💼 Management Samenvatting
Exchange Online Transport Security gaat veel verder dan het simpelweg inschakelen van TLS. Het is het samenstel van beleidskaders, technische instellingen en operationele controles dat ervoor zorgt dat elke e-mail die de organisatie verlaat even zorgvuldig wordt beschermd als de gegevens in de achterliggende systemen. In dit document wordt uiteengezet hoe verplichte versleuteling, connectorontwerp, transportregels en beheerprocessen elkaar versterken, zodat CISO’s, mailbeheerteams en auditors dezelfde taal spreken en weten welke stappen nodig zijn om veilige mailstromen binnen de Nederlandse Baseline voor Veilige Cloud te garanderen.
Aanbeveling
Richt Exchange Online Transport Security integraal in met verplichte TLS, gecontroleerde connectoren en DLP-gestuurde transportregels, en borg beheerprocessen in beleid en monitoring.
Risico zonder
High
Risk Score
7/10
Implementatie
12u (tech: 8u)
Van toepassing op:
✓ Exchange Online
✓ Mail Flow
✓ Mail Flow
Onversleutelde of slecht beheerde e-mailtransportstromen vormen een directe route naar datalekken. Wanneer berichten zonder TLS over het internet reizen, kunnen tussenliggende providers of kwaadwillenden op backbone-routers verkeer kopiëren en volledige dossiers, wachtwoorden of aanbestedingsstukken inzien. Aanvallers kunnen zich tussen verzender en ontvanger plaatsen, berichten subtiel aanpassen en zo financiële transacties of bestuurlijke besluiten manipuleren. Tegelijkertijd eisen alle relevante normenkaders—inclusief AVG Artikel 32, BIO 13.02.01 en ISO 27001 A.13.2.1—dat informatie tijdens transport adequaat wordt beschermd en dat organisaties kunnen aantonen hoe deze bescherming werkt. Door Transport Security volwassen in te richten met TLS 1.2+, certificaatvalidatie, DLP-gestuurde transportregels en gedisciplineerde monitoring, wordt het risico op interceptie drastisch verlaagd en beschikken organisaties over auditwaardig bewijs dat zij hun zorgplicht serieus nemen.
Implementatie
Deze maatregel beschrijft een volledige architectuur voor Exchange Online Transport Security waarin techniek en governance samenkomen. TLS wordt dwingend geconfigureerd, connectoren voor hybride omgevingen en partnerorganisaties krijgen expliciete eisen mee voor certificaten en IP-restricties, en transportregels worden gekoppeld aan Purview-classificaties zodat gevoelige informatie automatisch wordt versleuteld of geblokkeerd. Verder beschrijven we hoe documentatie, testplannen en monitoringrapportages worden opgezet, welke portals en PowerShell-cmdlets daarvoor nodig zijn en hoe teams samenwerken om wijzigingen gecontroleerd door te voeren. Het resultaat is een robuuste blauwdruk waarmee mailflowbeheer voorspelbaar en auditproof wordt uitgevoerd.
Vereisten
- Een volledig uitgerolde Exchange Online-tenant vormt de basis en moet inzichtelijk maken welke domeinen, mailstromen en Exchange Online Protection policies actief zijn. Documenteer per stroom het doel, de gegevenscategorie, de verantwoordelijke eigenaar en de afhankelijkheden met andere platformen, bundel deze informatie in een actueel register en leg vast welke protocollen en cipher suites vandaag worden gebruikt. Voeg eraan toe welke uitzonderingen historisch zijn toegestaan, wanneer zij verlopen en welke auditbevindingen eerder zijn gedaan. Alleen met deze inventarisatie kan het team beoordelen waar nog legacy-configuraties, open relais of ontbrekende logging bestaan, welke teams betrokken moeten worden bij de actualisatie van Transport Security en hoe de roadmap richting een volledig versleuteld landschap eruitziet.
- Voor alle partners en gateways waarmee verplichte TLS wordt ingericht, zijn betrouwbare X.509-certificaten noodzakelijk. Beschrijf in het eisenpakket dat certificaten afkomstig zijn van erkende Certificate Authorities, dat de common name matcht met het partnerdomein en dat beheerprocessen voor verlenging, revocatie en sleutelopslag zijn uitgewerkt. Leg vast hoe sleutelmateriaal wordt opgeslagen, hoe certificate pinning wordt ingericht en hoe de partner aantoont dat private keys niet worden gedeeld met derde partijen. Neem deze afspraken op in een service level agreement zodat duidelijk is wie verantwoordelijk is voor tijdige vernieuwing, hoe incidenten worden gecommuniceerd en welke escalatiepaden gelden bij spoedherstel.
- Transportregels kunnen alleen effectief zijn wanneer functionele requirements vooraf zijn afgestemd. Verzamel hiervoor usecases bij security officers, privacyjuristen en proceseigenaren, definieer triggerwoorden en reguliere expressies, en beschrijf per scenario welke actie noodzakelijk is: versleutelen, blokkeren, doorsturen voor beoordeling of enkel waarschuwen. Leg ook vast hoe uitzonderingen worden aangevraagd, welke tijdelijke geldigheid zij hebben en hoe deze worden geëvalueerd voordat verlenging wordt toegestaan. Documenteer meetbare kwaliteitsindicatoren, zoals maximale aantallen false positives of vereiste responstijden, zodat tijdens audits duidelijk is waarom bepaalde berichten ondanks een trigger toch zijn doorgelaten en of correctieve maatregelen op tijd zijn getroffen.
- Data Loss Prevention-beleid vormt het fundament onder elke transportregel en vraagt om een volwassen classificatiekader binnen Microsoft Purview. Bepaal welke labels automatisch encryptie moeten activeren, hoe gebruikers worden geïnformeerd wanneer zij gevoelige gegevens willen versturen en hoe training en bewustwording zijn georganiseerd. Beschrijf bovendien hoe labels worden bewaakt op consistent gebruik, hoe self-service labelaanvragen worden beoordeeld en welke rapportages beschikbaar zijn voor proceseigenaren. Zonder deze beleidsmatige borging is de kans groot dat technische maatregelen worden genegeerd, verkeerd worden geïnterpreteerd of worden ondermijnd door inconsistent gebruik van labels, waardoor transportbeveiliging zijn doel mist.
- Connectorconfiguraties voor hybride installaties, managed security gateways of specifieke leveranciers dienen vooraf beschreven te zijn. Leg vast welke authenticatiemethode wordt vereist (bijvoorbeeld TLS met subject name validatie), welke IP-adressen verwacht worden, hoe failoverroutes lopen en welke wijzigingsprocedure gevolgd moet worden. Beschrijf eveneens hoe vaak beschikbaarheidstests plaatsvinden, hoe pen-tests worden uitgevoerd op mailgateways en hoe configuratieback-ups veilig worden opgeslagen. Documenteer bovendien hoe test- en productieconnectoren van elkaar worden gescheiden, hoe logging wordt geconfigureerd zodat bij storingen snel kan worden achterhaald of het probleem bij de eigen tenant of bij de partner ligt en welke stappen nodig zijn om terug te vallen op een noodroute zonder beveiligingsmaatregelen te omzeilen.
Implementatie
De implementatie begint met een nulmeting waarin beheerders uit het Exchange Admin Center, Microsoft 365 Defender en eventuele on-premises servers exporteren welke protocollen, cipher suites en connectoren momenteel actief zijn. Deze inventarisatie brengt legacy-configuraties, verouderde certificaten en ontbrekende logging in beeld, waardoor direct duidelijk wordt welke risico’s als eerste moeten worden aangepakt. Vervolgens worden opportunistische TLS-instellingen gestandaardiseerd: alleen TLS 1.2 en hoger blijven toegestaan, zwakke algoritmen worden uitgeschakeld en auditlogging wordt aangezet zodat elke handshake later kan worden geanalyseerd. Daarna richt het team verplichte TLS-verbindingen in voor partners met gevoelige gegevensstromen. Per partner wordt een aparte send en receive connector opgebouwd waarin domeinnamen, verwacht certificaatonderwerp, IP-restricties en fallbackscenario’s zijn vastgelegd. Een mislukte handshake mag nooit automatisch leiden tot een downgrade naar onversleuteld verkeer; in plaats daarvan wordt het bericht in quarantaine geplaatst zodat de beheerder kan beoordelen of er sprake is van een fout of van manipulatie. Zodra de basis staat, volgt de uitrol van transportregels. De eerste reeks regels richt zich op het afdwingen van Microsoft Purview Message Encryption wanneer berichten geclassificeerd zijn als vertrouwelijk of staatsgeheim. Daarna worden waarschuwingen toegevoegd die gebruikers attenderen op externe ontvangers en worden disclaimers opgenomen die juridische context geven bij uitgaande communicatie. Elke transportregel krijgt een gedetailleerd testplan met scenario’s, verwachte uitkomsten en rollbackstappen, zodat acceptatietests reproduceerbaar zijn en documentatie voor auditors ontstaat. De testfase bevat zowel synthetische berichten als realistische voorbeelden uit de organisatie, inclusief varianten waarin bewust verkeerde certificaten of niet-ondertekende berichten worden gebruikt om te controleren of het systeem ongeautoriseerde routes afwijst. Parallel aan de technische werkzaamheden bouwt het team runbooks, servicedesk-instructies en beslisbomen voor uitzonderingen. PowerShell-scripts worden in versiebeheer opgeslagen zodat wijzigingen herleidbaar blijven en bij fouten snel kan worden teruggekeerd naar een bekende configuratie. Change management vereist dat elke wijziging via een formeel CAB-proces verloopt met risicoanalyse en communicatieplan. Tijdens de uitrol worden gebruikers geïnformeerd over nieuwe processen, bijvoorbeeld hoe zij versleutelde berichten openen of hoe zij een tijdelijke uitzondering aanvragen voor een specifiek project. De implementatie sluit af met integrale ketentests waarbij berichten worden verstuurd naar interne mailboxen, hybride omgevingen en externe partners. Tools zoals Message Header Analyzer en het Exchange Online transportlogboek worden gebruikt om te bevestigen dat TLS actief is, certificaten overeenkomen met de verwachtingen en transportregels de juiste acties uitvoeren. Bevindingen worden geregistreerd, opgelost en opnieuw getest totdat alle kwaliteitscriteria zijn behaald. Tot slot worden monitoringdashboards gekoppeld aan het PowerShell-script in de deploymentmap zodat beheerders dagelijks binnen vijftien seconden inzicht hebben in de gezondheid van alle verbindingen en afwijkingen direct kunnen aanpakken.
Compliance en Auditing
Transport security ondersteunt meerdere normenkaders tegelijkertijd en moet daarom aantoonbaar en herhaalbaar zijn ingericht. Binnen de BIO is maatregel 13.02.01 leidend: organisaties moeten kunnen laten zien dat alle gegevens die via e-mail worden gedeeld tijdens transport zijn beschermd en dat verantwoordelijkheden, procedures en evaluatiemomenten zijn vastgelegd. ISO 27001 A.13.2.1 vult dit aan door te eisen dat er een formeel beleid bestaat voor informatieoverdracht en dat de effectiviteit van technische controles periodiek wordt beoordeeld. Dat betekent dat change- en incidentprocessen voor connectors, certificaten en transportregels aantoonbaar moeten zijn vastgelegd, inclusief logging die laat zien welke gebruiker of automatisering aanpassingen heeft doorgevoerd. Voor organisaties die onder PCI-DSS vallen, schrijft Requirement 4.1 voor dat sterke cryptografie verplicht is voor alle transmissies met kaartgegevens; een export van TLS-instellingen en message tracking logs biedt auditors het bewijs dat aan deze eis wordt voldaan. Daarnaast speelt de AVG een cruciale rol: artikel 32 verlangt passende technische en organisatorische maatregelen, terwijl artikel 5 accountability afdwingt. Documenteer daarom hoe uitzonderingen worden beoordeeld, hoe Data Protection Impact Assessments worden uitgevoerd bij nieuwe mailstromen en hoe de organisatie reageert op incidenten zoals mislukte TLS-handshakes of verdachte routewijzigingen. Bewaar PowerShell-exporten van connectorconfiguraties, screenshots van beleid, resultaten van ketentests en de rapporten uit het monitoring-script in een centraal auditdossier. Zo kan bij controles direct worden aangetoond dat Transport Security niet alleen theoretisch op papier staat, maar dagelijks wordt gemonitord, onderhouden en verbeterd.
Monitoring
Gebruik PowerShell-script exchange-transport-security.ps1 (functie Invoke-Monitoring) – Deze monitoringroutine draait dagelijks onder lokale debug-instellingen zodat beheerders binnen vijftien seconden inzicht hebben in de gezondheid van alle transportverbindingen. Het script controleert opportunistische en verplichte TLS-configuraties, vergelijkt certificaat-thumbprints met de verwachte waarden en analyseert message tracking logs op gefaalde handshakes, onverwachte downgrades of afwijkende verzendroutes. Daarnaast worden statistieken over transportregels verzameld: hoeveel berichten zijn versleuteld, geblokkeerd of doorgestuurd voor beoordeling, en welke labels veroorzaakten de meeste acties. De resultaten worden vastgelegd in een HTML-rapport voor operationeel gebruik en een JSON-export voor het SIEM, zodat zowel real-time incidentrespons als trendanalyse mogelijk is.
Het script voert aanvullende kwaliteitscontroles uit, zoals het vergelijken van actuele configuraties met de golden baseline in versiebeheer en het signaleren van instellingen of certificaten die dreigen te verlopen. Indien een partnerconnector plotseling een ander certificaat presenteert, wordt automatisch een verdiepende test uitgevoerd waarin Subject Alternative Names, TLS-versie en cipher suite worden gelogd. De beheerder ontvangt een geconsolideerde melding met concrete vervolgstappen, inclusief contactgegevens van de partner zoals opgenomen in het vereistenregister. Zo kan binnen minuten worden geschakeld en blijft de mailstroom beschermd.
Ook operationele processen worden ondersteund: het script tagt elk incident met een prioriteit op basis van de betrokken gegevensclassificatie, kan optioneel een ticket aanmaken in het ITSM-systeem en bewaart de ruwe logbestanden op een forensisch share zodat latere audits of onderzoeken dezelfde brondata kunnen raadplegen. Door deze disciplinerende aanpak blijft Transport Security aantoonbaar in control, worden afwijkingen vroegtijdig onderschept en is er altijd actuele bewijsvoering beschikbaar voor managementrapportages, BIO-controles en ISO-audits..
Remediatie
Gebruik PowerShell-script exchange-transport-security.ps1 (functie Invoke-Remediation) – Het remediatiescript grijpt automatisch in wanneer monitoring een afwijking meldt. Het herstelt TLS-instellingen naar het vastgestelde minimum (TLS 1.2+, moderne ciphers), publiceert opnieuw de juiste certificaatbinding en verhoogt tijdelijk het logniveau zodat kan worden bevestigd dat het probleem daadwerkelijk is opgelost. Voor partnerconnectoren valideert het script het certificaatonderwerp en de bron-IP’s; wanneer onverwachte waarden worden gedetecteerd, wordt het verkeer geblokkeerd en ontvangen betrokken teams een melding om de partner te informeren. Transportregels kunnen automatisch opnieuw worden toegepast, prioriteiten worden herschikt en verlopen uitzonderingen worden verwijderd, waarna een korte regressietest controleert of de gewenste acties weer plaatsvinden.
Daarnaast kan het script gebruikmaken van vooraf gedefinieerde herstelprofielen. Voor elke kritieke mailstroom is vastgelegd welke configuratie als gouden standaard geldt, welke PowerShell-cmdlets nodig zijn om deze terug te zetten en hoe lang de herconfiguratie maximaal mag duren voordat escalatie noodzakelijk is. Wanneer een fout wordt hersteld, vraagt het script de beheerder om de uitgevoerde actie te labelen (bijvoorbeeld ‘certificaatvervanging’ of ‘regelprioriteit aangepast’) zodat latere analyses inzicht geven in structurele verbeterpunten. Alle stappen worden gelogd met timestamp, uitvoerende gebruiker en verwijzing naar het incident- of wijzigingsnummer, inclusief het resultaat van de automatische validatietests. De logs worden opgeslagen in het auditdossier en kunnen direct worden gedeeld met auditors of toezichthouders. Deze systematische aanpak voorkomt ad-hoc ingrepen, minimaliseert menselijke fouten en zorgt ervoor dat Transport Security continu voldoet aan de eisen van de Nederlandse Baseline voor Veilige Cloud..
Compliance & Frameworks
- BIO: 13.02.01 - Email versleuteling in transit
- ISO 27001:2022: A.13.2.1 - Information transfer beleidsregels
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Exchange Transport Security Design
.DESCRIPTION
Implementation for Exchange Transport Security Design
.NOTES
Filename: exchange-transport-security.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/collaboration/exchange-transport-security.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Exchange Transport Security Design"
$CISControl = "CIS M365 6.x"
$BIOControl = "16.01"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "exchange-transport-security"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder deze maatregel reizen berichten onversleuteld, kunnen aanvallers berichten onderscheppen of manipuleren en voldoet de organisatie niet aan AVG Artikel 32, BIO 13.02 en ISO 27001 A.13.2.1, met hoge kans op datalekken en reputatieschade.
Management Samenvatting
Dwing TLS 1.2+ af op alle mailroutes, valideer partnercertificaten, gebruik Purview-labels om transportregels te triggeren, test en monitor dagelijks via het script in `code/design/collaboration/exchange-transport-security.ps1` en leg alle wijzigingen vast voor auditdoeleinden.
- Implementatietijd: 12 uur
- FTE required: 0.1 FTE