verteiler ausnehmen.
Außer wenn Cc-Header enthält Außer wenn Cc-Header enthält	Except if Cc header contains Except if Cc header contains	`-ExceptIfAnyOfCcHeader` `-ExceptIfAnyOfCcHeader`	`"audit@contoso.com"` `"audit@contoso.com"`	Besondere Prüfempfänger ausnehmen. Besondere Prüfempfänger ausnehmen.
Außer wenn Klassifizierung Außer wenn Klassifizierung	Except if classification Except if classification	`-ExceptIfHasClassification` `-ExceptIfHasClassification`	`"Public"` `"Public"`	Nur bestimmte Klassifizierungen zulassen. Nur bestimmte Klassifizierungen zulassen.
Außer wenn Managementbeziehung Außer wenn Managementbeziehung	Except if management relationship Except if management relationship	`-ExceptIfSenderManagementRelationship` `-ExceptIfSenderManagementRelationship`	`Manager` `Manager`	Management-Kommunikation separat behandeln. Management-Kommunikation separat behandeln.

Priorität und Reihenfolge Priority and order

Regeln werden in numerischer Priorität verarbeitet; die niedrigste Zahl hat Vorrang. Eine zu allgemeine Regel an oberster Stelle kann spezifische Regeln unbeabsichtigt überfahren, insbesondere wenn StopRuleProcessing gesetzt ist. Rules are processed by numeric priority; the lowest number wins. An overly broad rule at the top can unintentionally override specific rules, especially when StopRuleProcessing is enabled.

Platzieren Sie allow-/bypass-Regeln vor restriktiven Catch-all-Regeln. Place allow/bypass rules before restrictive catch-all rules.
Dokumentieren Sie für jede Regel den Business Owner und ein Testverfahren. Document a business owner and test procedure for each rule.
Nutzen Sie sprechende Namen und Kommentare. Use descriptive names and comments.
Vermeiden Sie intransparentes Kaskadieren ähnlicher Regeln. Avoid opaque cascades of similar rules.
Prüfen Sie nach Änderungen mit Get-TransportRule | Sort Priority die tatsächliche Reihenfolge. After changes, verify the actual order with Get-TransportRule | Sort Priority.

PowerShell PowerShell

        
Set-TransportRule -Identity "Add External Disclaimer" -Priority 0
Set-TransportRule -Identity "Encrypt External Finance" -Priority 1
Get-TransportRule | Sort-Object Priority | Select-Object Name,Priority,Mode,State,Comments
        
        
Set-TransportRule -Identity "Add External Disclaimer" -Priority 0
Set-TransportRule -Identity "Encrypt External Finance" -Priority 1
Get-TransportRule | Sort-Object Priority | Select-Object Name,Priority,Mode,State,Comments

Häufige Szenarien Common scenarios

HTML Disclaimer für externe Nachrichten HTML disclaimer for external messages

PowerShell PowerShell

        
New-TransportRule -Name "External Disclaimer"     -SentToScope NotInOrganization     -ApplyHtmlDisclaimerLocation Append     -ApplyHtmlDisclaimerText "<p style='font-size:10pt;color:#666'>This email may contain confidential information intended only for the addressed recipient.</p>"     -ApplyHtmlDisclaimerFallbackAction Wrap
        
        
New-TransportRule -Name "External Disclaimer"     -SentToScope NotInOrganization     -ApplyHtmlDisclaimerLocation Append     -ApplyHtmlDisclaimerText "<p style='font-size:10pt;color:#666'>This email may contain confidential information intended only for the addressed recipient.</p>"     -ApplyHtmlDisclaimerFallbackAction Wrap

Externe Weiterleitung blockieren Block external forwarding

PowerShell PowerShell

        
New-TransportRule -Name "Block Auto Forward External"     -MessageTypeMatches AutoForward     -SentToScope NotInOrganization     -RejectMessageReasonText "Automatic external forwarding is not allowed."     -RejectMessageEnhancedStatusCode "5.7.1"
        
        
New-TransportRule -Name "Block Auto Forward External"     -MessageTypeMatches AutoForward     -SentToScope NotInOrganization     -RejectMessageReasonText "Automatic external forwarding is not allowed."     -RejectMessageEnhancedStatusCode "5.7.1"

Externe Finanzkommunikation verschlüsseln Encrypt external finance mail

PowerShell PowerShell

        
New-TransportRule -Name "Encrypt External Finance"     -FromMemberOf "Finance Team"     -SentToScope NotInOrganization     -ApplyOME $true     -SetAuditSeverity High
        
        
New-TransportRule -Name "Encrypt External Finance"     -FromMemberOf "Finance Team"     -SentToScope NotInOrganization     -ApplyOME $true     -SetAuditSeverity High

Nachrichten per Schlüsselwort umleiten Redirect by keyword

PowerShell PowerShell

        
New-TransportRule -Name "Redirect Incident Mail"     -SubjectOrBodyContainsWords "sev1","major incident","war room"     -RedirectMessageTo incident.command@contoso.com     -StopRuleProcessing $true
        
        
New-TransportRule -Name "Redirect Incident Mail"     -SubjectOrBodyContainsWords "sev1","major incident","war room"     -RedirectMessageTo incident.command@contoso.com     -StopRuleProcessing $true

Klassifizierungs-Header hinzufügen Add classification headers

PowerShell PowerShell

        
New-TransportRule -Name "Tag HR Mail"     -SentToMemberOf "HR Team"     -SetHeaderName "X-Data-Classification"     -SetHeaderValue "HR-Internal"
        
        
New-TransportRule -Name "Tag HR Mail"     -SentToMemberOf "HR Team"     -SetHeaderName "X-Data-Classification"     -SetHeaderValue "HR-Internal"

Ausführbare Dateitypen blockieren Block executable file types

PowerShell PowerShell

        
New-TransportRule -Name "Block Executable Attachments"     -AttachmentExtensionMatchesWords "exe","js","vbs","ps1"     -RejectMessageReasonText "Executable attachments are not permitted."     -RejectMessageEnhancedStatusCode "5.7.1"
        
        
New-TransportRule -Name "Block Executable Attachments"     -AttachmentExtensionMatchesWords "exe","js","vbs","ps1"     -RejectMessageReasonText "Executable attachments are not permitted."     -RejectMessageEnhancedStatusCode "5.7.1"

DLP Regeln DLP rules

DLP in Microsoft 365 wird primär über Purview verwaltet, kann aber für Exchange-Workloads gezielt auf E-Mail angewendet werden. Typische Muster sind Kreditkartennummern, Personalausweisdaten, Gesundheitsdaten oder interne Klassifizierungen. DLP in Microsoft 365 is primarily managed through Purview, but it can be targeted specifically at Exchange workloads. Typical patterns include credit card numbers, national IDs, health data, or internal classifications.

Lizenzabhängig License dependent

Für erweiterte DLP-, OME- und Defender-Szenarien sind häufig zusätzliche Microsoft 365 oder Defender/Purview Lizenzen erforderlich. Advanced DLP, OME, and Defender scenarios often require additional Microsoft 365 or Defender/Purview licenses.

PowerShell PowerShell

        
New-DlpCompliancePolicy -Name "Protect Payment Data" -ExchangeLocation All
New-DlpComplianceRule -Name "Block Credit Card Numbers" -Policy "Protect Payment Data" -ContentContainsSensitiveInformation @{Name="Credit Card Number"; minCount="1"} -BlockAccess $true -NotifyUser user
Get-DlpCompliancePolicy | Select-Object Name,Mode,Workload
        
        
New-DlpCompliancePolicy -Name "Protect Payment Data" -ExchangeLocation All
New-DlpComplianceRule -Name "Block Credit Card Numbers" -Policy "Protect Payment Data" -ContentContainsSensitiveInformation @{Name="Credit Card Number"; minCount="1"} -BlockAccess $true -NotifyUser user
Get-DlpCompliancePolicy | Select-Object Name,Mode,Workload

Testing mit Message Trace Testing with message trace

Nach jeder Regeländerung sollten Sie gezielt Testmails mit dokumentierten Absendern, Empfängern, Betreffmustern und Anlagen senden. Kombinieren Sie Message Trace mit Header-Analyse im Zielpostfach, um die tatsächliche Regelwirkung zu verifizieren. After every rule change, send targeted test emails with documented senders, recipients, subject patterns, and attachments. Combine message trace with header analysis in the target mailbox to verify the actual rule effect.

PowerShell PowerShell

        
Get-MessageTrace -StartDate (Get-Date).AddHours(-2) -EndDate (Get-Date) -SenderAddress user@contoso.com -RecipientAddress review@contoso.com |
    Select-Object Received,SenderAddress,RecipientAddress,Subject,Status,MessageTraceId

Get-MessageTraceDetail -MessageTraceId "<MessageTraceId>" -RecipientAddress review@contoso.com |
    Select-Object Date,Event,Action,Detail
        
        
Get-MessageTrace -StartDate (Get-Date).AddHours(-2) -EndDate (Get-Date) -SenderAddress user@contoso.com -RecipientAddress review@contoso.com |
    Select-Object Received,SenderAddress,RecipientAddress,Subject,Status,MessageTraceId

Get-MessageTraceDetail -MessageTraceId "<MessageTraceId>" -RecipientAddress review@contoso.com |
    Select-Object Date,Event,Action,Detail

PowerShell PowerShell

        
Get-TransportRule |
    Sort-Object Priority |
    Select-Object Name,Priority,State,Mode,Comments,
                  @{n='Actions';e={$_.Actions -join '; '}},
                  @{n='Conditions';e={$_.Conditions -join '; '}}
        
        
Get-TransportRule |
    Sort-Object Priority |
    Select-Object Name,Priority,State,Mode,Comments,
                  @{n='Actions';e={$_.Actions -join '; '}},
                  @{n='Conditions';e={$_.Conditions -join '; '}}

PraxisrezepteOperational recipes

Die folgende Ergänzung liefert 20 zusätzliche reale Mail-Flow-Szenarien sowie Vertiefungen zu DLP, OME, Rights Management, Journalregeln und connectorbezogenen Regeln.The following addition provides 20 more real-world mail flow scenarios plus deeper sections for DLP, OME, rights management, journal rules, and connector-aware rules.

20 zusätzliche reale Rezepte20 additional real-world recipes

Nr.No.	SzenarioScenario
11	Externes Auto-Forwarding blockierenBlock external auto-forwarding
22	Verdächtige ausführbare Anhänge blockierenBlock suspicious executable attachments
33	Vertraulichkeits-Header für HR setzenStamp confidentiality header for HR
44	Bewerbungen an Sammelpostfach umleitenRedirect job applications to review mailbox
55	Partnerdomain TLS erzwingenForce TLS for partner domain
66	Mail mit Kreditkartendaten eskalierenEscalate mail with credit card data
77	Finanzmails mit OME verschlüsselnEncrypt finance mail with OME
88	Externe Antworten für Shared Mailbox verhindernPrevent external replies from a shared mailbox
99	Betreffpräfix für externe MailAdd subject prefix for external mail
1010	ZIP-Dateien mit Passwort verlangenRequire password process for zip files
1111	Ransomware-Dateiendungen blockierenBlock ransomware-prone file types
1212	CEO-Spoofing härter behandelnTreat CEO spoofing more aggressively
1313	Bedingte Moderation für VIP-VerteilerConditional moderation for VIP distribution lists
1414	Klassifizierung aus Header ableitenDerive classification from header
1515	Journaling nur für kritische Gruppen triggernTrigger journaling only for critical groups
1616	Kundenservice-Mails kopierenBlind copy customer service mail
1717	Nicht genehmigte Connector-Quellen markierenTag unapproved connector sources
1818	Große Anhänge extern ablehnenReject large external attachments
1919	NDR mit Compliance-Hinweis anreichernEnrich NDRs with compliance guidance
2020	B2B-Projekte automatisch labelnAuto-label B2B project mail

PowerShellPowerShell

New-TransportRule -Name "01 Block External AutoForward" -MessageTypeMatches AutoForward -SentToScope NotInOrganization -RejectMessageEnhancedStatusCode "5.7.1" -RejectMessageReasonText "External auto-forwarding is blocked."
New-TransportRule -Name "02 Block EXE Attachments" -AttachmentExtensionMatchesWords "exe","js","vbs","ps1" -RejectMessageReasonText "Executable attachments are not allowed."
New-TransportRule -Name "03 HR Confidential Header" -FromMemberOf "hr@contoso.com" -SetHeaderName "X-Data-Classification" -SetHeaderValue "HR-Confidential"
New-TransportRule -Name "04 Redirect Applications" -SubjectContainsWords "application","resume","curriculum vitae" -BlindCopyTo "hr-review@contoso.com"
New-TransportRule -Name "05 Force TLS Partner" -RecipientDomainIs "partner.contoso.net" -RouteMessageOutboundConnector "PartnerTLS"
New-TransportRule -Name "06 DLP Credit Card Escalation" -ContainsSensitiveInformation @{Name="Credit Card Number"; minCount="1"} -GenerateIncidentReport "dlp-alerts@contoso.com"
New-TransportRule -Name "07 Encrypt Finance Mail" -FromMemberOf "finance@contoso.com" -SentToScope NotInOrganization -ApplyOME $true
New-TransportRule -Name "08 Block Shared Mailbox Replies" -From "noreply@contoso.com" -SentToScope NotInOrganization -RejectMessageReasonText "This mailbox cannot send external replies."
New-TransportRule -Name "09 Prefix External" -FromScope NotInOrganization -PrependSubject "[External]"
New-TransportRule -Name "10 Password Protected ZIP Review" -AttachmentNameMatchesPatterns "*.zip","*.7z" -PrependSubject "[Review ZIP]"
New-TransportRule -Name "11 Block Ransomware Extensions" -AttachmentExtensionMatchesWords "iso","img","scr","hta" -DeleteMessage $true
New-TransportRule -Name "12 CEO Spoofing Mark" -FromAddressMatchesPatterns "ceo@contoso.com" -FromScope NotInOrganization -SetSCL 9
New-TransportRule -Name "13 Moderate VIP DL" -SentTo "board@contoso.com" -ModerateMessageByUser "ceo-assistant@contoso.com"
New-TransportRule -Name "14 Stamp Header From ERP" -SenderIpRanges "203.0.113.10" -SetHeaderName "X-LineOfBusiness" -SetHeaderValue "ERP"
New-TransportRule -Name "15 Journal Critical Group" -FromMemberOf "trading@contoso.com" -Journal "journal@contoso.com"
New-TransportRule -Name "16 BCC Customer Service" -RecipientDomainIs "vipcustomer.com" -BlindCopyTo "customer-success@contoso.com"
New-TransportRule -Name "17 Mark Unapproved Connector Source" -SenderIpRanges "198.51.100.0/24" -PrependSubject "[Connector Review]"
New-TransportRule -Name "18 Reject Large External Attachments" -SentToScope NotInOrganization -AttachmentSizeOver 20MB -RejectMessageReasonText "External attachment limit exceeded."
New-TransportRule -Name "19 Add Compliance Footer" -FromMemberOf "legal@contoso.com" -ApplyHtmlDisclaimerText "<p>Retain according to legal hold requirements.</p>" -ApplyHtmlDisclaimerLocation Append
New-TransportRule -Name "20 Auto Label B2B Mail" -RecipientDomainIs "partner.example" -SetHeaderName "msip_labels" -SetHeaderValue "General"

DLP Deep DiveDLP deep dive

ThemaTopic	DetailsDetails
Policy tipsPolicy tips	Nutzer sehen Hinweise in Outlook/OWA, bevor die Nachricht gesendet wird.Users see tips in Outlook/OWA before the message is sent.
Incident reportsIncident reports	DLP kann Meldungen an Security-, Compliance- oder Fachbereiche senden.DLP can send incident reports to security, compliance, or business teams.
TestWithPolicyTipsTestWithPolicyTips	Empfohlen für gestufte Einführung vor echter Erzwingung.Recommended for staged rollout before true enforcement.
OverridesOverrides	Geschäftlich begründete Ausnahmen können protokolliert und begrenzt werden.Business-justified overrides can be logged and constrained.
Sensitive Information TypesSensitive information types	SITs bilden das Fundament für viele Mail-DLP-Szenarien.SITs form the foundation for many mail DLP scenarios.

OME und Rights ManagementOME and Rights Management

Mail Flow Rules können mit Office Message Encryption und Rights Management zusammenspielen, sollten aber immer zusammen mit Sensitivity Labels, Template-Lifecycle und Client-Kompatibilität bewertet werden.Mail flow rules can work together with Office Message Encryption and Rights Management, but they should always be assessed together with sensitivity labels, template lifecycle, and client compatibility.

BereichArea	HinweisNote
OMEOME	Erzwingt Nachrichtenschutz für externe Empfänger ohne IRM-Clientvoraussetzung.Enforces message protection for external recipients without requiring an IRM-capable client.
RMS templatesRMS templates	Rights Management Templates standardisieren Nutzungsrechte.Rights Management templates standardize usage rights.
Do Not ForwardDo Not Forward	Verhindert Weiterleitung, Drucken oder Kopieren je nach Template.Prevents forwarding, printing, or copying depending on the template.

PowerShellPowerShell

Set-IRMConfiguration -AzureRMSLicensingEnabled $true
New-TransportRule -Name "Encrypt External Legal Mail" -FromMemberOf "legal@contoso.com" -SentToScope NotInOrganization -ApplyOME $true
New-TransportRule -Name "Do Not Forward HR Reviews" -SubjectContainsWords "performance review" -ApplyRightsProtectionTemplate "Do Not Forward"

JournalregelnJournal rules

ThemaTopic	HinweisNote
Journal RuleJournal rule	Leitet Kopien an Journal-Postfächer oder Archivsysteme.Routes copies to journal mailboxes or archive systems.
Journal Report NDRJournal report NDR	Muss überwacht werden, sonst droht Compliance-Lücke.Must be monitored to avoid compliance gaps.
ScopeScope	Internal, external oder global definieren den Geltungsbereich.Internal, external, or global define the scope.

PowerShellPowerShell

Set-TransportConfig -JournalingReportNdrTo journal-ndr@contoso.com
New-JournalRule -Name "Journal Trading" -Recipient "trading@contoso.com" -JournalEmailAddress journal@contoso.com -Scope Global -Enabled $true
Get-JournalRule | Select-Object Name,Scope,Recipient,JournalEmailAddress,Enabled

Connector-bezogene RegelnConnector-aware rules

Regeln, Connectoren und Message Trace gehören zusammen. Prüfen Sie immer zuerst, über welchen Connector eine Nachricht lief, bevor Sie Regelwirkungen beurteilen.Rules, connectors, and message trace belong together. Always verify which connector a message used before assessing rule behavior.

MusterPattern	EinsatzUse
Partner TLSPartner TLS	Kombiniert Connector-Prüfung mit Regel-Stamping oder Blockierung.Combines connector validation with rule stamping or blocking.
Hybrid carve-outHybrid carve-out	Verhindert doppelte Aktionen für on-premises Relays.Prevents duplicate actions for on-premises relays.
Header stampingHeader stamping	Markiert Mail aus bestimmten Connectorpfaden für nachgelagerte Systeme.Marks mail from specific connector paths for downstream systems.

PowerShellPowerShell

Get-InboundConnector | Select-Object Name,ConnectorType,TlsSenderCertificateName,SenderDomains
Get-OutboundConnector | Select-Object Name,ConnectorType,RecipientDomains,UseMXRecord,RouteAllMessagesViaOnPremises
Get-MessageTrace -StartDate (Get-Date).AddHours(-6) -EndDate (Get-Date) -SenderAddress alerts@partner.example

Weiterführende FehleranalyseFurther troubleshooting

Für NDRs, Headeranalyse, Message Trace und DNS-Checks siehe zusätzlich Mail Flow TroubleshootingMail flow troubleshooting.For NDRs, header analysis, message trace, and DNS checks, also see Mail Flow TroubleshootingMail flow troubleshooting.