Volgorde en prioriteit van e-mailbeveiliging

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met postvakken in Exchange Online of zelfstandige Exchange Online Protection (EOP)-organisaties zonder Exchange Online postvakken, kan binnenkomende e-mail worden gemarkeerd door meerdere vormen van beveiliging. Bijvoorbeeld anti-adresvervalsingsbeveiliging die beschikbaar is voor alle Microsoft 365-klanten en imitatiebeveiliging die alleen beschikbaar is voor Microsoft Defender voor Office 365-klanten. Berichten passeren ook meerdere detectiescans op malware, spam, phishing, enzovoort. Gezien al deze activiteiten kan er enige verwarring zijn over welk beleid wordt toegepast.

Over het algemeen wordt een beleid dat is toegepast op een bericht geïdentificeerd in de kop X-Forefront-Antispam-Report in de eigenschap CAT (Categorie). Zie Antispam berichtkoppen voor meer informatie.

Er zijn twee belangrijke factoren die bepalen welk beleid wordt toegepast op een bericht:

• De volgorde van verwerking voor het type e-mailbeveiliging: Deze volgorde kan niet worden geconfigureerd en wordt beschreven in de volgende tabel:

  Volgorde	Email-beveiliging	Categorie	Waar te beheren
  1	Malware	CAT:MALW	Antimalwarebeleid configureren in EOP
  2	Phishing met hoge waarschijnlijkheid	CAT:HPHSH	Antispambeleid configureren in EOP
  3	Phishing	CAT:PHSH	Antispambeleid configureren in EOP
  4	Spam met hoge betrouwbaarheid	CAT:HSPM	Antispambeleid configureren in EOP
  5	Spoofing	CAT:SPOOF	Inzicht in adresvervalsingsinformatie in EOP
  6*	Gebruikersimitatie (beveiligde gebruikers)	CAT:UIMP	Antiphishingbeleid configureren in Microsoft Defender voor Office 365
  7*	Domeinimitatie (beveiligde domeinen)	CAT:DIMP	Antiphishingbeleid configureren in Microsoft Defender voor Office 365
  8*	Postvakinformatie (grafiek met contactpersonen)	CAT:GIMP	Antiphishingbeleid configureren in Microsoft Defender voor Office 365
  9	Spam	CAT:SPM	Antispambeleid configureren in EOP
  10	Bulk	CAT:BULK	Antispambeleid configureren in EOP

  ^*Deze functies zijn alleen beschikbaar in antiphishingbeleid in Microsoft Defender voor Office 365.

• De prioriteitsvolgorde van beleidsregels: de prioriteitsvolgorde van het beleid wordt weergegeven in de volgende lijst:

  1. Het beleid voor antispam, antimalware, antiphishing, veilige koppelingen^* en veilige bijlagen^* in het vooraf ingestelde beveiligingsbeleid strikt (indien ingeschakeld).

  2. Het beleid voor antispam, antimalware, antiphishing, veilige koppelingen^* en veilige bijlagen^* in het vooraf ingestelde standaardbeveiligingsbeleid (indien ingeschakeld).

  3. Antiphishing, veilige koppelingen en veilige bijlagen in Defender voor Office 365 evaluatiebeleid (indien ingeschakeld).

  4. Aangepast beleid voor antispam, antimalware, antiphishing, veilige koppelingen^* en veilige bijlagen^* (indien gemaakt).

     Aangepaste beleidsregels krijgen een standaardprioriteitswaarde toegewezen wanneer u het beleid maakt (nieuwer is gelijk aan hoger), maar u kunt de prioriteitswaarde op elk gewenst moment wijzigen. Deze prioriteitswaarde is van invloed op de volgorde waarin aangepaste beleidsregels van dat type (antispam, antimalware, antiphishing, enzovoort) worden toegepast, maar heeft geen invloed op waar aangepast beleid in de algemene volgorde wordt toegepast.

  5. Van gelijke waarde:

     • Het beleid voor veilige koppelingen en veilige bijlagen in het vooraf ingestelde beveiligingsbeleid^* voor ingebouwde beveiliging.
     • Het standaardbeleid voor antimalware, antispam en antiphishing.

     U kunt uitzonderingen configureren voor het vooraf ingestelde beveiligingsbeleid voor ingebouwde beveiliging, maar u kunt geen uitzonderingen configureren voor het standaardbeleid (ze zijn van toepassing op alle geadresseerden en u kunt ze niet uitschakelen).

  ^*alleen Defender voor Office 365.

  De prioriteitsvolgorde is van belang als u dezelfde geadresseerde opzettelijk of onbedoeld hebt opgenomen in meerdere beleidsregels, omdat alleen het eerste beleid van dat type (antispam, antimalware, antiphishing, enzovoort) wordt toegepast op die geadresseerde, ongeacht het aantal andere beleidsregels waarin de geadresseerde is opgenomen. Er is nooit een samenvoeging of combinatie van de instellingen in meerdere beleidsregels voor de ontvanger. De ontvanger wordt niet beïnvloed door de instellingen van het resterende beleid van dat type.

De groep met de naam Contoso Executives is bijvoorbeeld opgenomen in het volgende beleid:

• Het vooraf ingestelde beveiligingsbeleid strikt
• Een aangepast antispambeleid met de prioriteitswaarde 0 (hoogste prioriteit)
• Een aangepast antispambeleid met de prioriteitswaarde 1.

Welke antispambeleidsinstellingen worden toegepast op de leden van Contoso Executives? Het vooraf ingestelde beveiligingsbeleid strikt. De instellingen in het aangepaste antispambeleid worden genegeerd voor de leden van Contoso Executives, omdat het vooraf ingestelde beveiligingsbeleid strikt wordt toegepast.

Een ander voorbeeld is het volgende aangepaste antiphishingbeleid in Microsoft Defender voor Office 365 dat van toepassing is op dezelfde geadresseerden en een bericht dat zowel gebruikersimitatie als adresvervalsing bevat:

Beleidsnaam	Priority	Gebruikersimitatie	Anti-adresvervalsing
Beleid A	1	Aan	Uit
Beleid B	2	Uit	Aan

1. Het bericht wordt geïdentificeerd als spoofing, omdat adresvervalsing (5) wordt geëvalueerd vóór imitatie van de gebruiker (6) in de volgorde van verwerking voor het e-mailbeveiligingstype.
2. Beleid A wordt eerst toegepast, omdat het een hogere prioriteit heeft dan beleid B.
3. Op basis van de instellingen in Beleid A wordt er geen actie ondernomen op het bericht omdat anti-adresvervalsing is uitgeschakeld.
4. De verwerking van antiphishingbeleid wordt gestopt voor alle opgenomen geadresseerden, zodat beleid B nooit wordt toegepast op geadresseerden die zich ook in Beleid A bevinden.

Gebruik de volgende richtlijnen voor beleidslidmaatschappen om ervoor te zorgen dat ontvangers de gewenste beveiligingsinstellingen krijgen:

• Wijs een kleiner aantal gebruikers toe aan beleid met een hogere prioriteit en een groter aantal gebruikers aan beleidsregels met lagere prioriteit. Vergeet niet dat standaardbeleid altijd als laatste wordt toegepast.
• Configureer beleid met een hogere prioriteit om strengere of meer gespecialiseerde instellingen te hebben dan beleidsregels met een lagere prioriteit. U hebt volledige controle over de instellingen in aangepaste beleidsregels en het standaardbeleid, maar u hebt geen controle over de meeste instellingen in vooraf ingesteld beveiligingsbeleid.
• Overweeg het gebruik van minder aangepaste beleidsregels (gebruik alleen aangepast beleid voor gebruikers die meer gespecialiseerde instellingen nodig hebben dan het standaard- of strikt vooraf ingestelde beveiligingsbeleid of het standaardbeleid).

Bijlage

Het is belangrijk om te begrijpen hoe gebruikers toestaan en blokken, tenants toestaan en blokken, en filteren stack-uitspraken in EOP en Defender voor Office 365 elkaar aanvullen of tegenspreken.

• Zie Stapsgewijze bedreigingsbeveiliging in Microsoft Defender voor Office 365 voor meer informatie over het filteren van stacks en hoe ze worden gecombineerd.
• Nadat de filterstack een oordeel heeft bepaald, worden tenantbeleid en de geconfigureerde acties geëvalueerd.
• Als hetzelfde e-mailadres of domein voorkomt in de lijst Met veilige afzenders van een gebruiker en de lijst Geblokkeerde afzenders, heeft de lijst Veilige afzenders voorrang.
• Als dezelfde entiteit (e-mailadres, domein, vervalste verzendinfrastructuur, bestand of URL) bestaat in een toegestane vermelding en een blokvermelding in de lijst Tenant toestaan/blokkeren, heeft de blokvermelding voorrang.

Gebruikers toestaan en blokkeren

Vermeldingen in de verzameling veilige lijsten van een gebruiker (de lijst met veilige afzenders, de lijst met veilige geadresseerden en de lijst geblokkeerde afzenders in elk postvak) kunnen sommige filterstackoorden overschrijven, zoals beschreven in de volgende tabel:

Stack-beoordeling filteren	Lijst met veilige afzenders/geadresseerden van de gebruiker	Lijst met geblokkeerde afzenders van gebruiker
Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
Phishing	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Tenant wint: het toepasselijke antispambeleid bepaalt de actie
Spam met hoge betrouwbaarheid	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Spam	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Bulk	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Geen spam	Gebruiker wint: Email geleverd aan het Postvak IN van de gebruiker	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker

Zie Instellingen voor ongewenste e-mail configureren voor Exchange Online postvakken voor meer informatie over het verzamelen van veilige lijsten en antispaminstellingen voor postvakken van gebruikers.

Tenant staat toe en blokkeert

Tenant staat toe en blokken kunnen sommige filterstackbeoordelingen overschrijven, zoals beschreven in de volgende tabellen:

• Geavanceerd leveringsbeleid (filteren op aangewezen SecOps-postvakken en phishingsimulatie-URL's overslaan):

  Stack-beoordeling filteren	Geavanceerd leveringsbeleid toestaan
  Malware	Tenant wint: Email bezorgd in postvak
  Phishing met hoge waarschijnlijkheid	Tenant wint: Email bezorgd in postvak
  Phishing	Tenant wint: Email bezorgd in postvak
  Spam met hoge betrouwbaarheid	Tenant wint: Email bezorgd in postvak
  Spam	Tenant wint: Email bezorgd in postvak
  Bulk	Tenant wint: Email bezorgd in postvak
  Geen spam	Tenant wint: Email bezorgd in postvak

• Exchange-e-mailstroomregels (ook wel transportregels genoemd):

  Stack-beoordeling filteren	E-mailstroomregel staat toe*	E-mailstroomregelblokken
  Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
  Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine, behalve in complexe routering	Filter wint: Email in quarantaine
  Phishing	Tenant wint: Email bezorgd in postvak	Tenant wint: phishingactie in het toepasselijke antispambeleid
  Spam met hoge betrouwbaarheid	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
  Spam	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
  Bulk	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
  Geen spam	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker

  ^* Organisaties die gebruikmaken van een beveiligingsservice of apparaat van derden voor Microsoft 365, moeten overwegen om geverifieerde ontvangen keten (ARC) ( neem contact op met de derde partij voor beschikbaarheid) en verbeterde filtering voor connectors (ook wel bekend als vermelding overslaan) in plaats van een SCL=-1-e-mailstroomregel. Deze verbeterde methoden verminderen problemen met e-mailverificatie en stimuleren diepgaande beveiliging van e-mail .

• Ip-acceptatielijst en IP-blokkeringslijst in verbindingsfilterbeleid:

  Stack-beoordeling filteren	Lijst met toegestane IP-adressen	IP-blokkeringslijst
  Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
  Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
  Phishing	Tenant wint: Email bezorgd in postvak	Tenant wint: Email op de achtergrond verwijderd
  Spam met hoge betrouwbaarheid	Tenant wint: Email bezorgd in postvak	Tenant wint: Email op de achtergrond verwijderd
  Spam	Tenant wint: Email bezorgd in postvak	Tenant wint: Email op de achtergrond verwijderd
  Bulk	Tenant wint: Email bezorgd in postvak	Tenant wint: Email op de achtergrond verwijderd
  Geen spam	Tenant wint: Email bezorgd in postvak	Tenant wint: Email op de achtergrond verwijderd

• Instellingen toestaan en blokkeren in antispambeleid:

  • Toegestane afzender en domeinlijst.
  • Lijst met geblokkeerde afzenders en domeinen.
  • Blokkeer berichten uit specifieke landen/regio's of in specifieke talen.
  • Berichten blokkeren op basis van de instellingen voor het geavanceerde spamfilter (ASF).

  Stack-beoordeling filteren	Antispambeleid staat toe	Antispambeleidsblokken
  Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
  Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine
  Phishing	Tenant wint: Email bezorgd in postvak	Tenant wint: phishingactie in het toepasselijke antispambeleid
  Spam met hoge betrouwbaarheid	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
  Spam	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
  Bulk	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker
  Geen spam	Tenant wint: Email bezorgd in postvak	Tenant wint: Email geleverd aan de map Ongewenste Email van de gebruiker

• Vermeldingen toestaan in de lijst Tenant toestaan/blokkeren:

  Stack-beoordeling filteren	Email adres/domein
  Malware	Filter wint: Email in quarantaine
  Phishing met hoge waarschijnlijkheid	Filter wint: Email in quarantaine
  Phishing	Tenant wint: Email bezorgd in postvak
  Spam met hoge betrouwbaarheid	Tenant wint: Email bezorgd in postvak
  Spam	Tenant wint: Email bezorgd in postvak
  Bulk	Tenant wint: Email bezorgd in postvak
  Geen spam	Tenant wint: Email bezorgd in postvak

• Vermeldingen blokkeren in de lijst Tenant toestaan/blokkeren:

  Stack-beoordeling filteren	Email adres/domein	Spoof	Bestand	URL
  Malware	Filter wint: Email in quarantaine	Filter wint: Email in quarantaine	Tenant wint: Email in quarantaine	Filter wint: Email in quarantaine
  Phishing met hoge waarschijnlijkheid	Tenant wint: Email in quarantaine	Filter wint: Email in quarantaine	Tenant wint: Email in quarantaine	Tenant wint: Email in quarantaine
  Phishing	Tenant wint: Email in quarantaine	Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid	Tenant wint: Email in quarantaine	Tenant wint: Email in quarantaine
  Spam met hoge betrouwbaarheid	Tenant wint: Email in quarantaine	Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid	Tenant wint: Email in quarantaine	Tenant wint: Email in quarantaine
  Spam	Tenant wint: Email in quarantaine	Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid	Tenant wint: Email in quarantaine	Tenant wint: Email in quarantaine
  Bulk	Tenant wint: Email in quarantaine	Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid	Tenant wint: Email in quarantaine	Tenant wint: Email in quarantaine
  Geen spam	Tenant wint: Email in quarantaine	Tenant wint: Spoof-actie in het toepasselijke antiphishingbeleid	Tenant wint: Email in quarantaine	Tenant wint: Email in quarantaine

Conflict met gebruikers- en tenantinstellingen

In de volgende tabel wordt beschreven hoe conflicten worden opgelost als een e-mail wordt beïnvloed door zowel de instellingen voor toestaan/blokkeren van de gebruiker als de instellingen voor toestaan/blokkeren van tenants:

Type tenant toestaan/blokkeren	Lijst met veilige afzenders/geadresseerden van de gebruiker	Lijst met geblokkeerde afzenders van gebruiker
Blokkeer vermeldingen in de lijst Met toestaan/blokkeren van tenants voor: Email adressen en domeinen Bestanden Urls	Tenant wint: Email in quarantaine	Tenant wint: Email in quarantaine
Vermeldingen blokkeren voor vervalste afzenders in de lijst Tenant toestaan/blokkeren	Tenant wint: Spoof intelligence-actie in het toepasselijke antiphishingbeleid	Tenant wint: Spoof intelligence-actie in het toepasselijke antiphishingbeleid
Geavanceerd leveringsbeleid	Gebruiker wint: Email bezorgd in postvak	Tenant wint: Email bezorgd in postvak
Instellingen blokkeren in antispambeleid	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
DMARC-beleid honoreert	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Blokken per e-mailstroomregels	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker
Staat toe door: Regels voor e-mailstroom Lijst met toegestane IP-adressen (verbindingsfilterbeleid) Toegestane afzender en domeinlijst (antispambeleid) Lijst met toegestane/geblokkeerde tenants	Gebruiker wint: Email bezorgd in postvak	Gebruiker wint: Email geleverd aan de map Ongewenste Email van de gebruiker