L1 BIO 13.02.01 ISO A.13.2.1 CIS 2.1.4

Geavanceerde Leveringsconfiguratie In Microsoft Defender Voor Office 365

πŸ“… 2025-01-15
β€’
⏱️ 12 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Geavanceerde leveringsconfiguratie in Microsoft Defender voor Office 365 stelt beveiligingsteams in staat om specifieke e-mailstromen te configureren die de normale filtering omzeilen voor legitieme doeleinden zoals security testing, penetration testing, security awareness training en het testen van e-mailbeveiligingsmaatregelen. Deze functionaliteit is essentieel voor organisaties die proactief hun e-mailbeveiliging willen valideren zonder dat testemails worden geblokkeerd door anti-phishing, anti-malware of andere beschermingslagen.

Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
6u (tech: 2u)
Van toepassing op:
βœ“ M365
βœ“ Exchange Online
βœ“ Defender voor Office 365

Voor Nederlandse overheidsorganisaties is het regelmatig testen van e-mailbeveiligingsmaatregelen cruciaal om de effectiviteit van configuraties te valideren en gebruikers te trainen in het herkennen van phishing-aanvallen. Zonder geavanceerde leveringsconfiguratie worden testemails van security awareness platforms, penetration testing tools en interne security teams regelmatig geblokkeerd door anti-phishing policies, safe links scanning of anti-malware protection. Dit maakt het onmogelijk om realistische phishing simulations uit te voeren, security awareness training te geven of de effectiviteit van e-mailbeveiligingsmaatregelen te testen. Daarnaast kunnen legitieme security tools zoals Microsoft Defender for Office 365 test suites, third-party penetration testing platforms en security awareness training providers niet functioneren wanneer hun e-mails worden geblokkeerd. Geavanceerde leveringsconfiguratie lost dit op door specifieke senders, domeinen of IP-adressen toe te voegen aan een trusted list die de normale filtering omzeilt, waardoor security testing en awareness training kunnen plaatsvinden terwijl de productie-e-mailomgeving volledig beschermd blijft.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Geavanceerde leveringsconfiguratie omvat drie hoofdcomponenten: (1) Skip filtering voor specifieke senders - configureer trusted senders zoals security awareness platforms, penetration testing tools en interne security teams zodat hun e-mails de normale anti-phishing, anti-malware en safe links scanning omzeilen, (2) Skip filtering voor specifieke domeinen - voeg domeinen toe van security testing providers zoals KnowBe4, Proofpoint Security Awareness, Microsoft Defender test suites en andere legitieme security tools, en (3) Skip filtering voor specifieke IP-adressen - configureer IP-adressen van security testing infrastructure zodat alle e-mails vanaf deze IP's worden vertrouwd. Daarnaast kunnen specifieke mailboxen worden geconfigureerd als trusted recipients voor security testing doeleinden. Configuratie gebeurt via Microsoft 365 Defender portal onder Email & collaboration β†’ Threat policies β†’ Advanced delivery, of via PowerShell met ExchangeOnlineManagement module. Belangrijk is dat deze configuratie strikt wordt beheerd met duidelijke governance: alleen goedgekeurde security testing providers mogen worden toegevoegd, alle wijzigingen worden gelogd voor audit doeleinden, en de lijst wordt periodiek gereviewd om te voorkomen dat verouderde of onveilige entries blijven bestaan.

Vereisten

Voor het configureren van geavanceerde leveringsinstellingen zijn de volgende voorwaarden vereist:

  1. Microsoft Defender voor Office 365 Plan 1 of Plan 2 (onderdeel van M365 E5 of standalone)
  2. Exchange Administrator of Security Administrator rol
  3. PowerShell 5.1+ met ExchangeOnlineManagement module voor automation
  4. Goedgekeurde lijst van security testing providers en tools die trusted sender status nodig hebben
  5. Formeel security testing beleid dat beschrijft wanneer en hoe advanced delivery wordt gebruikt
  6. Documentatie van alle trusted senders met business justification en goedkeuring
  7. Periodieke review procedure voor trusted sender lijst (aanbevolen: kwartaal)
  8. Audit logging ingeschakeld voor alle wijzigingen aan advanced delivery configuratie

Implementatie

Geavanceerde leveringsconfiguratie implementatie via Microsoft 365 Defender portal:

Gebruik PowerShell-script advanced-delivery-configuration.ps1 (functie Invoke-Remediation) – PowerShell script voor automatische configuratie van advanced delivery settings met trusted senders, domeinen en IP-adressen.

Stappen voor configuratie via portal:

  1. Ga naar security.microsoft.com β†’ Email & collaboration β†’ Threat policies
  2. Select 'Advanced delivery' in de linkernavigatie
  3. Klik op 'Configure trusted senders' of 'Add trusted sender'
  4. Voor trusted senders (individuele e-mailadressen):
  5. Add sender: security-testing@company.com, awareness-training@provider.com
  6. Beschrijving: Security awareness training provider
  7. Goedgekeurd door: [Naam van CISO of Security Manager]
  8. Verloopdatum: [Optioneel - aanbevolen voor tijdelijke testen]
  9. Voor trusted domains (hele domeinen):
  10. Add domain: knowbe4.com, proofpoint.com, microsoft.com (voor Defender test suites)
  11. Beschrijving: Legitieme security testing en awareness platforms
  12. Goedgekeurd door: [Naam van CISO]
  13. Verloopdatum: [Optioneel]
  14. Voor trusted IP-adressen (IP ranges):
  15. Add IP range: 192.168.1.0/24 (voorbeeld security testing subnet)
  16. Beschrijving: Intern security testing infrastructure
  17. Goedgekeurd door: [Naam van Security Operations]
  18. Verloopdatum: [Optioneel]
  19. Review alle entries: Verifieer dat alleen legitieme security testing providers zijn toegevoegd
  20. Save configuratie
  21. Test: Verzend test email vanaf trusted sender β†’ Verifieer dat email wordt geleverd zonder filtering

Testing en validatie:

  1. Test trusted sender: Verzend email vanaf geconfigureerd trusted sender adres
  2. Verifieer delivery: Email moet direct in inbox verschijnen zonder quarantaine
  3. Verifieer skip filtering: Email moet geen safe links scanning ondergaan (check message headers)
  4. Test trusted domain: Verzend email vanaf trusted domain β†’ Verifieer delivery
  5. Test trusted IP: Verzend email vanaf trusted IP range β†’ Verifieer delivery
  6. Test security: Verzend phishing email vanaf niet-trusted sender β†’ Verifieer dat deze WEL wordt geblokkeerd
  7. Audit check: Controleer audit logs voor alle wijzigingen aan advanced delivery configuratie

Monitoring

Gebruik PowerShell-script advanced-delivery-configuration.ps1 (functie Invoke-Monitoring) – Controleert of advanced delivery configuratie aanwezig is en rapporteert alle trusted senders, domeinen en IP-adressen.

Continue monitoring van geavanceerde leveringsconfiguratie:

  1. Microsoft 365 Defender portal β†’ Email & collaboration β†’ Threat policies β†’ Advanced delivery
  2. Trusted senders lijst: Review alle geconfigureerde trusted senders, controleer verloopdata
  3. Trusted domains lijst: Verifieer dat alleen legitieme security testing providers zijn toegevoegd
  4. Trusted IP-adressen: Controleer dat IP ranges nog actief zijn en nodig zijn
  5. Audit logs: Review alle wijzigingen aan advanced delivery configuratie (wie, wat, wanneer)
  6. Usage statistics: Monitor hoeveel e-mails via trusted senders worden geleverd
  7. Security review: Kwartaal review van alle trusted entries - verwijder verouderde of onnodige entries
  8. Compliance check: Verifieer dat alle entries formeel zijn goedgekeurd en gedocumenteerd
  9. Threat Explorer: Analyseer of trusted senders worden misbruikt voor malicious emails (false negatives)
  10. Quarterly governance review: Bespreek trusted sender lijst in security governance overleg

Remediatie

Gebruik PowerShell-script advanced-delivery-configuration.ps1 (functie Invoke-Remediation) – Herstelt ontbrekende advanced delivery configuratie of voegt nieuwe trusted senders toe volgens best practices.

Voor problemen met geavanceerde leveringsconfiguratie:

  1. Trusted sender niet werkend:
  2. - Verifieer dat sender exact overeenkomt met geconfigureerd adres (case-sensitive)
  3. - Controleer of trusted sender configuratie actief is (niet disabled)
  4. - Test met test email en check message headers voor skip filtering indicatoren
  5. - Verifieer dat sender niet op blocklist staat (heeft voorrang)
  6. Email nog steeds geblokkeerd:
  7. - Check of trusted sender/domain/IP correct is geconfigureerd
  8. - Verifieer dat geen andere policies (bijv. transport rules) email blokkeren
  9. - Controleer message trace in Exchange Admin Center voor blocking reason
  10. Ongewenste trusted sender:
  11. - Verwijder trusted sender onmiddellijk via portal of PowerShell
  12. - Review audit logs om te zien wie trusted sender heeft toegevoegd
  13. - Update governance proces om te voorkomen dat dit opnieuw gebeurt
  14. Verouderde entries:
  15. - Review trusted sender lijst kwartaal en verwijder entries die niet meer nodig zijn
  16. - Gebruik verloopdata voor tijdelijke trusted senders
  17. - Document reden voor verwijdering in audit trail

Compliance en Auditing

Geavanceerde leveringsconfiguratie moet strikt worden beheerd om te voorkomen dat aanvallers misbruik maken van trusted sender status. Voor compliance is het essentieel dat alle trusted senders formeel zijn goedgekeurd, gedocumenteerd en periodiek worden gereviewd. CIS Microsoft 365 Foundations Benchmark - control 2.1.4 (Zorg ervoor dat advanced delivery configuratie wordt beheerd en gemonitord), BIO Thema 13.02.01 (Overdracht van informatie - Email beveiligingscontroles met uitzonderingen beheerd), ISO 27001:2022 A.13.2.1 (Information transfer beleidsregels - Uitzonderingen op email filtering), en NIS2 Artikel 21 (Cybersecurity risicobeheer - Security testing en validatie). Advanced delivery configuratie moet worden behandeld als een security exception die expliciete goedkeuring vereist en periodieke review.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Advanced Delivery Configuration voor Microsoft Defender voor Office 365 .DESCRIPTION Configureert geavanceerde leveringsinstellingen in Microsoft Defender voor Office 365 voor security testing, penetration testing en security awareness training. Stelt trusted senders, trusted domains en trusted IP-adressen in die de normale filtering omzeilen voor legitieme security testing doeleinden. .NOTES Filename: advanced-delivery-configuration.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/m365/defender-email/advanced-delivery-configuration.json #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [switch]$Monitoring, [switch]$Remediation, [switch]$Revert, [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Advanced Delivery Configuration" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { try { Write-Host "Monitoring:" -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop # Check for Advanced Delivery configuration # Note: Advanced Delivery is configured via Security & Compliance Center # We check for transport rules or other indicators Write-Host "`n Checking Advanced Delivery configuration..." -ForegroundColor Cyan # Check for skip filtering transport rules (common implementation) $skipFilteringRules = Get-TransportRule | Where-Object { $_.Name -like "*skip*" -or $_.Name -like "*trusted*" -or $_.Name -like "*advanced delivery*" } $result = @{ isCompliant = $false hasConfiguration = $false skipFilteringRules = @() trustedSenders = @() trustedDomains = @() trustedIPs = @() } if ($skipFilteringRules.Count -gt 0) { $result.hasConfiguration = $true Write-Host "`n Found Skip Filtering Rules:" -ForegroundColor Cyan foreach ($rule in $skipFilteringRules) { $ruleDetails = @{ Name = $rule.Name Enabled = $rule.Enabled Priority = $rule.Priority Description = $rule.Comments } $result.skipFilteringRules += $ruleDetails if ($rule.Enabled) { Write-Host " ENABLED: $($rule.Name)" -ForegroundColor Green Write-Host " Priority: $($rule.Priority)" -ForegroundColor Gray if ($rule.Comments) { Write-Host " Description: $($rule.Comments)" -ForegroundColor Gray } } else { Write-Host " DISABLED: $($rule.Name)" -ForegroundColor Yellow } } } else { Write-Host " No skip filtering rules found" -ForegroundColor Yellow Write-Host " Note: Advanced Delivery may be configured via Security portal" -ForegroundColor Gray } # Check for connection filter trusted IPs (alternative method) $connectionFilter = Get-HostedConnectionFilterPolicy -ErrorAction SilentlyContinue if ($connectionFilter) { Write-Host "`n Connection Filter Policy:" -ForegroundColor Cyan Write-Host " IP Allow List: $($connectionFilter.IPAllowList.Count) entries" -ForegroundColor Gray if ($connectionFilter.IPAllowList.Count -gt 0) { $result.trustedIPs = $connectionFilter.IPAllowList foreach ($ip in $connectionFilter.IPAllowList) { Write-Host " - $ip" -ForegroundColor Gray } } } # Determine compliance if ($result.hasConfiguration -or $result.trustedIPs.Count -gt 0) { $result.isCompliant = $true Write-Host "`n Summary: Advanced Delivery configuration found" -ForegroundColor Cyan Write-Host "`nCOMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "`n Summary: No Advanced Delivery configuration found" -ForegroundColor Yellow Write-Host "`nNON-COMPLIANT: Advanced Delivery not configured" -ForegroundColor Red Write-Host " Configure via: Security portal > Threat policies > Advanced delivery" -ForegroundColor Yellow exit 1 } } catch { Write-Host "`nERROR: $_" -ForegroundColor Red Write-Host " StackTrace: $($_.ScriptStackTrace)" -ForegroundColor Gray exit 2 } } function Invoke-Remediation { try { Write-Host "Remediation:" -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "`n Advanced Delivery configuration must be done via:" -ForegroundColor Cyan Write-Host " 1. Microsoft 365 Defender portal" -ForegroundColor Yellow Write-Host " Security.microsoft.com > Email & collaboration > Threat policies > Advanced delivery" -ForegroundColor Gray Write-Host "`n 2. Or via PowerShell using New-TransportRule for skip filtering" -ForegroundColor Yellow Write-Host "`n Example PowerShell configuration:" -ForegroundColor Cyan Write-Host " # Create skip filtering rule for trusted sender" -ForegroundColor Gray Write-Host " New-TransportRule -Name 'Skip Filtering - Security Testing' `" -ForegroundColor Gray Write-Host " -FromAddressContainsWords 'security-testing@company.com' `" -ForegroundColor Gray Write-Host " -SetHeaderName 'X-MS-Exchange-Organization-SkipSafeLinksProcessing' `" -ForegroundColor Gray Write-Host " -SetHeaderValue '1' `" -ForegroundColor Gray Write-Host " -SetHeaderName2 'X-MS-Exchange-Organization-SkipSafeAttachmentProcessing' `" -ForegroundColor Gray Write-Host " -SetHeaderValue2 '1' `" -ForegroundColor Gray Write-Host " -Comments 'Trusted sender for security testing - Approved by CISO' `" -ForegroundColor Gray Write-Host " -Enabled `$true" -ForegroundColor Gray Write-Host "`n IMPORTANT:" -ForegroundColor Yellow Write-Host " - Only add trusted senders that are formally approved" -ForegroundColor Red Write-Host " - Document all trusted senders with business justification" -ForegroundColor Red Write-Host " - Review trusted sender list quarterly" -ForegroundColor Red Write-Host " - Use expiration dates for temporary trusted senders" -ForegroundColor Red Write-Host "`n Manual configuration recommended via Security portal for better governance" -ForegroundColor Yellow exit 0 } catch { Write-Host "`nERROR: $_" -ForegroundColor Red Write-Host " Manual configuration: Security Admin Center > Threat policies > Advanced delivery" -ForegroundColor Yellow exit 2 } } function Invoke-Revert { try { Write-Host "Revert:" -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host " Searching for skip filtering rules..." -ForegroundColor Gray $skipFilteringRules = Get-TransportRule | Where-Object { $_.Name -like "*skip*" -or $_.Name -like "*trusted*" -or $_.Name -like "*advanced delivery*" } if ($skipFilteringRules.Count -eq 0) { Write-Host " No skip filtering rules found to remove" -ForegroundColor Green exit 0 } foreach ($rule in $skipFilteringRules) { if ($WhatIf) { Write-Host " [WhatIf] Would remove: $($rule.Name)" -ForegroundColor Yellow } else { Write-Host " Removing: $($rule.Name)" -ForegroundColor Gray Remove-TransportRule -Identity $rule.Identity -Confirm:$false -ErrorAction Stop Write-Host " Removed" -ForegroundColor Green } } Write-Host "`n Revert completed" -ForegroundColor Green Write-Host " Note: Also check Security portal > Advanced delivery for additional configuration" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Use: -Monitoring | -Remediation | -Revert" -ForegroundColor Yellow Write-Host "`n -Monitoring : Check current Advanced Delivery configuration" -ForegroundColor Gray Write-Host " -Remediation : Show configuration instructions" -ForegroundColor Gray Write-Host " -Revert : Remove skip filtering rules (use -WhatIf for dry-run)" -ForegroundColor Gray } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Medium: Zonder geavanceerde leveringsconfiguratie kunnen security awareness training platforms, penetration testing tools en interne security testing niet functioneren omdat testemails worden geblokkeerd door anti-phishing en anti-malware policies. Dit maakt het onmogelijk om de effectiviteit van e-mailbeveiligingsmaatregelen te valideren en gebruikers te trainen in het herkennen van phishing-aanvallen.

Management Samenvatting

Configureer advanced delivery settings met trusted senders, domeinen en IP-adressen voor security testing en awareness training. Strikte governance vereist: alle entries formeel goedkeuren, documenteren en kwartaal reviewen. Voldoet aan CIS 2.1.4 (L1), BIO 13.02, ISO 27001 A.13.2.1, NIS2. Implementatie: 2 uur technisch + 4 uur voor governance en documentatie. ESSENTIEEL voor security testing en awareness training.