[English]Microsoft hat zum 8. Mai 2023 erneut daran erinnert, dass man als Sicherheitsmaßnahme bei Exchange Online nun beginnt, die Zustellung Mails von (on-premises) Exchange-Servern zu verzögern, falls diese Systeme aus dem Support gefallen oder nicht gepatcht sind. Dies ist eine Sicherheitsmaßnahme, die durch Redmond bereits vor einiger Zeit angekündigt worden war und nun stufenweise umgesetzt wird.
Anzeige
Ein anonymer Blog-Leser hat in diesem Kommentar zum Blog-Beitrag Exchange Online: Erinnerung Remote PowerShell ist ab 15. Juli 2023 "deprecated" auf das Thema hingewiesen. Zum 8. Mai 2023 ist in der Techcommunity der Beitrag Throttling and Blocking Email from Persistently Vulnerable Exchange Servers to Exchange Online erschienen.
Im Bemühen Microsofts, die Sicherheit der eigenen Cloud zu verbessert, wird man sich mit dem Problem der E-Mails befassen, die von nicht mehr unterstützten (z.B. Exchange Server 2013) und nicht gepatchten Exchange-Servern an Exchange Online gesendet werden. Der Einsatz nicht unterstützter oder nicht gepatchter Software birgt viele Risiken – auch in Punkte Sicherheit.
Sobald eine Version von Exchange Server aus dem Support gefallen ist und nicht mehr unterstützt wird, erhält sie auch keine Sicherheitsupdates mehr. Schwachstellen, die nach Ablauf des Supports entdeckt werden, werden nicht mehr behoben. Ähnliche Risiken birgt der Einsatz von Software, die nicht für bekannte Sicherheitslücken gepatcht ist.
Microsoft hat die Erfahrung gemacht, dass veröffentlichte Sicherheitsupdates von böswilligen Akteure analysiert werden, um zu verstehen, wie die Sicherheitslücke auf ungepatchten Servern ausgenutzt werden kann. Dies kollidiert aber mit dem Zero-Trust-Sicherheitsmodell der MIcrosoft Cloud-Dienste. Dieses setzt voraus, dass die angeschlossenen Geräte und Server nachweislich gepatcht und verwaltet werden. Server, die nicht unterstützt werden oder nicht gepatcht sind, sind dauerhaft anfällig und können nicht als vertrauenswürdig eingestuft werden, so dass von ihnen gesendete E-Mail-Nachrichten nicht vertrauenswürdig sind. Dauerhaft anfällige Server erhöhen das Risiko von Sicherheitsverletzungen, Malware, Hackerangriffen, Datenexfiltration und anderen Angriffen erheblich.
Anzeige
Ende März 2023 hatte ich im Blog-Beitrag Exchange Online blockt Mails von On-Premises Exchange Servern mit Schwachstellen bereits auf die Pläne Microsofts hingewiesen, Sicherheitsrichtlinien für Exchange Online einzuführen und durchzusetzen, mit denen die Annahme von E-Mails von unsicheren On-Premises Exchange Servern (in hybriden Umgebungen) geblockt werden kann. Die betreffenden Administratoren erhalten eine Mitteilung, dass der On-Premises Exchange Server angreifbar sei. Wird binnen 90 Tagen nicht reagiert, verweigert Exchange Online die Annahme weiterer E-Mails. Damit sollen künftig vor allem aus dem Support gefallene Systeme mit On-Premises Exchange Server 2007, 2010 und ab April 2023 auch 2013 eliminiert werden.
Das von Microsoft propagierte, gestufte Vorgehen, bei der Administratoren unsicherer Exchange Server benachrichtigt werden und bei fehlender Reaktion die Zustellung von E-Mails verzögert und später blockiert werden soll, ist im Blog-Beitrag Exchange Online blockt Mails von On-Premises Exchange Servern mit Schwachstellen beschrieben. Die Details lassen sich auch im Techcommunity-Beitrag Throttling and Blocking Email from Persistently Vulnerable Exchange Servers to Exchange Online nachlesen.
Anzeige
Sehr gut!
Finde ich auch. Blockiere btw. die ganzen Microsoft ASN auf dem Mailserver. Nutzer sollten sich angewöhnen sichere Systeme zu nutzen, die auch RFCs einhalten.
@ Anonymous, sehr Gut! Wir blockieren auch sehr vieles und fahren bisher damit prima.
Blockiert oder verzögert MS auch die Zustellung von ungepachten nicht MS Mail Servern? Nein?
Dann ist klar das hier der Aspekt *Sicherheit* zwar in den Vordergrund gestellt wird, aber am Ende es darum geht die Firmen auf neue Exchange oder Cloud Versionen zu zwingen um Umsatz zu generieren. Denn ob die Mail sofort oder verzögert zugestellt wird ändert nichts an der Sicherheit.
Grundsätzlich ist es richtig das der Mailserver aktuell sein sollte, aber das grenzt ja an Erpressung.
Was ein Unfug. Oder du sprichst über deinen persönlichen Mailserver mit drei Mails täglich.
Es geht va. nicht um anfällige Server, die von Microsoft betrieben werden, sondern von nicht gepatchten Mailserver betrieben von unprofessionellen Admins.
Und mit deiner Blockade wirst du noch Schiffbruch erleiden. Zu viele setzen auf die MS Cloud.
Mal ganz ohne Ironie und Sarkasmus:
Hinter einem Inbound-Connector vom Typ onpremises stehen auch häufig Nicht-Exchange-Server wie Postfix, hMailServer oder Windows SMTP Daemon, die Emails an Exchange Online abgeben oder gar über ExO ins Internet relayen.
Habt Ihr keine Angst, dass MS diese Mailserver auch irgendwann blocken wird und man dann nur noch mit aktuellen gepatchten Exchange-Server über Exchange Online relayen darf?
wieso sollten sie? Dazu muss man weiter als bis zum Tellerand blicken!
Du musst nur das Wort Sicherheit auspacken und alles schreit Hurra. Ob es tatsächlich mehr Sicherheit bringt, spielt dann keine Rolle mehr.
Was wäre in diesem Szenario die negative Folge? Ich erkenne keine.
Die Frage ist doch, woran identifizieren sie den ungepachten oder alten Exchange. Die große Masse der Kunden (zumindest bei mir) nutzen zwar intern einen Exchange, aber die externe Kommunikation läuft dann über den Mailserver des Webproviders als Smarthost. Ich denke, das wird nur die betreffen, wo der OnPremExchange direkt per SMTP den ExO ansprechen will – und wer sowas macht, der wird auch einen aktuellen und gepachten Server(Cluster) betreiben.
Nö.
Die Exchange-Version (sogar die exakte Buildnummer, aus der lässt sich die Exchange-Version, CU und SU ermitteln) )packt Exchange in den Mailheader und der wird dann analysiert und bei Fund alter Versionen entsprechend gehandelt.
Das kann man aber aushebeln, indem man den Exchange so konfiguriert, das er bzgl. seiner Version die Klappe hält.
Und die Sender, die Mails von veralteten Exchangeservern senden, bekommen eine SMTP 450-Meldung zurückgeliefert und nach Sperrung eine SMTP 550-Meldung.
Man wird also darauf hingewiesen, das der eigene Exchange veraltet ist.
Wer die SMTP-Meldungen allerdings ignoriert oder fatalerweise den Exchange so konfiguriert hat, das diese Meldungen z.B. im Spam landen, hat selbst Schuld.
Es betrifft nur die Systeme, welche über den HybridWizard mit der Cloud verknüpft/verheiratet wurden. Diese gelten aus MS Sicht als intern und sollten daher aktuell sein. Steht eigentlich auch in der Supportmatrix so N-1 oder bei 2016 das letzte CU.
Alle anderen Systeme welche nicht über einen HybridWizard versenden sind (noch?) nicht betroffen
Bei Systemen die nicht via spezielle Connectoren (HybridWizard) verbunden sind dürfte es deutlich schwieriger sein herauszubekommen, welche Patchstand die haben.
Ja bei Exchange geht es (teilweise), siehe oben, dann dürfte man jedoch schnell an seine Grenzen stoßen.