Sådan sætter du Microsoft Defender for Office 365 Safe Attachments op, valg af action, tuning mod falske positiver, og test med EICAR og “real-world” vedhæftninger

29. januar 2026

En mail med en “helt normal” PDF kan være startskuddet til et brud, som ender med låste filer, fakturasvindel eller en kompromitteret konto. Mange mindre og mellemstore virksomheder i århus og lystrup lever fint med microsoft 365 til daglig, men mangler tid til at få sikkerheden sat rigtigt op. Og når først det går galt, er skaden typisk større end budgettet til it-support.

Defender Safe Attachments er en af de mest praktiske kontroller, fordi den tager vedhæftninger ud af mailflowet, kører dem i et isoleret miljø (sandbox) og afgør, om de er sikre, før brugeren får dem i hånden. Det lyder enkelt, men effekten afhænger af tre ting: opsætning, valg af action, og løbende tuning mod falske positiver.

Opsætning af Safe Attachments, så den rammer rigtigt fra dag 1

Minimalist illustration of an IT administrator in a modern Aarhus office configuring Microsoft Defender for Office 365 Safe Attachments, overlaid with a clean process flow for email attachment sandbox scanning, results, and actions. Illustration af et simpelt flow for scanning af mailvedhæftninger med Safe Attachments, skabt med AI.

Safe Attachments styres via policies i Microsoft 365 Defender portalen. I praksis skal SMV’er fokusere på to spor: en solid standard for alle, og en strammere policy for udvalgte brugere (direktion, økonomi, HR).

Vigtige rammer, der ofte overses:

  • Safe Attachments kører via policy-prioritet, den mest specifikke og højeste policy “vinder”.
  • Omfang kan være brugere, grupper eller domæner. Dynamiske grupper er typisk ikke understøttet i den sammenhæng, så hold det enkelt.
  • Der findes en “Built-in protection policy”, som i nyere standardopsætninger giver baseline-beskyttelse for alle, der ikke er dækket af en strengere custom policy.

En kort, praktisk opsætning ser sådan ud:

  1. Start med at kortlægge brugertyper (standard, høj risiko, fællespostkasser).
  2. Bekræft licensniveau og mål (mail alene, eller også OneDrive og Teams).
  3. Gennemgå Built-in protection, så I ved, hvad baseline allerede gør.
  4. Opret en custom policy til højrisikobrugere med strammere action.
  5. Planlæg en fast rytme for review af karantæne og rapporter.

Microsofts egen gennemgang af, hvor policies ligger og hvordan de bygges op, er et godt referencepunkt, se Microsofts vejledning til Safe Attachments policies.

For mange virksomheder i århus og lystrup giver det mening at lade NetDK stå for den første opsætning og governance (hvem må frigive, hvem må ændre exceptions, og hvordan dokumenteres ændringer). Det er dér, it-support og it-sikkerhed hænger sammen i praksis.

Valg af action: Block, Replace eller Dynamic Delivery (og hvorfor det betyder noget)

Minimalist illustration of a Danish IT administrator in a Lystrup office at a computer, selecting Block, Replace, or Dynamic Delivery actions for Safe Attachments in Microsoft Defender for Office 365, with icons and PDF/ZIP files in the background. Illustration af valg af actions i Safe Attachments, skabt med AI.

Action-valget er der, hvor mange SMV’er enten bliver for bløde (for meget slipper igennem) eller for hårde (for meget blokeres). I januar 2026 er det også værd at vide, at “Monitor” ikke længere er en aktiv strategi i løsningen, den blev udfaset, og miljøer er typisk flyttet til Block som standard.

Her er den korte beslutningsramme:

Action Hvad brugeren oplever Typisk brug
Block Mailen tilbageholdes, vedhæftning kan ikke bruges Standard for de fleste, især økonomi og ledelse
Replace Mail leveres, vedhæftning erstattes af besked Når mailindholdet er vigtigt, men filen skal fjernes
Dynamic Delivery Mail leveres hurtigt med “preview”, fil kommer efter scanning God til at reducere forsinkelse ved mange legitime filer

Block er normalt det rigtige udgangspunkt. Det stopper gentagne angreb hurtigt, og det tvinger en kontrol ind i processen. Ulempen er, at frigivelse kræver disciplin og klare rettigheder.

Dynamic Delivery er ofte den bedste kompromisløsning i SMV’er med travlt mailflow (leverandørfakturaer, tegningsmateriale, kontrakter). Brugeren får mailen hurtigt, men filen holdes tilbage, til scan er færdig. Det mindsker “hvorfor kommer min mail ikke frem” uden at sænke sikkerheden mærkbart.

Hvis I er i tvivl om, hvad Safe Attachments reelt scanner og hvornår, så brug Microsofts forklaring af Safe Attachments-funktionen som fælles reference i teamet. Det gør dialogen med brugere og ledelse mere konkret.

Tuning mod falske positiver, uden at lave huller i sikkerheden

Falske positiver er den klassiske dræber for sikkerhedstiltag. Når legitime vedhæftninger rammer karantæne, begynder folk at finde genveje, private mailkonti, uofficielle filoverførsler, eller “send lige som link”. Her skal man styre med data, ikke med mavefornemmelse.

Tre principper virker i praksis:

  • Se på mønstre, ikke enkeltsager. Er det én leverandør, en filtype, eller en bestemt proces (faktura, tilbud, lønsedler)?
  • Lav snævre undtagelser. Undgå brede allow-regler på domæneniveau, hvis problemet handler om én afsenderadresse eller én konkret filtype.
  • Hold frigivelse adskilt fra tuning. Frigivelse kan være en driftshandling. Tuning er en ændring af kontrolniveau. De to skal ikke blandes.

Når en legitim vedhæftning bliver blokeret, skal den håndteres som en “case”:

  1. Frigiv kun, hvis afsender og kontekst er verificeret.
  2. Registrér hvorfor den blev fanget (hvis portalen viser indikatorer).
  3. Vurdér om der er behov for en exception, og gør den så smal som muligt.
  4. Følg op efter 1 til 2 uger, blev problemet løst, eller flyttede det sig?

Microsoft har en konkret guide til processen, når legitime mails bliver fanget, se Microsofts trin for trin om falske positiver.

I en SMV er det ofte it-support-funktionen, der ender som flaskehals. Med faste regler og kort responstid bliver karantæne et kontrolleret stopskilt, ikke en daglig irritation.

Test med EICAR og realistiske vedhæftninger, så I kan stole på resultatet

IT-medarbejder i Århus/Lystrup tester Safe Attachments med EICAR-fil og realistiske email-vedhæftninger i en professionel kontorstemning. Minimalistisk illustration viser flowet: Email med EICAR → Sandbox → Blocked, med ikoner for testfil, clean PDF og malware ZIP samt overlay med testtrin. Illustration af testflow med EICAR og typiske filtyper, skabt med AI.

Test er det, der skiller “vi har slået det til” fra “vi ved det virker”. En enkel testpakke kan køres på under en time, og den kan gentages månedligt.

EICAR er en sikker testfil, som mange sikkerhedsløsninger reagerer på. Send EICAR som vedhæftning til en testbruger, og verificér at Safe Attachments udløser den forventede action (typisk Block eller Replace). Dokumentér tidspunkt, modtager, policy-navn og udfald.

Kør også “real-world” tests, fordi de typisk afslører brugeroplevelse og flaskehalse:

  • PDF fra en kendt leverandør (skal normalt glide igennem hurtigt).
  • Office-dokument uden macros (må ikke give unødigt stop).
  • ZIP, også gerne en nested ZIP (kan give længere scanningstid).
  • Passwordbeskyttede filer (kræver ofte særskilt beslutning, reglen er simpel: don't send passwordet i samme mail ).

Som januar 2026-kontekst er det også relevant at teste jeres samarbejdskanaler. Der er udvidelser og oprydningsmekanismer på tværs af mail og samarbejde, blandt andet ZAP (Zero-Hour Auto-Purge) i Teams, som rulles ud i starten af januar. Det ændrer ikke Safe Attachments direkte, men det påvirker forventningerne til, hvad der automatisk kan fjernes efter levering.

For et mere praktisk blik på tuning, angrebsmønstre og faldgruber i hverdagen, se Microsoft Defender for Office 365: Fine-Tuning.

Konklusion

Safe Attachments giver mest værdi, når det er sat op med klare actions, smalle undtagelser og faste tests. Det passer godt til SMV’er, fordi kontrollen ligger centralt og ikke afhænger af den enkelte bruger. Med en enkel driftsrytme bliver karantæne og tuning en del af normal it-support, ikke et kriseværktøj. Hvis målet er færre sikkerhedshændelser i microsoft 365, er Defender Safe Attachments et af de steder, det bedst kan betale sig at starte.