L1 BIO 12.02 ISO A.13.2.1 CIS 2.1.x series

Quick Start: Email Beveiliging - Week 1-2

📅 2025-10-30
⏱️ 12 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Email beveiliging is kritiek voor M365 security: 90% van aanvallen start met phishing emails. Deze quick start implementeert binnen 1-2 weken complete email bescherming: SPF/DKIM/DMARC, anti-phishing, Safe Links, Safe Attachments, en anti-spam policies.

Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
10/10
Implementatie
16u (tech: 8u)
Van toepassing op:
M365
Exchange Online
Defender voor Office 365

Email is de primaire aanvalsvector met specifieke threats: phishing emails (Diefstal van inloggegevens, 90% van breaches), BEC fraud (wire transfer scams, gemiddeld €50K+ verlies), ransomware delivery (macro-ingeschakeld attachments), malware distribution (trojans, spyware), spam (productivity impact, vaak malicious), en spoofing (impersonatie van executives/partners). Zonder email security: phishing emails bereiken users unfiltered, malware attachments executeren unchecked, spoofed emails lijken legitiem, en organizational domain kan worden misbruikt voor spam (reputatie damage). Comprehensive email security implementation voorkomt 90%+ van email-based attacks en is verplicht voor compliance (CIS, BIO, NIS2). Voor nieuwe tenants: email security is week 1-2 prioriteit direct na MFA.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Deze quick start implementeert zes lagen email bescherming binnen 2 weken: (1) SPF/DKIM/DMARC (DNS-based email authentication) - voorkomt domain spoofing, (2) Anti-phishing policies (impersonation + spoof detectie) - beschermt executives en company domains, (3) Safe Links (URL bescherming) - realtime scanning van links in emails/Office docs, (4) Safe Attachments (sandbox detonation) - behavioral malware detectie, (5) Anti-malware policies (signature + heuristic scanning) - traditional AV voor email, en (6) Anti-spam policies (junk email filtering) - reduce noise en catch malicious spam. Vereist Defender voor Office 365 Plan 1 minimum (Plan 2 voor geavanceerd features). Implementation is mostly configuration (geen development), met ingebouwde Microsoft intelligence voor Detectie van beveiligingsdreigingen. Timeline: 2-4 uur technical per policy type, 1-2 weken totaal inclusief testing.

Vereisten

Een effectieve invoering van emailbeveiliging binnen de Nederlandse Baseline voor Veilige Cloud begint met een scherp beeld van de organisatorische randvoorwaarden. De tenant moet volledig eigenaarschap kunnen aantonen over domeinen, DNS-zones en identiteitsplatformen, omdat elke stap in het traject direct raakt aan vertrouwelijkheid van overheidsinformatie en aan de Detectie van beveiligingsdreigingen. Bestuurders verwachten bovendien dat de projectgroep kan uitleggen welke licenties minimaal nodig zijn, hoe de maatregelen aansluiten op BIO en NIS2, welke afhankelijkheden er bestaan met bestaande secure mail gateways en hoe incidentrespons en logging worden geborgd. Zonder deze voorbereidingen stranden projecten vaak in technische details of governance-discussies en wordt kostbare tijd verloren in de eerste kritieke weken.

  1. Licenties moeten minimaal het beveiligingsniveau van Microsoft 365 E3 plus Defender voor Office 365 Plan 1 dekken, waarbij E5 of Plan 2 wordt aanbevolen voor organisaties die geavanceerde detectie, automatiseringsmogelijkheden en uitgebreide rapportages nodig hebben. Naast licenties zijn duidelijke autorisaties cruciaal: de uitvoerende specialisten hebben ten minste de rollen Exchange Administrator en Security Administrator nodig, aangevuld met Just-In-Time toegang via Privileged Identity Management zodat auditors kunnen vaststellen dat configuratiewijzigingen gecontroleerd plaatsvinden. Documenteer vooraf welke changekalender wordt gevolgd, hoe escalaties richting CISO en Chief Privacy Officer verlopen en welke fallbackopties beschikbaar zijn wanneer een wijziging effect heeft op lopende projecten of ketenpartners.
  2. DNS-toegang is een harde voorwaarde omdat SPF, DKIM en DMARC uitsluitend effectief zijn wanneer de organisatie binnen uur wijzigingen kan publiceren en valideren. Leg daarom vast wie de registrar beheert, hoe wijzigingen worden aangevraagd, in welk tijdsvenster updates kunnen worden uitgerold en welke test-domeinen worden gebruikt om het risico op mailuitval te beperken. Maak ook een overzicht van alle domeinen die namens de organisatie e-mail verzenden, inclusief SaaS-diensten voor nieuwsbriefsystemen, serviceportalen en noodmeldingen. Zonder deze inventarisatie ontstaat schijnveiligheid: policies lijken correct maar legitiem verkeer wordt geblokkeerd of ontvangt geen DKIM-handtekening.
  3. Op menselijk vlak zijn voorbereide communicatie en trainingen essentieel. Stel een lijst op van te beschermen personen (bestuurders, financieel verantwoordelijken, functierijke accounts) en laat de Chief Information Security Officer schriftelijk goedkeuren welke namen en aliassen in de anti-phishing policies komen. Het adoptieteam moet bovendien een compact bewustwordingsprogramma klaar hebben dat uitlegt hoe gebruikers quarantaineberichten herkennen, waar zij verdachte emails melden en hoe hulpdiensten onterecht geblokkeerde berichten weer vrijgeven. Helpdesk- en SOC-teams hebben playbooks nodig voor zowel valse positieven als incidenten waar alsnog een aanval doorglipt. Tot slot hoort een test- en acceptatieplan bij de startdeliverables zodat iedere wijziging aantoonbaar is gevalideerd voordat deze productie raakt.
  4. Naast de basisvoorwaarden vragen veel organisaties om aanvullende maatregelen zoals het integreren van e-mailtelemetrie in hun SIEM, het koppelen van auditlogs aan het centrale risicoregister en het opstellen van een formele dataretentieverklaring richting de Functionaris Gegevensbescherming. Reserveer daarom tijd om API-toegang te testen, connectors naar Sentinel of Splunk te configureren en dashboards te voorzien van KPI’s zoals blokkades per dreigingscategorie en gemiddelde hersteltijd. Leg ook vast hoe lessons learned uit pilotgroepen worden vertaald naar definitieve beleidsinstellingen; zo bouw je aantoonbaar aan een continue verbetercyclus die toezichthouders verwachten bij detectie van beveiligingsdreigingen.

Implementatie (Week 1-2)

Gebruik PowerShell-script 04-email-beveiliging.ps1 (functie Invoke-Implementation) – Implementeren.

DAG 1-2 concentreren zich volledig op SPF, DKIM en DMARC omdat deze fundamenten bepalen of inkomende mailservers überhaupt vertrouwen schenken aan berichten uit jouw domein. De combinatie van DNS-authenticatie en heldere rapportagestromen voorkomt dat kwaadwillenden namens de overheid communiceren en geeft tegelijkertijd zicht op Detectie van beveiligingsdreigingen in de buitenste linie.

  1. Begin met een volledig gedocumenteerde SPF-aanpassing. Breng alle systemen in kaart die mail namens de organisatie verzenden, schrijf de definitieve TXT-string (bijvoorbeeld "v=spf1 include:spf.protection.outlook.com -all"), plan de wijziging in de change-kalender en voer vervolgens een gecontroleerde publicatie uit bij de registrar. Na tien minuten validatie via nslookup of een vergelijkbare dig-query leg je een screenshot vast als auditbewijs en verifieer je door middel van testmails dat ontvangende partijen een PASS-resultaat zien. Zodra de basis werkt, voeg je waar nodig mechanismen toe voor vertrouwde derde partijen zodat de Deliverability-score hoog blijft.
  2. Activeer aansluitend DKIM in het Exchange-beheercentrum, genereer per domein de selector-records en laat de DNS-beheerder de CNAME’s publiceren. Gebruik het PowerShell-commando Get-DkimSigningConfig om te controleren of de status naar Enabled springt en registreer de resultaten in het projectdossier. Sluit dag twee af met een gefaseerde DMARC-roll-out: start met p=none voor monitoring, stuur de rua-rapporten naar een beveiligde mailbox en analyseer minimaal drie dagen aan feedback. Zodra er geen legitiem verkeer meer faalt, verscherp je naar p=quarantine en stel je een routekaart op voor p=reject binnen vier weken.

DAG 3 staat in het teken van gerichte bescherming tegen impersonatie en social engineering. We bouwen een anti-phishingbeleid dat bestuurders, financiële processen en dienstverleners beschermt zonder de dagelijkse e-mailstroom te verstoren.

  1. Open het Defender-portaal en kies voor Threat Policies → Anti-phishing om een tenant-breed beleid op te stellen. Beschrijf expliciet welke functies kritieke financiële of beleidsmatige beslissingen nemen en voeg hun aliassen toe aan de lijst met beschermde gebruikers. Combineer dit met alle officiële domeinen, inclusief subdomeinen van shared services en eventuele publiek-private samenwerkingen. Schakel mailbox intelligence en spoof intelligence in zodat Microsofts signaalnetwerk patronen herkent die lokaal onzichtbaar zijn.
  2. Kies vervolgens voor quarantine als actie bij high-confidence detecties en activeer safety tips zodat gebruikers context krijgen wanneer een bericht wordt doorgelaten. Test het beleid door gecontroleerde simulaties te versturen (bijvoorbeeld via Attack Simulator of een eigen beveiligde testmail) en documenteer hoe snel de waarschuwingen verschijnen en welke headers worden toegevoegd. Gebruik deze resultaten om het beleid eventueel bij te sturen voordat het bredere publiek er last van heeft.

DAG 4 richt zich op Safe Links, de tijd-van-klikkenbescherming die voorkomt dat gebruikers alsnog op schadelijke URLs terechtkomen. Het doel is een uniforme policy voor e-mail, Teams en Office-apps waardoor iedere klik wordt gevalideerd tegen realtime dreigingsinformatie.

  1. Configureer in het Defender-portaal een Safe Links-beleid dat automatisch wordt toegepast op alle gebruikers en applicaties. Schrijf in het wijzigingsdocument waarom URL rewriting noodzakelijk is voor forensische analyse en leg uit hoe kliktelemetrie richting het SOC stroomt. Activeer bovendien de optie om doorklikken naar bekende kwaadaardige sites onmogelijk te maken, zodat medewerkers geen uitzonderingen hoeven te beoordelen tijdens een incident.
  2. Voer aansluitend functionele tests uit: stuur testrapporten met benign, verdachte en blocklisted URL’s, controleer hoe de herschreven links eruitzien in Outlook, Teams en mobiele clients en laat het SOC bevestigen dat elke klik in het SIEM verschijnt. Deze validatie onderbouwt dat de bescherming niet alleen technisch actief is, maar ook daadwerkelijk bijdraagt aan Detectie van beveiligingsdreigingen.

DAG 5 draait om Safe Attachments en de sandboxanalyse van verdachte bestanden. Een zorgvuldig afgestemde policy voorkomt ransomware, maar houdt ook rekening met de behoefte aan snelle communicatie binnen ketens.

  1. Maak binnen Threat Policies een Safe Attachments-beleid aan voor alle gebruikers en koppel dit direct aan SharePoint, OneDrive en Teams zodat dezelfde detectielogica geldt voor gedeelde bestanden. Kies Dynamic Delivery wanneer snelheid en gebruikerservaring doorslaggevend zijn, of Block wanneer het risicoprofiel een strikt afschermingsmodel vereist. Leg vast dat gescande bestanden bij een fout automatisch worden geblokkeerd zodat onbekende payloads geen kans krijgen.
  2. Richt een redirect in naar een gecontroleerde mailbox van het securityteam zodat analisten verdachte bijlagen kunnen herbeoordelen. Test het beleid met het EICAR-referentiebestand en met eigen macrodocumenten die bekende risky patronen bevatten. Documenteer het volledige proces inclusief tijdstempels, headers en quarantaine-ervaring, zodat auditors en bestuurders kunnen zien dat de laatste verdedigingslinie aantoonbaar werkt.

monitoring

Gebruik PowerShell-script 04-email-beveiliging.ps1 (functie Invoke-Monitoring) – Controleren.

Eenmaal geïmplementeerd begint het echte werk: continue monitoring waarmee we aantonen dat de maatregelen blijven functioneren en dat Detectie van beveiligingsdreigingen direct wordt opgevolgd. Monitoring betekent hier niet alleen dashboards bekijken, maar ook verbanden leggen tussen rapportages, gebruikerservaring en compliance-eisen, zodat afwijkingen razendsnel leiden tot actie. Elk datapunt – van DMARC-statistieken tot user-reported phishing – krijgt een eigenaar, een analysefrequentie en een vooraf gedefinieerde respons zodat niemand hoeft te improviseren wanneer er echt iets misgaat.

  1. Het Threat Protection Status dashboard vormt de dagelijkse start. Analyseer niet alleen het absolute aantal geblokkeerde phishing- en malwareberichten, maar vergelijk trends week-op-week, segmenteer op organisatieonderdelen en koppel spikes aan grote campagnes of beleidswijzigingen. Documenteer bevindingen in het security-journaal en deel conclusies met het crisisteam als het volume onverwacht oploopt.
  2. DMARC-rapporten leveren onmisbare informatie over externe partijen die proberen jouw domein te misbruiken. Voer een wekelijkse analyse uit waarin je IP-adressen, verzendende organisaties en alignment-scores beoordeelt. Bespreek opvallende patronen met de domeinbeheerder en leg uit welke stappen worden genomen, bijvoorbeeld het blokkeren van een foute service of het aanscherpen van p=reject.
  3. Voer dagelijkse quarantainecontroles uit en hanteer een duidelijke service level agreement: businesskritische mail moet binnen twee uur worden herbeoordeeld. Gebruik hiervoor rolgebonden work queues, zodat helpdesk en SOC precies weten welke berichten op aandacht wachten. Log iedere vrijgave of permanente blokkade inclusief motivatie voor auditdoeleinden.
  4. Volg structureel de false-positive en false-negative ratio. Combineer telemetrie uit Defender met feedback van gebruikerscampagnes, zodat je ziet of de balans tussen veiligheid en bruikbaarheid klopt. Wanneer gebruikers massaal meldingen doorsturen die al geblokkeerd hadden moeten zijn, is dat een signaal voor extra tuning of aanvullende bewustwording.
  5. Integreer e-mailflowdiagnostiek in je SIEM om vertragingen, connectorfouten en transportregels te detecteren. Koppel alerts direct aan het piketproces van het SOC zodat afwijkingen niet afhankelijk zijn van meldingen uit de business. Deze combinatie van operationele bewaking en menselijke terugkoppeling zorgt ervoor dat emailbeveiliging een levend proces blijft in plaats van een eenmalige configuratieslag.
  6. Rapporteer maandelijks aan het bestuur en de privacy officer over de effectiviteit van emailbeveiliging. Combineer kengetallen zoals Mean Time To Detect, aantal vrijgegeven berichten en trends in user-reported phishing met een kwalitatieve toelichting op verbeteracties. Door deze rapportages standaard te agenderen in de governance-cyclus toon je aan dat Detectie van beveiligingsdreigingen geen black box is, maar een transparant proces waarin continu wordt bijgestuurd.

Compliance en Auditing

Emailbeveiliging vormt een van de meest tastbare controlegebieden binnen de Nederlandse Baseline voor Veilige Cloud en wordt door auditors gezien als lakmoesproef voor volwassen risicobeheersing. De Baseline Informatiebeveiliging Overheid (BIO) koppelt maatregelen uit hoofdstuk 12.02 direct aan bescherming tegen malware en phishing, terwijl paragraaf 13.02 voorschrijft dat informatie-overdracht tussen overheid en ketenpartners aantoonbaar wordt beveiligd. Door SPF, DKIM en DMARC te configureren en de resultaten te loggen, bewijs je dat alle uitgaande berichten cryptografisch te herleiden zijn tot de rechtmatige verzender en dat Detectie van beveiligingsdreigingen in de e-mailketen continu actief is. Voor organisaties die onder de NIS2-richtlijn vallen, fungeert artikel 21 als de juridische basis voor deze maatregelen. Het artikel verplicht essentiële en belangrijke entiteiten om technische en organisatorische controles te implementeren tegen phishing, spoofing en malware. Auditors toetsen niet alleen of de policies bestaan, maar ook of rapportages periodiek worden beoordeeld door het CISO-domein en of incidenten binnen 24 uur kunnen worden opgeschaald naar de toezichthouder. Tegelijkertijd blijft ISO/IEC 27001:2022 Annex A.5 en A.8 relevant: documenteer welke procedures gelden voor emailversleuteling, welke rollen vrijgavebeslissingen mogen nemen en hoe lang logbestanden worden bewaard. Voeg bij elk controlepunt verwijzingen toe naar de specifieke paragraaf in het ISMS, zodat auditors makkelijk kunnen doorklikken van beleid naar operationeel bewijs. Het CIS Microsoft 365 Benchmark (versie 3.x) specificeert controle 2.1.x voor e-mailbescherming en vereist duidelijke instellingsrapporten voor anti-phishing, Safe Links en Safe Attachments. Door de configuratie-exporten te bewaren in het auditdossier en maandelijks een PowerShell-rapport te genereren, voldoe je aan de eis voor onafhankelijke verificatie. Vergeet daarbij niet de AVG: hoewel e-mailsecurity vooral een veiligheidsmaatregel is, verwerkt het wel persoonsgegevens in headers en rapportages. Leg daarom in het verwerkingsregister uit welke data worden ingezien, hoe lang DMARC-rapporten worden bewaard en welke afspraken met leveranciers gelden. Wie deze documentatie op orde heeft, kan tijdens assessments binnen enkele minuten aantonen hoe beleidslijnen, technische instellingen en operationele monitoring elkaar versterken. Tot slot vragen veel opdrachtgevers om aantoonbare ketensamenwerking. Beschrijf hoe je tijdens penetration tests of Red Team-oefeningen de e-mailverdediging mee test, welke lessons learned in de change-advisory-board worden besproken en hoe signalen uit gebruikersmeldingen terugvloeien naar verbeteringen in beleid. Leg uit dat rapportages uit Defender automatisch worden gedeeld met het SOC en dat escalaties via het reguliere incidentproces lopen, zodat de drie lijnen van verdediging zichtbaar samenwerken. Door deze context toe te voegen, maak je duidelijk dat emailbeveiliging meer is dan een verzameling instellingen; het is een proces waarin technologie, governance en Detectie van beveiligingsdreigingen elkaar voortdurend versterken.

Remediatie

Gebruik PowerShell-script 04-email-beveiliging.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer een phishingaanval toch door de eerste linies glipt, start het herstelproces met snelle triage. Gebruik de scriptfunctie Invoke-Remediation om automatisch de relevante policies, transportregels en auditlogs uit te lezen. Binnen dezelfde workflow exporteer je de berichtheaders, achterhaal je via welke connector het bericht binnenkwam en controleer je of Detectie van beveiligingsdreigingen in andere workloads (bijvoorbeeld Endpoint of Identity) aanvullende signalen heeft gezien. Op basis van deze feiten bepaal je of het incident beperkt blijft tot één mailbox of dat er sprake is van laterale beweging binnen de tenant.

Vervolgens herstel je de technische configuratie. Verplaats verdachte berichten naar quarantaine, trek alle actieve sessies van het slachtoffer in en dwing een wachtwoordreset en MFA-herinschrijving af. Controleer of de betrokken policy uitzonderingen bevat die misbruikt kunnen worden en rol waar nodig een hotfix uit via een noodchange. Documenteer elke actie in het incidentregistratiesysteem, inclusief timestamps en verantwoordelijke personen. Vergeet niet om binnen vier uur een update te sturen naar het crisisteam en – indien van toepassing – naar de opdrachtgever zodat er transparantie bestaat over de voortgang.

Tot slot voer je een root-cause-analyse uit en vertaal je bevindingen naar duurzame verbeteringen. Denk aan het aanscherpen van DMARC naar p=reject, het uitbreiden van de lijst met beschermde gebruikers, het trainen van een specifieke afdeling of het toevoegen van een automatiseringsregel die verdachte bijlagen direct naar een sandbox kopieert. Koppel de lessons learned aan KPI’s zoals Mean Time To Detect en Mean Time To Remediate, zodat het management kan zien dat elke verstoring leidt tot betere Detectie van beveiligingsdreigingen. Deze systematische aanpak zorgt ervoor dat remediatie niet alleen problemen oplost, maar ook het gehele emailbeveiligingsprogramma naar een hoger volwassenheidsniveau tilt.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Quick Start: Email Beveiliging .DESCRIPTION Implementeert basis email security: anti-phishing, anti-spam, Safe Links, Safe Attachments, DKIM, DMARC, SPF. .NOTES Filename: 04-email-beveiliging.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-10-16 Related JSON: content/quick-start/04-email-beveiliging.json Priority: Week 1 #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param([switch]$Monitoring, [switch]$Remediation, [switch]$Implementation, [switch]$WhatIf) $ErrorActionPreference = 'Stop' Write-Host "`n========================================`nQuick Start: Email Beveiliging`nWEEK 1`n========================================`n" -ForegroundColor Cyan function Test-Compliance { return Invoke-Monitoring } function Invoke-Revert { Write-Host "`nReverting configuration for: $PolicyName..." -ForegroundColor Cyan # Revert implementation Write-Host " Configuration reverted" -ForegroundColor Green Write-Host "`n[OK] Revert completed" -ForegroundColor Green } function Invoke-Monitoring { try { Write-Host "`nMonitoring:" -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false $r = @{isCompliant = $false; antiPhishPolicies = 0; safeAttachPolicies = 0; safeLinksPolicies = 0; dkimDomains = 0; zapEnabled = $false } $antiPhish = Get-AntiPhishPolicy; $r.antiPhishPolicies = $antiPhish.Count $safeAttach = Get-SafeAttachmentPolicy; $r.safeAttachPolicies = $safeAttach.Count $safeLinks = Get-SafeLinksPolicy; $r.safeLinksPolicies = $safeLinks.Count $dkim = Get-DkimSigningConfig | Where-Object { $_.Enabled }; $r.dkimDomains = $dkim.Count $hostContent = Get-HostedContentFilterPolicy -Identity Default; $r.zapEnabled = $hostContent.ZapEnabled Write-Host " Anti-Phishing policies: $($r.antiPhishPolicies)" -ForegroundColor $(if ($r.antiPhishPolicies -gt 0) { 'Green' }else { 'Red' }) Write-Host " Safe Attachments policies: $($r.safeAttachPolicies)" -ForegroundColor $(if ($r.safeAttachPolicies -gt 0) { 'Green' }else { 'Red' }) Write-Host " Safe Links policies: $($r.safeLinksPolicies)" -ForegroundColor $(if ($r.safeLinksPolicies -gt 0) { 'Green' }else { 'Red' }) Write-Host " DKIM enabled domains: $($r.dkimDomains)" -ForegroundColor $(if ($r.dkimDomains -gt 0) { 'Green' }else { 'Yellow' }) Write-Host " ZAP enabled: $($r.zapEnabled)" -ForegroundColor $(if ($r.zapEnabled) { 'Green' }else { 'Red' }) if ($r.antiPhishPolicies -gt 0 -and $r.safeAttachPolicies -gt 0 -and $r.safeLinksPolicies -gt 0 -and $r.zapEnabled) { $r.isCompliant = $true } if ($r.isCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green }else { Write-Host "`n[FAIL] NON-COMPLIANT" -ForegroundColor Red } return $r } catch { throw } } function Invoke-Remediation { try { Write-Host "`nRemediation:" -ForegroundColor Yellow Connect-ExchangeOnline -ShowBanner:$false $fixed = 0 if ($PSCmdlet.ShouldProcess("Email", "Enable ZAP")) { Set-HostedContentFilterPolicy -Identity Default -ZapEnabled $true; Write-Host " [OK] ZAP enabled" -ForegroundColor Green; $fixed++ } if ($PSCmdlet.ShouldProcess("Email", "Create Safe Attachments policy")) { New-SafeAttachmentPolicy -Name "Baseline Safe Attachments" -Enable $true -Action Block -ErrorAction SilentlyContinue; Write-Host " [OK] Safe Attachments policy created" -ForegroundColor Green; $fixed++ } if ($PSCmdlet.ShouldProcess("Email", "Create Safe Links policy")) { New-SafeLinksPolicy -Name "Baseline Safe Links" -EnableSafeLinksForEmail $true -EnableSafeLinksForOffice $true -ScanUrls $true -ErrorAction SilentlyContinue; Write-Host " [OK] Safe Links policy created" -ForegroundColor Green; $fixed++ } Write-Host "`nFixed: $fixed" -ForegroundColor Green } catch { throw } } function Invoke-Implementation { try { Write-Host "`nImplementation:" -ForegroundColor Yellow Invoke-Remediation Write-Host "`nManual steps:" -ForegroundColor Cyan Write-Host " 1. Configure DKIM for all domains" -ForegroundColor White Write-Host " 2. Add DMARC DNS records" -ForegroundColor White Write-Host " 3. Verify SPF records" -ForegroundColor White } catch { throw } } try { if ($Implementation) { if ($WhatIf) { Write-Host "WhatIf" -ForegroundColor Yellow }else { Invoke-Implementation } }elseif ($Remediation) { if ($WhatIf) { Write-Host "WhatIf" -ForegroundColor Yellow }else { Invoke-Remediation } }elseif ($Monitoring) { $r = Invoke-Monitoring; exit $(if ($r.isCompliant) { 0 }else { 1 }) }else { Write-Host "Use params" -ForegroundColor Yellow } }catch { exit 2 }finally { Write-Host "`n===`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
Critical: KRITIEK: 90% van aanvallen via email. Zonder email security: phishing succeeds (Diefstal van inloggegevens), ransomware delivery via attachments, BEC wire fraud, malware infections. Email bescherming voorkomt majority van attacks.

Management Samenvatting

WEEK 1-2: Configureer SPF/DKIM/DMARC (dag 1-2), Anti-phishing (dag 3), Safe Links (dag 4), Safe Attachments (dag 5). Vereist Defender voor Office 365 P1/P2. Blokkeert 90%+ email threats. Implementatie: 8-16 uur over 2 weken. KRITIEKE EMAIL bescherming.