Hoe stel je e-mailfilters in om phishing te blokkeren?

E-mailfilters instellen om phishing te blokkeren doe je door meerdere beveiligingslagen te combineren: een spamfilter, een phishingfilter en aanvullende regels die verdachte afzenders, domeinen en bestandsbijlagen blokkeren. In Microsoft 365 stel je dit in via het Security & Compliance Center, waar je antiphishingbeleid, Safe Links en Safe Attachments activeert. Zo onderschep je het grootste deel van de phishingpogingen voordat ze in de inbox van je medewerkers terechtkomen.

Elke dag dat je geen phishingfilter instelt, vergroot je de kans op een succesvolle aanval

Phishing is nog steeds de meest voorkomende manier waarop cybercriminelen toegang krijgen tot bedrijfssystemen. Eén klik op een nep-link of één geopende bijlage kan leiden tot gestolen inloggegevens, ransomware of een datalek. Zonder actief ingestelde filters belanden phishingmails gewoon in de inbox van je medewerkers. De oplossing is direct: activeer antiphishingbeleid in je e-mailplatform en stel regels in die verdachte berichten automatisch onderscheppen of markeren.

Medewerkers die phishing niet herkennen, zijn de zwakste schakel in je beveiliging

Technische filters onderscheppen veel, maar niet alles. Phishingaanvallen worden steeds gerichter en overtuigender, ook wel spearphishing genoemd. Als je medewerkers niet weten hoe een phishingmail eruitziet, glippen de meest gevaarlijke berichten ongemerkt door de filters. Phishingtraining en bewustwordingsprogramma’s zijn daarom net zo belangrijk als technische maatregelen. Combineer technologie met bewustwording, dan dek je beide kanten af.

Wat is een e-mailfilter en hoe werkt het?

Een e-mailfilter is een automatisch systeem dat inkomende e-mails analyseert en beoordeelt op basis van vooraf ingestelde regels. Het filter kijkt naar kenmerken zoals de afzender, het onderwerp, de inhoud en bijlagen, en besluit vervolgens of een bericht wordt doorgelaten, geblokkeerd of in quarantaine geplaatst.

Moderne e-mailfilters werken met meerdere technieken tegelijk. Ze vergelijken afzenderadressen met bekende blacklists, analyseren de inhoud op verdachte patronen en controleren of het verzendende domein is geverifieerd via protocollen zoals SPF, DKIM en DMARC. Wanneer een bericht niet door deze controles komt, wordt het tegengehouden voordat het de inbox bereikt.

In platforms zoals Microsoft 365 verwerkt het filter miljoenen berichten per dag op basis van voortdurend bijgewerkte dreigingsinformatie. Dat betekent dat nieuwe phishingtactieken relatief snel worden herkend en geblokkeerd, zolang de filterinstellingen goed zijn geconfigureerd.

Wat is phishing en waarom is het gevaarlijk voor bedrijven?

Phishing is een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als een betrouwbare partij, zoals een bank, leverancier of collega, om inloggegevens, geld of gevoelige informatie te stelen. De aanval verloopt via een nep-e-mail met een link naar een valse website of een bijlage met malware.

Voor bedrijven is phishing gevaarlijk omdat het direct toegang geeft tot interne systemen. Eén medewerker die zijn inloggegevens invult op een nepsite, kan een aanvaller toegang geven tot het hele bedrijfsnetwerk. Dat kan leiden tot datalekken, ransomware-aanvallen of financiële fraude via zogenaamde CEO-fraude, waarbij criminelen zich voordoen als een leidinggevende om betalingen te manipuleren.

Phishing herkennen wordt steeds moeilijker. Aanvallers personaliseren hun berichten met echte namen, functietitels en bedrijfslogo’s. Naast e-mail wordt phishing via WhatsApp ook steeds vaker ingezet, waarbij medewerkers een bericht ontvangen van een vermeende collega of manager met een dringend verzoek. De combinatie van overtuigende inhoud en een vertrouwde afzender maakt het voor mensen moeilijk om het onderscheid te maken.

Welke soorten e-mailfilters bestaan er?

Er bestaan meerdere soorten e-mailfilters, elk gericht op een ander type bedreiging. De vier meest gebruikte zijn spamfilters, phishingfilters, malwarefilters en inhoudsfilters. Samen vormen ze een gelaagde verdediging tegen ongewenste en gevaarlijke e-mails.

  • Spamfilter: Blokkeert ongewenste reclameberichten op basis van bekende spampatronen en afzenderreputatie.
  • Phishingfilter: Detecteert berichten die proberen inloggegevens of persoonlijke informatie te stelen, vaak via nep-links of vervalste afzenderadressen.
  • Malwarefilter: Scant bijlagen en links op schadelijke software voordat ze worden geopend. In Microsoft 365 heet dit Safe Attachments.
  • Inhoudsfilter: Blokkeert berichten op basis van specifieke woorden, zinnen of bestandstypen die je zelf definieert.

In de praktijk overlappen deze filters elkaar. Een goede beveiligingsconfiguratie maakt gebruik van meerdere filtertypen tegelijk, zodat een bericht dat door het ene filter glipt, alsnog door een ander wordt tegengehouden.

Hoe stel je e-mailfilters in om phishing te blokkeren?

Phishingfilters instellen doe je in Microsoft 365 via het Microsoft 365 Defender-portal. Je activeert een antiphishingbeleid, configureert Safe Links en Safe Attachments, en stelt impersonatiebescherming in voor vertrouwde afzenders zoals leidinggevenden en leveranciers.

Volg deze stappen om phishingfilters in te stellen in Microsoft 365:

  1. Ga naar Microsoft 365 Defender via security.microsoft.com en log in als beheerder.
  2. Navigeer naar Beleid en regels onder het tabblad E-mail en samenwerking.
  3. Maak een antiphishingbeleid aan en activeer impersonatiebescherming voor specifieke gebruikers en domeinen die aanvallers vaak nabootsen.
  4. Activeer Safe Links om URL’s in e-mails automatisch te herschrijven en te controleren op het moment dat een gebruiker erop klikt.
  5. Activeer Safe Attachments om bijlagen in een beveiligde omgeving te openen voordat ze bij de ontvanger aankomen.
  6. Stel DMARC, DKIM en SPF in voor je eigen domein, zodat aanvallers jouw bedrijfsnaam niet kunnen misbruiken in phishingmails naar anderen.
  7. Controleer de quarantaineinstellingen en zorg dat verdachte berichten niet automatisch worden afgeleverd, maar eerst worden vastgehouden voor beoordeling.

Naast deze technische stappen is het verstandig om periodiek de filterlogboeken te bekijken. Zo zie je welke berichten worden tegengehouden en of er legitieme e-mails onterecht worden geblokkeerd. Fijnafstelling op basis van echte data maakt je filters effectiever in de loop van de tijd.

Wat is het verschil tussen een spamfilter en een phishingfilter?

Een spamfilter blokkeert ongewenste berichten die je niet wilt ontvangen, zoals reclame en bulkmail. Een phishingfilter blokkeert berichten die je actief proberen te schaden door inloggegevens te stelen of malware te installeren. Spam is vervelend, phishing is gevaarlijk.

Het verschil zit in het doel van het bericht en de manier waarop het filter reageert. Een spamfilter kijkt vooral naar afzenderreputatie, berichtvolume en commerciële kenmerken. Een phishingfilter analyseert links, bijlagen, afzenderverificatie en impersonatiepatronen, en reageert strenger: verdachte berichten worden geblokkeerd of in quarantaine geplaatst in plaats van alleen in de spammap terecht te komen.

In de praktijk vullen beide filters elkaar aan. Een bericht dat eruitziet als spam maar ook een phishinglink bevat, wordt idealiter door beide filters herkend. Gebruik je alleen een spamfilter, dan mis je gerichte phishingaanvallen die geen typische spamkenmerken hebben, maar wel degelijk gevaarlijk zijn.

Welke fouten moet je vermijden bij het instellen van e-mailfilters?

De meest gemaakte fouten bij het instellen van e-mailfilters zijn: te lage filterinstellingen gebruiken, geen impersonatiebescherming activeren, SPF en DMARC niet correct configureren en de quarantaineinstellingen nooit controleren. Elk van deze fouten laat gaten open die phishingaanvallers kunnen benutten.

Een veelgemaakte fout is het kiezen van een te lage beschermingsdrempel om te voorkomen dat legitieme e-mails worden geblokkeerd. Dit klinkt voorzichtig, maar in de praktijk betekent het dat gevaarlijke berichten worden doorgelaten. Stel filters in op een gemiddeld tot hoog beveiligingsniveau en gebruik de quarantainemap als vangnet. Controleer die map regelmatig zodat je legitieme berichten alsnog kunt vrijgeven.

Een andere fout is het niet instellen van impersonatiebescherming. Aanvallers doen zich regelmatig voor als de directeur, de financieel manager of een bekende leverancier. Als je deze personen en domeinen niet expliciet opneemt in je antiphishingbeleid, herkent het filter hun nagebootste identiteit niet. Voeg de meest nagebootste personen binnen je organisatie toe als beveiligde gebruikers in het beleid.

Tot slot vergeten veel beheerders om SPF, DKIM en DMARC correct in te stellen voor hun eigen domein. Zonder deze protocollen kunnen aanvallers jouw domeinnaam gebruiken om phishingmails te versturen die er authentiek uitzien. Controleer of alle drie de records correct zijn geconfigureerd via een DNS-checker.

Hoe herken je een phishing e-mail die het filter heeft omzeild?

Een phishingmail die het filter heeft omzeild, herken je aan een combinatie van signalen: een onbekend of licht afwijkend afzenderadres, een gevoel van urgentie in de tekst, een link die niet overeenkomt met het vermelde domein en een verzoek om inloggegevens of een betaling te bevestigen.

Controleer altijd het volledige e-mailadres van de afzender, niet alleen de weergavenaam. Een bericht kan eruitzien alsof het van “Microsoft Support” komt, terwijl het adres iets is als support@micros0ft-helpdesk.com. Beweeg met je muis over links zonder erop te klikken om het werkelijke doeladres te zien. Als dat adres niet overeenkomt met de verwachte website, is het bericht verdacht.

Phishing herkennen wordt ook makkelijker als je let op de toon van het bericht. Aanvallers creëren bewust druk: “Je account wordt binnen 24 uur geblokkeerd” of “Bevestig direct je betaling.” Legitieme organisaties sturen zelden dit soort dringende berichten via e-mail. Bij twijfel: bel de afzender via een bekend telefoonnummer en vraag of het bericht echt van hen afkomstig is.

Phishing via WhatsApp volgt hetzelfde patroon maar is moeilijker te filteren omdat het buiten je e-mailomgeving valt. Medewerkers ontvangen berichten van een onbekend nummer dat zich voordoet als een collega of leidinggevende, vaak met een verzoek om snel geld over te maken of een link te openen. Train je team om ook buiten e-mail alert te zijn op dit soort verzoeken.

Hoe wij helpen met phishingbescherming

Filters instellen is een goede eerste stap, maar phishingbescherming werkt pas goed als techniek en bewustwording samen optrekken. Bij NTNT helpen we MKB-bedrijven om beide kanten te regelen, zonder dikke rapporten of ingewikkeld jargon.

Wat we concreet voor je doen:

  • Antiphishingbeleid instellen in Microsoft 365, inclusief Safe Links, Safe Attachments en impersonatiebescherming voor jouw organisatie.
  • SPF, DKIM en DMARC configureren zodat jouw domein niet misbruikt kan worden door aanvallers.
  • Phishingtraining en bewustwording voor je medewerkers, zodat ze ook herkennen wat het filter heeft doorgelaten.
  • Cyber Security Quickscan die binnen één werkdag inzicht geeft in de kwetsbaarheden van jouw huidige e-mailbeveiliging en concrete verbeterpunten oplevert.
  • Proactieve monitoring via Huntress, waarmee dreigingen worden gevalideerd door menselijke analisten voordat ze een probleem worden.

Wil je weten hoe jouw e-mailbeveiliging er nu voor staat? Vraag de Cyber Security Quickscan aan via www.ntnt.nl of neem contact op via info-msp@ntnt.nl. We kijken samen met je wat er nodig is en zetten de eerste stappen direct in gang.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl