Deze werkinstructie beschrijft hoe je per phishingsimulatie de juiste whitelisting inricht in Microsoft 365 Defender (Exchange Online / Defender for Office 365). De verzendende IP-gegevens zijn voor elke simulatie hetzelfde. Het maildomein en het landingsdomein (de link in de mail) verschillen per simulatie en moeten telkens worden aangepast.

1. Gegevens voor deze simulatie

Vul onderstaande tabel in voordat je de stappen uitvoert. De vaste gegevens hoef je niet te wijzigen.

Toelichting bij de simulatie-URL: je hoeft niet de volledige URL inclusief querystring (zoals ?rid=…) in te voeren. Het pad tot aan het vraagteken volstaat. Microsoft adviseert daarbij de wildcardvorm *.domein.tld/*, zodat alle subdomeinen en paden worden toegestaan.

2. IP-adressen whitelisten (Connection Filter Policy)

Ga rechtstreeks naar: https://security.microsoft.com/antispam
Of via het menu: Email & collaboration → Policies & rules → Threat policies → Anti-spam.

1. Open op de Anti-spam policies-pagina de Connection filter policy (Default).
2. Klik op Edit connection filter policy.
3. Voeg onder Always allow messages from the following IP addresses or address range de volgende waarden toe:
   • 81.24.12.198
   • 136.175.108.0/24
4. Klik op Save.

Let op: deze twee IP-waarden zijn vast en hoeven dus alleen bij de eerste simulatie ingesteld te worden. Controleer per simulatie of ze nog aanwezig zijn.

3. Domein en URL uitsluiten van Safe Links

Ga naar: https://security.microsoft.com/safelinksv2
Of via het menu: Email & collaboration → Policies & rules → Threat policies → Safe Links.

1. Open de Safe Links-policy die op de doelgroep van toepassing is.
2. Ga naar URL & click protection settings en klik bij Do not rewrite the following URLs in email op Manage URLs.
3. Voeg het landingsdomein van deze simulatie toe in wildcardvorm:
   *./*  (bijv. *.webmailportal.net/*)
4. Voeg eventueel ook het maildomein toe in dezelfde vorm:
   *./*  (bijv. *.deservicedesk.com/*)
5. Klik op Save en sla de policy op.

4. Advanced Delivery configureren (Phishing Simulation)

Ga rechtstreeks naar: https://security.microsoft.com/advanceddelivery?viewid=PhishingSimulation
Of via het menu: Email & collaboration → Policies & rules → Threat policies → Advanced delivery → tab Phishing simulation.

1. Klik op Edit (of op Add als er nog geen configuratie bestaat).
2. Vul de volgende velden in:

   Veld in Defender	In te vullen waarde
   Sending domain	het maildomein van deze simulatie (bijv. deservicedesk.com)
   Sending IP	81.24.12.198 (eventueel ook 136.175.108.0/24)
   Simulation URLs to allow	*./* (bijv. *.webmailportal.net/*)

3. Klik op Save en daarna op Close.

5. Checklist per simulatie

• Maildomein toegevoegd in Advanced Delivery → Sending domain
• Sending IP 81.24.12.198 aanwezig in Advanced Delivery
• Connection filter policy bevat 81.24.12.198 en 136.175.108.0/24
• Landingsdomein toegevoegd in Safe Links onder “Do not rewrite URLs” (*.domein/*)
• Landingsdomein toegevoegd in Advanced Delivery → Simulation URLs to allow (*.domein/*)
• Testmail uit de simulatieomgeving ontvangen en link werkt zonder waarschuwing

6. Aandachtspunten

• Wildcardvorm gebruiken: voer URL’s in als *.domein.tld/*. Hiermee worden ook subdomeinen en querystrings (bijv. ?rid=…) meegenomen.
• Geen https:// invoeren: in de Microsoft-velden voer je alleen het domein/pad in, niet het schema https://.
• Doorlooptijd: wijzigingen kunnen tot circa een uur duren voordat ze actief zijn. Plan de simulatie hier rekening mee.
• Na afloop opruimen: verwijder het maildomein en het landingsdomein na afloop van de simulatie weer uit Advanced Delivery en Safe Links, zodat de uitzonderingen niet onnodig blijven staan. De vaste IP-gegevens kunnen blijven staan voor volgende simulaties.
• Mailflow via een externe gateway? Controleer dan ook de configuratie van Enhanced Filtering for Connectors in Exchange Online, anders ziet Defender niet het oorspronkelijke verzend-IP.