10 Min.
Gestresster Mitarbeiter am Laptop mit blockiertem E-Mail-Postfach kurz vor einer Frist

Microsoft 365 Mailversand blockiert am Abgabetag: Notfallplan

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Sofort handeln: Wenn Microsoft 365 den Versand sperrt, retten Sie zuerst die Frist über einen Ausweichkanal — dann erst suchen Sie die Ursache.
  • Vier Hauptursachen: überschrittenes Versand-/Empfängerlimit, gesperrtes Konto als „Restricted Entity” im Defender (oft nach einem kompromittierten Account), SPF-/DKIM-/DMARC-Fehler oder eine IP auf einer Blockliste.
  • Den Grund liefert der NDR: Der Unzustellbarkeitsbericht nennt einen SMTP-Fehlercode (z. B. 5.7.x), der dem Admin sofort sagt, woran es liegt.
  • Vorbeugen statt feuerlöschen: MFA, Conditional Access, saubere DNS-Einträge und Monitoring verhindern die häufigste Ursache — den gehackten Account.

Es ist 16:40 Uhr am Abgabetag. Die Jahresabschlüsse müssen raus, die Frist endet um 18 Uhr — und Outlook meldet bei jeder gesendeten Mail einen Fehler. Microsoft 365 versendet plötzlich keine Mails mehr. Der Puls steigt, und genau jetzt ist klar denken am schwersten.

Atmen Sie einmal durch. Dieser Artikel führt Sie Schritt für Schritt durch den Notfall: zuerst die Frist retten, dann die Ursache finden, am Ende dafür sorgen, dass es nie wieder passiert. Geschrieben aus der Praxis — wir lösen genau solche Fälle in Hamburg fast jeden Monat.

Erste Hilfe: Was Sie in den ersten 30 Minuten tun

Der größte Fehler im Stress ist, hektisch dieselbe Mail zwanzigmal neu zu senden. Das hilft nicht — und wenn das Konto wegen verdächtigem Versand gesperrt wurde, macht es die Sache schlimmer. Gehen Sie stattdessen geordnet vor.

Wichtig bei laufender Frist:

Trennen Sie zwei Aufgaben sauber: die Frist retten und das Problem lösen. Beides gleichzeitig zu versuchen kostet Zeit, die Sie nicht haben. Sichern Sie zuerst die Zustellung über einen Ausweichkanal — die technische Reparatur läuft parallel.

  1. Minute 0–5 — Beweis sichern: Öffnen Sie den Unzustellbarkeitsbericht (NDR), den Outlook Ihnen geschickt hat. Notieren Sie den SMTP-Fehlercode (z. B. 5.7.1 oder 5.7.511) und machen Sie einen Screenshot. Dieser Code ist der Schlüssel zur Ursache.
  2. Minute 5–15 — Frist über Ausweichkanal retten: Senden Sie das Dokument über einen sauberen, zweiten Weg: ein privates Postfach, ein Mobilgerät über das Mobilfunknetz (nicht das Firmen-WLAN), ein Upload-Portal des Empfängers oder DATEV. Halten Sie jeden Versuch mit Zeitstempel fest.
  3. Minute 10–20 — Empfänger telefonisch informieren: Rufen Sie die Gegenstelle an — Finanzamt, Mandant, Gericht. Ein dokumentierter Anruf vor Fristablauf ist Gold wert. Fragen Sie nach einem alternativen Eingang oder einer kurzen Verlängerung.
  4. Minute 15–30 — Admin oder IT-Dienstleister einschalten: Nur ein Administrator kann ein gesperrtes Konto im Microsoft Defender entsperren oder Limits anpassen. Geben Sie ihm den Fehlercode aus Schritt 1 — damit findet er die Ursache in Minuten statt Stunden.
Das Wichtigste: Retten Sie zuerst die Frist, nicht die Technik. Ein zweiter, sauberer Versandkanal plus ein dokumentierter Anruf beim Empfänger bringt Ihr Dokument rechtzeitig durch — auch wenn Microsoft 365 noch blockiert.

Wenn Sie in Hamburg sitzen und im akuten Notfall niemanden mit Admin-Rechten erreichen, hilft unsere IT-Notfallhilfe Hamburg auch kurzfristig — gerade an Abgabetagen.

Warum Outlook keine Mails senden kann: die vier Hauptursachen

Sobald die Frist gesichert ist, geht es an die Ursache. In über 90 Prozent der Fälle steckt einer dieser vier Gründe dahinter — und der Fehlercode im NDR verrät meist, welcher.

Laptop mit Outlook-Fehlermeldung beim Versand — Microsoft 365 Mailversand blockiert
Der SMTP-Fehlercode im Unzustellbarkeitsbericht sagt dem Admin in Sekunden, ob es ein Limit-, Sperr- oder Authentifizierungsproblem ist.
Fehlercode (NDR)Wahrscheinliche UrsacheWas zu tun ist
5.7.1 / „Restricted Entity”Konto im Defender gesperrt — oft nach kompromittiertem AccountUrsache klären (Passwort, MFA), dann Admin entsperrt im Defender-Portal
5.7.x „Limit exceeded”Tageslimit für Empfänger oder ausgehende Mails überschrittenVersand drosseln, auf 24-Std-Fenster warten oder Limit prüfen lassen
5.7.23 / SPF-FehlerSPF-, DKIM- oder DMARC-Eintrag fehlt oder ist falschDNS-Einträge vom Admin korrigieren lassen
5.7.511 / „access denied”Empfänger-Server oder Blockliste lehnt Ihre IP abIP-Reputation prüfen, ggf. Delisting beantragen

Microsoft pflegt eine ausführliche Referenz der Unzustellbarkeitsberichte in Exchange Online. Wenn Sie den genauen Code nachschlagen, sehen Sie oft schon die Lösung im Klartext.

Ursache 1: Das Konto ist eine „Restricted Entity” im Defender

Das ist der unangenehmste Fall — und leider häufig. Wenn ein Postfach in kurzer Zeit auffällig viele Mails verschickt, die nach Spam aussehen, sperrt Microsoft Defender for Office 365 das Konto für ausgehende Mails und führt es als „eingeschränkte Entität” (Restricted Entity). Microsoft beschreibt im Leitfaden zum Entsperren eingeschränkter Benutzer, dass ein Administrator das Konto im Defender-Portal manuell wieder freigeben muss, nachdem die Ursache geklärt ist.

Und die Ursache ist fast immer dieselbe: ein kompromittiertes Postfach. Jemand hat auf eine Phishing-Mail geklickt, Angreifer haben sich angemeldet und über das Konto Massen-Spam verschickt. Microsoft zieht die Reißleine — und sperrt ausgerechnet Sie aus, am falschen Tag.

Achtung:

Eine Defender-Sperre ist nie nur ein technisches Ärgernis. Sie ist ein Alarmsignal, dass ein Konto kompromittiert sein könnte. Bevor der Admin einfach entsperrt, gehört das Passwort zurückgesetzt, die MFA geprüft und nach fremden Anmelderegeln gesucht. Sonst sperrt Microsoft Sie in zwei Stunden erneut.

Ursache 2: Versand- und Empfängerlimits überschritten

Exchange Online hat eingebaute Grenzen, wie viele Empfänger ein Postfach pro Tag erreichen und wie viele Mails es pro Minute senden darf. Diese Limits sollen genau das verhindern, was bei einem gehackten Konto passiert — Massenversand. Microsoft dokumentiert die Standardgrenzen in den Exchange-Online-Limits. Wer in einer Serienmail 600 Mandanten gleichzeitig anschreibt, kann eine dieser Grenzen reißen — und steht dann mit halb versendeter Liste da.

Ursache 3 und 4: Authentifizierung und Blocklisten

Fehlt der SPF-Eintrag, ist DKIM falsch signiert oder blockt eine zu strenge DMARC-Regel, lehnen Empfänger-Server Ihre Mails ab — gern erst, wenn Sie es am wenigsten gebrauchen können. Die Grundlagen dazu haben wir in unserem Beitrag zur E-Mail-Sicherheit im Unternehmen zusammengefasst. Steht zusätzlich Ihre Versand-IP auf einer Blockliste, hilft nur eine geprüfte Delisting-Anfrage.

Wenn Sie wissen wollen, welche M365-Einstellungen Sie wirklich brauchen, um solche Sperren zu vermeiden, haben wir einen Praxis-Guide zusammengestellt — kostenlos und ohne Vertriebsgeschwätz:

Was der Admin jetzt konkret macht

Mit dem Fehlercode aus dem NDR weiß ein erfahrener Administrator sofort, wo er hinschauen muss. Der typische Ablauf bei einer Defender-Sperre sieht so aus.

  • Anmeldeprotokolle prüfen. Gab es Logins aus dem Ausland oder zu ungewöhnlichen Zeiten? Das deckt einen kompromittierten Account auf.
  • Passwort zurücksetzen und MFA erzwingen. Erst die Tür schließen, dann das Konto wieder öffnen — nicht umgekehrt.
  • Fremde Posteingangsregeln und Weiterleitungen löschen. Angreifer richten oft heimliche Weiterleitungen ein, die nach der Entsperrung weiterlaufen.
  • Konto im Defender-Portal entsperren. Unter „Eingeschränkte Entitäten" das Postfach freigeben — danach ist der Versand meist in Minuten wieder möglich.
  • Versand testen und überwachen. Eine Testmail an ein externes Postfach bestätigt, dass alles wieder läuft.

Wenn Ihr Exchange noch auf einem alten lokalen Server läuft, ist jetzt der richtige Moment, über einen sauberen Umzug nachzudenken. Wie das geht, zeigt unser Leitfaden zum Exchange auf Microsoft 365 migrieren.

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Dieser Satz klingt simpel, aber er ist der Kern. Die meisten Versandsperren, die wir sehen, hätte MFA von vornherein verhindert. Ein Angreifer mit gestohlenem Passwort, aber ohne zweiten Faktor, kommt schlicht nicht ins Postfach — und kann es nicht für Spam missbrauchen.

Wer noch nicht so weit ist, findet bei uns die wichtigsten Sofortmaßnahmen in den 5 Tipps zur einfachen Erhöhung der E-Mail-Sicherheit. Die meisten davon sind in einer halben Stunde erledigt.

Dauerhaft vorbeugen: damit der Notfall ausbleibt

Ein blockierter Mailversand am Abgabetag ist fast immer das Ergebnis von etwas, das vorher schlummerte. Vier Maßnahmen senken das Risiko drastisch.

MFA
stoppt 99 % der Angriffe
4
DNS-Pflichteinträge: SPF, DKIM, DMARC
24/7
Monitoring meldet Sperren früh

Erstens: Multi-Faktor-Authentifizierung für alle Konten, ohne Ausnahme. Sie ist der wirksamste Schutz vor dem kompromittierten Postfach — der häufigsten Wurzel von Versandsperren. Kombiniert mit Conditional Access (z. B. „Anmeldung aus dem Ausland blockieren”) wird ein gestohlenes Passwort wertlos.

Überall da, wo es technisch einfach umsetzbar ist, würde ich alle bitten, eine Multifaktor-Authentifizierung zu nutzen.

Dennis Kreft Dennis KreftMicrosoft 365 & Cloud-Experte

Zweitens: SPF, DKIM und DMARC sauber setzen. Korrekte DNS-Einträge sorgen dafür, dass Ihre Mails als echt erkannt werden und nicht auf Blocklisten landen. Einmal richtig eingerichtet, läuft das geräuschlos im Hintergrund.

Drittens: realistische Versandlimits und Monitoring. Ein gutes Setup meldet eine drohende Sperre, bevor sie greift — etwa wenn ein Postfach plötzlich ungewöhnlich viele Mails verschickt. So fangen wir das Problem ab, während Sie noch in Ruhe arbeiten.

Viertens: ein Notfall-SLA mit klaren Reaktionszeiten. Wenn doch einmal etwas blockiert, brauchen Sie nicht erst eine Hotline-Warteschleife, sondern jemanden, der sofort die Admin-Rechte und die Erfahrung hat. Genau das ist Teil unserer Managed IT mit Notfall-SLA. Das ganze Microsoft-365-Fundament — Identität, Sicherheit, Geräte — bündeln wir im Modern Workplace / Microsoft 365.

Aus der Praxis: warum gerade Kanzleien betroffen sind

Steuerkanzleien und Anwaltsbüros trifft es besonders hart — und besonders oft. Sie arbeiten zu festen Stichtagen, verschicken Serienmails an viele Mandanten und sind ein lohnendes Phishing-Ziel. Reißt der Versand am Tag der Fristen, ist das keine Lappalie, sondern ein echtes Haftungsthema.

Wir betreuen mehrere Kanzleien in Hamburg und Norddeutschland und kennen das Muster: Erst fällt es niemandem auf, dass die IT seit Jahren nur geflickt wurde — bis der Ernstfall kommt.

Drei Monate lang konnten wir nicht arbeiten. Alles verschlüsselt — jedes Dokument, jede E-Mail, jede Rechnung. Seitdem weiß ich: IT-Sicherheit ist kein Luxus, sondern Überlebensfrage.

Bernd Kühn · Geschäftsführer, Sanitärbetrieb, 20-25 Mitarbeiter

Ein blockierter Mailversand ist oft die harmlose Vorstufe genau solcher Vorfälle — derselbe gehackte Account, der heute nur Spam verschickt, kann morgen das Einfallstor für Ransomware sein. Deshalb behandeln wir eine Versandsperre nie als reines Mail-Problem, sondern immer als Sicherheitsfrage. Für die besonderen Anforderungen von Kanzleien haben wir das Thema in IT für Steuerkanzleien vertieft.

Übrigens: Welche Lizenz welche Sicherheitsfunktionen mitbringt, ist gar nicht so kompliziert, wie es klingt. Eine verständliche Übersicht finden Sie in unserem Beitrag, in dem wir das Microsoft-365-Lizenzmodell kurz und knapp erklären.

Ihr nächster Schritt

Einen blockierten Mailversand können Sie im Akutfall mit dem Notfallplan oben überbrücken. Dafür zu sorgen, dass es gar nicht erst passiert — MFA, saubere DNS-Einträge, Monitoring, ein erreichbarer Admin im Notfall — ist Fleißarbeit mit vielen Details. Genau das nehmen wir Ihnen ab.

Wir betreuen in Hamburg und Norddeutschland Betriebe mit 5 bis 150 Mitarbeitern. Sagen Sie uns, wie Ihr Microsoft 365 heute aufgestellt ist — wir sagen Ihnen ehrlich, wo das nächste Risiko lauert.

Mailversand blockiert oder Microsoft 365 endlich absichern?

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Erstgespräch buchen →
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
IT-Ausgründung in Hamburg: 5 Schritte zur erfolgreichen Trennung von der Konzern-IT – Eine Fallstudie
Fallstudie · Private Equity
IT-Ausgründung in Hamburg: 5 Schritte zur erfolgreichen Trennung von der Konzern-IT – Eine Fallstudie
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

Meist liegt es an einer von vier Ursachen: Das Postfach hat das Tageslimit für Empfänger oder das Limit für ausgehende Nachrichten überschritten, das Konto ist im Microsoft Defender als 'Restricted Entity' gesperrt (oft nach einem kompromittierten Account), es gibt ein Authentifizierungsproblem bei SPF, DKIM oder DMARC, oder Ihre IP-Adresse steht auf einer Blockliste. Der genaue Grund steht im Unzustellbarkeitsbericht (NDR) mit einem SMTP-Fehlercode wie 5.7.x.

Eine Restricted Entity ist ein Postfach, dem Microsoft das Senden ausgehender Mails gesperrt hat — weil das Konto auffällig viel Spam oder verdächtige Mails verschickt hat. Das ist häufig ein Zeichen für einen kompromittierten Account nach Phishing. Ein Administrator muss das Konto im Defender-Portal unter 'Eingeschränkte Entitäten' manuell wieder freigeben, nachdem die Ursache geklärt ist.

Wenn ein Admin ein gesperrtes Konto im Defender-Portal manuell entsperrt, ist der Versand in der Regel innerhalb weniger Minuten bis maximal einer Stunde wieder möglich. Wartet man auf eine automatische Aufhebung, kann es deutlich länger dauern. Bei einem überschrittenen Tageslimit greift das Limit erst nach Ablauf des 24-Stunden-Fensters wieder.

Im Unzustellbarkeitsbericht, den Sie als Antwort auf die fehlgeschlagene Mail erhalten — der sogenannte NDR (Non-Delivery Report). Dort steht ein SMTP-Statuscode, etwa 5.7.1 oder 5.7.511. Microsoft pflegt eine Referenz dieser Codes. Der Code sagt dem Admin, ob es ein Limit-, ein Sperr- oder ein Authentifizierungsproblem ist.

Nein. Das Entsperren eines Kontos im Microsoft Defender oder das Anpassen von Versandlimits erfordert Administratorrechte im Microsoft-365-Tenant. Ohne diese Rechte bleibt nur, einen Kollegen mit Admin-Zugang oder Ihren IT-Dienstleister einzuschalten. Bei laufender Frist sollten Sie parallel sofort einen Ausweichkanal nutzen.

Nutzen Sie sofort einen zweiten, sauberen Kanal: ein privates Postfach, ein Mobilfunkgerät mit anderer Internetverbindung, ein Upload-Portal des Empfängers oder ein Telefonat zur Fristverlängerung. Halten Sie jeden Versuch mit Zeitstempel fest — das ist Ihr Nachweis, dass Sie rechtzeitig handeln wollten. Parallel arbeitet die IT an der eigentlichen Freigabe.

Die wirksamste Maßnahme ist Multi-Faktor-Authentifizierung für alle Konten plus Conditional Access — das verhindert kompromittierte Postfächer, die häufigste Ursache für Versandsperren. Dazu kommen korrekt gesetzte SPF-, DKIM- und DMARC-Einträge, ein realistisches Tageslimit pro Postfach und ein Monitoring, das eine drohende Sperre meldet, bevor sie greift.

Ja. Für Hamburger Unternehmen mit akutem IT-Notfall — etwa blockiertem Mailversand kurz vor einer Frist — bieten wir kurzfristige Soforthilfe an. Dauerhaft begleiten wir Sie dann mit Managed IT inklusive Notfall-SLA, damit so etwas gar nicht erst zur Krise wird.