E-mailbeveiliging: een complete gids voor IT-teams en MSP’s

E-mail blijft het meest misbruikte aanvalsvector in de cyberbeveiliging. Het vormt de toegangspoort voor phishing, Business Email Compromise, het verspreiden van malware en ransomware. Ondanks dat men zich hier al tientallen jaren bewust van is, is het nog steeds de plek waar de meeste succesvolle aanvallen beginnen.

Volgens het Kaseya State of the MSP-rapport uit 2026 geeft 44% van de MSP’s aan dat ten minste 10% van hun klanten in 2025 te maken heeft gehad met een cyberaanval, en blijft phishing via e-mail de meest voorkomende manier waarop aanvallers toegang krijgen tot systemen. Het Kaseya INKY Security Report 2026 plaatst de omvang in een scherper perspectief: 26% van alle bij de FBI ingediende klachten over cybercriminaliteit heeft betrekking op phishing, met alleen al 2,8 miljard dollar aan gemelde verliezen door Business Email Compromise. Download het MSP-rapport.

De reden waarom e-mail zo effectief is als aanvalsvector is simpel: het is onmisbaar, alomtegenwoordig en geniet een groot vertrouwen. Mensen openen e-mails. Ze klikken op links. Ze geven gehoor aan verzoeken van schijnbare autoriteiten. De mechanismen die e-mail tot een functioneel communicatiemiddel maken, zijn precies dezelfde die aanvallers misbruiken. Geen enkele technische maatregel kan het menselijk inzicht volledig vervangen, maar de juiste beveiligingsoplossingen voor e-mail zorgen ervoor dat er aanzienlijk minder schadelijke inhoud bij gebruikers terechtkomt en beperken de schade wanneer er toch aanvallen doordringen.

Deze gids beschrijft hoe een volledig e-mailbeveiligingsbeleid eruitziet, van basisprotocollen tot AI-gestuurde detectie, en is bedoeld voor IT-teams en MSP’s die namens klanten e-mailomgevingen beheren.

Waarom e-mailbeveiliging uit meerdere lagen moet bestaan

Geen enkele afzonderlijke beveiligingsmaatregel voor e-mail is op zichzelf voldoende, omdat verschillende soorten aanvallen gebruikmaken van verschillende kwetsbaarheden.

Massale phishing maakt gebruik van schaalgrootte: als slechts een klein percentage van de ontvangers op een link klikt, leidt dat al tot duizenden gehackte accounts. Spear phishing maakt gebruik van relevantie: op maat gemaakte berichten wekken zelfs bij goed getrainde gebruikers geen argwaan. BEC maakt gebruik van vertrouwen: berichten van gehackte of nagebootste accounts omzeilen inhoudsfilters volledig. Het verspreiden van malware maakt gebruik van nieuwsgierigheid: kwaadaardige bijlagen en links zijn afhankelijk van het feit dat gebruikers de inhoud openen. Bij account-overname wordt alles omzeild zodra de inloggegevens zijn verkregen, omdat de aanvaller zich voordoet als een legitieme gebruiker.

Elk van deze zaken vereist andere beveiligingsmaatregelen. Een gateway die bekende schadelijke inhoud filtert, biedt geen bescherming tegen een BEC-aanval vanuit een legitiem account. DMARC voorkomt domeinspoofing, maar houdt geavanceerde identiteitsfraude via op elkaar lijkende domeinen niet tegen. Trainingen in beveiligingsbewustzijn verlagen het aantal klikken, maar maken er geen einde aan. Uit het Kaseya INKY 2026 blijkt dat door AI gegenereerde phishing inmiddels de norm is geworden, waarbij aanvallers op grote schaal zeer overtuigende berichten produceren en zich uitbreiden naar nieuwe aanvalsvlakken zoals agenda-uitnodigingen, beveiligde documenten en terugbelnummers. Download het E-mailbeveiligingsrapport 2026.

De effectieve oplossing bestaat uit gelaagde beveiligingsmaatregelen die elk een ander deel van het aanvalsoppervlak aanpakken.

De basis: protocollen voor e-mailverificatie

Drie basisprotocollen pakken domein-impersonatie aan, de techniek waarbij e-mails worden verzonden die ten onrechte beweren afkomstig te zijn van een legitiem domein.

SPF (Sender Policy Framework) bepaalt welke mailservers bevoegd zijn om e-mail namens een domein te verzenden. Wanneer er een e-mail binnenkomt die beweert afkomstig te zijn van uw domein, controleert de ontvangende server de SPF-records om na te gaan of de verzendende server daartoe bevoegd is.

DKIM (DomainKeys Identified Mail) voegt een cryptografische handtekening toe aan uitgaande e-mail, waardoor ontvangende servers kunnen controleren of het bericht door een geautoriseerde afzender is verzonden en tijdens het verzenden niet is gewijzigd.

DMARC (Domain-based Message Authentication, Reporting and Conformance) bouwt voort op SPF en DKIM om ontvangende servers te laten weten wat ze moeten doen als de authenticatie mislukt — niet-geverifieerde e-mail in quarantaine plaatsen of weigeren — en om terug te koppelen welke berichten worden verzonden die beweren afkomstig te zijn van uw domein.

DMARC met een `p=reject`-beleid is de strengste configuratie: hiermee wordt voorkomen dat e-mails die de authenticatie niet doorstaan, worden afgeleverd. Om dit volledig te implementeren, moet eerst worden gegarandeerd dat alle legitieme e-mailstromen correct worden geauthenticeerd, inclusief externe verzendservices, marketingplatforms en aanbieders van transactionele e-mail, zodat legitieme e-mails niet onder het afwijzingsbeleid vallen.

Veel organisaties hebben SPF en DKIM wel geconfigureerd, maar passen DMARC niet toe, waardoor de belangrijkste beschermingslaag ontbreekt.

Anti-phishing en inkomende filtering

Moderne e-mailbeveiligingsplatforms maken gebruik van AI en machine learning om veel verder te gaan dan filtering op basis van zwarte lijsten.

Bij inhoudsanalyse worden de inhoud van berichten, de reputatie van de afzender, de verzendinfrastructuur en metagegevens onderzocht om phishingpatronen te identificeren, waaronder patronen die niet overeenkomen met bekende campagnes.

Linkanalyse toetst ingesloten URL’s aan de hand van informatie over cyberdreigingen, reputatiedatabases en realtime scans van de inhoud op de bestemmingspagina. Bij analyse op het moment van klikken worden links herschreven, zodat ze worden beoordeeld op het moment dat de gebruiker erop klikt. Dit biedt bescherming tegen vertraagde phishing, waarbij een link bij verzending veilig is, maar naar schadelijke inhoud verwijst op het moment dat de gebruiker erop reageert.

AI-gestuurde afwijkingsdetectie identificeert berichten die afwijken van de gebruikelijke communicatiepatronen van de vermeende afzender, en markeert berichten die op basis van gedragsanalyse als verdacht worden aangemerkt, zelfs als de inhoud op het eerste gezicht onschuldig lijkt.

INKY, het e-mailbeveiligingsproduct van Kaseya dat zowel als zelfstandig product als onderdeel van Kaseya 365 verkrijgbaar is, pakt dit probleem op een geheel andere manier aan. In plaats van uitsluitend op patroonherkenning te vertrouwen, INKY GenAI om e-mailteksten daadwerkelijk te begrijpen en zo de betekenis, intentie en subtiele signalen van manipulatie te herkennen. De computervisie analyseert e-mails zoals een mens dat zou doen en detecteert merkimitatie, logomanipulatie, QR-codebedreigingen en gecombineerde tekst-plus-visuele aanvallen die patroonherkenning volledig mist. Het analyseert ook relaties met afzenders en schrijfpatronen om afwijkingen, gecompromitteerde accounts en subtiele verschuivingen in de communicatie aan het licht te brengen die wijzen op pogingen tot phishing of account-overname.

Wanneer INKY een bedreiging INKY , plaatst het deze niet zomaar stilzwijgend in quarantaine. Het toont direct in de inbox een duidelijke, kleurgecodeerde informatieve banner waarin wordt uitgelegd wat er is gedetecteerd en waarom, zodat gebruikers in realtime leren in plaats van alleen maar te worden afgeschermd. Uit onafhankelijk onderzoek van Secure Mentem is gebleken dat gebruikers die INKY zagen, aanzienlijk beter in staat waren om phishingberichten te herkennen en veel minder geneigd waren om op kwaadaardige e-mails in te gaan.

Beveiliging van bijlagen en links

Bijlagen en links zijn de twee belangrijkste manieren waarop malware via e-mail wordt verspreid.

Bij sandboxing worden bijlagen in een geïsoleerde omgeving geopend voordat ze aan gebruikers worden getoond, waarbij eventuele ingebedde code wordt uitgevoerd en het gedrag ervan wordt geobserveerd. Kwaadaardige bijlagen die in de sandbox malware activeren, worden geblokkeerd voordat ze de inbox bereiken.

URL-herschrijving en 'time-of-click'-beveiliging passen links in verzonden e-mails zodanig aan dat ze bij het aanklikken via een beveiligingsdienst worden geleid. Als een link bij verzending veilig was maar daarna schadelijk wordt, wordt dit door de 'time-of-click'-beveiliging opgemerkt.

Door bepaalde bestandstypen te blokkeren, wordt de verzending van bestandstypen die vaak worden gebruikt voor het verspreiden van malware – zoals uitvoerbare bestanden, Office-documenten met macro’s en JavaScript-bestanden – voorkomen, voor zover deze typen geen legitieme zakelijke toepassing hebben binnen de omgeving.

Bescherming tegen account-overname

Zodra een aanvaller over e-mailgegevens beschikt – of dat nu via phishing, credential stuffing of een datalek is – gedraagt hij zich als een legitieme gebruiker. Technische e-mailfiltering houdt e-mails die vanaf een legitiem, geauthenticeerd account worden verzonden, niet tegen.

Om accounts te beschermen tegen overname is een combinatie van verschillende beveiligingsmaatregelen nodig.

MFA op alle e-mailaccounts zorgt ervoor dat het stelen van inloggegevens alleen niet voldoende is om toegang te krijgen. MFA is de belangrijkste beveiligingsmaatregel en de meest effectieve stap die de meeste organisaties kunnen nemen.

De detectie van afwijkende aanmeldingen signaleert toegang vanaf ongebruikelijke locaties, via ongebruikelijke apparaten of op ongebruikelijke tijdstippen, waarna er waarschuwingen worden gegeven of een extra verificatiestap wordt gevraagd.

Het monitoren van inboxregels legt een van de meest voorkomende gedragingen na een inbreuk bloot: aanvallers die toegang krijgen tot e-mailaccounts, maken vaak inboxregels aan om kopieën door te sturen naar een extern adres of om inkomende beveiligingsmeldingen te verwijderen. Het monitoren op het onverwacht aanmaken van inboxregels is een vroege indicator van een inbreuk.

Door het dark web te monitoren worden inloggegevens opgespoord die zijn opgedoken in gelekte gegevensbestanden van externe diensten, waardoor wachtwoorden onmiddellijk worden gewijzigd voordat aanvallen met inloggegevens-spamming succes kunnen boeken. INKY relaties tussen afzenders en communicatiepatronen om pogingen tot account-overname aan het licht te brengen; monitoring van het dark web op gecompromitteerde inloggegevens is beschikbaar via het uitgebreide beveiligingspakket voor gebruikers Kaseya 365 .

Beveiliging van uitgaande e-mail

Beveiliging van uitgaande e-mail beschermt zowel de gegevens van de organisatie als haar reputatie als afzender.

DLP (Data Loss Prevention) scant uitgaande e-mails op inhoud die de organisatie niet mag verlaten: gevoelige gegevens zoals creditcardnummers, patiëntgegevens of vertrouwelijke documenten.

Versleuteling van uitgaande vertrouwelijke e-mails zorgt ervoor dat inhoud die tijdens het verzenden bescherming behoeft, ook daadwerkelijk wordt beschermd.

Bij het beheer van de verzendreputatie worden de bouncepercentages, spamklachten en de status op zwarte lijsten van verzendende domeinen in de gaten gehouden. Een gehackt account dat uw domein gebruikt om spam te versturen, kan de afleverbaarheid van uw e-mailinfrastructuur aantasten, wat gevolgen heeft voor legitieme zakelijke communicatie.

E-mailbeveiliging voor MSP's

Voor MSP’s die e-mailomgevingen voor klanten beheren, gelden enkele extra aandachtspunten.

De implementatie van DMARC binnen het klantenbestand is een zeer waardevolle, schaalbare dienst. Veel klanten hebben SPF en DKIM al geïmplementeerd, maar DMARC ontbreekt nog, of DMARC is geconfigureerd in de bewakingsmodus zonder handhaving. Door klanten over te laten stappen op volledige DMARC-handhaving wordt hun kwetsbaarheid voor domeinmisbruik aanzienlijk verminderd en wordt een meetbare, rapporteerbare verbetering van de beveiliging gerealiseerd.

Gecentraliseerd multi-tenantbeheer voor alle klanten zorgt zowel voor operationele efficiëntie als voor de gegevens die nodig zijn voor de rapportage aan klanten. Via het multi-tenantdashboard INKYkunnen beheerders vanuit één interface het gedrag van banners aanpassen, detectiebeleid verfijnen en de beveiliging van alle mailboxen van klanten beheren. Uit de casestudygegevens van het bedrijf blijkt dat het 1.000 mailboxen beheert met minder dan een uur werk per maand.

Door gebruikers gemelde phishing-workflows die door gebruikers gemelde verdachte e-mails doorsturen voor beoordeling, de communicatie met de melder afronden en de verkregen informatie weer terugkoppelen naar detectieregels. De ingebouwde onderzoekstools en automatisering INKYondersteunen deze workflow, waardoor de handmatige administratieve rompslomp die door gebruikers gemelde phishing doorgaans met zich meebrengt, wordt verminderd.

Ontdek INKY Kaseya 365 voor e-mailbeveiliging voor MSP’s.

Meer dan alleen e-mail: wanneer de inbox slechts het startpunt is

E-mailbeveiligingstools zijn bedoeld om bedreigingen al in de inbox tegen te houden. De meest schadelijke aanvallen gebruiken e-mail echter als eerste toegangspunt en verspreiden zich vervolgens lateraal door systemen, waarbij ze hun rechten uitbreiden en gegevens buitensluiten op manieren die met controles op inboxniveau niet kunnen worden gedetecteerd of tegengehouden.

Kaseya SIEM biedt meer inzicht dan alleen de inbox: het combineert e-mailgegevens met signalen van eindpunten, netwerken, de cloud en identiteiten, en legt verbanden tussen meer dan 60 gegevensbronnen om de volledige aanvalsketen te detecteren: van de eerste phishing-e-mail tot het stelen van inloggegevens, laterale bewegingen en het wegsluizen van gegevens. Dankzij geautomatiseerde reacties worden bedreigingen binnen enkele minuten ingeperkt, waarbij er over verschillende systemen heen wordt opgetreden in plaats van slechts één bericht in quarantaine te plaatsen.

Voor organisaties waar e-mail het belangrijkste aanvalsvlak vormt, biedt de combinatie van INKY de inbox en Kaseya SIEM in de bredere omgeving een gelaagde bescherming die geen van beide oplossingen afzonderlijk kan bieden.