Alte oder ungepatche Exchange-Server können künftig keine Mails an Microsoft 365 senden

Davon gehe nicht nur eine Gefahr für die jeweiligen Anwender selbst aus, sondern auch für die Empfänger von Nachrichten, die aus solch unsicheren Quellen stammen.

Der Hersteller kündigte deshalb an, dass er Exchange Online nutzen werde, um Anwender zum Update unsicherer Exchange-Installationen zu zwingen oder sie zu veranlassen, veraltete Versionen ganz aus dem Verkehr zu ziehen.

Bericht zu unsicherem Exchange

Microsoft verweist Admins auf den Exchange Server Health Checker, der einen HTML-Statusbericht generiert und aus dem hervorgeht, ob Patches auf einem Server fehlen oder die diese Version nicht mehr unterstützt wird.

Ergänzend dazu stellte Microsoft einen neuen Report im Admin Center von Exchange Online (EAC) vor, mit dem Admins Informationen zu unsicheren Exchange-Installationen in ihrer eigenen Umgebung erhalten. Den Update-Status des sendenden Servers entnimmt Microsoft aus der Build-Nummer im SMTP-Header.

Verzögerte Annahme von Mails

Die Zurückweisung von Nachrichten, die von einem unsicheren Exchange stammen, beginnt laut Ankündigung 30 Tage nach dem Auftauchen eines Servers im Report und erfolgt in mehreren Schritten.

Zuerst verzögert Exchange Online die Annahme von Nachrichten, indem es einen SMTP 450-Fehler erzeugt und den Sender veranlasst, die Mail in fünf Minuten erneut zu senden ("Throttling").

Microsoft erhöht dieses Intervall alle 10 Tage, wenn die Betreiber des Servers diesen in der Zwischenzeit nicht auf einen aktuellen Stand bringen. Nach 40 Tagen erreicht das Throttling sein Maximum mit 30 Minuten pro Stunde.

Abweisung von Nachrichten

Gleichzeitig beginnt Exchange Online dann damit, E-Mails von einem solchen Server mittels SMTP 550 zu blockieren. Zuerst erfolgt dies nur 5 Minuten pro Stunde bis schließlich keine Nachrichten mehr angenommen werden.

Jeder M365-Tenant kann das Verzögern und Blockieren von Nachrichten für insgesamt 90 Tage im Jahr aussetzen, wobei dies nicht am Stück sein muss. Damit kann man der eigenen Systemverwaltung oder Geschäftspartnern die Gelegenheit geben, ihre Mail-Server in Ordnung zu bringen.

Start mit Exchange 2007

Einen schrittweisen Ansatz verfolgt Microsoft auch bei der Wahl der Exchange-Versionen, die von den angekündigten Maßnahmen betroffen sind.

Anfangs beschränkt sich das Verzögern und Blockieren eingehender Mails auf Exchange 2007, und zwar nur, wenn die Server über einen Konnektor zur Mail-Weiterleitung mit Microsoft 365 verbunden sind.

Der Hersteller unterstreicht aber, dass die Maßnahmen ab einem gewissen Zeitpunkt für alle Versionen von Exchange gelten werden, unabhängig davon, wie sie Nachrichten an Exchange Online senden.

Nachdem Exchange 2013 ab April dieses Jahres keinen Support mehr erhält und noch zahlreiche Unternehmen diese Version einsetzen, bleibt abzuwarten, wie lange Microsoft sie verschonen wird.

Natürlich kann man zurecht fragen, warum nur unsichere Exchange-Server von diesen Einschränkungen betroffen sind. Microsoft argumentiert damit, dass sich dort die Version und der Patch-Status am genausten feststellen ließen. Der Hersteller schloss aber nicht aus, dass er beizeiten auch andere veraltete Mail-Systeme einbeziehen werde.