Microsoft Defender for Office 365 Anti-Phishing policy, opsætning af impersonation-beskyttelse (brugere, domæner, brand) og realistiske testcases

30. januar 2026

En phishing-mail ligner ofte “helt normal mail”. Den kommer fra “direktøren”, “banken” eller en kendt leverandør. Den rammer især mindre og mellemstore virksomheder, fordi tempoet er højt, og fordi få personer sidder med mange hatte.

Med Defender anti-phishing i Microsoft Defender for Office 365 kan man gøre det markant sværere at slippe afsted med impersonation (efterligning). Det gælder både efterligning af brugere, domæner og brand. Men effekten kommer først, når politikken er sat rigtigt op, og når den er testet med realistiske scenarier.

For SMV’er i århus og Lystrup handler det ofte om at finde et niveau, der giver sikkerhed uden at stoppe forretningen. Her giver en kombination af fornuftig opsætning, klar drift og stabil it-support det bedste resultat.

Hvorfor impersonation er et SMV-problem, også når “alt er i skyen”

Clean, modern B2B cybersecurity illustration in flat isometric style depicting a protective shield blocking a phishing email impersonation attack on an SMB employee. Illustration af et impersonation-forsøg, der bliver blokeret af en sikkerhedskontrol, lavet med AI.

Mange SMV’er bruger Microsoft 365 til mail, Teams og dokumenter. Det er stabilt, men det fjerner ikke risikoen. Angribere går efter mennesket, ikke serveren.

Impersonation er klassisk social engineering. Det er som en falsk håndværker i uniform. Hvis tonen og timingen passer, bliver døren åbnet.

De typiske udfordringer i mindre organisationer er ret ens:

  • Beslutninger bliver taget hurtigt, ofte via mail.
  • Økonomi og ledelse har travlt, og godkendelser sker på farten.
  • IT-rollen er delt mellem drift, leverandører og interne “superbrugere”.
  • Rådgivning bliver nedprioriteret, indtil noget går galt.

Det er også derfor, at anti-phishing ikke kun er “en setting”. Det er en proces med opsætning, tuning og opfølgning. Hos NetDK ser vi ofte, at en lille ændring i mailflow, fx ny fakturaadresse eller nyt domæne, kan skabe både falske positiver og huller i beskyttelsen, hvis politikkerne ikke følger med.

Vil man have overblik over, hvad Microsoft selv mener anti-phishing dækker, er deres gennemgang af anti-phishing protection i Defender for Office 365 et godt udgangspunkt.

Opsæt Defender anti-phishing: policy, actions og impersonation (brugere, domæner, brand)

Clean, isometric vector illustration of an email security control center dashboard on a computer screen, featuring anti-phishing policy with impersonation protection for users, domains, and brands, plus mailbox intelligence and phish simulation, in a professional office setting. Illustration af et kontrolpanel for anti-phishing og impersonation-beskyttelse, lavet med AI.

Anti-phishing styres via policies i Microsoft Defender-portalen. Grundreglen er enkel: Den indbyggede standardpolitik kører altid, men impersonation-beskyttelse er ikke noget, man bare skal antage er slået til og færdig.

Microsoft beskriver selve opsætningen trin for trin i deres guide til at konfigurere anti-phishing policies. I praksis er der tre valg, der betyder mest for SMV’er.

Vælg en klar handling, når noget ligner impersonation

Man kan typisk vælge mellem at afvise, sætte i karantæne eller sende til junk. For de fleste er karantæne det bedste udgangspunkt. Det giver sikkerhed, men gør det muligt at frigive mails, hvis noget rammes forkert.

Sæt også en ansvarlig proces. Hvem tjekker karantæne, og hvor ofte. Det er drift, ikke magi.

Slå beskyttelsen til for de rigtige “højrisiko-identiteter”

Start med de få, som giver størst skade ved misbrug:

  • Direktør og økonomi (CEO/CFO).
  • Løn og HR.
  • Indkøb og leverandørkontakt.
  • Fællespostkasser (faktura@, info@), hvis de bruges til godkendelser.

Det er her, “CEO fraud” opstår. En mail kan godt være uden link. Den kan bare bede om en hasteoverførsel.

Opsæt impersonation på tre niveauer (Users, Domains, Brand)

Brugere (Users) : Beskyt specifikke interne personer. Defender sammenligner afsenderen med den rigtige identitet og mønstre (fx display name, lookalike). Det er effektivt, når angriberen bruger “Direktør Navn” som visningsnavn.

Domæner (Domains) : Beskyt eget domæne og typiske lookalike-domæner. Det fanger fx tastefejl og varianter, som ser rigtige ud i en travl indbakke.

Brand (Brand) : Beskyt jeres brandnavn og nøgleord, som ofte bruges i mails. Det er især relevant, hvis virksomheden har genkendeligt navn, eller hvis man ofte bliver misbrugt i falske “ordrebekræftelser”.

Til sidst: Brug “trusted senders/domains” med omtanke. Det er fristende at whiteliste en hel leverandør, når noget bliver stoppet. Men hver undtagelse er en bagdør, hvis leverandøren bliver kompromitteret.

Realistiske testcases: sådan måler du effekten uden at forstyrre driften

Clean, modern B2B cybersecurity illustration in flat isometric vector style with blues and greys, showing anti-phishing test flow: send test email, detection, user warning, quarantine, portal review, as a flowchart on a whiteboard in a conference room. Illustration af et simpelt testflow for anti-phishing, lavet med AI.

Den hurtigste måde at få tillid til opsætningen er at teste som en angriber, bare kontrolleret. Brug en testbruger, en ekstern testmail og tydelig intern koordinering. Undgå at teste mod hele organisationen samme dag som lønkørsel.

En god tommelfingerregel: start småt, mål, justér, gentag.

Inden du tester, skal fundamentet være på plads. SPF, DKIM og DMARC reducerer støj og gør resultaterne mere tydelige.

Her er testcases, der ligner virkeligheden, og som giver konkrete svar:

Testcase Hvad du gør Forventet resultat
CEO impersonation (display name) Send ekstern mail med direktørens navn som visningsnavn, men fra andet domæne Mail markeres eller ryger i karantæne, afhængigt af action
Brugerspoof af intern adresse Beskyt en specifik bruger, send mail der ligner deres adresse (lookalike) Impersonation-detektion udløses, især ved tæt match
Domæne-typo (lookalike domain) Test med et domæne der ligner jeres (fx ekstra bogstav) Domæne-impersonation rammer, action udføres
Brand spoof i emnefelt Brug jeres brandnavn og “betaling” eller “konto” i emnet Højere score, især hvis mailen også har link eller vedhæftning
Leverandørfaktura fra “kendt” afsender Simulér leverandør med ændret bankinfo, uden malware Skal stoppe i karantæne, eller give tydelig advarsel til bruger

Når testen kører, skal du have et sted at kigge efter beviser. Microsoft har en konkret vejledning til, hvordan man justerer niveauer og reducerer falske positiver i Tune anti-phishing protection. Brug den som reference, når du finjusterer.

I praksis bør man logge tre ting efter hver test: hvad der skete (leveret, junk, karantæne), hvilken regel der ramte, og om brugeren fik en tydelig advarsel. Det er den type dokumentation, der gør it-sikkerhed til drift og ikke mavefornemmelse.

For virksomheder i Lystrup og området omkring Aarhus giver det mening at gøre test til en fast rutine, fx kvartalsvis, og ved større ændringer (nyt domæne, nyt ERP, ny mailleverandør). Her kan NetDK typisk hjælpe med både opsætning, løbende it-support og nøgtern rådgivning, så sikkerheden følger forretningen.

Konklusion

Impersonation er stadig en af de mest effektive angrebsformer mod SMV’er, fordi den udnytter travlhed og tillid. Med Defender anti-phishing i Defender for Office 365 kan man beskytte brugere, domæner og brand, men kun hvis politikken er sat bevidst op og testet realistisk. Start med de vigtigste identiteter, vælg karantæne som sikker default, og mål effekten med kontrollerede testcases. Når mailbeskyttelse bliver en fast del af driften, falder både risiko og mængden af ubehagelige overraskelser.