Microsoft kündigte an, dass Exchange Online in Zukunft keine Nachrichten von einem unsicheren on-prem Exchange mehr annehmen werde. Der Hersteller beginnt seine Maßnahmen mit einer Reporting-Phase und geht dann dazu über, Mails verzögert anzunehmen, bevor sie schließlich nach 90 Tagen vollständig abgewiesen werden.
Outlook für Windows leidet unter einer Schwachstelle (CVE-2023-23397), die Angreifern ohne Zutun eines Benutzers den Diebstahl der NTLM-Credentials erlaubt. Microsoft bietet dafür einen Patch an und empfiehlt vorbeugende Maßnahmen. Darüber hinaus veröffentlichte der Hersteller die Security-Updates für Exchange Server.
Bei der Verwaltung von Exchange fallen regelmäßig Aufgaben an, für welche die grafische Konsole zu umständlich ist und für die sich eine Automatisierung mit PowerShell lohnt. Eine Herausforderung dabei ist die schiere Anzahl der Cmdlets. Das kostenlose Cheat Sheet von ScriptRunner hilft Admins, den Überblick zu behalten.
In verschiedenen Szenarien ist es in Exchange sowohl on-prem als auch online notwendig, Postfächer in einer PST-Datei zu speichern. Dafür gibt es zwar diverse Tools von Drittanbietern sowie Backup-Software, die sich für diese Situationen ebenfalls eignen. Für eine gelegentliche Anwendung lohnen sich die Kosten dafür jedoch nicht.
Wenn Unternehmen Virenscanner auf einem Exchange-Server betreiben, dann empfiehlt Microsoft, einige Verzeichnisse und Prozesse vom Scan auszunehmen. Der Hersteller nimmt nun je zwei Ordner und Prozesse von dieser Liste, um Bedrohungen durch Webshells zu reduzieren. Dies soll zu keinen Einbußen bei der Performance führen.
Schon bisher war es möglich, mit Outlook für Windows gesendete Nachrichten zu widerrufen. Die Erfolgsrate war jedoch eher gering. Nun hat Microsoft eine entsprechende Funktion in Exchange Online eingebaut und verspricht einen deutlich höheren Wirkungsgrad. Dennoch existieren nach wie vor einige Einschränkungen.
Wenn ein Administrator bisher versuchte, einem Benutzer im Azure AD mehrere M365-Lizenzen aus verschiedenen Plänen zuzuweisen und diese auch Exchange Online umfassten, dann scheiterte dies mit einer Fehlermeldung. Microsoft erlaubt nun eine parallele Nutzung mehrerer Lizenzpläne und aktiviert automatisch den am besten geeigneten.
Bereits vor mehr als zwei Jahren endete die Unterstützung von Exchange Online für TLS 1.0 und 1.1. Diese älteren Versionen des Verschlüsselungsstandards gelten heute als unsicher. Nun will Microsoft diese Versionen auch nicht mehr für POP3- und IMAP4-Clients bereitstellen. Bis April läuft noch eine Übergangsfrist mit einer Opt-in-Lösung.
Windows Extended Protection erhöht die Sicherheit der Windows-Authentifizierung. Die schon länger verfügbare Erweiterung erschwert Credential Relay oder "Man in the Middle"-Angriffe auf die IIS und somit auf Exchange Server. Es verwendet dazu Channel- und Service-Binding, um zu überprüfen, ob eine Anmeldesitzung für eine bestimmte Ressource bestimmt ist.
Microsoft deaktiviert im nächsten Jahr zwei Technologien in Exchange Online. Dazu gehört die Basic Authentication für mehrere Protokolle, für die es bis dato noch eine Gnadenfrist gab. Hinzu kommt Remote PowerShell, das einer HTTPS-basierten Kommunikation mit einem REST-API weichen soll. Diese ist im Exchange-Modul v3 bereits umgesetzt.
Microsoft kündigte an, das nächste Cumulative Update für Exchange 2019 nicht wie vorgesehen im zweiten Halbjahr 2022, sondern erst in der ersten Hälfte 2023 auszuliefern. Die Versionen 2013 und 2016 erhalten keine CUs mehr. Darüber hinaus deaktiviert der Hersteller Basic Authentication für ein weiteres Protokoll.