door Peter Vos | 10 feb, 2026 | Nieuws |
Microsoft bevestigt dat een fout in Exchange Online ertoe leidt dat legitieme e-mails onterecht als phishing worden beschouwd en in quarantaine worden geplaatst. Het probleem, dat sinds 5 februari 2026 speelt, heeft impact op organisaties wereldwijd en verstoort e-mailverkeer bij klanten van Microsoft 365.
Onverwachte gevolgen van nieuwe URL-detectieregel
Volgens Microsoft-mededelingen is de storing het gevolg van een recent geïntroduceerde URL-detectieregel binnen de anti-phishing mechanismen van Exchange Online. Wat bedoeld was om phishing-technieken beter te herkennen, blijkt nu juist veilige URL’s foutief te labelen als kwaadaardig. Hierdoor worden echte zakelijke e-mails ten onrechte als phishing-pogingen bestempeld en automatisch in quarantaine geplaatst.
In de Microsoft 365 beheerconsole wordt het incident getraceerd onder een servicebericht (onder andere bekend als EX1227432), en de status is geclassificeerd als incident — wat duidt op zichtbare impact voor eindgebruikers.
Wat merken gebruikers en bedrijven?
Organisaties melden diverse symptomen:
- Sommige legitieme e-mails komen niet aan bij ontvangers.
- E-mails blijven hangen in de quarantaine, ook zonder duidelijke phishing-kenmerken.
- Zowel inkomende als uitgaande berichten kunnen getroffen zijn.
- Het blokkeren van e-mailverkeer belemmert soms bedrijfs- en projectcommunicatie.
Microsoft werkt momenteel aan een oplossing, waarbij technische teams enerzijds de foute URL-regels corrigeren en anderzijds de reeds in quarantaine geplaatste berichten stapsgewijs vrijgeven. Gebruikers kunnen inmiddels sommige eerder geflagde berichten terugzien in hun inbox, maar een definitieve tijdlijn voor volledige herstel is nog niet gegeven.
Waarom gebeurt dit? De spanning tussen veiligheid en fout-positieven
Het incident onderstreept een groter probleem in moderne e-mailbeveiliging: de balans tussen strengere bescherming en het voorkomen van false positives (goede mails die onterecht als gevaarlijk worden gezien). Microsoft gebruikt een combinatie van machine learning, URL-analyse en anti-spoofing regels om phishing te blokkeren — maar die systemen zijn niet onfeilbaar.
Eerdere vergelijkbare incidenten zijn al gedocumenteerd: zo veroorzaakten updates in Exchange Online in het verleden foutieve quarantaines voor mails met afbeeldingen of zelfs spam-filters die Gmail-berichten ten onrechte markeerden.
Reacties van Microsoft en mitigaties voor beheerders
Microsoft heeft officieel aangegeven dat het:
- onderzoekt hoe de URL-detectieregel te agressief functioneert;
- bezig is met het vrijgeven van onterecht geblokkeerde mails;
- klanten periodiek updates stuurt via de service health dashboard in het Microsoft 365 admin center.
Tegelijkertijd bevatten technische Microsoft-documenten tips voor beheerders om met false positives om te gaan — zoals het rapporteren van goedgekeurde mails naar Microsoft of het instellen van anti-phishing policies die false positives kunnen verminderen.
Impact en bredere context
E-mail is de ruggengraat van communicatie voor bedrijven en organisaties; verstoringen kunnen leiden tot gemiste deadlines, verstoorde workflows en reputatieschade. Bovendien blijft phishing één van de grootste cyberdreigingen wereldwijd, wat organisaties ertoe aanzet agressieve detectiesystemen in te zetten — met het risico op problemen zoals deze.
Voor IT-teams betekent dit vaak een moeilijke afweging: een strikte beveiliging instellen om werkelijk schadelijke e-mails tegen te houden, maar zorgvuldig monitoren zodat legitieme berichten niet onterecht worden geblokkeerd.
door Peter Vos | 31 jul, 2024 | Nieuws |
Vanaf 1 oktober 2024 zal IPv6 standaard worden ingesteld voor geaccepteerde domeinen in Exchange Online. IPV6 werd al in 1995 geïntroduceerd omdat IPv4 een te beperkt aantal adressen kan uitgeven. Toch loopt de overgang naar IPv6 langzaam. IPv4 wordt nog bijzonder veel gebruikt. Microsoft zet met het standaardiseren van IPv6 een belangrijke stap in de implementatie van IPv6.
Verschillen IPv6 en IPv4
IPv6 heeft 128-bits adressen tegenover 32-bits adressen van IPv4. Dat betekent dat IPv6 veel meer adressen kan aanmaken. IPv4 gebruikt decimale punten (bijv. 192.168.0.1), IPv6 gebruikt hexadecimale dubbele punten (bijv. 2001:0db8:85a3::8a2e:0370:7334). IPv4 vereist vaak handmatige configuratie of DHCP, IPv6 ondersteunt automatische configuratie via SLAAC. Wat beveiliging betreft biedt IPv6 ook voordelen: IPv4 heeft optionele IPsec, IPv6 heeft ingebouwde IPsec-ondersteuning.
IPv4 wordt nog steeds veelvuldig gebruikt omdat veel bestaande netwerken zijn gebasseerd op IPv4 en NAT zorgt ervoor dat IPv4 in stand wordt gehouden. Ook verloopt de overgang traag omdat veel providers en organisaties afwachtend zijn met het implementeren van IPv6. Microsoft zat met de standaardisatie van IPv6 voor Exchange Online een belangrijke stap.
Overstap naar IPv6
Bedrijven kunnen zonder al te veel inspanning overstappen naar IPv6. Network Allow-lijsten moeten geactualiseerd worden, zodat ze ook IPv6 bevatten. Microsoft licht hier toe wat daarvoor nodig is. Er blijft ondersteuning voor anonieme inkomende e-mail via IPv6. Hoe dat kan worden ingesteld legt Microsoft uit op een speciale pagina.
Niet overstappen van IPv4 naar IPv6
Niet iedere omgeving zal geschikt zijn om over te stappen naar IPv6. Microsoft houdt daar rekening mee. De overstap zal niet verplicht worden doorgevoerd. Microsoft zal echter pas in september bekend maken wat beheerders moeten doen voor een opt-out van IPv6.
door Peter Vos | 27 mrt, 2023 | Nieuws |
Exchange Online gaat e-mails van permanent kwetsbare Exchange-servers blokkeren, zo heeft Microsoft aangekondigd. Dit moet beheerders aansporen om naar een wel ondersteunde Exchange-versie te migreren. In eerste instantie wordt er begonnen met e-mails die vanaf mailservers met Exchange Server 2007 worden verstuurd, maar later gaat dit ook gelden voor Exchange 2010 en Exchange 2013. Microsoft wil naar eigen zeggen op deze manier het handhavingssysteem testen en aanpassen.
Zero trust
Microsoft gebruikt het Zero Trust-beveiligingsmodel voor zijn cloudservices, wat vereist dat verbonden apparaten en servers aantoonbaar gezond en beheerd zijn. Servers die niet worden ondersteund of niet gepatcht zijn, zijn voortdurend kwetsbaar en kunnen niet worden vertrouwd, en daarom kunnen e-mailberichten die vanaf deze servers worden verzonden, ook niet worden vertrouwd. Aanhoudend kwetsbare servers verhogen het risico op beveiligingsinbreuken, malware, hacking, data-exfiltratie en andere aanvallen aanzienlijk.
Terwijl we doorgaan met het verbeteren van de beveiliging van onze cloud, gaan we het probleem aanpakken van e-mail die naar Exchange Online wordt verzonden vanaf niet-ondersteunde en niet-gepatchte Exchange-servers. Er zijn veel risico’s verbonden aan het uitvoeren van niet-ondersteunde of niet-gepatchte software, maar verreweg het grootste risico is de beveiliging. Zodra een versie van Exchange Server niet langer wordt ondersteund, ontvangt deze geen beveiligingsupdates meer; dus eventuele kwetsbaarheden die worden ontdekt nadat de ondersteuning is beëindigd, worden niet verholpen. Er zijn vergelijkbare risico’s verbonden aan het uitvoeren van software die niet is gepatcht voor bekende kwetsbaarheden. Zodra een beveiligingsupdate is uitgebracht, zullen kwaadwillende actoren de update reverse-engineeren om een beter begrip te krijgen van hoe de kwetsbaarheid op niet-gepatchte servers kan worden misbruikt.
We hebben vaak gezegd dat het van cruciaal belang is voor klanten om hun Exchange-servers te beschermen door up-to-date te blijven met updates en door andere acties te ondernemen om de beveiliging van hun omgeving verder te versterken. Veel klanten hebben actie ondernomen om hun omgeving te beschermen, maar er zijn nog steeds veel Exchange-servers die geen ondersteuning meer hebben of aanzienlijk achterlopen met updates. Beperken en blokkeren van e-mail van aanhoudend kwetsbare Exchange-servers naar Exchange Online. Aldus het Microsoft Exchange team
30 dagen om actie te ondernemen
Zodra een permanent kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het “throttelen” van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen.
Waarschuwing niet ondersteunde Exchange-server
Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Microsoft stelt dat het de maatregel niet invoert om klanten naar de cloud te krijgen, maar die te waarschuwen voor de risico’s van het draaien van een niet meer ondersteunde Exchange-server.
