Microsoft 365 Business biedt een functie genaamd Direct Send, bedoeld om interne apparaten zoals printers of applicaties e-mails te laten verzenden zonder dat er authenticatie nodig is. Dit gebeurt via een smart host (bijv. tenantnaam.mail.protection.outlook.com) en is ontworpen voor legitiem intern gebruik binnen uw organisatie.
Hoe kan deze functie misbruikt worden?
Cybercriminelen kunnen deze functie gebruiken om phishingmails te versturen die lijken alsof ze van interne gebruikers komen, zonder dat ze daadwerkelijk toegang hebben tot een account. Dit werkt als volgt:
- Ze verzamelen publiek beschikbare informatie over uw domein en interne e-mailadressen.
- Vervolgens sturen ze via PowerShell of andere tools e-mails via de smart host, waarbij ze het “From”-adres vervalsen.
- Omdat deze e-mails via Microsoft’s infrastructuur worden verzonden en geen authenticatie vereisen, worden ze vaak als intern verkeer behandeld en omzeilen ze traditionele e-mailbeveiliging zoals SPF, DKIM en DMARC.
- De phishingmails bevatten vaak QR-codes in PDF-bijlagen die leiden naar kwaadaardige websites, bedoeld om Microsoft 365-inloggegevens te stelen.
Wat kan Van der Toorn & Geertse voor u doen?
Om uw organisatie te beschermen tegen dit type misbruik, kunnen wij een audit uitvoeren om te controleren of de volgende maatregelen al geactiveerd zijn in uw tenant:
✅ 1. Direct Send uitschakelen
Doel: voorkomen dat onbevoegde partijen e-mails kunnen verzenden via uw domein zonder authenticatie.
Aanpak:
- Ga naar het Exchange Admin Center (EAC).
- Navigeer naar Mail Flow > Connectors.
- Zoek naar connectors die Direct Send toestaan (vaak van type “From: Your organization’s email server” naar “To: Microsoft 365”).
- Verwijder of deactiveer deze connector als deze niet nodig is.
- Alternatief: stel een transportregel in die e-mails zonder SPF/DKIM-authenticatie weigert of markeert.
✅ 2. Spoofing tegengaan in Exchange Online
Doel: voorkomen dat externe partijen zich voordoen als interne gebruikers.
Aanpak:
- Ga naar Microsoft Defender Portal > Policies & Rules > Threat policies > Anti-phishing.
- Maak of bewerk een beleid en voeg uw domeinen toe onder Spoof intelligence.
- Zet “Enable spoof intelligence” aan.
- Activeer “Mailbox intelligence” en “Impersonation protection” voor interne gebruikers en domeinen.
✅ 3. DMARC, SPF en DKIM controleren en aanscherpen
Doel: zorgen dat alleen geautoriseerde servers e-mails mogen verzenden namens uw domein.
Aanpak:
- SPF: Controleer uw DNS-record (
v=spf1 include:spf.protection.outlook.com -all) en zorg dat alleen legitieme verzenders zijn opgenomen. - DKIM: Activeer DKIM in het Microsoft 365 Defender Portal > Email authentication.
- DMARC: Voeg een DNS-record toe zoals:
_dmarc.uwdomein.nl TXT "v=DMARC1; p=reject; rua=mailto:dmarc@uwdomein.nl"Begin eventueel metp=quarantinevoor monitoring.
✅ 4. Waarschuwingen instellen voor verdachte interne e-mails
Doel: medewerkers waarschuwen voor e-mails die lijken van collega’s te komen, maar niet geauthenticeerd zijn.
Aanpak:
- Maak een mail flow rule (transportregel) in het EAC:
- Voorwaarde: “If the sender is inside the organization” én “The message is not authenticated”.
- Actie: Voeg een waarschuwing toe aan het onderwerp of de e-mailtekst, zoals:⚠️ Deze e-mail lijkt van een collega te komen, maar is niet geauthenticeerd.
- Alternatief: gebruik Microsoft Defender Safe Links/Safe Attachments voor extra bescherming.
Wat kunt u zelf verder nog doen?
Medewerkers informeren over QR-code phishing (“quishing”)
Doel: bewustzijn verhogen over nieuwe phishingmethodes.
Aanpak:
- Stuur een korte interne memo of nieuwsbrief met uitleg over:
- Wat quishing is.
- Hoe QR-codes in bijlagen kunnen leiden naar valse inlogpagina’s.
- Open geen QR-codes van onbekende bronnen, gebruik een beveiligde QR-scanner.
- Overweeg een korte awareness-training of simulatie.
Vragen?
Neem dan contact met ons op.