Das gezielte Blockieren ausgewählter Top-Level-Domains (TLDs) ist eine der effektivsten Maßnahmen, um Phishing‑ und Spam‑Wellen frühzeitig auszubremsen.

Viele missbräuchlich genutzte Domains werden in Ländern registriert, in denen anonyme, günstige und schnell verfügbare Registrierungen möglich sind. Mit einer Mailflow‑Regel, die problematische TLDs am „From“-Header abfängt, reduzierst du sofort den Rauschteppich im Posteingang, entlastest Schutzmechanismen wie Safe Links und verringerst den Druck auf Benutzer, ständig zwischen legitimen und betrügerischen Mails unterscheiden zu müssen.

Eine kurze Audit‑Phase, plus gepflegte Allowlist, sorgt dafür, dass legitime Partner nicht fälschlich blockiert werden – bei gleichzeitig deutlich spürbarem Sicherheitsgewinn.

Wie die Regel technisch funktioniert – kurz erklärt

Die TLD‑Block‑Regel greift direkt im Exchange Online Mailflow, also an einer Stelle, an der eingehende E‑Mails zum ersten Mal geprüft werden. Dabei wird ausschließlich externer Traffic betrachtet – interne Nachrichten bleiben außen vor. Kern der Logik ist der Blick in den sichtbaren „From“-Header der E-Mail: Dort prüft Exchange mithilfe von regulären Ausdrücken, ob die Absenderadresse mit einer bestimmten Top-Level-Domain endet, etwa .ru, .cn oder .xyz.

Treffen diese Muster zu, wird die Mail sofort abgelehnt, bevor sie irgendein Postfach erreicht oder andere Sicherheitsebenen belastet. Das verhindert effektiv, dass Phishing oder Spam überhaupt im Unternehmen ankommt. Für legitime Partner lassen sich gezielte Ausnahmen hinterlegen, sodass wichtige Kommunikation nicht blockiert wird.

Dank eines optionalen Audit-Modus kannst du die Regel zunächst beobachten, ohne aktiv Mails zu verwerfen. Sobald klar ist, dass keine falschen Treffer auftreten, wird die Regel scharf geschaltet – und sorgt ab diesem Moment für deutlich mehr Ruhe und Sicherheit im Posteingang.

Die TLD‑Block‑Regel wirkt völlig unabhängig von SPF, DKIM und DMARC und verwirft Mails, bevor Authentifizierungsmechanismen greifen – genau dadurch reduziert sie den Aufwand, den Angreifer technisch korrekt signierte, aber dennoch bösartige Mails verursachen würden.

$patterns = @('\.ru$', '\.cn$', '\.xyz$', '\.tr$')

New-TransportRule -Name "Blockiere TLDs" -Priority 0  -FromScope NotInOrganizatio -HeaderMatchesMessageHeader "From" -HeaderMatchesPatterns $patterns -RejectMessageEnhancedStatusCode "5.7.1"

Hinweis/Disclaimer: Es erfolgt keine Garantie oder Gewährleistung für Funktion, Vollständigkeit oder Eignung in anderen Umgebungen.

**Stand:** 15.02.2026