Tags: Exchange, Sicherheit, Patch-Management, E-Mail
Microsoft kündigte an, dass Exchange Online in Zukunft keine Nachrichten von einem unsicheren on-prem Exchange mehr annehmen werde. Der Hersteller beginnt seine Maßnahmen mit einer Reporting-Phase und geht dann dazu über, Mails verzögert anzunehmen, bevor sie schließlich nach 90 Tagen vollständig abgewiesen werden.
Exchange-Server sind zunehmend erfolgreichen Angriffen ausgesetzt, obwohl wie im Fall der Hafnium-Hacker bereits Patches für die betreffenden Schwachstellen existieren. Microsoft bemängelt daher immer wieder, dass viele Unternehmen ihre Exchange-Server nicht auf dem aktuellen Stand halten oder gar Versionen nutzen, die keinen Support mehr bekommen.
Davon gehe nicht nur eine Gefahr für die jeweiligen Anwender selbst aus, sondern auch für die Empfänger von Nachrichten, die aus solch unsicheren Quellen stammen.
Der Hersteller kündigte deshalb an, dass er Exchange Online nutzen werde, um Anwender zum Update unsicherer Exchange-Installationen zu zwingen oder sie zu veranlassen, veraltete Versionen ganz aus dem Verkehr zu ziehen.
Bericht zu unsicherem Exchange
Microsoft verweist Admins auf den Exchange Server Health Checker, der einen HTML-Statusbericht generiert und aus dem hervorgeht, ob Patches auf einem Server fehlen oder die diese Version nicht mehr unterstützt wird.
Ergänzend dazu stellte Microsoft einen neuen Report im Admin Center von Exchange Online (EAC) vor, mit dem Admins Informationen zu unsicheren Exchange-Installationen in ihrer eigenen Umgebung erhalten. Den Update-Status des sendenden Servers entnimmt Microsoft aus der Build-Nummer im SMTP-Header.
Verzögerte Annahme von Mails
Die Zurückweisung von Nachrichten, die von einem unsicheren Exchange stammen, beginnt laut Ankündigung 30 Tage nach dem Auftauchen eines Servers im Report und erfolgt in mehreren Schritten.
Zuerst verzögert Exchange Online die Annahme von Nachrichten, indem es einen SMTP 450-Fehler erzeugt und den Sender veranlasst, die Mail in fünf Minuten erneut zu senden ("Throttling").
Microsoft erhöht dieses Intervall alle 10 Tage, wenn die Betreiber des Servers diesen in der Zwischenzeit nicht auf einen aktuellen Stand bringen. Nach 40 Tagen erreicht das Throttling sein Maximum mit 30 Minuten pro Stunde.
Abweisung von Nachrichten
Gleichzeitig beginnt Exchange Online dann damit, E-Mails von einem solchen Server mittels SMTP 550 zu blockieren. Zuerst erfolgt dies nur 5 Minuten pro Stunde bis schließlich keine Nachrichten mehr angenommen werden.
Jeder M365-Tenant kann das Verzögern und Blockieren von Nachrichten für insgesamt 90 Tage im Jahr aussetzen, wobei dies nicht am Stück sein muss. Damit kann man der eigenen Systemverwaltung oder Geschäftspartnern die Gelegenheit geben, ihre Mail-Server in Ordnung zu bringen.
Start mit Exchange 2007
Einen schrittweisen Ansatz verfolgt Microsoft auch bei der Wahl der Exchange-Versionen, die von den angekündigten Maßnahmen betroffen sind.
Anfangs beschränkt sich das Verzögern und Blockieren eingehender Mails auf Exchange 2007, und zwar nur, wenn die Server über einen Konnektor zur Mail-Weiterleitung mit Microsoft 365 verbunden sind.
Der Hersteller unterstreicht aber, dass die Maßnahmen ab einem gewissen Zeitpunkt für alle Versionen von Exchange gelten werden, unabhängig davon, wie sie Nachrichten an Exchange Online senden.
Nachdem Exchange 2013 ab April dieses Jahres keinen Support mehr erhält und noch zahlreiche Unternehmen diese Version einsetzen, bleibt abzuwarten, wie lange Microsoft sie verschonen wird.
Natürlich kann man zurecht fragen, warum nur unsichere Exchange-Server von diesen Einschränkungen betroffen sind. Microsoft argumentiert damit, dass sich dort die Version und der Patch-Status am genausten feststellen ließen. Der Hersteller schloss aber nicht aus, dass er beizeiten auch andere veraltete Mail-Systeme einbeziehen werde.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft ersetzt fehlerhafte Exchange Security Updates (SUs) für August
- Microsoft unterstützt DANE und DNSSEC in Exchange Online
- Exchange erhält mit CU11 bzw. CU22 einen automatischen Notfall-Service (Emergency Mitigation Service )
- Microsoft veröffentlicht neue Security-Updates für Exchange
- Reparatur-Tool für Hafnium-Angriffe auf Exchange, sichere CUs für Exchange 2016/2019
Weitere Links
2 Kommentare
Aha, Damit kickt sich Exchange also aus der Liste der Mailserver die man noch einsetzen will. Wenn ich einen Mailserver per default schon so faulty ausliefere dass ich nach 10 Jahren noch Fehlerkorrekturen benötige dann ist doch etwas Faul im Staate Dänemark.
Hallo,
kann mir wer sagen was genau aus dem SMTP-Header genommen wird?
Received from: .... id 15.x.x.x
Oder gibt es da noch was extra?
Danke
Bruno