Inloggen
Registreren

Outlook beveiligen voor het MKB: 10 instellingen tegen phishing, account-takeover en datalekken in 2026

INHOUD

    Voor de meeste MKB-bedrijven is Outlook de digitale voordeur. Daar komt het contact met klanten, leveranciers, accountants en de Belastingdienst doorheen. En precies daarom is het ook het meest aangevallen product binnen je IT-stack. Phishing-mails, gestolen wachtwoorden, mailbox-rules die stilletjes facturen omleiden: het zijn standaardtechnieken in 2026, en ze raken bedrijven van vijf werknemers net zo hard als grote organisaties.

    Microsoft 365 heeft veel beveiligingsmogelijkheden ingebouwd, maar standaard staat lang niet alles aan. In deze gids lopen we door tien instellingen die je voor je MKB-tenant zou moeten controleren of activeren, met steeds vermeld welke licentie je ervoor nodig hebt. We blijven concreet en eerlijk: sommige opties horen bij een Business Basic, andere vragen om een Business Premium of een Defender-add-on.

    Eerst checken: welk Microsoft 365-plan heb je?

    Niet elke beveiligingsfeature zit in elk plan. Voor de tien punten hieronder is dit globaal het verschil:

    • Microsoft 365 Business Basic en Business Standard: bieden Exchange Online Protection (EOP), MFA en de basis-anti-phishing. Voldoende voor de eerste laag bescherming.
    • Microsoft 365 Business Premium: voegt Microsoft Defender for Office 365 Plan 1 toe (Safe Links, Safe Attachments, geavanceerdere anti-phishing) plus Microsoft Entra ID P1 (Conditional Access) en Intune voor apparaatbeheer. Voor wat security-instellingen betreft is dit de echte sweet spot voor MKB.
    • Add-ons: Defender for Office 365 Plan 1 of Plan 2 kun je losbesteld bijkopen bovenop Basic of Standard, als upgraden naar Premium een te grote stap is.

    Als je niet zeker weet welk plan je hebt: kijk in het Microsoft 365 admin center onder Facturering, Producten. Dat scheelt straks discussies over of een instelling überhaupt aanstaat.

    1. Multi-factor authenticatie aanzetten voor elke gebruiker

    De grootste enkele stap die je tegen account-takeover kunt zetten is multi-factor authenticatie (MFA). Een gestolen wachtwoord alleen geeft een aanvaller dan nog geen toegang.

    Sinds 2019 zet Microsoft voor nieuwe tenants standaard de Security Defaults aan, waardoor MFA wordt afgedwongen voor admins en voor gebruikers wordt geactiveerd zodra ze inloggen vanaf een nieuw apparaat. Heb je een oudere tenant, dan is dat soms uitgeschakeld. Controleer in Microsoft Entra (voorheen Azure AD), onder Properties, of Security Defaults aanstaat. Wil je meer flexibiliteit (bijvoorbeeld geen MFA op het kantoor-IP), dan zet je Security Defaults uit en gebruik je Conditional Access (zie punt 2).

    Beschikbaar in: alle M365-plannen.

    2. Conditional Access activeren als je Business Premium hebt

    Conditional Access laat je regels instellen die zeggen “alleen toegang als aan voorwaarde X is voldaan”, bijvoorbeeld “alleen vanaf een door de organisatie beheerd apparaat” of “buiten Nederland verplicht een extra factor”. Het is veel preciezer dan Security Defaults en cruciaal als je hybride werkt of externe consultants toelaat.

    Begin met deze drie basis-policies:

    • MFA voor alle gebruikers (alle apps, alle locaties).
    • Block legacy authentication: oudere protocollen als POP, IMAP en basic auth ondersteunen geen MFA en zijn een geliefd doelwit. Sluit ze.
    • MFA verplicht voor admins: extra strikt, eventueel met fysieke security key of authenticator app als enige optie.

    Test elke nieuwe policy eerst in de Report-only modus om te zien wie er last van zou hebben, voordat je ze hard inschakelt.

    Beschikbaar in: Business Premium of Microsoft Entra ID P1 als losse add-on.

    3. Externe afzender-banner aanzetten

    De externe afzender-tag zet bij elke binnenkomende mail van buiten je organisatie een gele banner of een [External]-label in de subject. Dat klinkt simpel, maar het is verrassend effectief tegen impersonatie van collega’s: een aanvaller die zich voordoet als jouw CFO valt op zodra de mail “External” voert.

    Activeer dit in het Exchange admin center via mail flow > Externe e-mail-tagging, of via PowerShell met Set-ExternalInOutlook -Enabled $true. Het werkt in alle moderne Outlook-clients (web, desktop, mobiel).

    Beschikbaar in: alle M365-plannen.

    4. Automatische externe forwarding blokkeren

    Een klassieke aanvaller-tactiek: na een succesvolle phishing zet de aanvaller een mailbox-rule aan die alle binnenkomende mail stilletjes doorstuurt naar een extern adres. Het slachtoffer merkt niets, maar verliest gevoelige communicatie en stuurt zelfs vertrouwelijke aanhangsels mee.

    Microsoft blokkeert sinds september 2020 automatische externe forwarding standaard via een ingebouwde Outbound spam policy, maar het loont om dit te valideren. Ga in het Microsoft Defender-portal naar Email & collaboration > Policies & rules > Anti-spam > Outbound spam policy en controleer dat “Automatic forwarding rules” op “Off” staat.

    Stel daarnaast een transport rule in die admins per mail informeert wanneer een gebruiker toch een forward-rule maakt. Vroeg detecteren betekent vaak het verschil tussen een ongemak en een datalek.

    Beschikbaar in: alle M365-plannen.

    5. Anti-phishing policy in Defender configureren

    Standaard heeft elke tenant een basis anti-phishing policy in Exchange Online Protection. Wil je verder gaan, dan heb je Microsoft Defender for Office 365 nodig (in Business Premium standaard). Daarmee kun je impersonation protection inschakelen, waarbij Defender mails blokkeert die zich voordoen als jouw eigen domein, jouw CEO of een belangrijke leverancier.

    Belangrijkste instellingen om aan te zetten in een Defender anti-phishing policy:

    • User impersonation: voeg je directie en finance toe (mensen die typisch worden gespoofd voor CEO-fraude).
    • Domain impersonation: voeg eigen domeinen plus je vaste leveranciers toe.
    • Mailbox intelligence: aan, leert per gebruiker normale contactpatronen.
    • Spoof intelligence: aan, controleert SPF/DKIM/DMARC alignment.
    • Action bij detectie: minimaal “Quarantine” voor high confidence phishing.

    Beschikbaar in: basis in alle plannen, geavanceerd in Business Premium of Defender for Office 365 add-on.

    6. Safe Attachments en Safe Links activeren

    Safe Attachments opent verdachte bijlagen eerst in een sandbox-omgeving voordat ze de mailbox bereiken. Krijgt je medewerker een Excel-document met macro’s, dan opent Defender het in een geïsoleerde omgeving om gedrag te observeren. Komt er iets verdachts uit, dan wordt de bijlage verwijderd of in quarantaine gezet.

    Safe Links herschrijft URL’s in mails, zodat ze bij elke klik door Defender worden gecontroleerd. Een link die schoon was bij ontvangst maar later wordt aangepast naar een phishing-URL, wordt zo alsnog onderschept. Werkt voor zowel Outlook als Teams.

    Beide configureer je in Microsoft Defender > Policies & rules > Threat policies. Maak een policy voor je hele organisatie, en pas hem na een paar weken aan op basis van valse positieven.

    Beschikbaar in: Microsoft Defender for Office 365 Plan 1 (in Business Premium of als add-on).

    7. SPF, DKIM en DMARC voor je eigen domein op orde brengen

    Bovenstaande instellingen beschermen mails die jij ontvangt. Maar zonder SPF, DKIM en DMARC voor je eigen domein kunnen aanvallers eenvoudig mails versturen die zich voordoen als jouw bedrijf, met jouw klanten als slachtoffer. Drie acties:

    • SPF: publiceer als TXT-record voor je domein, met de Microsoft 365-include erin (include:spf.protection.outlook.com).
    • DKIM: schakel aan in het Microsoft Defender-portal onder Email & collaboration > Policies & rules > Email authentication settings > DKIM. Selecteer je domein en activeer voor zowel selector1 als selector2.
    • DMARC: publiceer als TXT-record op _dmarc.jouwdomein.nl. Begin met p=none en een rua-rapportageadres, en bouw na een paar weken op naar p=quarantine en daarna p=reject.

    Onze gids over je domeinnaam spoof-proof maken tegen phishing behandelt de complete configuratie. En als je sleutelbegrippen rond DNS-records nog wat scherper wil hebben, leest DNS records uitgelegd voor MKB ze nog eens kort door.

    Beschikbaar in: alle M365-plannen.

    8. Audit logging valideren en alerts instellen

    Sinds 2019 staat de Unified Audit Log standaard aan voor nieuwe tenants. Heb je een oudere tenant, controleer dan in het Microsoft Purview-portaal of audit logging actief is. Zonder deze logs kun je na een incident vrijwel niets herleiden: wie wanneer waar heeft ingelogd, welke files zijn benaderd, welke mailbox-rules zijn aangemaakt.

    Stel vervolgens een aantal alert policies in voor zaken die je écht wil weten op het moment dat ze gebeuren:

    • Aanmaken van een nieuwe inbox forwarding rule.
    • Wijziging in admin-rechten.
    • Massale verwijdering van mailboxitems door één gebruiker.
    • Login vanuit een land waar normaal niemand werkt.

    Beschikbaar in: basis-auditing in alle plannen. Geavanceerde audit (langere bewaartermijn, meer events) zit in E5-niveau, niet standaard in Business Premium.

    9. Sign-in monitoring en risicobeleid

    In het Microsoft Entra-portal vind je sign-in logs en risk events. Microsoft beoordeelt bij elke login of de poging risico-achtig is (onbekende locatie, anonymizer, eerder gelekt wachtwoord). Met Conditional Access kun je daar acties op koppelen, bijvoorbeeld “bij medium risk: verplicht MFA opnieuw”. Voor automatische blokkering bij high risk heb je Microsoft Entra ID P2 nodig, wat boven Business Premium uitgaat.

    Voor MKB met Business Premium is het minimum: minstens wekelijks de risky sign-ins doorlopen, en bij een vinkje rood het account direct resetten en MFA opnieuw verplichten.

    Beschikbaar in: basis-monitoring in alle plannen, geautomatiseerde risk-policies in Entra ID P2 (add-on).

    10. Off-boarding en periodieke access reviews

    Een verlaten account is een levensgevaarlijke achterdeur. Wanneer een medewerker uit dienst gaat, hoort er een vaste off-boarding flow te starten:

    • Account direct disablen op de laatste werkdag.
    • Wachtwoord resetten en MFA-tokens intrekken.
    • Mailbox omzetten naar gedeelde mailbox of naar manager doorsturen voor X dagen.
    • Toegang tot SharePoint, Teams en externe SaaS-tools opheffen.
    • Apparaten via Intune uit de tenant trekken (in Business Premium).

    Loop daarnaast eens per kwartaal alle accounts door en controleer welke nog actief zouden moeten zijn. Veel MKB-bedrijven ontdekken dan accounts van oud-stagiairs of externen die maanden geleden zijn vertrokken maar nog steeds in de tenant staan.

    Beschikbaar in: basis-handmatig in alle plannen. Geautomatiseerde Access Reviews zitten in Entra ID P2.

    Wat zit er in welke licentie? Een snelle samenvatting

    Functie Business Basic Business Standard Business Premium
    MFA Ja Ja Ja
    Conditional Access Nee Nee Ja
    Externe afzender-tag Ja Ja Ja
    Anti-phishing basis (EOP) Ja Ja Ja
    Defender for Office 365 (Safe Links, Safe Attachments, geavanceerde anti-phishing) Add-on Add-on Ja
    Intune apparaatbeheer Nee Nee Ja
    Geautomatiseerde risk-policies (Entra ID P2) Add-on Add-on Add-on

    Voor de meeste MKB-bedrijven is een upgrade naar Business Premium de beste investering, omdat je daarmee in één keer Conditional Access, Defender en Intune binnenhaalt zonder add-on-jungle.

    Wanneer schakel je hulp in?

    Een aantal van bovenstaande instellingen kun je in een uur zelf doen (MFA, externe afzender-tag, externe forwarding, audit logging valideren). De zwaardere stappen (Conditional Access policies, Defender-policies fijntjes afstellen, een goede off-boarding flow opbouwen) vragen om iemand die de tenant kent en kan testen voordat hij iets uitrolt. Anders riskeer je dat je legitieme gebruikers buitensluit of valse zekerheid creëert.

    Heb je geen interne IT, dan loont het om een externe partij dit één keer goed in te richten en daarna periodiek te laten reviewen. Bij PC Patrol nemen we voor MKB-klanten de M365-implementatie en het beveiligingsbeleid op ons als onderdeel van onze Microsoft 365 dienst, met Nederlandse support en één aanspreekpunt.

    Tot slot: beveiliging is een ritme, geen project

    De tien instellingen hierboven zijn geen klus die je één keer doet en kunt afvinken. Microsoft brengt regelmatig nieuwe features uit en deprecateert oude. Aanvallers veranderen hun tactieken. Wat vandaag goed is ingesteld, kan over zes maanden een blinde vlek hebben omdat een feature is verplaatst of een nieuwe optie is toegevoegd.

    Plan minstens elk kwartaal een korte security-review: loop deze tien punten door, kijk naar nieuwe Microsoft Defender-aanbevelingen in het Secure Score-dashboard, en check of de licentiekeuze nog past bij je teamomvang en risicoprofiel. Voor wie wil zien hoe de bredere context rond MKB-mailbeveiliging eruitziet, behandelt onze blog over Microsoft 365: betere beveiliging en compliance voor uw bedrijf de strategische kant.

    Wil je hulp bij de inrichting of een review van je huidige Outlook- en Microsoft 365-instellingen? Bekijk onze Microsoft 365 voor MKB-pakketten of plan een gratis adviesgesprek. We kijken samen welke instellingen voor jouw situatie de meeste impact hebben.

    Tik je bedrijfsnaam in en check de extensies.

    Eén afrekening, drie domeinen, volledige bescherming.
    Domein zoeken

    Misschien ook interessant

    Blog

    E-mail deliverability verbeteren voor je zelfgehoste mailserver en IP-reputatie beschermen

    Waarom e-mail deliverability cruciaal is voor een zelfgehoste mailserver Als je zelf een mailserver host, heb je maximale...

    Chris 5 mei 2026 3 min
    WordPress

    Snelle WordPress hosting in 2026: 10 prestatie-criteria die het verschil maken voor je MKB-site

    Snelle WordPress hosting in 2026 is meer dan een dure server. Deze 10 prestatie-criteria, van Core Web Vitals...

    Chris 5 mei 2026 11 min
    Cloud VPS

    AI agents zelf hosten op een Cloud VPS: een privacy-vriendelijk alternatief voor cloud-AI in 2026

    AI agents waren in 2024 nog vooral een experiment, maar in 2026 zijn het serieuze digitale collega’s. Ze...

    Chris 4 mei 2026 12 min