Um Missbrauch bei Exchange Online durch Massenversand von E-Mails zu verhindern, wollte Microsoft ab April 2026 für die Tenants Outbound E-Mail-Limits einführen. Nun hat das Exchange Team bekannt gegeben, dass man diese geplanten Limits nun doch nicht einführt und die betreffenden Pläne nach Kundenprotesten "auf unbestimmte Zeit" aufgibt und sich was anderes überlegen will.
Worum geht es bei ERRL?
Dass Exchange Team hatte zum 15. April 2025 im Exchange Team Blog der Techcommunity im Beitrag Exchange Online to introduce External Recipient Rate Limit eine geplante Änderung für Exchange Online bekannt gegeben.
Ab April 2026 sollte es bei Exchange Online eine Begrenzung der Anzahl externer Empfänger auf 2.000 Empfänger innerhalb von 24 Stunden geben. Das sollte dazu, den Missbrauch des Diensts durch Spammer zu erschweren.
Das Vorhaben wird ersatzlos gestrichen
In obigem Screenshot ist bereits die Ergänzung vom 6. Januar 2025 zu sehen, in der Microsoft klar stellt, dass das oben erwähnte "Mailbox External Recipient Rate Limit" nicht kommen wird. Daniela S. hatte hier im Blog in diesem Kommentar darauf hingewiesen (danke dafür). Mir war das Thema aber bereits bei den Kollegen von Bleeping Computer im Beitrag hier untergekommen.
Microsoft hat im Techcommunity-Beitrag Exchange Online canceling the Mailbox External Recipient Rate Limit bekannt gegeben, dass die ab April 2026 angekündigte Begrenzung der Massen-E-Mail-Versandrate ("Mailbox External Recipient Rate Limit" (ERRL) in Exchange Online aufgrund negativer Kundenrückmeldungen auf unbestimmte Zeit verschoben wird – also nicht kommt. Hier der Original-Wortlaut samt Verweis auf den alten Artikel:
We're announcing an important change: the Mailbox External Recipient Rate Limit in Exchange Online is being canceled indefinitely at this time.
Kunden haben Microsoft klar gemacht, dass diese geplante Beschränkung erhebliche Probleme und Herausforderungen in der Praxis mit sich bringe. Das sei insbesondere "angesichts der begrenzten Möglichkeiten der derzeit verfügbaren Angebote für den Massenversand" relevant.
Microsoft verfolgt zwar weiterhin das Ziel, den Missbrauchs von Exchange Online-Kunden zum Versenden von Spam und böswillige E-Mail-Aktivitäten zu unterbinden. Ein Missbrauchs von Exchange Online durch Branchenanwendungen (LOB), die Massen-E-Mails versenden, soll weiterhin verhindert werden. Hier will Microsoft sich aber andere Lösungen einfallen lassen.
Die Empfängerratenbegrenzung auf 10.000 Empfänger und Begrenzung auf 5.000 externe Empfänger pro Tag bleibt dabei unverändert. Frage an die Exchange Online-Administratoren: Wäre das obige Vorhaben überhaupt für euch relevant geworden?
MVP: 2013 – 2016
Ich lese die MS Mitteilung etwas anders:
Nur das zusätzliche Limit von 2000 pro E-Mailadresse und Tag kommt nicht.
Das allgemeine von 10.000 pro Account und Tag, das sich pro Tennant vom Administrator aber auch nach oben/unten verändern lässt dagegen schon bzw. bleibt wo es bereits aktiviert ist unverändert.
Wer mehr als 10.000 E-Mails pro Tag selbst verschicken will, muss also ggf. jetzt trotzdem aktiv werden.
Den richtigen Spammern dürfte es relativ wurscht sein ob sie einen Account mit 10.000 E-Mails oder fünf mit je 2.000 E-Mails missbrauchen. So ein allgemeines Limit hätte im Ergebnis also wenig gebracht.
Sinn würde das nur machen, wenn man als Administrator das pro Account und/oder E-Mailadresse individuell vorgeben kann und dann auch macht.
Dürften aber die wenigsten dafür die Zeit haben und es wäre dann zumindest in Deutschland erst einmal abzuklären ob Administrator überhaupt wissen darf wieviel jeder User denn so täglich genau verschickt…
Klar darf man die *Menge* wissen, wieviel jeder Benutzer versendet oder empfängt, solange keine Inhalte gelesen werden.
peter0815 schreibt: "Den richtigen Spammern dürfte es relativ wurscht sein ob sie einen Account mit 10.000 E-Mails oder fünf mit je 2.000 E-Mails missbrauchen."
Der Spammer könnte aber an "TERRL – Tenant External Recipient Rate Limit" stoßen.
Wieviele Exchange-Online-Mailboxen kann man denn in einem kostenlosen Trial-Tenant angelegen? Weiß das jemand?
Das Limit wäre für uns sehr wohl relevant gewesen – weniger für den normalen User: der schickt selten mehr als 2000 Emails an externe Empfänger pro Tag.
Aber wir nutzen generische Adressen wie rechnung[@]firma.de oder anmeldung[@]firma.de, die von 3rd-Party-Software wie SAP oder unserer Website über Exchange-Online versandt werden. Da man Non-Delivery-Reports gerne empfangen möchte, richtet man sich je eine Shared-Mailbox in ExO ein – und schon ist man am Limit.
Die sollten erstmal anfangen praxisnahe Software zu machen…
Ein Limit von XXXX finde ich arschlos. Das ist für viele Leute viel zu hoch, für andere zu Fälle wenig… Spammer freuen sich über 2000 Free-Mails.
Wenn man es mal praxisnah betrachtet, dann bräuchte man wirklich gestaffelte Einstellungen. Du hast Konten die KEINE Mails (extern) verschicken und Spezialfälle die teilweise Massenmails raushauen. Genaugenommen müsste man das Limit genau wählen, dass es für das maximale Aufkommen für DIESES Konto im Betrieb passt.
Du kannst aber auch nicht einfach ein Limit reinhauen, weil es Situationen geben wird wo man das Limit überschreitet. Du kannst den Leuten aber auch nicht sagen es gibt ein Limit von XY. Wissen die das 5 Jahre später noch und er zählt seine Mails? Dann tritt der Fall ein und die Person kann nichts mehr verschicken. Bevor das Limit erreicht wird sollte eigentlich schon eine Info kommen oder evtl. wird der Versand erstmal für XY Minuten blockiert. Man müsste die immer drauf hinweisen, aber bei sowas hilft ja die Software auch nicht.
Ich denke das größte Problem ist, dass Niemand seine Software für solche Fälle wirklich einrichtet und auch einrichten kann. Selbst bei Microsoft selber angefangen, die aus meiner Sicht SELSBT massiven Anteil an Spam und Co haben, gerade auch durch die ganze Cloud und Konto-Scheiße. Jetzt durch solche dummen Maßnahme es eindämmen zu wollen. Die halten (generell gesprochen) es nicht mal für nötig wirklich mal irgendeine Passwortüberprüfung einzubauen. Aus meinere Sicht müssten viele Progamme den Nutzer mal mehr auf solche Sachverhalte hinweisen.