En medarbejder sender ved en fejl et regneark med kundernes CPR-numre til en ekstern leverandør. Panikken rammer, og de trykker febrilsk på “tilbagekald besked” i Outlook, men skaden er allerede sket. I denne guide får I en konkret plan for jeres Microsoft 365 mailsikkerhed, så I stopper menneskelige fejl, før de bliver til dyre brud på GDPR og NIS2. I lærer at opsætte forsinket afsendelse og aktivere Purview DLP, uden at det lammer medarbejdernes daglige arbejde.

• Afliv myten om tilbagekaldelse: Funktionen virker sjældent eksternt. Brug forsinket afsendelse (1-3 minutter) som jeres reelle fortrydelsesknap.
• Udnyt jeres licens: Har I Microsoft 365 Business Premium, betaler I allerede for Purview DLP. Slå det til.
• Start blødt ud: Kør DLP i “Audit mode” i 30-60 dage for at overvåge datalæk uden at blokere legitime mails.
• Dokumentér jeres sikkerhed: Brug DLP-logs som teknisk bevis over for ledelsen og myndigheder i forbindelse med NIS2.

Hvorfor tilbagekaldelse af mail i Outlook giver falsk tryghed

Mange IT-ansvarlige og medarbejdere tror, at de altid kan trække en forkert mail tilbage. Det er en farlig antagelse. Outlooks funktion til tilbagekaldelse af mail virker kun pålideligt, hvis både afsender og modtager sidder i samme Exchange-organisation.

Sender I en mail til en ekstern modtager med Gmail, eller en partner på en anden tenant, fejler tilbagekald mail næsten altid. Hvis modtageren allerede har læst beskeden, eller en mail-regel har flyttet den til en undermappe, er løbet kørt. I stedet for at stole på en funktion, der giver falsk tryghed, skal I bygge jeres IT-sikkerhed op omkring forebyggelse.

Sådan redder forsinket afsendelse jer fra dyre fejl

Den mest effektive kur mod den forhastede mail er forsinket afsendelse i Outlook. Det er et lavpraktisk hack, der redder flere datalæk end komplekse it-systemer. Når en medarbejder trykker send, bliver mailen liggende i udbakken i for eksempel to minutter, før den reelt forlader systemet.

Før: Medarbejderen opdager fejlen i sekundet efter afsendelse, men kan intet gøre. Skaden skal nu rapporteres som et brud på persondatasikkerheden.

Efter: Medarbejderen opdager fejlen, går i udbakken, sletter mailen og retter modtageren. Ingen skade sket, og ingen rapportering krævet.

Bemærk, at forsinket afsendelse er en klient-indstilling. Den skal opsættes lokalt i Outlook for hver bruger og kan ikke gennemtvinges centralt via Exchange Online mail flow regler. Gør det til en fast del af jeres onboarding.

Tjekliste: DLP opsætning i Microsoft 365 for SMV’er

For at undgå Office 365 datatab skal I aktivere Data Loss Prevention (DLP). Med Microsoft 365 Business Premium har I adgang til Purview DLP. Her er jeres køreplan til at fange CPR-numre og fortrolige data, uden at I blokerer forretningen.

1. Kortlæg jeres data: Beslut præcis hvilke data der er kritiske. Start med danske CPR-numre og betalingskortoplysninger.
2. Aktivér Audit Mode (Dag 1-30): Sæt jeres Purview DLP SMV-politik til kun at overvåge og logge. Dette lader jer se, hvor ofte reglerne rammer, uden at I forstyrrer brugerne.
3. Aktivér Policy Tips (Dag 30-60): Slå advarsler til. Hvis en bruger forsøger at sende et CPR-nummer, får de en advarsel direkte i Outlook (nu også på mobilen), før mailen sendes.
4. Håndhæv blokering (Dag 60+): Skift til “Enforce mode”. Nu blokeres mails med fortroligt indhold automatisk, medmindre brugeren har en forretningskritisk grund til at overskrive reglen.
5. Opsæt File Quarantine: Brug den nye 2026-funktion til at flytte usikre vedhæftninger til en sikker karantæne i stedet for blot at slette dem.

Sikker mail i Microsoft 365 med AIP kryptering

Når I har brug for at sende fortrolige data ud af huset, er AIP kryptering mail (Azure Information Protection) det sikre alternativ. Ved at bruge Sensitivity Labels kan I klassificere en mail som “Fortrolig”.

Dette sikrer, at mailen krypteres i transit. Selv hvis den lander i den forkerte indbakke, kræver det modtagerens specifikke login at åbne den. Det fjerner risikoen for, at uvedkommende læser med.

Før: Følsomme dokumenter sendes ukrypteret. Et forkert bogstav i mailadressen resulterer i et massivt datalæk.

Efter: Mails krypteres automatisk baseret på indhold (fx via DLP-regler). Kun den tiltænkte modtager kan dekryptere og læse indholdet.

NIS2 og compliance: Brug DLP-logs som jeres tekniske bevis

Med de strammere krav fra NIS2 og GDPR skal I kunne bevise, at I har kontrol over jeres data. Det er ikke nok at sige, at I passer på. I skal dokumentere det.

Her bliver DLP-logs i Microsoft 365 jeres bedste ven. Logfilerne udgør det tekniske bevis for, at I overvåger udgående kommunikation og aktivt forhindrer datalæk. Hvis I vælger at outsource jeres IT-drift, bør I kræve, at jeres IT-partner overvåger disse DLP-alarmer og audit logs dagligt.

FAQ om Microsoft 365 mailsikkerhed

Hvorfor virker tilbagekald mail ikke mod Gmail?

Outlooks tilbagekaldelse fungerer kun internt på samme Exchange-server. Eksterne mailudbydere som Google ignorerer anmodningen om at slette en allerede leveret besked.

Kan vi gennemtvinge forsinket afsendelse i Outlook for alle?

Nej, forsinket afsendelse er en lokal klient-indstilling. Den skal opsættes manuelt i Outlook for hver enkelt medarbejder. Det kan ikke klares centralt via Exchange Online mail flow regler.

Hvilken licens kræver Purview DLP?

Som SMV bør I bruge Microsoft 365 Business Premium. Den indeholder de nødvendige Purview DLP- og Defender-funktioner til at sikre jeres mails og data.

Hvordan undgår vi, at DLP blokerer medarbejdernes arbejde?

Start altid jeres DLP opsætning i Microsoft 365 i “Audit mode” i 30-60 dage. Det lader jer justere reglerne og fjerne falske positiver, før I begynder at blokere mails.

Dækker DLP også mails sendt fra mobilen?

Ja. Med de seneste opdateringer har Outlook Mobile nu fuld understøttelse af DLP policy tips. Brugere advares om potentielle datalæk direkte på deres smartphone før afsendelse.

Hvordan beskytter vi os bedst mod Office 365 datatab?

Kombinér forsinket afsendelse, Purview DLP til at fange CPR-numre, og AIP kryptering til fortrolig kommunikation. Sørg desuden for at bruge phishing-resistent MFA.

Sådan lukker I hullerne i jeres mail-flow i dag

At sikre jeres udgående mails kræver ikke nødvendigvis dyre tredjepartsprodukter. I har sandsynligvis allerede værktøjerne i jeres nuværende Microsoft 365 licens. Følg disse tre skridt for at lukke hullerne i dag:

1. Bed alle medarbejdere om at opsætte 2 minutters forsinket afsendelse i deres lokale Outlook-klient.
2. Aktivér Purview DLP i “Audit mode” for at kortlægge, hvor ofte fortrolige data sendes ukrypteret ud af huset.
3. Opsæt Sensitivity Labels, så medarbejderne nemt kan kryptere mails med et enkelt klik, når de deler følsomme oplysninger.