đź’Ľ Management Samenvatting
Content filtering met Microsoft Defender voor Office 365 vormt een van de belangrijkste verdedigingslijnen om e-mailverkeer van de organisatie schoon, veilig en beheersbaar te houden. Door een consistent beleid voor het blokkeren, markeren en quarantaineplaatsen van spam, phishing en ongewenste bulkmail worden medewerkers beschermd tegen schadelijke links, bijlagen en frauduleuze berichten die anders ongemerkt in de mailbox zouden belanden. Voor Nederlandse overheidsorganisaties, waar vertrouwelijkheid, integriteit en beschikbaarheid van informatie centraal staan, is een doordacht anti-spam- en contentfilterbeleid daarmee geen luxe, maar een randvoorwaarde voor betrouwbare digitale dienstverlening.
Aanbeveling
Richt een centraal, goed gedocumenteerd Defender Content Filtering‑beleid in voor alle Exchange Online‑mailboxen, met duidelijke SCL‑drempels, quarantaine-instellingen en uitzonderingsbeheer.
Risico zonder
Medium
Risk Score
5/10
Implementatie
12u (tech: 8u)
Van toepassing op:
âś“ Exchange Online bescherming
Zonder een goed ingericht Defender content filtering-beleid ontstaat al snel een situatie waarin gebruikers dagelijks worden overspoeld met onveilige of irrelevante e-mails. Dit leidt niet alleen tot productiviteitsverlies doordat medewerkers veel tijd kwijt zijn aan het opschonen van hun inbox, maar vergroot vooral het risico dat iemand een kwaadaardige link of bijlage toch opent. Een enkele succesvolle phishingmail kan voldoende zijn om inloggegevens buit te maken, malware te installeren of toegang tot interne systemen te verkrijgen. Bovendien verwacht de Nederlandse wet- en regelgeving, waaronder de BIO en de AVG, dat organisaties passende e-mailbeveiligingsmaatregelen treffen om persoonsgegevens en vertrouwelijke informatie te beschermen. Een zwak of afwezig spam- en contentfilterbeleid kan daardoor resulteren in datalekken, meldplichten bij de Autoriteit Persoonsgegevens, negatieve publiciteit en verlies van vertrouwen bij burgers, ketenpartners en toezichthouders.
PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-ExchangeOnlineRequired Modules: ExchangeOnlineManagement
Implementatie
Met Defender Content Filtering richt de organisatie een samenhangend stelsel van anti-spam- en inhoudsfilters in, specifiek afgestemd op de risico’s, processen en gebruikersgroepen binnen de tenant. Het gaat hierbij onder meer om het configureren van spam confidence levels (SCL) voor het automatisch markeren en quarantaineplaatsen van verdachte berichten, het inregelen van afzonderlijke drempelwaarden voor bulkmail en marketingcommunicatie, en het onderhouden van toegestane en geblokkeerde verzendlijsten. Daarnaast kunnen beleidsregels worden ingericht voor het omgaan met verdachte bijlagen, ingesloten URL’s en berichten uit risicovolle landen of domeinen. Deze configuratie sluit aan op het bredere security- en compliancebeleid van de organisatie en draagt direct bij aan het realiseren van de Nederlandse Baseline voor Veilige Cloud. De implementatie vindt plaats via Exchange Online configuratie en, waar relevant, aanvullende instellingen in Defender for Office 365, zonder dat er aanpassingen in de kernarchitectuur van de tenant nodig zijn.
Vereisten
Voor een effectieve invoering van Defender Content Filtering is allereerst een goed begrip nodig van de bestaande e-mailarchitectuur binnen de organisatie. De omgeving moet gebruikmaken van Exchange Online als primaire e-maildienst, bij voorkeur met alle inkomende en uitgaande stromen centraal via Microsoft 365 geleid, zodat er geen parallelle, ongecontroleerde mailroutes buiten de beveiligingslaag om bestaan. Daarnaast is het belangrijk dat de organisatie duidelijk heeft vastgelegd welke domeinen officieel in gebruik zijn, welke mailboxtypen worden ondersteund (bijvoorbeeld gebruikerspostvakken, gedeelde mailboxen en resource mailboxen) en of er nog hybride koppelingen met on‑premises Exchange-servers actief zijn. Deze inventarisatie vormt de basis voor het correct toewijzen van beleidsregels aan de juiste gebruikersgroepen en domeinen. Naast de technische randvoorwaarden zijn er ook organisatorische vereisten. Er moet een eigenaar worden aangewezen voor het e-mailbeveiligingsbeleid, bij voorkeur binnen het CISO‑domein of bij een centrale securityafdeling, die verantwoordelijk is voor de afstemming met functioneel beheer en servicedeskteams. Deze eigenaar bepaalt, in overleg met lijnmanagement en privacy officers, de gewenste balans tussen strikte filtering en werkbaarheid voor eindgebruikers. Daarbij worden vragen beantwoord zoals: welke vormen van marketingmail zijn acceptabel, hoe gaan we om met Nederlandstalige nieuwsbrieven, en welke risicoacceptatie is er rond externe partners die soms technisch slecht ingerichte mailservers gebruiken. Zonder deze bestuurlijke verankering blijft content filtering een puur technische instelling, terwijl het in de praktijk direct ingrijpt op het dagelijkse werk van medewerkers. Ook licenties vormen een belangrijke voorwaarde. Basisbescherming is beschikbaar via Exchange Online Protection, maar voor geavanceerde functionaliteit – zoals Zero‑hour Auto Purge, geavanceerde spamfilters en nauwere integratie met andere Defender-componenten – is vaak een Defender for Office 365‑licentie (bijvoorbeeld onderdeel van Microsoft 365 E5 of een aanvullende beveiligingsbundel) vereist. De organisatie moet vooraf vaststellen welke licenties beschikbaar zijn en of uitbreiding noodzakelijk is om de gewenste beveiligingsniveaus te halen. Het is raadzaam om hierbij rekening te houden met toekomstige uitbreidingen, zoals inzet van aanvullende anti-phishing- of anti-malwaremaatregelen. Tot slot moet de beheeromgeving voor Exchange Online in orde zijn. Beheerders dienen toegang te hebben tot de juiste rollen in het Microsoft 365-beheercentrum en tot Exchange Online PowerShell via het modulepakket dat in deze baseline wordt voorgeschreven. Zonder stabiele toegang tot deze beheerinterfaces is het niet mogelijk om beleid gestructureerd uit te rollen, te monitoren of bij te sturen. Ook logging en rapportages moeten zijn ingeschakeld en beschikbaar voor security- en auditdoeleinden, zodat wijzigingen in beleid en effecten op het e-mailverkeer aantoonbaar kunnen worden gevolgd. Alleen wanneer aan al deze vereisten is voldaan, kan Defender Content Filtering duurzaam en gecontroleerd worden ingevoerd.
Implementatie
De implementatie van Defender Content Filtering start met het ontwerpen van een helder beleid dat aansluit op de risicoanalyse en de informatieclassificatie binnen de organisatie. In plaats van direct alle beschikbare instellingen aan te zetten, is het verstandig om gefaseerd te werk te gaan: eerst een basismodel voor spam- en bulkmailfiltering, vervolgens verfijning op basis van gemeten resultaten. Beheerders beginnen doorgaans met het analyseren van bestaande rapportages in het Microsoft 365 Defender‑portaal om inzicht te krijgen in het huidige volume aan spam, phishing en ongewenste bulkberichten. Op basis van deze gegevens worden uitgangswaarden vastgesteld voor de SCL‑drempels, de behandeling van berichten met een hoog risico (bijvoorbeeld directe quarantaine) en de afhandeling van minder risicovolle berichten (zoals verplaatsing naar de map Ongewenste e‑mail). Vervolgens worden één of meerdere anti‑spam policies ingericht in Exchange Online. Daarbij wordt onderscheid gemaakt tussen organisatiebrede basisinstellingen en meer specifieke beleidsregels voor bepaalde afdelingen, functies of hoogrisicogroepen. Voor generieke gebruikers kan bijvoorbeeld worden gekozen voor strikte filtering van verdachte bijlagen en verdachte URL’s, terwijl voor externe postvakken of testomgevingen andere drempels gelden. Het is belangrijk om expliciet vast te leggen hoe wordt omgegaan met internationale nieuwsbrieven, marketingcampagnes en bulkcommunicatie vanuit vertrouwde leveranciers. Dit voorkomt dat eindgebruikers massaal uitzonderingen gaan aanvragen of alternatieve, onveilige communicatiekanalen gaan gebruiken. Een essentieel onderdeel van de implementatie is het zorgvuldig configureren van quarantainegedrag en gebruikersmeldingen. Door gebruik te maken van eindgebruikersrapportages, zoals quarantaineoverzichten per e‑mail, wordt de verantwoordelijkheid deels bij de medewerker gelegd, terwijl de organisatie de uiteindelijke controle behoudt over de vrijgave van hoogrisicoberichten. Tegelijkertijd moeten procedures worden ingericht voor het snel beoordelen van meldingen van ten onrechte geblokkeerde berichten, zodat zakelijke processen niet worden vertraagd. Dit vraagt om heldere werkafspraken tussen servicedesk, securityteam en functioneel beheer. Tot slot moet de configuratie worden gedocumenteerd in lijn met de Nederlandse Baseline voor Veilige Cloud en de BIO‑eisen. Dit omvat een overzicht van de ingestelde beleidsregels, toegepaste uitzonderingen, toegewezen licenties en de wijze waarop rapportages worden beoordeeld. Bij wijzigingen in dreigingslandschap of organisatie-architectuur (bijvoorbeeld bij fusies, nieuwe ketenpartners of migraties) wordt het beleid herzien. De bijbehorende PowerShell‑scripts, zoals opgenomen in deze baseline, ondersteunen beheerders bij het geautomatiseerd uitlezen, controleren en herconfigureren van de instellingen, zodat de implementatie herhaalbaar, controleerbaar en auditbaar blijft.
Gebruik PowerShell-script defender-content-filtering.ps1 (functie Invoke-Monitoring) – Monitoren.
Monitoring en rapportage
Na de initiële implementatie is doorlopende monitoring cruciaal om te toetsen of het ingestelde contentfilterbeleid daadwerkelijk het gewenste effect heeft. Dit begint met het structureel analyseren van de spamdetectierapportages en quarantaineoverzichten die beschikbaar zijn in het Microsoft 365 Defender‑portaal en via Exchange Online rapportages. Beheerders kijken daarbij niet alleen naar het totale volume aan geblokkeerde berichten, maar vooral naar trends: neemt het aantal phishingpogingen toe, verschuiven aanvallen naar andere kanalen, of worden bepaalde doelgroepen binnen de organisatie vaker benaderd. Dergelijke inzichten helpen om het beleid gericht aan te scherpen of juist te versoepelen, zodat beveiliging en gebruiksvriendelijkheid in balans blijven. Daarnaast is het belangrijk om te monitoren hoe eindgebruikers het contentfilterbeleid ervaren. Meldingen bij de servicedesk over missende berichten of onterecht geblokkeerde e‑mails zijn een waardevolle indicator voor de kwaliteit van de ingestelde regels. Door deze meldingen systematisch te registreren en periodiek te analyseren, kunnen patronen worden herkend, zoals een bepaalde leverancier wiens berichten consequent in quarantaine belanden of een nieuwsbriefplatform dat vaak als spam wordt aangemerkt. Op basis daarvan kan in overleg met de CISO of functioneel beheer worden besloten om specifieke verzenders op een toestaan‑lijst te plaatsen of juist extra verificatiemaatregelen te treffen. Voor organisaties in de publieke sector spelen ook audit- en compliance-eisen een rol in de monitoring. Rapportages over anti‑spambeleid en de effectiviteit ervan moeten vaak beschikbaar zijn voor interne audit, gemeentelijke rekenkamer of andere toezichthouders. Het is daarom raadzaam om standaardrapporten in te richten die bijvoorbeeld maandelijks inzicht geven in aantallen geblokkeerde spam- en phishingberichten, gebruikte beleidsinstellingen en eventuele uitzonderingen. Deze rapporten kunnen worden gekoppeld aan bredere securitydashboards, zodat zij onderdeel uitmaken van de reguliere risicosturing binnen de organisatie. Tenslotte moet monitoring worden ingebed in een continu verbeterproces. Wanneer nieuwe dreigingen opduiken – denk aan gerichte spear‑phishingcampagnes tegen bestuurders of aanvallen via goed ogende cloudservices – wordt het Defender Content Filtering‑beleid herzien op basis van actuele dreigingsinformatie. Het securityteam stemt dit af met andere beveiligingsmaatregelen, zoals anti‑phishingbeleid, DMARC‑implementatie en endpointbeveiliging, zodat een samenhangend verdedigingsliniesysteem ontstaat. Op die manier blijft monitoring niet beperkt tot het constateren van incidenten, maar draagt het actief bij aan het verhogen van de weerbaarheid van de gehele organisatie.
Gebruik PowerShell-script defender-content-filtering.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Remediatie binnen het kader van Defender Content Filtering draait om het gericht bijsturen van instellingen wanneer blijkt dat het beleid niet langer optimaal aansluit op het actuele dreigingsbeeld of de dagelijkse praktijk van gebruikers. Een eerste stap is het verfijnen van de SCL‑drempels en andere classificatie-instellingen op basis van de inzichten uit monitoring en incidentafhandeling. Wanneer bijvoorbeeld regelmatig phishingmails door de filtering heen glippen, kan het nodig zijn om drempelwaarden te verlagen of extra maatregelen te activeren, zoals het standaard in quarantaine plaatsen van berichten met een verdacht afzenderdomein of afwijkende authenticatiegegevens. Tegelijkertijd moet worden voorkomen dat legitieme berichten massaal worden geblokkeerd, omdat dit leidt tot onnodige werkdruk bij servicedesk en securityteams. Remediatie omvat ook het analyseren van concrete incidenten. Bij een geslaagde phishingaanval of bijna‑incident wordt onderzocht hoe het betreffende bericht door de filters is gekomen: was de configuratie te soepel, miste er een specifieke regel of maakte de aanvaller gebruik van een nieuw patroon dat nog niet werd herkend. Op basis van deze beoordeling wordt het beleid aangepast, bijvoorbeeld door een nieuwe blokkeringsregel toe te voegen, specifieke TLD’s of afzenderadressen te markeren als hoog risico, of aanvullende waarschuwingen in te schakelen voor eindgebruikers. Deze leerervaringen moeten worden vastgelegd en gedeeld binnen de organisatie, zodat kennis over aanvalstechnieken niet beperkt blijft tot een klein technisch team. Een ander belangrijk onderdeel van remediatie is het opschonen van bestaande mailboxen en het herstellen van vertrouwen in het e‑mailkanaal. Wanneer bijvoorbeeld gedurende langere tijd onvoldoende strikte filtering is toegepast, kan het nodig zijn om met behulp van Microsoft Defender‑functionaliteiten retroactief verdachte berichten op te sporen en te verwijderen. Dit proces moet zorgvuldig worden gecommuniceerd met eindgebruikers, zodat zij begrijpen waarom berichten verdwijnen of heringedeeld worden, en welke stappen zij zelf kunnen nemen om verdachte e‑mails te melden. Tot slot moet remediatie worden verankerd in formele procedures en change management. Aanpassingen in contentfilterbeleid hebben direct impact op de werkprocessen van medewerkers en soms op afspraken met externe partners. Daarom hoort iedere wijziging aan de instellingen te worden geregistreerd, beoordeeld en waar nodig getest in een gecontroleerde omgeving voordat deze organisatiebreed wordt uitgerold. Door remediatie gestructureerd aan te pakken, blijft Defender Content Filtering geen eenmalig project, maar een doorlopende verbetercyclus die bijdraagt aan een veerkrachtige en veilige cloudomgeving.
Gebruik PowerShell-script defender-content-filtering.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance en Auditing
Voor Nederlandse overheidsorganisaties is naleving van de Baseline Informatiebeveiliging Overheid (BIO) en andere relevante kaders, zoals de AVG en sectorspecifieke voorschriften, een kernvoorwaarde bij het inrichten van e‑mailbeveiliging. Defender Content Filtering speelt hierin een duidelijke rol doordat het helpt aantonen dat passende technische en organisatorische maatregelen zijn getroffen om ongewenste en schadelijke e‑mail tegen te houden. Vanuit complianceperspectief gaat het daarbij niet alleen om de technische configuratie, maar vooral om de aantoonbaarheid: kan de organisatie laten zien welke beleidsregels gelden, hoe deze zijn geïmplementeerd en op welke wijze wordt gecontroleerd of zij effectief blijven. Een goed ingericht compliance- en auditkader voor content filtering begint met actuele en toegankelijke documentatie. Hierin wordt beschreven welke anti‑spam policies actief zijn, welke doelen zij dienen (bijvoorbeeld bescherming tegen phishing, beperking van bulkmail of het afvangen van verdachte bijlagen) en hoe uitzonderingen worden beheerd. Deze documentatie wordt gekoppeld aan de bredere informatiebeveiligingsdocumenten, zoals het informatiebeveiligingsbeleid, het e‑mail- en communicatiereglement en de uitwerking van de BIO‑maatregelen. Door deze samenhang expliciet te maken, kunnen auditors snel beoordelen hoe Defender Content Filtering bijdraagt aan de invulling van control‑eisen zoals het beperken van ongeautoriseerde toegang, het voorkomen van malware-infecties en het beschermen van persoonsgegevens in e‑mailverkeer. Daarnaast is logging en rapportage onmisbaar voor compliance. De organisatie moet kunnen aantonen dat gebeurtenissen rondom spam- en contentfiltering worden vastgelegd, periodiek worden beoordeeld en waar nodig leiden tot verbeteracties. Dit betekent dat rapportages over geblokkeerde berichten, quarantaine-activiteit en wijzigingen in beleidsinstellingen beschikbaar moeten zijn voor zowel het securityteam als interne auditfuncties. Bij voorkeur worden deze rapporten opgenomen in een centraal beveiligingsdashboard, zodat zij in één oogopslag inzicht bieden in de effectiviteit van de genomen maatregelen. Tenslotte moet ook de relatie met privacy en gegevensbescherming expliciet worden geborgd. Content filtering kan ertoe leiden dat berichten met persoonsgegevens worden geanalyseerd, geblokkeerd of in quarantaine worden geplaatst. De organisatie moet daarom in het privacybeleid en in verwerkersovereenkomsten duidelijk maken hoe met deze gegevens wordt omgegaan, wie toegang heeft tot quarantaine-omgevingen en onder welke voorwaarden berichten mogen worden ingezien of vrijgegeven. Door deze aspecten zorgvuldig te regelen en vast te leggen, kan de organisatie richting toezichthouders en burgers verantwoorden dat Defender Content Filtering niet alleen de beveiliging versterkt, maar ook in lijn is met de principes van rechtmatigheid, proportionaliteit en subsidiariteit.
Compliance & Frameworks
- BIO: 14.02 - BIO Baseline Informatiebeveiliging Overheid - 14.02 - Email security
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Defender Content Filtering Design
.DESCRIPTION
Implementation for Defender Content Filtering Design
.NOTES
Filename: defender-content-filtering.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/design/security/defender-content-filtering.json
#>
#Requires -Version 5.1
#Requires -Modules Microsoft.Graph
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Defender Content Filtering Design"
$CISControl = "2.x"
$BIOControl = "12.02"
function Connect-RequiredServices {
# Connection logic based on API
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "defender-content-filtering"
PolicyName = $PolicyName
IsCompliant = $false
TotalResources = 0
CompliantCount = 0
NonCompliantCount = 0
Details = @()
Recommendations = @()
}
# Compliance check implementation
# Based on: Design Document
$result.Details += "Compliance check - implementation required based on control"
$result.NonCompliantCount = 1
return $result
}
function Invoke-Remediation {
Write-Host "`nApplying remediation for: $PolicyName..." -ForegroundColor Cyan
# Remediation implementation
Write-Host " Configuration applied" -ForegroundColor Green
Write-Host "`n[OK] Remediation completed" -ForegroundColor Green
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "Total: $($result.TotalResources)" -ForegroundColor White
Write-Host "Compliant: $($result.CompliantCount)" -ForegroundColor Green
$color = if ($result.NonCompliantCount -gt 0) { "Red" } else { "Green" }
Write-Host "Non-compliant: $($result.NonCompliantCount)" -ForegroundColor $color
return $result
}
function Invoke-Revert {
Write-Host "Revert: Configuration revert not yet implemented" -ForegroundColor Yellow
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "WhatIf: Would apply remediation" -ForegroundColor Yellow
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
if ($result.IsCompliant) {
Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
}
}
catch {
Write-Error $_
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder een zorgvuldig ingericht anti‑spam- en contentfilterbeleid worden medewerkers dagelijks geconfronteerd met grote hoeveelheden spam, phishing en potentieel kwaadaardige berichten. Dit leidt tot productiviteitsverlies, verhoogt de kans dat gebruikers toch op malafide links of bijlagen klikken en vergroot het risico op datalekken en accountcompromittering. Bovendien kan de organisatie richting toezichthouders en burgers niet aantonen dat passende e‑mailbeveiligingsmaatregelen zijn genomen, wat tot complianceproblemen en reputatieschade kan leiden.
Management Samenvatting
Defender Content Filtering biedt een geïntegreerde aanpak voor het blokkeren en beheersen van spam, phishing en ongewenste bulkmail in Exchange Online. Door spam confidence levels (SCL) en quarantaineinstellingen zorgvuldig te configureren, bulkmail en marketingberichten apart te behandelen en gebruik te maken van toegestane en geblokkeerde verzendlijsten, ontstaat een robuuste eerste verdedigingslinie rond de inbox van medewerkers. In combinatie met rapportages, incidentafhandeling en periodieke tuning van de instellingen sluit het beleid aan op de eisen uit de BIO en draagt het aantoonbaar bij aan het verlagen van beveiligingsrisico’s in de Nederlandse publieke sector.
- Implementatietijd: 12 uur
- FTE required: 0.2 FTE