Microsoft Exchange Online kampt met foutieve phishing-detectie: legitieme e-mails onterecht geblokkeerd

Microsoft Exchange Online kampt met foutieve phishing-detectie: legitieme e-mails onterecht geblokkeerd

door | 10 feb, 2026 | Nieuws | 0 Reacties

Microsoft bevestigt dat een fout in Exchange Online ertoe leidt dat legitieme e-mails onterecht als phishing worden beschouwd en in quarantaine worden geplaatst. Het probleem, dat sinds 5 februari 2026 speelt, heeft impact op organisaties wereldwijd en verstoort e-mailverkeer bij klanten van Microsoft 365.

Onverwachte gevolgen van nieuwe URL-detectieregel

Volgens Microsoft-mededelingen is de storing het gevolg van een recent geïntroduceerde URL-detectieregel binnen de anti-phishing mechanismen van Exchange Online. Wat bedoeld was om phishing-technieken beter te herkennen, blijkt nu juist veilige URL’s foutief te labelen als kwaadaardig. Hierdoor worden echte zakelijke e-mails ten onrechte als phishing-pogingen bestempeld en automatisch in quarantaine geplaatst.

In de Microsoft 365 beheerconsole wordt het incident getraceerd onder een servicebericht (onder andere bekend als EX1227432), en de status is geclassificeerd als incident — wat duidt op zichtbare impact voor eindgebruikers.

Wat merken gebruikers en bedrijven?
Organisaties melden diverse symptomen:

  • Sommige legitieme e-mails komen niet aan bij ontvangers.
  • E-mails blijven hangen in de quarantaine, ook zonder duidelijke phishing-kenmerken.
  • Zowel inkomende als uitgaande berichten kunnen getroffen zijn.
  • Het blokkeren van e-mailverkeer belemmert soms bedrijfs- en projectcommunicatie.

Microsoft werkt momenteel aan een oplossing, waarbij technische teams enerzijds de foute URL-regels corrigeren en anderzijds de reeds in quarantaine geplaatste berichten stapsgewijs vrijgeven. Gebruikers kunnen inmiddels sommige eerder geflagde berichten terugzien in hun inbox, maar een definitieve tijdlijn voor volledige herstel is nog niet gegeven.

 

Waarom gebeurt dit? De spanning tussen veiligheid en fout-positieven

Het incident onderstreept een groter probleem in moderne e-mailbeveiliging: de balans tussen strengere bescherming en het voorkomen van false positives (goede mails die onterecht als gevaarlijk worden gezien). Microsoft gebruikt een combinatie van machine learning, URL-analyse en anti-spoofing regels om phishing te blokkeren — maar die systemen zijn niet onfeilbaar.

Eerdere vergelijkbare incidenten zijn al gedocumenteerd: zo veroorzaakten updates in Exchange Online in het verleden foutieve quarantaines voor mails met afbeeldingen of zelfs spam-filters die Gmail-berichten ten onrechte markeerden.

 

Reacties van Microsoft en mitigaties voor beheerders

Microsoft heeft officieel aangegeven dat het:

  • onderzoekt hoe de URL-detectieregel te agressief functioneert;
  • bezig is met het vrijgeven van onterecht geblokkeerde mails;
  • klanten periodiek updates stuurt via de service health dashboard in het Microsoft 365 admin center.

Tegelijkertijd bevatten technische Microsoft-documenten tips voor beheerders om met false positives om te gaan — zoals het rapporteren van goedgekeurde mails naar Microsoft of het instellen van anti-phishing policies die false positives kunnen verminderen.

 

Impact en bredere context

E-mail is de ruggengraat van communicatie voor bedrijven en organisaties; verstoringen kunnen leiden tot gemiste deadlines, verstoorde workflows en reputatieschade. Bovendien blijft phishing één van de grootste cyberdreigingen wereldwijd, wat organisaties ertoe aanzet agressieve detectiesystemen in te zetten — met het risico op problemen zoals deze.

Voor IT-teams betekent dit vaak een moeilijke afweging: een strikte beveiliging instellen om werkelijk schadelijke e-mails tegen te houden, maar zorgvuldig monitoren zodat legitieme berichten niet onterecht worden geblokkeerd.

DMARC in Nederland: hoe veilig zijn onze e-mails?

DMARC in Nederland: hoe veilig zijn onze e-mails?

door | 18 aug, 2025 | Blog | 0 Reacties

E-mail is nog altijd hét communicatiekanaal voor bedrijven, maar ook een van de grootste ingangen voor cybercriminelen. Daarom bestaan er beveiligingsprotocollen zoals SPF, DKIM en DMARC.

  • SPF (Sender Policy Framework): controleert of een e-mail afkomstig is van een server die namens jouw domein mag versturen.

  • DKIM (DomainKeys Identified Mail): zet een digitale handtekening onder je e-mails zodat de ontvanger kan controleren dat de inhoud onderweg niet is aangepast.

  • DMARC (Domain-based Message Authentication, Reporting & Conformance): combineert SPF en DKIM en bepaalt wat er moet gebeuren als een e-mail niet door de controles komt – bijvoorbeeld in de spamfolder plaatsen of volledig weigeren.

Als u deze technieken niet of verkeerd instelt, kunnen criminelen eenvoudig e-mails versturen die lijken alsof ze van uw organisatie komen. Denk aan phishingmails naar klanten, interne fraude of dataverlies. Het gevolg: reputatieschade, verlies van vertrouwen en in het ergste geval financiële schade.

Uit het Netherlands DMARC & MTA-STS Adoption Report 2024 blijkt dat veel Nederlandse organisaties dit nog niet goed geregeld hebben.

De huidige stand van e-mailbeveiliging in Nederland

De belangrijkste uitkomsten uit het rapport:

  • 41,5% van de domeinen heeft helemaal geen DMARC-record.

  • Slechts 23,2% heeft een strikt DMARC-beleid (reject) ingesteld – de enige manier om echt misbruik te blokkeren.

  • 70% van de domeinen gebruikt SPF correct, maar 30% dus nog niet.

  • DNSSEC, dat je domein beschermt tegen manipulatie van DNS-verkeer, is geactiveerd bij 37,7% van de domeinen.

  • MTA-STS, dat veilige verbindingen tussen mailservers afdwingt, wordt bijna niet toegepast: slechts 0,9% gebruikt dit protocol.

De conclusie is duidelijk: de basis ligt er bij een deel van de organisaties, maar te veel bedrijven lopen nog onnodig risico.

Wat betekent dit voor bedrijven?

Zonder goed ingestelde e-mailauthenticatie kunnen kwaadwillenden uw domeinnaam gebruiken om phishingmails of spam te versturen. Voor de ontvanger lijkt het alsof de e-mail van uw organisatie afkomstig is, terwijl dit in werkelijkheid niet zo is.

De gevolgen:

  • Reputatieschade – klanten en partners verliezen vertrouwen in uw merk.

  • Financiële risico’s – denk aan fraude, datalekken en boetes.

  • Operationele impact – meer tijd kwijt aan het bestrijden van spam en phishing.

Advies: dit zijn de stappen die u anno 2025 moet zetten

Wilt u uw organisatie beschermen en voldoen aan moderne beveiligingsstandaarden? Dan zijn dit de belangrijkste acties:

  1. Implementeer SPF, DKIM en DMARC
    Zorg dat alle drie correct zijn ingesteld en begin met een DMARC-record.

  2. Stel een strikt DMARC-beleid in
    Alleen een reject-beleid voorkomt dat frauduleuze e-mails überhaupt aankomen bij de ontvanger.

  3. Activeer DNSSEC
    Dit beschermt tegen manipulatie van het DNS-verkeer rondom je domein.

  4. Gebruik MTA-STS
    Zorg voor veilige, versleutelde verbindingen tussen mailservers, zodat e-mails niet onderschept of aangepast kunnen worden.

  5. Blijf monitoren en onderhouden
    Controleer uw configuratie regelmatig, vermijd dubbele records en beperk SPF-lookups. Gebruik rapportages om inzicht te houden in wie namens uw domein e-mails verstuurt.

PowerDMARC

Lemontree levert PowerDMARC om organisaties te beschermen tegen e-mailfraude, spoofing en phishingaanvallen. Met PowerDMARC helpen wij onze klanten om hun e-maildomeinen te beveiligen via een volledig DMARC-, SPF- en DKIM-beheerplatform, gecombineerd met geavanceerde rapportage, forensische analyse en real-time dreigingsdetectie. 

Het doel van deze dienst is om: 

  • De e-mailauthenticatie van de klant volledig te beheren. 
  • Bescherming tegen impersonatie en domeinmisbruik te garanderen. 
  • Zichtbaarheid en controle te bieden over alle e-mailstromen. 

 

Wilt u meer informatie over deze dienstverlening? Neem gerust contact met ons op.