Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden


    Tags: , , ,

    Logo für ExchangeMicrosoft kündigte an, dass Exchange Online in Zukunft keine Nachrichten von einem unsicheren on-prem Exchange mehr annehmen werde. Der Hersteller beginnt seine Maß­nahmen mit einer Reporting-Phase und geht dann dazu über, Mails ver­zögert anzunehmen, bevor sie schließlich nach 90 Tagen voll­ständig abge­wiesen werden.

    Exchange-Server sind zunehmend erfolgreichen Angriffen ausgesetzt, obwohl wie im Fall der Hafnium-Hacker bereits Patches für die betreffenden Schwach­stellen existieren. Microsoft bemängelt daher immer wieder, dass viele Unternehmen ihre Exchange-Server nicht auf dem aktuellen Stand halten oder gar Versionen nutzen, die keinen Support mehr bekommen.

    Davon gehe nicht nur eine Gefahr für die jeweiligen Anwender selbst aus, sondern auch für die Empfänger von Nachrichten, die aus solch unsicheren Quellen stammen.

    Der Hersteller kündigte deshalb an, dass er Exchange Online nutzen werde, um Anwender zum Update unsicherer Exchange-Installationen zu zwingen oder sie zu veranlassen, veraltete Versionen ganz aus dem Verkehr zu ziehen.

    Bericht zu unsicherem Exchange

    Microsoft verweist Admins auf den Exchange Server Health Checker, der einen HTML-Statusbericht generiert und aus dem hervorgeht, ob Patches auf einem Server fehlen oder die diese Version nicht mehr unterstützt wird.

    Ergänzend dazu stellte Microsoft einen neuen Report im Admin Center von Exchange Online (EAC) vor, mit dem Admins Informationen zu unsicheren Exchange-Installationen in ihrer eigenen Umgebung erhalten. Den Update-Status des sendenden Servers entnimmt Microsoft aus der Build-Nummer im SMTP-Header.

    Ein neuer Report in EAC  zeigt Informationen zu unsicheren on-prem-Servern sowie die dagegen ergriffenen Maßnahmen.

    Verzögerte Annahme von Mails

    Die Zurückweisung von Nachrichten, die von einem unsicheren Exchange stammen, beginnt laut Ankündigung 30 Tage nach dem Auftauchen eines Servers im Report und erfolgt in mehreren Schritten.

    Zuerst verzögert Exchange Online die Annahme von Nachrichten, indem es einen SMTP 450-Fehler erzeugt und den Sender veranlasst, die Mail in fünf Minuten erneut zu senden ("Throttling").

    Microsoft erhöht dieses Intervall alle 10 Tage, wenn die Betreiber des Servers diesen in der Zwischenzeit nicht auf einen aktuellen Stand bringen. Nach 40 Tagen erreicht das Throttling sein Maximum mit 30 Minuten pro Stunde.

    Fahrplan zur Blockierung von Nachrichten, die von unsicheren Exchange-Servern stammen.

    Abweisung von Nachrichten

    Gleichzeitig beginnt Exchange Online dann damit, E-Mails von einem solchen Server mittels SMTP 550 zu blockieren. Zuerst erfolgt dies nur 5 Minuten pro Stunde bis schließlich keine Nachrichten mehr angenommen werden.

    Jeder M365-Tenant kann das Verzögern und Blockieren von Nachrichten für insgesamt 90 Tage im Jahr aussetzen, wobei dies nicht am Stück sein muss. Damit kann man der eigenen Systemverwaltung oder Geschäftspartnern die Gelegenheit geben, ihre Mail-Server in Ordnung zu bringen.

    Start mit Exchange 2007

    Einen schrittweisen Ansatz verfolgt Microsoft auch bei der Wahl der Exchange-Versionen, die von den angekündigten Maßnahmen betroffen sind.

    Anfangs beschränkt sich das Verzögern und Blockieren eingehender Mails auf Exchange 2007, und zwar nur, wenn die Server über einen Konnektor zur Mail-Weiterleitung mit Microsoft 365 verbunden sind.

    Der Hersteller unterstreicht aber, dass die Maßnahmen ab einem gewissen Zeitpunkt für alle Versionen von Exchange gelten werden, unabhängig davon, wie sie Nachrichten an Exchange Online senden.

    Nachdem Exchange 2013 ab April dieses Jahres keinen Support mehr erhält und noch zahlreiche Unternehmen diese Version einsetzen, bleibt abzuwarten, wie lange Microsoft sie verschonen wird.

    Natürlich kann man zurecht fragen, warum nur unsichere Exchange-Server von diesen Einschränkungen betroffen sind. Microsoft argumentiert damit, dass sich dort die Version und der Patch-Status am genausten feststellen ließen. Der Hersteller schloss aber nicht aus, dass er beizeiten auch andere veraltete Mail-Systeme einbeziehen werde.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Aha, Damit kickt sich Exchange also aus der Liste der Mailserver die man noch einsetzen will. Wenn ich einen Mailserver per default schon so faulty ausliefere dass ich nach 10 Jahren noch Fehlerkorrekturen benötige dann ist doch etwas Faul im Staate Dänemark.

    Hallo,
    kann mir wer sagen was genau aus dem SMTP-Header genommen wird?

    Received from: .... id 15.x.x.x
    Oder gibt es da noch was extra?

    Danke
    Bruno