Senden und Empfangen von E-Mails einschränken (Bildungseinrichtungen)

Hier ist die praxisrelevante, komplette Übersicht, wie man bei Microsoft 365 A3/A5 verhindern kann, dass Schüler E‑Mails versenden, aber weiterhin empfangen oder intern lesen dürfen.

1. Exchange Mail Flow Rule (Transportregel) – Outbound blockieren

Die zuverlässigste, einfachste und in Schulen am häufigsten genutzte Methode. Damit wird das Senden an externe oder interne Empfänger komplett unterbunden.

So geht’s:

Gehe zum Exchange Admin Center > E-Mailfluss > Regeln > Eine neue Regel hinzufügen

Beispiel (alles blockieren):

• Wenn: Absender ist Mitglied der Gruppe Schüler (es muss eine E-Mail-aktivierte-Sicherheitsgruppe sein)
• Dann: Nachricht ablehnen mit Erklärung „Versand von E-Mails ist deaktiviert“
• Bereich: Nachrichten, die ins Internet gesendet werden\ und optional auch Nachrichten innerhalb der Organisation

Vorteil:

• Sofort aktiv
• Sehr granular (z. B. nur extern blocken, intern erlauben)

Empfehlung:

Schüler in einer Microsoft 365 Gruppe / Entra-Gruppe sammeln > Regel darauf anwenden.

2. Outbound Spam Policy (Defender for Office 365)

Hier kann man Schüler einstufen, damit sie gar keine externen E-Mails senden dürfen.

So geht’s:

Gehe zu Microsoft 365 Defender > Policies > Anti‑Spam > Outbound Spam Policy

• Benutzer oder Gruppe „Schüler“
• Option: Restrict external email sending
• Oder: Block all outbound mail

Vorteil:

• Sehr sicher gegen Missbrauch (Phishing, Spamming)
• Gut für größere Schulen

Nachteil:

• Weniger flexibel als Mailflow-Regeln
• Verzögerung bis die Policy greift (manchmal 30–60 Minuten)

3. Mailbox-spezifische Send-As / Send-Transport-Settings deaktivieren

Jede Mailbox kann so konfiguriert werden, dass sie nicht senden darf.

PowerShell (Exchange Online):

Set-CASMailbox -Identity schueler@schule.de -SmtpClientAuthenticationDisabled $true

Das verhindert z. B. das Senden per Outlook-Desktop oder SMTP, aber die Nutzer könnten weiterhin in Outlook on the Web senden > daher allein nicht ausreichend.

Empfehlung:

> Nur als Zusatzmaßnahme verwenden.

4. Outlook Web App Policy (OWA Policy) – „New Mail“ deaktivieren

Damit verschwindet in OWA die Funktion Neue E-Mail.

So geht’s:

PowerShell:

Set-OwaMailboxPolicy -Identity „OWA-Policy-Schueler“ -EnableCompose $false

Dann die Policy zuweisen:

Set-CASMailbox -Identity schueler@schule.de -OwaMailboxPolicy „OWA-Policy-Schueler“

Vorteil:

• Schüler können in OWA überhaupt keine neue Nachricht erstellen.

Nachteil:

• Nur für OWA – nicht für Outlook-Desktop oder Mobilgeräte\ → Kombinieren mit Mailflow-Regel!

5. Conditional Access (nur eingeschränkt hilfreich)

Mit A3 kann man:

• Zugriff auf Outlook / Exchange komplett blockieren\ → Schüler können dann auch keine E-Mails empfangen, daher ungeeignet.

Conditional Access eignet sich nicht, wenn man nur das Senden verhindern will.

Welche Methode ist für Schulen am besten?

Empfehlung (praktisch bewährt):

➜ Kombination aus

✔ Mailflow-Regel (Outbound block)\ ✔ Optional: OWA Policy, um Senden-Button auszublenden

Das ist extrem zuverlässig und einfach administrierbar.

Beispielkonfiguration für Schulen

1) Gruppe erstellen

„Schüler – E-Mail gesperrt“

2) Mailflow-Regel

• Absender: Gruppe „Schüler – E-Mail gesperrt“
• Aktion: Nachricht ablehnen
• Bereich: Intern + Extern

3) (Optional) OWA Policy

• Compose = Off

Fertig.

Stand: 04.02.2026