Sichere Mail-Kommunikation: Microsoft blockiert E-Mails von vulnerablen Exchange Servern

Microsoft wird in Kürze damit beginnen, die Zustellung von E-Mails von veralteten Exchange Servern zur Microsoft 365 Cloud zu drosseln und etwas später zu blockieren. Aber was bedeutet das genau und warum ist das wichtig?

In diesem Blogartikel werden wir uns mit den Hintergründen der Änderungen von Microsoft genauer befassen und die Auswirkungen auf diejenigen erläutern, die immer noch veraltete Exchange Server z. B. als Mail-Relay in einer Hybrid-Umgebung verwenden.

Wie wir wissen, sind Cyberangriffe auf Unternehmen und Organisationen in den letzten Jahren stark gestiegen. Eine der am häufigsten genutzten Methoden für Angriffe auf Unternehmen ist die Verwendung von Malware oder Phishing, die über E-Mails verbreitet wird. Microsoft betreibt mit dem Microsoft Defender einer der größten Antispam und Anti-Phishing-Systeme weltweit. Ein sehr hoher Anteil der unerwünschten Nachrichten, kommt von Exchange Servern, die ungepatcht sind und kompromittiert wurden. Daher beginnt Microsoft, diese zu blocken, um den E-Mail-Verkehr für alle Benutzer weltweit sicherer zu gestalten.

Viele Unternehmen haben in den letzten Jahren Ihre Postfächer zu Exchange Online in die Cloud umgezogen. Zur Anbindung lokaler Systeme wie z. B. Ticket-Systeme, EAP-Systeme, Drucker, Kopierer, usw. wird oft ein Exchange On-Premise Server als Relay-System verwendet.

Anhand der Logs Ihres Exchange Hybrid-Servers können Sie sehen, ob noch Mails über Ihren Hybrid Server zu Exchange Online versendet werden und wie viele dies in den letzten Wochen waren.

Die Build-Nummer Ihres Exchange (Hybrid)-Servers können Sie mit folgendem PowerShell Befehl herausfinden:

Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion

Eine Übersicht der Build-Nummern finden Sie hier: Exchange Server build numbers and release dates | Microsoft Learn

Alle Exchange Server bis einschließlich Exchange 2013 erhalten keine Sicherheitsupdates mehr und werden daher früher oder später von Exchange Online geblockt werden. Es ist zu beachten, das Microsoft nur Sicherheitsupdates für die letzten 3 CU-Updates bereitstellt, d. H. im Falle von Exchange 2016 gelten Server die einen älteren Patchstand wie CU21 haben als „unsicher“, da CU23 die aktuelle Version von Exchange 2016 ist.

Das System wird zunächst auf Exchange Server 2007 mit einer Hybrid-Konfiguration mit Exchange Online angewendet. In Zukunft wird Microsoft das System auf alle Exchange Server Versionen ausdehnen, die nicht die aktuellen Sicherheitsupdates installiert haben. Das bedeutet, dass auch ein Exchange Hybrid Server 2022 ohne aktuelle Sicherheitsupdates wird früher oder später keine E-Mails mehr zu Exchange Online in einer Hybrid-Stellung zustellen kann.

(Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/throttling-and-blocking-email-from-persistently-vulnerable/ba-p/3762078)

Der genaue Zeitplan wurde noch nicht bekannt gegeben.

Update vom 22. Mai 2023: Exchange 2016 und Exchange 2019 ohne aktuelle Updates werden ab Mai 2024 geblockt. (Update on Transport Enforcement System in Exchange Online - Microsoft Community Hub)

Möglicherweise ja, denn Microsoft hat bereits angekündigt, alle E-Mails von ungepatchten Exchange-Servern von Exchange Online abzulehnen – egal ob diese von einem Hybrid-System über einen Hybrid-Connector zu Exchange-Online zugestellt werden oder über das Internet zu Exchange Online zugestellt werden.

Der genaue Zeitplan wurde auch hier noch nicht bekannt gegeben.

Der beste und nachhaltigste Weg ist, den Mailflow so umzubauen, dass keine E-Mails mehr über den Exchange-Hybrid-Server laufen. Dies hat für Sie auch weitere Vorteile, z. B. das bei einem Ausfall des Exchange Hybrid-Systems der Mailfluss in die Cloud weiterhin garantiert ist.

Alternativ – und auch unabhängig davon, ob Ihre eingesetzte Exchange Hybrid Version geblockt wird oder nicht – ist ein zeitnahes Einspielen aller Exchange Sicherheitsupdates auch auf Hybrid-Systemen sinnvoll und notwendig.