Jordy Herber“Waarom e-mailbeveiliging geen detail is, maar een strategische prioriteit.”
Hoewel samenwerkingstools als Teams en SharePoint razendsnel groeien, blijft e-mail het hart van communicatie binnen elke organisatie. En daarmee blijft Exchange Online een primaire aanvalsvector. De cijfers liegen niet: het merendeel van cyberaanvallen begint nog steeds via e-mail. Of het nu gaat om phishing, impersonatie, mailbox compromise, automatische forwarding of misbruik van SMTP—Exchange Online vormt het slagveld waarop aanvallers hun eerste voet zetten.
CIS Benchmark v6.0.0 is daarom duidelijk strenger geworden op Exchange-gebied dan v5.0.0. De benchmark bevat scherpere controls rond forwarding, transport rules, auditing en moderne authenticatiestandaarden. Ook zijn enkele nieuwe aanbevelingen toegevoegd, waarvan één in het bijzonder—het blokkeren van Direct Send submissions—een aanzienlijke impact heeft op organisaties die vergeten zijn om hun mailflows te moderniseren.
In deze blog bekijken we de verschillen tussen CIS v5 en v6 vanuit Exchange-perspectief, leggen we uit waarom deze wijzigingen zijn doorgevoerd en hoe je ze vertaalt naar Defender, XDR en Sentinel-detecties.
🧭 Hoog-over overzicht: wat verandert er in Exchange tussen v5 en v6?
Hieronder zie je de belangrijkste wijzigingen:
| Gebied | v5 | v6 | Impact |
| AuditDisabled | Aanwezig | Aangescherpt | Hoog |
| Mailbox audit actions | Aanwezig | Strenger, uitgebreid | Hoog |
| Forwarding blokkeren | Aanwezig | Ongewijzigd, maar relevanter | Hoog |
| Whitelisted domains in transport rules | Aanwezig | Striktere auditprocedure | Medium |
| SMTP AUTH | Aanwezig | Harder geformuleerd | Hoog |
| Direct Send submissions | Niet aanwezig | Nieuw verplicht control | Zeer hoog |
| Modern Authentication | Aanwezig | Integraler onderdeel baseline | Hoog |
CIS v6 maakt e-mailbeveiliging meer zero trust by default.
📜 1. Audit: mailbox auditing wordt verplicht én granulariteit neemt toe
Auditing is de basis van forensic readiness. CIS v5 en v6 hebben beide:
Ensure ‘AuditDisabled’ organizationally is set to ‘False’
(Exchange – 6.1.1)
Maar in v6 wordt auditing breder en dieper beschreven.
📌 1.1. Mailbox audit actions uitgebreider in v6
Beide benchmarks bevatten:
Ensure mailbox audit actions are configured
(6.1.2)
Maar v6 maakt duidelijk dat auditing minimaal moet bevatten:
- Admin actions
- Move
- Update
- Soft-delete
- Delegate actions
- Send-as
- Send-on-behalf
De auditprocedure in v6 is uitgebreider, met verbeterde PowerShell-scripts.
| Audittype | v5 | v6 |
| Admin actions | Basis | Uitgewerkt |
| Delegate actions | Niet volledig | Verplicht |
| Owner actions | Overwegend gelijk | Strikter beschreven |
De reden: BEC-aanvallen richten zich steeds vaker op delegated send scenarios.
✉️ 2. Forwarding blokkeren: de evergreen control
Forwarding blijft een belangrijk risico. Zowel in v5 als v6 geldt:
Ensure all forms of mail forwarding are blocked and/or disabled
(6.2.1)
Forwarding vormt een van de meest voorkomende vormen van data-exfiltration.
In v6 verandert vooral de auditdruk:
- De auditstappen zijn uitgebreider
- Er wordt verwacht dat zowel inbox rules als transport rules worden onderzocht
- CIS verwacht expliciet dat forwarding default-deny is
Waarom forwarding zo gevaarlijk is:
- Het werkt stil, onopvallend en langdurig
- Het leidt tot datalekken zonder zichtbare sporen
- Het wordt vaak gebruikt in BEC en payroll redirect aanvallen
🚫 3. Transport rules: whitelisting is niet langer acceptabel
Zowel v5 als v6 bevatten:
Ensure mail transport rules do not whitelist specific domains.
(6.2.2)
Maar v6 maakt het strenger door:
- meer nadruk te leggen op het elimineren van veilige lijsten,
- auditprocedures uit te breiden,
- en te benoemen dat transport rules nooit security moeten omzeilen.
Waarom dit belangrijk is:
Transport rules worden vaak misbruikt door aanvallers die toegang hebben gekregen tot adminrollen, omdat deze rules een bypass vormen voor Defender-policies.
🛡️ 4. DKIM, DMARC en SPF blijven cruciale controls (maar niet nieuw)
CIS geeft in v5 én v6 dezelfde aanbevelingen:
- Ensure SPF records are published
- Ensure DKIM is enabled for all domains
- Ensure DMARC records are published
Waarom blijven deze controls relevant?
Ze vormen de basis van domain authentication. Zonder deze configuraties wordt jouw tenant een speelveld voor:
- spoofing
- phishing
- impersonatie
- domeinmisbruik
Hoewel deze controls niet nieuw zijn in v6, worden ze nu nadrukkelijker aangehaald in de context van anti-phishing en connector governance in Defender.
🔌 5. SMTP AUTH: v6 legt meer druk op het uitschakelen ervan
CIS beveelt al langere tijd aan:
Ensure SMTP AUTH is disabled
(6.5.4)
Maar in v6 is de formulering strenger geworden.
Waarom?
SMTP AUTH is een legacy mechanisme en:
- ondersteunt geen MFA
- ondersteunt geen Conditional Access
- is populair bij aanvallers voor misbruik van mailflows
- wordt gebruikt voor spammailings vanaf compromised accounts
Dat v6 dit harder stelt, komt door de enorme toename van SMTP AUTH misbruik in de afgelopen jaren.
🔥 6. Nieuw in v6: “Direct Send submissions are rejected”
Dit is een volledig nieuwe aanbeveling in CIS v6:
Ensure Direct Send submissions are rejected
(v6 – 6.5.5)
Dit was in v5 niet aanwezig.
Wat betekent dit?
Direct Send is een manier waarop apparaten en applicaties e-mail kunnen verzenden zonder authenticatie. Denk aan:
- multifunctionals
- printers
- applicatieservers
- scanners
- firmwaredevices
CIS stelt nu dat dit niet langer acceptabel is.
Waarom?
Direct Send:
- ondersteunt geen moderne beveiliging
- is vaak onversleuteld
- is extreem gevoelig voor spoofing
- wordt gebruikt voor interne spear phishing
- levert geen betrouwbare auditdata
Gevolg voor organisaties?
Het dwingt je om:
- Moderne SMTP Submission (port 587 + OAuth) te gebruiken
- Service accounts met sterke authenticatie in te richten
- Applicatie-authenticatie te moderniseren
Kortom: een grote stap richting secure-by-default mailstromen.
📇 7. Modern Authentication — v6 maakt het fundament van Exchange
Beide benchmarks bevatten:
Ensure modern authentication for Exchange Online is enabled.
(6.5.1)
Maar v6 benadrukt dit sterker omdat:
- Basic Auth inmiddels grotendeels is uitgefaseerd door Microsoft
- nieuwe attack vectors zich richten op phishing token replay
- Conditional Access afhankelijk is van Modern Auth
In v6 wordt Modern Auth een harde baseline, geen aanbeveling.
🧩 8. Hoe Exchange-controls mappen naar Defender, XDR en Sentinel
Exchange controls hebben directe invloed op jouw detecties en incidentrespons.
Mapping tabel
| CIS Control | Defender Impact | XDR Impact | Sentinel Impact |
| SMTP AUTH disabled | Minder accountmisbruik | Minder spamcompromis correlaties | Minder anomalieën |
| Forwarding blocked | Voorkomt data-exfiltration | BEC-detectie | Forwarding rule analytics |
| Transport rules restricties | Voorkomt bypasses | Betere mailflow correlaties | Rule modification alerts |
| DMARC/DKIM/SPF | Betere spoofing-detectie | Minder false positives | Domain authentication hunting |
| Mailbox auditing | High-fidelity forensics | Entity timelines | Audit log enrichment |
| Direct Send rejected | Minder ongetraceerde mailstromen | Zuiverdere signalen | Device → email flow tracking |
🧮 9. Samenvatting: verschillen v5 vs v6 voor Exchange Online
| Onderdeel | v5 | v6 | Opmerking |
| AuditDisabled | Aanwezig | Strikter | Betere forensic readiness |
| Mailbox audit actions | Basis | Aangescherpt | Delegate actions sterker |
| Forwarding blokkeren | Identiek | Importantie groter | BEC-proofing |
| Transport rules | Aanwezig | Harder geformuleerd | Zero trust principle |
| SMTP AUTH | Aanwezig | Strenger | Misbruik neemt toe |
| Modern Auth | Aanbevolen | Verplicht | Microsoft blokkeert Basic Auth |
| Direct Send | Niet aanwezig | Nieuw | Grote impact op apparaten/apps |
🧠 Conclusie — Exchange Online is een van de strengste onderdelen van CIS v6
E-mail blijft een van de meest misbruikte vectoren in het moderne dreigingslandschap. CIS Benchmark v6 versterkt daarom Exchange Online op alle fronten:
- betere auditbaarheid
- betere bescherming tegen spoofing en exfiltration
- betere hardening van transportmechanismen
- verplichte modernisering van mailstromen
De grootste winst zit in de nieuwe control rond Direct Send en de uitgebreidere auditvereisten. Deze helpen organisaties eindelijk af te stappen van onveilige, verouderde mailroutes en creëren een fundament voor betrouwbare detectie binnen XDR en Sentinel.
Exchange blijft het frontlinieterrein van security—maar met v6 staat er een solide hekwerk.