Binnen Office 365 worden veel zaken al voor je geregeld bij het aanmaken van een tenant. Bij het aanmaken van de eerste mailbox wordt ook Exchange Online ingericht met de nodige instellingen. Onder die instellingen ook de anti-phishing policy en een anti-spam policy. Deze gedragen zich standaard hetzelfde en slechts één van de twee policies aanpassen geeft verwarrende situaties.
Spam, phishing of spoofing?
Eerst nog even een stukje theorie, want wat is ook al weer het verschil tussen spam, phishing en spoofing? Spam is een verzamelnaam voor ongewenste e-mail. En dan geen nieuwsbrieven waar u zich wel of niet voor hebt geabonneerd (vaak via de kleine lettertjes), maar ongewenste reclame uitingen die in bulk worden verstuurd in de hoop dat u ze leest. Phishing e-mail is naast irritant (zoals spam) ook bedoeld om u (persoonlijke) informatie en/of geld afhandig te maken. Phishing is Engels voor ‘vissen’. Criminelen vissen als het ware naar uw inlog-, bank- en persoonsgegevens. Spoofing is dat een e-mail wordt verstuurd vanuit een e-mailadres dat niet echt van de afzender is. Op die manier denkt u dat het een legitieme e-mail is en bent u eerder geneigd om de e-mail te openen en op een link te klikken.
Anti-phishing en anti-spam policy in Exhange Online
Binnen Office 365 zijn er twee policies beschikbaar, namelijk anti-phishing en anti-spam. De eerste vangt zowel Spoofing als Phishing e-mails af, de laatste de spamberichten. Zowel de anti-phishing policy als de anti-spam policy zijn standaard geconfigureerd met als actie: “Move message to Junk Email folder”. Veel eindgebruikers checken echter niet actief hun map met “Ongewenste e-mail” of “Junk Email”. Veel organisaties wijzigen deze dan ook naar “Quarantine message”. Een medewerker die een of meerdere e-mails heeft ontvangen die in quarantaine zijn gezet krijgt hierover op gezette momenten een bericht en kan ze hieruit bekijken, vrijgeven, etc. Op die manier komt alle e-mail in het “Postvak IN” of “Inbox” en worden e-mails niet over het hoofd gezien, ook niet als deze mogelijk spam bevat.
Recent constateerden we dat vaak alleen de anti-spam policy wordt aangepast en de anti-phishing policy wordt ongemoeid gelaten. Daardoor wordt bepaalde e-mail wel in quarantaine geplaatst en sommige e-mail beland in de mailbox van de gebruiker in de map “Ongewenste e-mail”. Om te zorgen dat de afhandeling van e-mails gelijk blijft, onafhankelijk van spam, phishing or spoofing, dienen beide policies hetzelfde geconfigureerd te worden. Bij het wijzigen van de anti-phishing policy dient ook de anti-spam policy gewijzigd te worden en andersom.
Actie aanpassen via Security & Compliance Center
Deze actie kan gemakkelijk worden aangepast via het “Office 365 Security & Compliance Center”. Via het menu “Threat Management” > “Policy” kan zowel de Anti-phishing als de Anti-Spam worden aangepast:
Klik in het venster dat verschijnt op “Default Policy” en wijzig deze vervolgens met de knop “Edit”:
Bij “Actions” selecteer je de optie “Quarantine the message” bij beide policies