Volgorde en prioriteit van e-mailbeveiliging

Van toepassing op: ✅ Built-in security features for all cloud mailboxes, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt proberen? Gebruik de proefversie van 90 dagen van Defender voor Office 365 in de hub proefversies van Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen vindt u op Try Microsoft Defender voor Office 365.

In alle organisaties met cloudpostvakken kunnen meerdere beveiligingsfuncties binnenkomende e-mail markeren. Bijvoorbeeld anti-adresvervalsingsbeveiliging die beschikbaar is voor alle Microsoft 365-klanten en imitatiebeveiliging die alleen beschikbaar is voor Microsoft Defender voor Office 365 klanten. Berichten passeren ook meerdere detectiescans op malware, spam, phishing, enzovoort. Gezien al deze activiteiten kan er enige verwarring zijn over welk beleid wordt toegepast.

Over het algemeen wordt een beleid dat is toegepast op een bericht geïdentificeerd in de kop X-Forefront-Antispam-Report in de eigenschap CAT (Categorie). Zie Antispam berichtkoppen voor meer informatie.

Er zijn twee belangrijke factoren die bepalen welk beleid wordt toegepast op een bericht:

De volgorde van verwerking voor het type e-mailbeveiliging: Deze volgorde kan niet worden geconfigureerd en wordt beschreven in de volgende tabel:

Volgorde	Email-beveiliging	Categorie	Waar te beheren
1	Malware	`CAT:MALW`	Beleid tegen malware configureren
2	Phishing met hoge waarschijnlijkheid	`CAT:HPHSH`	Beleid tegen ongewenste e-mail configureren
3	Phishing	`CAT:PHSH`	Beleid tegen ongewenste e-mail configureren
4	Spam met hoge betrouwbaarheid	`CAT:HSPM`	Beleid tegen ongewenste e-mail configureren
5	Spoofing	`CAT:SPOOF`	Inzicht in adresvervalsingsanalyse
6^*	Gebruikersimitatie (beveiligde gebruikers)	`CAT:UIMP`	Antiphishingbeleid configureren in Microsoft Defender voor Office 365
7^*	Domeinimitatie (beveiligde domeinen)	`CAT:DIMP`	Antiphishingbeleid configureren in Microsoft Defender voor Office 365
8^*	Postvakinformatie (grafiek met contactpersonen)	`CAT:GIMP`	Antiphishingbeleid configureren in Microsoft Defender voor Office 365
9	Spam	`CAT:SPM`	Beleid tegen ongewenste e-mail configureren
10	Bulk	`CAT:BULK`	Beleid tegen ongewenste e-mail configureren

^*Deze functies zijn alleen beschikbaar in antiphishingbeleid in Microsoft Defender voor Office 365.

De prioriteitsvolgorde van beleidsregels: de prioriteitsvolgorde van het beleid wordt weergegeven in de volgende lijst:
1. Het beleid voor antispam, antimalware, antiphishing, veilige koppelingen^* en veilige bijlagen^* in het vooraf ingestelde beveiligingsbeleid strikt (indien ingeschakeld).
2. Het beleid voor antispam, antimalware, antiphishing, veilige koppelingen^* en veilige bijlagen^* in het vooraf ingestelde standaardbeveiligingsbeleid (indien ingeschakeld).
3. Antiphishing, veilige koppelingen en veilige bijlagen in Defender voor Office 365 evaluatiebeleid (indien ingeschakeld).
4. Aangepast beleid voor antispam, antimalware, antiphishing, veilige koppelingen^* en veilige bijlagen^* (indien gemaakt).
  
  Aangepast bedreigingsbeleid krijgt een standaardprioriteitswaarde toegewezen wanneer u het beleid maakt (nieuwer is gelijk aan hoger), maar u kunt de prioriteitswaarde op elk gewenst moment wijzigen. Deze prioriteitswaarde is van invloed op de volgorde van de toepassing voor dat type bedreigingsbeleid (antispam, antimalware, antiphishing, enzovoort). De prioriteitswaarde is niet van invloed op waar aangepast bedreigingsbeleid wordt toegepast in de volgorde van verwerking, zoals beschreven in de vorige tabel.
5. Van gelijke waarde:
  - Het beleid voor veilige koppelingen en veilige bijlagen in het vooraf ingestelde beveiligingsbeleid^* voor ingebouwde beveiliging.
  - Het standaardbeleid voor antimalware, antispam en antiphishing.
  U kunt uitzonderingen configureren voor het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging, maar u kunt geen uitzonderingen configureren voor het standaardbedreigingsbeleid (ze zijn van toepassing op alle geadresseerden en u kunt ze niet uitschakelen).
^*Alleen Defender voor Office 365.

Belangrijk

De prioriteitsvolgorde is van belang als dezelfde geadresseerde opzettelijk of onbedoeld wordt opgenomen in meerdere beleidsregels, omdat alleen het eerste beleid van dat type (antispam, antimalware, antiphishing, enzovoort) wordt toegepast op die geadresseerde, ongeacht het aantal andere beleidsregels waarin de geadresseerde is opgenomen. Er is nooit een samenvoeging of combinatie van de instellingen in meerdere beleidsregels voor de ontvanger. De ontvanger wordt niet beïnvloed door de instellingen van het resterende beleid van dat type.

De groep met de naam Contoso Executives is bijvoorbeeld opgenomen in het volgende beleid:

Het vooraf ingestelde beveiligingsbeleid strikt
Een aangepast antispambeleid met de prioriteitswaarde 0 (hoogste prioriteit)
Een aangepast antispambeleid met de prioriteitswaarde 1.

Welke antispambeleidsinstellingen worden toegepast op de leden van Contoso Executives? Het vooraf ingestelde beveiligingsbeleid strikt. De instellingen in het aangepaste antispambeleid worden genegeerd voor de leden van Contoso Executives, omdat het vooraf ingestelde beveiligingsbeleid strikt wordt toegepast.

Een ander voorbeeld is het volgende aangepaste antiphishingbeleid in Microsoft Defender voor Office 365 die van toepassing zijn op dezelfde geadresseerden en een bericht dat zowel gebruikersimitatie als adresvervalsing bevat:

Beleidsnaam	Priority	Gebruikersimitatie	Anti-adresvervalsing
Beleid A	1	Aan	Uit
Beleid B	2	Uit	Aan

Het bericht wordt geïdentificeerd als spoofing, omdat adresvervalsing (5) wordt geëvalueerd vóór imitatie van de gebruiker (6) in de volgorde van verwerking voor het e-mailbeveiligingstype.
Beleid A wordt eerst toegepast, omdat het een hogere prioriteit heeft dan beleid B.
Op basis van de instellingen in Beleid A wordt er geen actie ondernomen op het bericht omdat anti-adresvervalsing is uitgeschakeld.
De verwerking van antiphishingbeleid wordt gestopt voor alle opgenomen geadresseerden, zodat beleid B nooit wordt toegepast op geadresseerden die zich ook in Beleid A bevinden.

Gebruik de volgende richtlijnen voor beleidslidmaatschappen om ervoor te zorgen dat ontvangers de gewenste beveiligingsinstellingen krijgen:

Wijs een kleiner aantal gebruikers toe aan beleid met een hogere prioriteit en een groter aantal gebruikers aan beleidsregels met lagere prioriteit. Vergeet niet dat standaardbeleid voor bedreigingen altijd als laatste wordt toegepast.
Configureer beleid met een hogere prioriteit om strengere of meer gespecialiseerde instellingen te hebben dan beleidsregels met een lagere prioriteit. U hebt volledige controle over de instellingen in aangepast bedreigingsbeleid en het standaardbeleid voor bedreigingen, maar geen controle over de meeste instellingen in vooraf ingesteld beveiligingsbeleid.
Overweeg minder aangepaste beleidsregels te gebruiken (gebruik alleen aangepast beleid voor gebruikers die meer gespecialiseerde instellingen nodig hebben dan het standaard- of strikt vooraf ingestelde beveiligingsbeleid of het standaard bedreigingsbeleid).

Bijlage

Het is belangrijk om te begrijpen hoe gebruikers toestaan en blokkeren, organisatie toestaan en blokkeren, en het filteren van stack-oordelen in de ingebouwde beveiligingsfuncties voor alle cloudpostvakken en in Defender voor Office 365 elkaar aanvullen of tegenspreken.

Zie Stapsgewijze bedreigingsbeveiliging in Microsoft Defender voor Office 365 voor meer informatie over het filteren van stacks en hoe ze worden gecombineerd.
Nadat de filterstack een oordeel heeft bepaald, worden pas dan het organisatiebeleid en de geconfigureerde acties geëvalueerd.
Als hetzelfde e-mailadres of domein voorkomt in de lijst Met veilige afzenders van een gebruiker en de lijst Geblokkeerde afzenders, heeft de lijst Veilige afzenders voorrang.
Als dezelfde entiteit (e-mailadres, domein, vervalste verzendinfrastructuur, bestand of URL) bestaat in een toegestane vermelding en een blokvermelding in de lijst Tenant toestaan/blokkeren, heeft de blokvermelding voorrang.
Voor malware en phishing-uitspraken met een hoge betrouwbaarheid kunt u niet rechtstreeks toegestane vermeldingen maken in de lijst Met toestaan/blokkeren van tenants. Gebruik in plaats daarvan de pagina Inzendingen op https://security.microsoft.com/reportsubmission om de e-mail, e-mailbijlage of URL naar Microsoft te verzenden. Nadat u Ik heb bevestigd dat het schoon is geselecteerd, kunt u vervolgens Dit bericht toestaan, Dit bestand toestaan of Toestaan dat deze URL een machtigingsvermelding voor de domeinen en e-mailadressen, bestanden of URL's maken selecteren.
Als u een bestandstype gebruikt in het filter Algemene bijlagen in antimalwarebeleidsregels, overschrijft het toestaan van hetzelfde bestand in de lijst Tenant toestaan/blokkeren of Exchange-e-mailstroomregels (ook wel transportregels genoemd) het oordeel niet.

Gebruikers toestaan en blokkeren

Vermeldingen in de verzameling veilige lijsten van een gebruiker (de lijst met veilige afzenders, de lijst met veilige geadresseerden en de lijst geblokkeerde afzenders in elk postvak) kunnen sommige filterstackoorden overschrijven, zoals beschreven in de volgende tabel:

Stack-beoordeling filteren	Lijst met veilige afzenders/geadresseerden van de gebruiker	Lijst met geblokkeerde afzenders van gebruiker
Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Organisatie wint: het toepasselijke antispambeleid bepaalt de actie
Spam met hoge betrouwbaarheid	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Organisatie wint: het toepasselijke antispambeleid bepaalt de actie
Spam	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Organisatie wint: het toepasselijke antispambeleid bepaalt de actie
Bulk	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Geen spam	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker

In Exchange Online werkt het domein toestaan in de lijst met veilige afzenders mogelijk niet als een van de volgende scenario's het bericht in quarantaine heeft geplaatst:
- Het bericht wordt geïdentificeerd als malware of phishing met hoge betrouwbaarheid (malware en phishingberichten met hoge betrouwbaarheid worden in quarantaine geplaatst).
- Acties in antispambeleid zijn geconfigureerd om e-mail in quarantaine te plaatsen in plaats van e-mail te verplaatsen naar de map Ongewenste e-mail Email.
- Het e-mailadres, de URL of het bestand in het e-mailbericht bevindt zich ook in een blokvermelding in de lijst Tenant toestaan/blokkeren.

Zie Instellingen voor ongewenste e-mail configureren voor postvakken in de cloud voor meer informatie over het verzamelen van veilige lijsten en antispaminstellingen voor postvakken van gebruikers.

Organisatie staat toe en blokkeert

Organisatie staat toe en blokken kunnen sommige filterstackoorden overschrijven, zoals beschreven in de volgende tabellen:

Geavanceerd leveringsbeleid (filteren op aangewezen SecOps-postvakken en phishingsimulatie-URL's overslaan):

Stack-beoordeling filteren	Geavanceerd leveringsbeleid toestaan
Malware	Organisatie wint: Email bezorgd in postvak
Phishing met hoge waarschijnlijkheid	Organisatie wint: Email bezorgd in postvak
Phishing	Organisatie wint: Email bezorgd in postvak
Spam met hoge betrouwbaarheid	Organisatie wint: Email bezorgd in postvak
Spam	Organisatie wint: Email bezorgd in postvak
Bulk	Organisatie wint: Email bezorgd in postvak
Geen spam	Organisatie wint: Email bezorgd in postvak

Exchange-e-mailstroomregels (ook wel transportregels genoemd):

Stack-beoordeling filteren	E-mailstroomregel staat toe^*	E-mailstroomregelblokken
Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine, behalve in complexe routering	Filter wint: Email in quarantaine
Phishing	Organisatie wint: Email bezorgd in postvak	Filter wint: phishingactie in het toepasselijke antispambeleid
Spam met hoge betrouwbaarheid	Organisatie wint: Email bezorgd in postvak	Filter wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Spam	Organisatie wint: Email bezorgd in postvak	Filter wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Bulk	Organisatie wint: Email bezorgd in postvak	Filter wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Geen spam	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email geleverd aan de map Ongewenste Email van de gebruiker

^* Organisaties die een niet-Microsoft-beveiligingsservice of -apparaat voor Microsoft 365 gebruiken, moeten overwegen om geverifieerde ontvangen keten (ARC) ( neem contact op met de service voor beschikbaarheid) en verbeterde filtering voor connectors (ook wel overslaan genoemd) in plaats van een regel voor SCL=-1-e-mailstroom. Deze verbeterde methoden verminderen problemen met e-mailverificatie en stimuleren diepgaande beveiliging van e-mail .

Lijst met TOEGESTANE IP-adressen en IP-blokkeringen bij het filteren van verbindingen:

Stack-beoordeling filteren	Lijst met toegestane IP-adressen	IP-blokkeringslijst
Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email op de achtergrond verwijderd
Spam met hoge betrouwbaarheid	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email op de achtergrond verwijderd
Spam	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email op de achtergrond verwijderd
Bulk	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email op de achtergrond verwijderd
Geen spam	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email op de achtergrond verwijderd

Instellingen toestaan en blokkeren in antispambeleid:

Toegestane afzender en domeinlijst.
Lijst met geblokkeerde afzenders en domeinen.
Blokkeer berichten uit specifieke landen/regio's of in specifieke talen.
Blokkeer berichten op basis van de instellingen voor het geavanceerde spamfilter (ASF) in antispambeleid.

Stack-beoordeling filteren	Antispambeleid staat toe	Antispambeleidsblokken
Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing	Organisatie wint: Email bezorgd in postvak	Organisatie wint: phishingactie in het toepasselijke antispambeleid
Spam met hoge betrouwbaarheid	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Spam	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Bulk	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Geen spam	Organisatie wint: Email bezorgd in postvak	Organisatie wint: Email geleverd aan de map Ongewenste Email van de gebruiker

Vermeldingen toestaan in de lijst Tenant toestaan/blokkeren: er zijn twee typen toegestane vermeldingen:

Op berichtniveau kunnen vermeldingen op het hele bericht worden uitgevoerd, ongeacht de entiteiten in het bericht. Vermeldingen toestaan voor e-mailadressen en domeinen zijn berichtniveau toegestane vermeldingen. Hiermee kunnen vermeldingen bulk- en spambeoordelingen overschrijven, en phishingbeoordelingen met een hoge betrouwbaarheid van machine learning-modellen.
Op entiteitsniveau kunnen vermeldingen reageren op het filteroordeel van entiteiten. Vermeldingen toestaan voor URL's, vervalste afzenders en bestanden zijn toegestane vermeldingen op entiteitsniveau. Als u malware- en phishingbeoordelingen met een hoge betrouwbaarheid wilt overschrijven, moet u toegestane vermeldingen op entiteitsniveau gebruiken, die u alleen kunt maken door inzending vanwege standaard beveiligd.

Stack-beoordeling filteren	Email adres/domein
Malware	Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine
Phishing	Organisatie wint: Email bezorgd in postvak
Spam met hoge betrouwbaarheid	Organisatie wint: Email bezorgd in postvak
Spam	Organisatie wint: Email bezorgd in postvak
Bulk	Organisatie wint: Email bezorgd in postvak
Geen spam	Organisatie wint: Email bezorgd in postvak

Vermeldingen blokkeren in de lijst Tenant toestaan/blokkeren:

Stack-beoordeling filteren	Email adres/domein	Spoof	Bestand	URL
Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine	Organisatie wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid	Organisatie wint: Email in quarantaine	Filter wint: Email in quarantaine	Organisatie wint: Email in quarantaine	Organisatie wint: Email in quarantaine
Phishing	Organisatie wint: Email in quarantaine	Organisatie wint: Spoof-actie in het toepasselijke antiphishingbeleid	Organisatie wint: Email in quarantaine	Organisatie wint: Email in quarantaine
Spam met hoge betrouwbaarheid	Organisatie wint: Email in quarantaine	Organisatie wint: Spoof-actie in het toepasselijke antiphishingbeleid	Organisatie wint: Email in quarantaine	Organisatie wint: Email in quarantaine
Spam	Organisatie wint: Email in quarantaine	Organisatie wint: Spoof-actie in het toepasselijke antiphishingbeleid	Organisatie wint: Email in quarantaine	Organisatie wint: Email in quarantaine
Bulk	Organisatie wint: Email in quarantaine	Organisatie wint: Spoof-actie in het toepasselijke antiphishingbeleid	Organisatie wint: Email in quarantaine	Organisatie wint: Email in quarantaine
Geen spam	Organisatie wint: Email in quarantaine	Organisatie wint: Spoof-actie in het toepasselijke antiphishingbeleid	Organisatie wint: Email in quarantaine	Organisatie wint: Email in quarantaine

Wanneer gebruikers- en organisatie-instellingen conflict

In de volgende tabel wordt beschreven hoe conflicten worden opgelost als zowel de instellingen voor toestaan/blokkeren van gebruikers als de instellingen voor toestaan/blokkeren van de organisatie van invloed zijn op een bericht:

Type organisatie toestaan/blokkeren	Lijst met veilige afzenders/geadresseerden van de gebruiker	Lijst met geblokkeerde afzenders van gebruiker
Blokkeer vermeldingen in de lijst Met toestaan/blokkeren van tenants voor: Email adressen en domeinen Bestanden Urls	Organisatie wint: Email in quarantaine	Organisatie wint: Email in quarantaine
Vermeldingen blokkeren voor vervalste afzenders in de lijst Tenant toestaan/blokkeren	Organisatie wint: Spoof intelligence-actie in het toepasselijke antiphishingbeleid	Organisatie wint: Spoof intelligence-actie in het toepasselijke antiphishingbeleid
Geavanceerd leveringsbeleid	Gebruiker wint: Email bezorgd in postvak	Organisatie wint: Email bezorgd in postvak
Instellingen blokkeren in antispambeleid	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
DMARC-beleid honoreert	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Blokken per e-mailstroomregels	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Staat toe door: Regels voor e-mailstroom Lijst met toegestane IP-adressen (verbindingsfilterbeleid) Toegestane afzender en domeinlijst (antispambeleid) Lijst met toegestane/geblokkeerde tenants	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker

Feedback

Is deze pagina nuttig?

Last updated on 2025-09-12