Microsoft Defender for Office 365, sådan sætter du Anti-Spam og Anti-Malware (EOP) op, og får færre falske positiver

1. februar 2026

A professional IT administrator in a modern Danish SMB office in Aarhus configures email security on a laptop, featuring a flow diagram from incoming email through anti-spam, anti-malware, quarantine, to user inbox, with KPI showing fewer false positives. Illustration af e-mail-flow og filtrering, skabt med AI.

E-mail er stadig den mest brugte indgang til angreb, og den mest irriterende kilde til daglige afbrydelser. For mange smv’er oplever, at spam slipper igennem, mens vigtig mail ryger i karantæne. Det giver støj, tabt tid og i værste fald tabt omsætning.

Med Microsoft Defender Office 365 og Exchange Online Protection (EOP) kan man få et stærkt grundfilter, men opsætningen afgør, om sikkerheden hjælper eller spænder ben. Især i mindre teams, hvor it-support ofte deles mellem flere hatte.

I Århus og Lystrup ser vi samme mønster igen og igen: “Det virker næsten, men falske positiver vælter ind.” Her er en praktisk måde at sætte Anti-Spam og Anti-Malware op, og samtidig få styr på leveringssikkerheden.

Start med at få styr på fundamentet i EOP (før du tuner)

EOP er basislaget i Microsoft 365, som håndterer Anti-Spam og Anti-Malware for Exchange Online. Defender for Office 365 bygger ovenpå med ekstra beskyttelse (fx Safe Links og Safe Attachments), men du får først ro på, når fundamentet i EOP er stramt.

For smv’er er udfordringen sjældent, at man mangler funktioner. Udfordringen er drift. Hvem kigger på karantænen hver dag. Hvem følger op på bruger-rapportering. Hvem tager dialogen med leverandøren, når en faktura bliver blokeret.

Tre ting skaber flest falske positiver i praksis:

Typisk signal Hvad der ofte sker Hvad du gør ved det
“Phish” på en legitim afsender Manglende SPF/DKIM/DMARC, eller ny mailplatform hos afsender Få styr på domænevalidering og spoof-kontroller
“Spam” på kundemail Aggressive bulk-indstillinger eller for bred blokering Justér bulk-niveau og brug målrettet allow-listing
Vedhæftning blokeres Filtype-politik for stram, eller intern afsender sender “gamle” formater Brug karantæne og rapportering, ikke hård sletning som standard

Det lyder banalt, men det er som en dør med alarm. Hvis dørkarmen er skæv, hjælper det ikke at købe en dyrere alarm.

Hos NETDK bruger vi typisk en enkel baseline først. Derefter måler vi på afvisninger, karantæne og brugerklager i 1 til 2 uger. Så tuner vi med data, ikke mavefornemmelse.

Anti-Spam i EOP: opsætning der blokerer støj, men ikke forretning

Modern B2B illustration of Microsoft Defender admin center dashboard displaying anti-spam and anti-malware policies, with an admin adjusting sliders for spam thresholds and malware scanning amid icons for allow/block lists and KPI graphs showing false positive reductions. Overblik over policy-justeringer og effekt på falske positiver, skabt med AI.

Anti-Spam handler ikke om at ramme 100 procent. Det handler om at vælge de rigtige handlinger, så brugerne kan arbejde videre, mens it kan reagere hurtigt.

Opsætningen laves i Microsoft 365 Defender-portalen under e-mail-politikker for EOP. Start med én “standard” policy for alle, og lav kun separate policies, når der er et reelt behov (fx økonomi, HR, fællespostkasser).

En robust, praktisk standard ser ofte sådan ud:

  1. Sæt Spam til Junk eller karantæne (afhænger af jeres tolerance).
  2. Sæt High confidence spam til karantæne.
  3. Sæt Phishing og high confidence phishing til karantæne (ikke Junk).
  4. Slå spoof intelligence til, og vælg karantæne ved mistanke.
  5. Brug Tenant Allow/Block List til målrettede undtagelser, ikke transportregler der bypasser scanning.

Det vigtigste greb mod falske positiver er at undgå “alt eller intet”. Hvis man sletter hårdt, får man support-sager. Hvis man sender alt i Junk, mister man overblik. Karantæne med klare regler giver kontrol, og det giver ro.

To korte tuning-principper virker godt i smv’er:

  • Allow-list med udløb : Lav undtagelser, men giv dem en udløbsdato og en ejer. Ellers ender allow-listen som en losseplads.
  • Justér bulk smart : Mange falske positiver kommer fra nyhedsbreve og systemmails. Det er ofte bedre at styre bulk separat end at “blødgøre” hele spamfilteret.

Microsoft har en detaljeret gennemgang af policy-mulighederne i vejledning til opsætning af spamfilter-politikker , som er god at have ved hånden, når man dokumenterer sine valg.

Anti-Malware, karantæne og færre falske positiver i hverdagen

An IT support team in a cozy Danish office discusses email security, reviewing Threat Explorer for false positives and updating the allow list. Background features coffee, notes, and KPIs showing reduced false positives and improved IT security. Team-review af karantæne og allow-liste, skabt med AI.

Anti-Malware i EOP er ofte sat “okay” som standard, men mange smv’er overser to ting: hvad der sker ved fund, og hvem der får besked. Det er her, falske positiver bliver dyre, fordi ingen handler hurtigt nok.

En god tommelfingerregel er: bloker farlige vedhæftninger hårdt, men håndtér tvivl med karantæne og review.

Praktisk betyder det:

  • Sæt malware-fund til karantæne eller “reject” (afhænger af jeres processer), men undgå tavse handlinger uden notifikation.
  • Slå notifikationer til for relevante modtagere (typisk it-support eller en fælles sikkerhedsmail).
  • Brug en karantænepolitik, hvor it kan frigive, og hvor brugere kan anmode om release (med godkendelse).

Når falske positiver sker, er det tempoet der tæller. I februar 2026 er der kommet bedre arbejdsflow i Defender, blandt andet mulighed for at håndtere mange mails ad gangen i Threat Explorer, og hurtigere blokering af URLs og filer direkte. Det reducerer den manuelle tid, når der er et udbrud, eller når en legitim kampagne blev fanget forkert.

Samtidig tester Microsoft forbedringer til “allow expiry”, så tilladelser i højere grad kan styres og forlænges kontrolleret. Det er relevant for smv’er, hvor it ikke har tid til at babysitte undtagelser hver uge.

Vil du arbejde struktureret med falske positiver, så brug Microsofts egen proces for rapportering og korrektion. Den er beskrevet konkret i trin til håndtering af falske positiver.

Til sidst: hvis jeres domæner ikke har styr på SPF, DKIM og DMARC, kommer I til at slås med spoofing og “mistænkelig afsender” igen og igen. Det er ofte en hurtig gevinst at få på plads, og Microsoft har en dansk guide i guide til DMARC-konfiguration.

Konklusion: mindre støj, bedre levering, færre support-sager

De fleste smv’er behøver ikke flere sikkerhedsprodukter. De behøver en EOP-opsætning, der passer til virkeligheden, og en enkel proces for karantæne og undtagelser. Når Anti-Spam og Anti-Malware er sat rigtigt op, falder mængden af “kan du lige frigive den her mail” mærkbart.

For virksomheder i århus og lystrup handler det ofte om at få en fast rytme i drift og it-support, og få rådgivning når reglerne skal tunes. Hos NETDK ser vi bedst effekt, når man måler, justerer og holder allow-listerne rene. Resultatet er færre falske positiver , og en mailplatform man kan stole på.