Inhalt in Kürze
- Sofort handeln: Wenn Microsoft 365 den Versand sperrt, retten Sie zuerst die Frist über einen Ausweichkanal — dann erst suchen Sie die Ursache.
- Vier Hauptursachen: überschrittenes Versand-/Empfängerlimit, gesperrtes Konto als „Restricted Entity” im Defender (oft nach einem kompromittierten Account), SPF-/DKIM-/DMARC-Fehler oder eine IP auf einer Blockliste.
- Den Grund liefert der NDR: Der Unzustellbarkeitsbericht nennt einen SMTP-Fehlercode (z. B. 5.7.x), der dem Admin sofort sagt, woran es liegt.
- Vorbeugen statt feuerlöschen: MFA, Conditional Access, saubere DNS-Einträge und Monitoring verhindern die häufigste Ursache — den gehackten Account.
Es ist 16:40 Uhr am Abgabetag. Die Jahresabschlüsse müssen raus, die Frist endet um 18 Uhr — und Outlook meldet bei jeder gesendeten Mail einen Fehler. Microsoft 365 versendet plötzlich keine Mails mehr. Der Puls steigt, und genau jetzt ist klar denken am schwersten.
Atmen Sie einmal durch. Dieser Artikel führt Sie Schritt für Schritt durch den Notfall: zuerst die Frist retten, dann die Ursache finden, am Ende dafür sorgen, dass es nie wieder passiert. Geschrieben aus der Praxis — wir lösen genau solche Fälle in Hamburg fast jeden Monat.
Erste Hilfe: Was Sie in den ersten 30 Minuten tun
Der größte Fehler im Stress ist, hektisch dieselbe Mail zwanzigmal neu zu senden. Das hilft nicht — und wenn das Konto wegen verdächtigem Versand gesperrt wurde, macht es die Sache schlimmer. Gehen Sie stattdessen geordnet vor.
Trennen Sie zwei Aufgaben sauber: die Frist retten und das Problem lösen. Beides gleichzeitig zu versuchen kostet Zeit, die Sie nicht haben. Sichern Sie zuerst die Zustellung über einen Ausweichkanal — die technische Reparatur läuft parallel.
- Minute 0–5 — Beweis sichern: Öffnen Sie den Unzustellbarkeitsbericht (NDR), den Outlook Ihnen geschickt hat. Notieren Sie den SMTP-Fehlercode (z. B.
5.7.1oder5.7.511) und machen Sie einen Screenshot. Dieser Code ist der Schlüssel zur Ursache. - Minute 5–15 — Frist über Ausweichkanal retten: Senden Sie das Dokument über einen sauberen, zweiten Weg: ein privates Postfach, ein Mobilgerät über das Mobilfunknetz (nicht das Firmen-WLAN), ein Upload-Portal des Empfängers oder DATEV. Halten Sie jeden Versuch mit Zeitstempel fest.
- Minute 10–20 — Empfänger telefonisch informieren: Rufen Sie die Gegenstelle an — Finanzamt, Mandant, Gericht. Ein dokumentierter Anruf vor Fristablauf ist Gold wert. Fragen Sie nach einem alternativen Eingang oder einer kurzen Verlängerung.
- Minute 15–30 — Admin oder IT-Dienstleister einschalten: Nur ein Administrator kann ein gesperrtes Konto im Microsoft Defender entsperren oder Limits anpassen. Geben Sie ihm den Fehlercode aus Schritt 1 — damit findet er die Ursache in Minuten statt Stunden.
Wenn Sie in Hamburg sitzen und im akuten Notfall niemanden mit Admin-Rechten erreichen, hilft unsere IT-Notfallhilfe Hamburg auch kurzfristig — gerade an Abgabetagen.
Warum Outlook keine Mails senden kann: die vier Hauptursachen
Sobald die Frist gesichert ist, geht es an die Ursache. In über 90 Prozent der Fälle steckt einer dieser vier Gründe dahinter — und der Fehlercode im NDR verrät meist, welcher.
| Fehlercode (NDR) | Wahrscheinliche Ursache | Was zu tun ist |
|---|---|---|
| 5.7.1 / „Restricted Entity” | Konto im Defender gesperrt — oft nach kompromittiertem Account | Ursache klären (Passwort, MFA), dann Admin entsperrt im Defender-Portal |
| 5.7.x „Limit exceeded” | Tageslimit für Empfänger oder ausgehende Mails überschritten | Versand drosseln, auf 24-Std-Fenster warten oder Limit prüfen lassen |
| 5.7.23 / SPF-Fehler | SPF-, DKIM- oder DMARC-Eintrag fehlt oder ist falsch | DNS-Einträge vom Admin korrigieren lassen |
| 5.7.511 / „access denied” | Empfänger-Server oder Blockliste lehnt Ihre IP ab | IP-Reputation prüfen, ggf. Delisting beantragen |
Microsoft pflegt eine ausführliche Referenz der Unzustellbarkeitsberichte in Exchange Online. Wenn Sie den genauen Code nachschlagen, sehen Sie oft schon die Lösung im Klartext.
Ursache 1: Das Konto ist eine „Restricted Entity” im Defender
Das ist der unangenehmste Fall — und leider häufig. Wenn ein Postfach in kurzer Zeit auffällig viele Mails verschickt, die nach Spam aussehen, sperrt Microsoft Defender for Office 365 das Konto für ausgehende Mails und führt es als „eingeschränkte Entität” (Restricted Entity). Microsoft beschreibt im Leitfaden zum Entsperren eingeschränkter Benutzer, dass ein Administrator das Konto im Defender-Portal manuell wieder freigeben muss, nachdem die Ursache geklärt ist.
Und die Ursache ist fast immer dieselbe: ein kompromittiertes Postfach. Jemand hat auf eine Phishing-Mail geklickt, Angreifer haben sich angemeldet und über das Konto Massen-Spam verschickt. Microsoft zieht die Reißleine — und sperrt ausgerechnet Sie aus, am falschen Tag.
Eine Defender-Sperre ist nie nur ein technisches Ärgernis. Sie ist ein Alarmsignal, dass ein Konto kompromittiert sein könnte. Bevor der Admin einfach entsperrt, gehört das Passwort zurückgesetzt, die MFA geprüft und nach fremden Anmelderegeln gesucht. Sonst sperrt Microsoft Sie in zwei Stunden erneut.
Ursache 2: Versand- und Empfängerlimits überschritten
Exchange Online hat eingebaute Grenzen, wie viele Empfänger ein Postfach pro Tag erreichen und wie viele Mails es pro Minute senden darf. Diese Limits sollen genau das verhindern, was bei einem gehackten Konto passiert — Massenversand. Microsoft dokumentiert die Standardgrenzen in den Exchange-Online-Limits. Wer in einer Serienmail 600 Mandanten gleichzeitig anschreibt, kann eine dieser Grenzen reißen — und steht dann mit halb versendeter Liste da.
Ursache 3 und 4: Authentifizierung und Blocklisten
Fehlt der SPF-Eintrag, ist DKIM falsch signiert oder blockt eine zu strenge DMARC-Regel, lehnen Empfänger-Server Ihre Mails ab — gern erst, wenn Sie es am wenigsten gebrauchen können. Die Grundlagen dazu haben wir in unserem Beitrag zur E-Mail-Sicherheit im Unternehmen zusammengefasst. Steht zusätzlich Ihre Versand-IP auf einer Blockliste, hilft nur eine geprüfte Delisting-Anfrage.
Wenn Sie wissen wollen, welche M365-Einstellungen Sie wirklich brauchen, um solche Sperren zu vermeiden, haben wir einen Praxis-Guide zusammengestellt — kostenlos und ohne Vertriebsgeschwätz:
Was der Admin jetzt konkret macht
Mit dem Fehlercode aus dem NDR weiß ein erfahrener Administrator sofort, wo er hinschauen muss. Der typische Ablauf bei einer Defender-Sperre sieht so aus.
- Anmeldeprotokolle prüfen. Gab es Logins aus dem Ausland oder zu ungewöhnlichen Zeiten? Das deckt einen kompromittierten Account auf.
- Passwort zurücksetzen und MFA erzwingen. Erst die Tür schließen, dann das Konto wieder öffnen — nicht umgekehrt.
- Fremde Posteingangsregeln und Weiterleitungen löschen. Angreifer richten oft heimliche Weiterleitungen ein, die nach der Entsperrung weiterlaufen.
- Konto im Defender-Portal entsperren. Unter „Eingeschränkte Entitäten" das Postfach freigeben — danach ist der Versand meist in Minuten wieder möglich.
- Versand testen und überwachen. Eine Testmail an ein externes Postfach bestätigt, dass alles wieder läuft.
Wenn Ihr Exchange noch auf einem alten lokalen Server läuft, ist jetzt der richtige Moment, über einen sauberen Umzug nachzudenken. Wie das geht, zeigt unser Leitfaden zum Exchange auf Microsoft 365 migrieren.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.
Dieser Satz klingt simpel, aber er ist der Kern. Die meisten Versandsperren, die wir sehen, hätte MFA von vornherein verhindert. Ein Angreifer mit gestohlenem Passwort, aber ohne zweiten Faktor, kommt schlicht nicht ins Postfach — und kann es nicht für Spam missbrauchen.
Wer noch nicht so weit ist, findet bei uns die wichtigsten Sofortmaßnahmen in den 5 Tipps zur einfachen Erhöhung der E-Mail-Sicherheit. Die meisten davon sind in einer halben Stunde erledigt.
Dauerhaft vorbeugen: damit der Notfall ausbleibt
Ein blockierter Mailversand am Abgabetag ist fast immer das Ergebnis von etwas, das vorher schlummerte. Vier Maßnahmen senken das Risiko drastisch.
Erstens: Multi-Faktor-Authentifizierung für alle Konten, ohne Ausnahme. Sie ist der wirksamste Schutz vor dem kompromittierten Postfach — der häufigsten Wurzel von Versandsperren. Kombiniert mit Conditional Access (z. B. „Anmeldung aus dem Ausland blockieren”) wird ein gestohlenes Passwort wertlos.
Überall da, wo es technisch einfach umsetzbar ist, würde ich alle bitten, eine Multifaktor-Authentifizierung zu nutzen.
Zweitens: SPF, DKIM und DMARC sauber setzen. Korrekte DNS-Einträge sorgen dafür, dass Ihre Mails als echt erkannt werden und nicht auf Blocklisten landen. Einmal richtig eingerichtet, läuft das geräuschlos im Hintergrund.
Drittens: realistische Versandlimits und Monitoring. Ein gutes Setup meldet eine drohende Sperre, bevor sie greift — etwa wenn ein Postfach plötzlich ungewöhnlich viele Mails verschickt. So fangen wir das Problem ab, während Sie noch in Ruhe arbeiten.
Viertens: ein Notfall-SLA mit klaren Reaktionszeiten. Wenn doch einmal etwas blockiert, brauchen Sie nicht erst eine Hotline-Warteschleife, sondern jemanden, der sofort die Admin-Rechte und die Erfahrung hat. Genau das ist Teil unserer Managed IT mit Notfall-SLA. Das ganze Microsoft-365-Fundament — Identität, Sicherheit, Geräte — bündeln wir im Modern Workplace / Microsoft 365.
Aus der Praxis: warum gerade Kanzleien betroffen sind
Steuerkanzleien und Anwaltsbüros trifft es besonders hart — und besonders oft. Sie arbeiten zu festen Stichtagen, verschicken Serienmails an viele Mandanten und sind ein lohnendes Phishing-Ziel. Reißt der Versand am Tag der Fristen, ist das keine Lappalie, sondern ein echtes Haftungsthema.
Wir betreuen mehrere Kanzleien in Hamburg und Norddeutschland und kennen das Muster: Erst fällt es niemandem auf, dass die IT seit Jahren nur geflickt wurde — bis der Ernstfall kommt.
Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.
Ein blockierter Mailversand ist oft die harmlose Vorstufe genau solcher Vorfälle — derselbe gehackte Account, der heute nur Spam verschickt, kann morgen das Einfallstor für Ransomware sein. Deshalb behandeln wir eine Versandsperre nie als reines Mail-Problem, sondern immer als Sicherheitsfrage. Für die besonderen Anforderungen von Kanzleien haben wir das Thema in IT für Steuerkanzleien vertieft.
Übrigens: Welche Lizenz welche Sicherheitsfunktionen mitbringt, ist gar nicht so kompliziert, wie es klingt. Eine verständliche Übersicht finden Sie in unserem Beitrag, in dem wir das Microsoft-365-Lizenzmodell kurz und knapp erklären.
Ihr nächster Schritt
Einen blockierten Mailversand können Sie im Akutfall mit dem Notfallplan oben überbrücken. Dafür zu sorgen, dass es gar nicht erst passiert — MFA, saubere DNS-Einträge, Monitoring, ein erreichbarer Admin im Notfall — ist Fleißarbeit mit vielen Details. Genau das nehmen wir Ihnen ab.
Wir betreuen in Hamburg und Norddeutschland Betriebe mit 5 bis 150 Mitarbeitern. Sagen Sie uns, wie Ihr Microsoft 365 heute aufgestellt ist — wir sagen Ihnen ehrlich, wo das nächste Risiko lauert.
Mailversand blockiert oder Microsoft 365 endlich absichern?
15 Minuten. Kostenlos. Ohne Vertriebsdruck.
Erstgespräch buchen →