Antispambeveiliging in cloudorganisaties

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt proberen? Gebruik de proefversie van 90 dagen van Defender voor Office 365 in de hub proefversies van Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen vindt u op Try Microsoft Defender for Office 365.

Opmerking

Dit artikel is bedoeld voor beheerders. Zie Overzicht van het Email Filter voor eindgebruikers en Meer informatie over ongewenste e-mail en phishing.

In alle organisaties met cloudpostvakken worden e-mailberichten automatisch beveiligd tegen spam (ongewenste e-mail).

Om ongewenste e-mail te helpen verminderen, bevat Microsoft 365 bescherming tegen ongewenste e-mail met behulp van eigen spamfiltertechnologieën (ook wel bekend als inhoudsfiltering) om ongewenste e-mail te identificeren en te scheiden van legitieme e-mail. Spamfilters leren van bekende spam- en phishingbedreigingen en feedback van gebruikers van ons consumentenplatform, Outlook.com. Doorlopende feedback van beheerders en gebruikers helpt ervoor te zorgen dat onze filtertechnologieën voortdurend worden getraind en verbeterd.

Microsoft 365 gebruikt de volgende spamfilterbeoordelingen om berichten te classificeren:

• Spam: Het bericht heeft een spamvertrouwensniveau (SCL) van 5 of 6 ontvangen.
• Spam met hoge betrouwbaarheid: Het bericht heeft een SCL van 7, 8 of 9 ontvangen.
• phishing
• Phishing met hoge betrouwbaarheid: als onderdeel van beveiliging standaard worden phishingberichten met hoge betrouwbaarheid altijd in quarantaine geplaatst. Gebruikers kunnen hun eigen phishingberichten met hoge betrouwbaarheid in quarantaine niet vrijgeven, ongeacht de beschikbare instellingen die zijn geconfigureerd door beheerders.
• Bulk: de berichtbron heeft de geconfigureerde drempelwaarde voor bulkklachtniveau (BCL) bereikt of overschreden.

Zie veelgestelde vragen: Antispambeveiliging voor cloudpostvakken voor meer informatie over antispambeveiliging

In het standaard antispambeleid en in het aangepaste antispambeleid kunt u de acties configureren die moeten worden uitgevoerd op basis van deze uitspraken. In het standaard- en strikt vooraf ingestelde beveiligingsbeleid zijn de acties al geconfigureerd en onmodifieerbaar, zoals beschreven in Instellingen voor antispambeleid.

Zie Antispambeleid configureren om het standaard antispambeleid te configureren en om aangepast antispambeleid te maken, wijzigen en verwijderen.

Tip

• Als u het niet eens bent met de spamfilterbeoordeling, kunt u het bericht aan Microsoft melden als een fout-positief (goede e-mail gemarkeerd als slecht) of een fout-negatief (slechte e-mail toegestaan). Zie voor meer informatie:

  • Hoe kan ik een verdacht e-mailbericht of bestand melden aan Microsoft?
  • Hoe u legitieme e-mailberichten kunt afhandelen die worden geblokkeerd (fout-positief), met behulp van Microsoft Defender voor Office 365
  • Hoe om te gaan met schadelijke e-mailberichten die worden bezorgd bij geadresseerden (fout-negatieven), met behulp van Microsoft Defender voor Office 365

  De kopteksten van antispamberichten kunnen u vertellen waarom een bericht is gemarkeerd als spam of waarom het spamfilter is overgeslagen. Zie Antispam berichtkoppen voor meer informatie.

• U kunt spamfilters niet volledig uitschakelen in Microsoft 365, maar u kunt exchange-e-mailstroomregels (ook wel transportregels genoemd) gebruiken om de meeste spamfilters op binnenkomende berichten te omzeilen. Bijvoorbeeld als u e-mail routert via een niet-Microsoft-beveiligingsservice of -apparaat voordat u naar Microsoft 365 bezorging gaat. Zie E-mailstroomregels gebruiken om de spamwaarschijnlijkheidswaarde (SCL) in te stellen in berichten voor meer informatie.

  • Berichten met phishing met hoge waarschijnlijkheid worden nog steeds gefilterd. Andere filters in Microsoft 365 worden niet beïnvloed (berichten worden bijvoorbeeld altijd gescand op malware).
  • Als u spamfilters voor SecOps-postvakken of phishingsimulaties wilt omzeilen, gebruikt u geen e-mailstroomregels. Zie De bezorging van niet-Microsoft-phishingsimulaties configureren voor gebruikers en niet-gefilterde berichten in SecOps-postvakken voor meer informatie.

• In omgevingen waarin de ingebouwde beveiligingsfuncties voor alle cloudpostvakken on-premises Exchange-postvakken beschermen, moet u Exchange-e-mailstroomregels (ook wel transportregels genoemd) configureren in uw on-premises Exchange-organisatie om de spamfilterbeoordelingen uit de cloud te herkennen. Zie Spam in de cloud verzenden naar de map Ongewenste Email in on-premises postvakken voor meer informatie.

  Nadat u de regel in Microsoft 365 handmatig hebt gemaakt om overeen te komen met de regel in on-premises Exchange, wordt de regel gerepliceerd in hybride omgevingen.

Antispambeleid

Antispambeleid bepaalt de configureerbare instellingen voor spamfilters. De belangrijke instellingen in antispambeleid worden beschreven in de volgende subsecties.

Tip

De instellingen voor antispambeleid in het standaardbeleid en in het vooraf ingestelde standaard- en strikte beveiligingsbeleid worden beschreven in Instellingen voor antispambeleid.

Geadresseerde filtert in antispambeleid

Ontvangersfilters gebruiken voorwaarden en uitzonderingen om de interne geadresseerden te identificeren waarop het beleid van toepassing is. Er is ten minste één voorwaarde vereist in aangepaste beleidsregels. Voorwaarden en uitzonderingen zijn niet beschikbaar in het standaardbeleid (het standaardbeleid is van toepassing op alle geadresseerden). U kunt de volgende ontvangersfilters gebruiken voor voorwaarden en uitzonderingen:

• Gebruikers: een of meer postvakken, e-mailgebruikers of e-mailcontactpersonen in de organisatie.
• Groepen:
  • Leden van de opgegeven distributiegroepen of beveiligingsgroepen met e-mail (dynamische distributiegroepen worden niet ondersteund).
  • De opgegeven Microsoft 365 Groepen (dynamische lidmaatschapsgroepen in Microsoft Entra ID worden niet ondersteund).
• Domeinen: een of meer van de geconfigureerde geaccepteerde domeinen in Microsoft 365. Het primaire e-mailadres van de geadresseerde bevindt zich in het opgegeven domein.

U kunt een voorwaarde of uitzondering slechts één keer gebruiken, maar de voorwaarde of uitzondering kan meerdere waarden bevatten:

• Meerdere waarden van dezelfde voorwaarde of uitzondering gebruiken OR-logica (bijvoorbeeld <geadresseerde1> of <geadresseerde2>):

  • Voorwaarden: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid op deze waarden toegepast.
  • Uitzonderingen: als de ontvanger overeenkomt met een van de opgegeven waarden, wordt het beleid hierop niet toegepast.

• Verschillende soorten uitzonderingen gebruiken OR-logica (bijvoorbeeld <ontvanger1> of <lid van groep1> of <lid van domein1>). Als de ontvanger overeenkomt met een van de opgegeven uitzonderingswaarden, wordt het beleid hierop niet toegepast.

• Verschillende typen voorwaarden gebruiken AND-logica. De geadresseerde moet voldoen aan alle opgegeven voorwaarden om het beleid op hen toe te passen. U configureert bijvoorbeeld een voorwaarde met de volgende waarden:

  • Gebruikers: romain@contoso.com
  • Groepen: Leidinggevenden

  Het beleid wordt alleen toegepast romain@contoso.com als hij ook lid is van de groep Leidinggevenden. Anders wordt het beleid niet op hem toegepast.

Drempelwaarde voor bulkklacht (BCL) in antispambeleid

Microsoft 365 wijst een waarde voor bulkklachtniveau (BCL) toe aan binnenkomende berichten van bulkzenders. Berichten van bulkzenders worden ook wel bulkmail of grijze e-mail genoemd.

Zie Bulkklachtniveau (BCL) voor meer informatie over BCL.

Tip

Standaard bevindt On de PowerShell-instelling MarkAsSpamBulkMail zich in het antispambeleid in Exchange Online PowerShell. Deze instelling heeft een grote invloed op de resultaten van een BCL (Bulk Compliant Level) die is bereikt of het filteroordeel heeft overschreden :

• MarkAsSpamBulkMail is Aan: een BCL die groter is dan of gelijk is aan de drempelwaarde, wordt geconverteerd naar een SCL 6 die overeenkomt met een filteroordeel van Spam en de actie voor het bulksgewijs compatibele niveau (BCL) wordt bereikt of overschreden voor het bericht.
• MarkAsSpamBulkMail is uitgeschakeld: het bericht is voorzien van een stempel met de BCL, maar er wordt geen actie ondernomen voor een BCL (Bulk compliant level) die voldoet aan of het filterveroordeel overschrijdt. In feite zijn de BCL-drempelwaarde en het BCL-niveau (BCL) bereikt of overschreden filteroordeel niet relevant.

Spam-eigenschappen in antispambeleid

De instellingen voor de testmodus , de instellingen voor de spamscore verhogen en de meeste instellingen voor Markeren als spam maken deel uit van geavanceerde spamfilters (ASF) in antispambeleid.

Deze instellingen worden niet standaard geconfigureerd in het standaard antispambeleid of in het standaard- of strikt vooraf ingestelde beveiligingsbeleid.

Zie Advanced Spam Filter (ASF)-instellingen in antispambeleid voor volledige informatie over ASF-instellingen.

De andere instellingen die beschikbaar zijn in deze categorie zijn:

• Bevat specifieke talen: Berichten in de opgegeven talen worden automatisch geïdentificeerd als spam.
• Vanuit deze landen: Berichten uit de opgegeven landen worden automatisch geïdentificeerd als spam.

Deze instellingen worden niet standaard geconfigureerd in het standaard antispambeleid of in het standaard- of strikt vooraf ingestelde beveiligingsbeleid.

Acties in antispambeleid

• In aangepast antispambeleid en het standaard antispambeleid worden de beschikbare acties voor spamfilterbeoordelingen beschreven in de volgende tabel.

  • Een vinkje (✔) geeft aan dat de actie beschikbaar is (niet alle acties zijn beschikbaar voor alle oordelen).
  • Een sterretje (^*) na het vinkje geeft de standaardactie voor het spamfilteroordeel aan.

  Actie	Spam	Hoog betrouwbaarheid spam	Phishing	Hoog betrouwbaarheid phishing	Bulk
  Bericht verplaatsen naar de map Ongewenste Email: het bericht wordt bezorgd in de map Ongewenste Email in het postvak.¹	✔*	✔*	✔	²	✔*
  X-kop toevoegen: hiermee wordt een X-kop toegevoegd aan de berichtkop en het bericht bezorgd in het postvak. U voert de veldnaam van de X-header (niet de waarde) in het beschikbare tekstvak Deze X-header toevoegen in . Voor spam- en spambeoordelingen met hoge betrouwbaarheid wordt het bericht verplaatst naar de map Ongewenste Email.¹ ³	✔	✔	✔		✔
  Onderwerpregel vooraan uitbreiden met tekst: hiermee wordt tekst toegevoegd aan het begin van de onderwerpregel van het bericht. Het bericht wordt bezorgd in het postvak en verplaatst naar de map Ongewenste e-mail.¹ ³ U voert de tekst in de onderwerpregel van het beschikbare voorvoegsel in met dit tekstvak .	✔	✔	✔		✔
  Bericht naar e-mailadres omleiden: hiermee wordt het bericht omgeleid naar andere geadresseerden in plaats van de beoogde geadresseerde. U geeft de geadresseerden op in het vak Omleiden naar dit e-mailadres .	✔	✔	✔	✔	✔
  Bericht verwijderen: hiermee wordt het volledige bericht verwijderd, inclusief alle bijlagen.	✔	✔	✔		✔
  Bericht in quarantaine: hiermee wordt het bericht in quarantaine geplaatst in plaats van verzonden naar de beoogde geadresseerden. U selecteert of gebruikt het standaardquarantainebeleid voor het spamfilter in het vak Quarantainebeleid selecteren dat wordt weergegeven.⁴ Quarantainebeleid bepaalt wat gebruikers kunnen doen met berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie. U geeft op hoe lang de berichten in quarantaine worden bewaard in het beschikbare vak Spam in quarantaine bewaren voor dit aantal dagen .	✔	✔	✔*	✔* ⁵	✔
  Geen actie					✔

  ¹ Microsoft 365 maakt gebruik van een agent voor e-mailstroombezorging om berichten naar de map Ongewenste Email te routeren. Er wordt geen gebruikgemaakt van de regel voor ongewenste e-mail in het postvak. De parameter Enabled op de cmdlet Set-MailboxJunkEmailConfiguration in Exchange Online PowerShell heeft geen invloed op de e-mailstroom in cloudpostvakken. Zie Instellingen voor ongewenste e-mail configureren in cloudpostvakken voor meer informatie.

  ² Voor phishing met hoge betrouwbaarheid wordt de actie Bericht verplaatsen naar ongewenste Email map effectief afgeschaft. Hoewel u mogelijk de actie Bericht verplaatsen naar ongewenste e-mail Email map kunt selecteren, worden phishingberichten met een hoge betrouwbaarheid altijd in quarantaine geplaatst (vergelijkbaar met het selecteren van Quarantainebericht).

  ³ U kunt deze waarde gebruiken als voorwaarde in e-mailstroomregels om berichten voor postvakken alleen in on-premises Exchange-omgevingen te filteren of te routeren (niet in Exchange Online).

  ⁴ Als de spamfilterbeoordeling berichten standaard in quarantaine plaatst (Quarantainebericht is al geselecteerd wanneer u de pagina opent), wordt de standaardnaam van het quarantainebeleid weergegeven in het vak Quarantainebeleid selecteren . Als u de actie van een spamfilterbeoordeling wijzigt in Quarantainebericht, is het vak Quarantainebeleid selecteren standaard leeg. Een lege waarde betekent dat het standaard quarantainebeleid voor dat oordeel wordt gebruikt. Wanneer u de instellingen voor het antispambeleid later weergeeft of bewerkt, wordt de naam van het quarantainebeleid weergegeven. Zie Instellingen voor antispambeleid voor meer informatie over het quarantainebeleid dat standaard wordt gebruikt voor spamfilterbeoordelingen.

  ⁵ Ontvangers kunnen geen berichten vrijgeven die in quarantaine zijn geplaatst als phishing met hoge betrouwbaarheid, ongeacht hoe het quarantainebeleid is geconfigureerd. Als het quarantainebeleid toestaat dat geadresseerden berichten vrijgeven, kunnen ze alleen verzoeken om de release van berichten die in quarantaine zijn geplaatst als phishing met hoge betrouwbaarheid.

• Berichten binnen de organisatie waarop actie moet worden ondernomen: hiermee bepaalt u of spamfilters en de bijbehorende beoordelingsacties worden toegepast op interne berichten (berichten die tussen gebruikers binnen de organisatie worden verzonden). De opgegeven actie voor het spamfilteroordeel wordt uitgevoerd op berichten die tussen interne gebruikers worden verzonden. De beschikbare waarden zijn:

  • Standaardwaarde: de standaardwaarde. Deze waarde is hetzelfde als het selecteren van phishingberichten met hoge betrouwbaarheid.
  • Geen
  • Phishingberichten met hoge betrouwbaarheid
  • Phishing- en phishingberichten met hoge betrouwbaarheid
  • Alle phishing- en spamberichten met hoge betrouwbaarheid
  • Alle phishing- en spamberichten

  Voor de standaardwaarden die worden gebruikt in het standaard antispambeleid en in het standaard- en strikt vooraf ingestelde beveiligingsbeleid, raadpleegt u de berichten binnen de organisatie om actie te ondernemen bij invoer in de instellingen voor antispambeleid.

• Spam in quarantaine plaatsen voor zoveel dagen: geeft aan hoe lang het bericht in quarantaine moet worden gehouden als u de actie Bericht in quarantaine plaatsen hebt geselecteerd voor een spamfilterbeoordeling. Nadat de periode is verstreken, wordt het bericht verwijderd en kan het niet meer worden hersteld. Een geldige waarde ligt tussen de 1 en 30 dagen.

  Voor de standaardwaarden die worden gebruikt in het standaard antispambeleid en in het standaard- en strikt vooraf ingestelde beveiligingsbeleid, raadpleegt u de vermelding Spam in quarantaine bewaren voor dit aantal dagen in instellingen voor antispambeleid.

  Tip

  Met deze instelling bepaalt u ook hoelang berichten worden bewaard die in quarantaine zijn geplaatst door het antiphishingbeleid. Zie Retentie in quarantaine voor meer informatie.

Zero-hour auto purge (ZAP) in antispambeleid

ZAP voor phishing en ZAP voor spam kunnen reageren op berichten nadat ze zijn bezorgd in Exchange Online postvakken. ZAP voor phishing en ZAP voor spam zijn standaard ingeschakeld. U wordt aangeraden deze ingeschakeld te laten. Zie voor meer informatie:

• Zero-hour auto purge (ZAP) voor phishing
• Zero-hour auto purge (ZAP) voor phishing met hoge betrouwbaarheid
• Zero-hour auto purge (ZAP) voor spam

Beleid in quarantaine plaatsen in antispambeleid

Voor quarantaineoorden in antispambeleid definieert quarantainebeleid wat gebruikers kunnen doen met die berichten in quarantaine en of gebruikers quarantainemeldingen ontvangen. Zie Anatomie van een quarantainebeleid voor meer informatie.

Lijsten in antispambeleid toestaan en blokkeren

Antispambeleid bevat de volgende lijsten om specifieke afzenders of domeinen toe te staan of te blokkeren:

• De lijst met toegestane afzenders
• De lijst met toegestane domeinen
• De lijst met geblokkeerde afzenders
• De lijst met geblokkeerde domeinen

Deze lijsten zijn standaard niet geconfigureerd in het standaard antispambeleid. U kunt de lijsten in het vooraf ingestelde standaard- of strikte beveiligingsbeleid niet configureren.

De volgende functies vervangen deze lijsten meestal:

• Blokkeer vermeldingen voor domeinen en e-mailadressen in De blokvermeldingen voor domeinen en e-mailadressen maken.

  Tip

  Als u wilt toestaan dat gebruikers e-mail verzenden naar de geblokkeerde e-mailadressen of domeinen, gebruikt u de lijsten met geblokkeerde afzenders of geblokkeerde domeinen in het antispambeleid. Met vermeldingen blokkeren voor domeinen en e-mailadressen in de lijst tenant toestaan/blokkeren kunnen gebruikers ook geen e-mail verzenden naar geblokkeerde e-mailadressen of domeinen.

• Goede e-mail rapporteren aan Microsoft vanaf de pagina Inzendingen in de Microsoft Defender portal (waar u kunt kiezen voor E-mailberichten met vergelijkbare kenmerken toestaan, waardoor de vereiste tijdelijke vermeldingen worden gemaakt in de lijst Tenant toestaan/blokkeren).

  Belangrijk

  Berichten van vermeldingen in de lijst met toegestane afzenders of de lijst met toegestane domeinen omzeilen de meeste e-mailbeveiliging (behalve malware en phishing met hoge betrouwbaarheid) en e-mailverificatiecontroles (SPF, DKIM en DMARC). Vermeldingen in de lijst met toegestane afzenders of de lijst met toegestane domeinen vormen een hoog risico dat aanvallers e-mail naar het Postvak IN sturen dat anders zou worden gefilterd. Deze lijsten kunnen het beste alleen worden gebruikt voor tijdelijke tests.

  Voeg nooit algemene domeinen (bijvoorbeeld microsoft.com of office.com) toe aan de lijst met toegestane domeinen. Aanvallers kunnen eenvoudig vervalste berichten van deze algemene domeinen naar uw organisatie verzenden.

  Vanaf september 2022 moeten toegestane afzenders, domeinen of subdomeinen in de geaccepteerde domeinen van uw organisatie e-mailverificatiecontroles doorstaan om spamfilters over te slaan.

  Als u een toegestane domeinvermelding gedurende een langere periode in de lijst wilt bewaren, vertelt u de afzender om te controleren of de SPF-record is bijgewerkt met e-mailbronnen voor hun domein en dat het beleid in de DMARC-record is ingesteld op p=reject.

Prioriteit van antispambeleid

Als vooraf ingesteld beveiligingsbeleid is ingeschakeld, worden de standaard- en strikte vooraf ingestelde beveiligingsbeleidsregels toegepast vóór aangepast antispambeleid of het standaardbeleid. Als u meerdere aangepaste antispambeleidsregels maakt, kunt u de volgorde van de beleidstoepassing opgeven. Beleidsverwerking stopt voor in aanmerking komende geadresseerden na de toepassing van het eerste in aanmerking komende beleid (het beleid met de hoogste prioriteit voor die ontvanger).

Zie Volgorde en prioriteit van e-mailbeveiliging en Volgorde van prioriteit voor vooraf ingesteld beveiligingsbeleid en andere beleidsregels voor meer informatie over de volgorde van prioriteit en hoe meerdere beleidsregels worden geëvalueerd.

Standaardantispambeleid

Elke organisatie heeft een ingebouwd antispambeleid met de naam Standaard met de volgende eigenschappen:

• Het beleid is het standaardbeleid (de eigenschap IsDefault heeft de waarde True) en u kunt het standaardbeleid niet verwijderen.
• Het beleid wordt automatisch toegepast op alle geadresseerden in de organisatie en u kunt het niet uitschakelen.
• Het beleid wordt altijd als laatste toegepast (de prioriteitswaarde is Laagste en u kunt dit niet wijzigen).