Microsoft blockiert verstärkt E-Mails von unsicheren Exchange Servern

Microsoft hat in den letzten Wochen damit begonnen, die Zustellung von E-Mails von veralteten Exchange Servern zur Microsoft 365 Cloud zu blockieren, um die Sicherheit der E-Mail-Kommunikation zu gewährleisten. Dies betrifft insbesondere Exchange-Server ohne aktuelle Updates. Ab Juli 2024 wird diese Maßnahme weiter verschärft und betrifft dann auch Versionen wie Exchange 2016 und Exchange 2019, sofern sie nicht auf dem neuesten Stand sind.

Was bedeutet das genau und warum ist das wichtig? In diesem Blogartikel werden wir uns mit den Hintergründen der Änderungen von Microsoft genauer befassen und die Auswirkungen auf diejenigen erläutern, die immer noch veraltete Exchange Server z. B. als Mail-Relay in einer Hybrid-Umgebung verwenden.

Cyberangriffe nehmen weltweit zu, und E-Mail bleibt ein häufig genutzter Weg für Angriffe durch Malware und Phishing. Microsoft setzt daher verstärkt auf Sicherheitsmaßnahmen, um die Benutzer von Microsoft 365 und Exchange Online zu schützen. Viele kompromittierte E-Mails stammen von ungepatchten und veralteten Exchange-Servern. Um diese Bedrohung zu minimieren, blockiert Microsoft nun E-Mails von solchen Servern.

In der ersten Woche nach Einführung der neuen Maßnahmen haben wir zahlreiche Anfragen von Kunden erhalten, deren E-Mail-Verkehr aufgrund fehlender Sicherheitsupdates blockiert wurde. Aktuell werden etwa 8% der E-Mails blockiert, doch dieser Wert wird in den kommenden 40 Tagen auf 100% steigen, sollten die betroffenen Systeme nicht aktualisiert werden.

Die folgende Tabelle zeigt die achtstufige Durchsetzung zur Blockierung von E-Mails, die von unsicheren Exchange-Servern an Exchange Online gesendet werden. Die Maßnahmen reichen von anfänglichen Berichten über die Entdeckung eines unsicheren Servers bis hin zur vollständigen Blockierung des E-Mail-Verkehrs, wenn keine Updates installiert werden.

Diese stufenweise Durchsetzung soll Administratoren auf unsichere Server aufmerksam machen und ihnen Zeit geben, notwendige Updates zu installieren oder die Server außer Betrieb zu nehmen. Der Prozess beginnt mit Berichten und einer schrittweisen Drosselung des E-Mail-Verkehrs, gefolgt von zunehmender Blockierung, bis schließlich der gesamte Verkehr von nicht konformen Servern blockiert wird.

Quelle: Throttling and Blocking Email from Persistently Vulnerable Exchange Servers to Exchange Online - Microsoft Community Hub

Die Blockierung betrifft Exchange Server, die über einen Hybrid-Connector mit Exchange Online verbunden sind und nicht die aktuellen Sicherheitsupdates installiert haben. Ab Juli 2024 werden Exchange 2016 und Exchange 2019 ohne aktuelle Updates ebenfalls vollständig blockiert.

Viele Unternehmen haben in den letzten Jahren Ihre Postfächer zu Exchange Online in die Cloud umgezogen. Zur Anbindung lokaler Systeme wie z. B. Ticket-Systeme, EAP-Systeme, Drucker, Kopierer, usw. wird oft ein Exchange OnPremise Server als Relay-System verwendet. Anhand der Logs Ihres Exchange Hybrid-Servers können Sie sehen, ob noch Mails über Ihren Hybrid Server zu Exchange Online versendet werden und wie viele dies in den letzten Wochen waren.

- Alternativ gibt es in Exchange Online folgenden Report, der die betroffenen Exchange Server anzeigt: Exchange admin center (microsoft.com)

- Die Build-Nummer Ihres Exchange (Hybrid)-Servers können Sie mit folgendem Powershell Befehl herausfinden:
Get-Command Exsetup.exe | ForEach {$_.FileVersionInfo}

- Eine Übersicht der Build-Nummern finden Sie hier: Exchange Server build numbers and release dates | Microsoft Learn

- Alle Exchange Server bis einschließlich Exchange 2013 erhalten keine Sicherheitsupdates mehr und werden daher früher oder später von Exchange Online geblockt werden.

- Es ist zu beachten, das Microsoft nur Sicherheitsupdates für die letzten 3 Cumulative Updates (CU) bereitstellt. d. H. im Falle von Exchange 2016 gelten Server, die einen älteren Patchstand als CU23 haben als „unsicher“. In Exchange 2019 werden nur CU 13 + 14 als sicher eingestuft.

Weitergehende Informationen zu den unterstützten Exchange Versionsständen finden Sie hier: Exchange Server supportability matrix | Microsoft Learn

Möglicherweise ja, denn Microsoft hat bereits angekündigt, alle E-Mails von ungepatchten Exchange-Servern von Exchange Online abzulehnen – egal ob diese von einem Hybrid-System über einen Hybrid-Connector zu Exchange-Online zugestellt werden oder über das Internet zu Exchange Online zugestellt werden.

• Regelmäßige Updates: Stellen Sie sicher, dass Ihre Exchange-Server regelmäßig mit den neuesten Sicherheitsupdates versorgt werden. Insbesondere sollten Exchange 2016 Server mindestens CU23 und Exchange 2019 Server mindestens CU123 installiert haben.
• Verwendung von Health Checker: Nutzen Sie den Exchange Server Health Checker, um den aktuellen Status Ihrer Server zu überprüfen und sicherzustellen, dass keine Sicherheitsupdates fehlen.
• Umstellung des Mailflows: Erwägen Sie eine Umstellung des Mailflows Ihrer lokalen Systeme direkt auf Exchange online, um E-Mails nicht mehr über veraltete Exchange-Hybrid-Server zu leiten.

Der beste und nachhaltigste Weg ist, den Mailflow so umzubauen, dass keine E-Mails mehr über den Exchange-Hybrid-Server laufen. Dies hat für Sie auch weitere Vorteile, z. B. das bei einem Ausfall des Exchange Hybrid-Systems der Mailfluss in die Cloud weiterhin garantiert ist.

Alternativ – und auch unabhängig davon, ob Ihre eingesetzte Exchange Hybrid Version geblockt wird oder nicht – ist ein zeitnahes Einspielen aller Exchange Sicherheitsupdates auch auf Hybrid-Systemen sinnvoll und notwendig.