{"id":279062,"date":"2023-03-28T10:57:44","date_gmt":"2023-03-28T08:57:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279062"},"modified":"2023-03-28T18:01:12","modified_gmt":"2023-03-28T16:01:12","slug":"exchange-online-blockt-mails-von-on-premises-exchange-servern-mit-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/28\/exchange-online-blockt-mails-von-on-premises-exchange-servern-mit-schwachstellen\/","title":{"rendered":"Exchange Online blockt Mails von On-Premises Exchange Servern mit Schwachstellen"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/03\/28\/exchange-online-blocks-mail-from-on-premises-exchange-servers-with-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft hat gerade eine neue Sicherheitsrichtlinie f\u00fcr Exchange Online vorgestellt, mit der die Annahme von E-Mails von unsicheren On-Premises Exchange Servern (in hybriden Umgebungen) geblockt werden kann. Die betreffenden Administratoren erhalten eine Mitteilung, dass der On-Premises Exchange Server angreifbar sei. Wird binnen 90 Tagen nicht reagiert, verweigert Exchange Online die Annahme weiterer E-Mails. Damit sollen k\u00fcnftig vor allem aus dem Support gefallene Systeme mit On-Premises Exchange Server 2007, 2010 und ab April 2023 auch 2013 eliminiert werden.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/ed31b0ace0894cbab09d029d35201af5\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin gerade bei den Kollegen von <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/exchange-online-to-block-emails-from-vulnerable-on-prem-servers\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a> auf das Thema gesto\u00dfen, welchess das Exchange Online-Team im Techcommunity Beitrag <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/throttling-and-blocking-email-from-persistently-vulnerable\/ba-p\/3762078\" target=\"_blank\" rel=\"noopener\">Throttling and Blocking Email from Persistently Vulnerable Exchange Servers to Exchange Online<\/a> gerade ver\u00f6ffentlicht hat.<\/p>\n<p><a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1640469765666873344\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Exchange Online security policy\" src=\"https:\/\/i.imgur.com\/kiHVd5m.png\" alt=\"Exchange Online security policy\" \/><\/a><\/p>\n<p>Microsoft versucht im Rahmen der besseren Absicherung der eigenen Cloud auch das Problem zu bek\u00e4mpfen, dass E-Mails von nicht mehr unterst\u00fctzten und ungepatchten On-Premises Exchange-Servern (in hybriden Umgebungen) an Exchange Online gesendet werden. Der Einsatz dieser unsicheren Systeme birgt viele Sicherheitsrisiken. Wird ein On-Premises Exchange-Server entdeckt, der Mails an Exchange Online-Instanzen setzt, aber nicht auf dem aktuellen Patchstand ist, greift k\u00fcnftig eine neues Transport-based Enforcement System.<\/p>\n<h2>Transport-based Enforcement System<\/h2>\n<p>Das von Microsoft beschriebene transportbasiertes Durchsetzungssystem in Exchange Online (Transport-based Enforcement System) besitzt dabei drei Hauptfunktionen hat: Berichterstattung, Drosselung und Sperrung. Das System soll Administratoren \u00fcber nicht gepatchte Exchange-Server in ihrer lokalen Umgebung zu informieren. Und falls die Verantwortlichen f\u00fcr diese On-Premises Exchange Server nicht reagieren, k\u00f6nnen die Server blockiert werden.<\/p>\n<ul>\n<li><strong>Berichterstattung:<\/strong> Exchange Server-Administratoren k\u00f6nnen bereits \u00fcber den Exchange Server Health Checker ungepatchte Systeme erkennen. Microsoft f\u00fcgt im\u00a0 Exchange-Administrationszentrum (EAC) von Exchange Online nun einen neuen Mailflow-Bericht hinzu, der von Health Checker getrennt ist und diesen erg\u00e4nzt. Der neue Bericht (siehe folgendes Bild) liefert einem Tenant-Administrator Details zu allen nicht unterst\u00fctzten oder veralteten Exchange-Servern, die E-Mails an Exchange Online senden.<\/li>\n<\/ul>\n<p><a href=\"https:\/\/i.imgur.com\/gNwbJYw.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Exchange Online Report \" src=\"https:\/\/i.imgur.com\/gNwbJYw.jpg\" alt=\"Exchange Online Report \" width=\"627\" height=\"320\" \/><\/a><br \/>\nExchange-Online Bericht, Zum <a href=\"https:\/\/i.imgur.com\/gNwbJYw.jpg\" target=\"_blank\" rel=\"noopener\">Vergr\u00f6\u00dfern klicken<\/a><\/p>\n<ul>\n<li><strong>Drosselung:<\/strong> Reagiert der Betreiber eines On-Premises Exchange Servers nach einer bestimmten Zeit nicht mit einem Update bzw. Upgrade, drosselt Exchange Online die Nachrichten von diesem Server. In diesem Fall gibt Exchange Online einen wiederholbaren SMTP 450-Fehler (z.B. <em>450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins\/hr<\/em>) an den sendenden Server aus. Dies veranlasst den sendenden Server, die Nachricht in eine Warteschlange zu stellen und sp\u00e4ter erneut zu versuchen. Dies f\u00fchrt zu einer verz\u00f6gerten Zustellung von Nachrichten, und das Verz\u00f6gerungsintervall wird immer l\u00e4nger, um den Administratoren Zeit zu geben, den Server zu aktualisieren (Details gibt es unter <a href=\"https:\/\/aka.ms\/BlockUnsafeExchange\" target=\"_blank\" rel=\"noopener\">BlockUnsafeExchange<\/a>).<\/li>\n<li><strong>Sperrung: <\/strong>Wenn ein Exchange Server nicht innerhalb von 30 Tagen nach Beginn der Drosselung aktualisiert wird, blockiert Exchange Online die Annahme der E-Mail. Exchange Online gibt dann einen permanenten SMTP 550-Fehler (z.B. 550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins\/hr.) an den Absender aus, der eine Nichtzustellungsmeldung (NDR) an den Absender ausl\u00f6st. In diesem Fall muss der Absender die Nachricht erneut senden.<\/li>\n<\/ul>\n<p>Microsoft verfolgt bewusst einen progressiven Durchsetzungsansatz, bei dem die Drosselung im Laufe der Zeit schrittweise verl\u00e4ngert und zum Schluss die Sperrung in allm\u00e4hlich ansteigenden Stufen eingef\u00fchrt wird, was in der vollst\u00e4ndigen Sperrung des nicht konformen Datenverkehrs endet. In der folgenden Tabelle sind die Stufen der schrittweisen Durchsetzung aufgef\u00fchrt:<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/1QUGibj.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\" Enforcement Actions\" src=\"https:\/\/i.imgur.com\/1QUGibj.jpg\" alt=\" Enforcement Actions\" width=\"635\" height=\"319\" \/><\/a>Enforcement Actions; Zum <a href=\"https:\/\/i.imgur.com\/1QUGibj.jpg\" target=\"_blank\" rel=\"noopener\">Vergr\u00f6\u00dfern klicken<\/a><\/p>\n<p>In Stufe 1 beginnt, wenn ein nicht konformer Server zum ersten Mal entdeckt wird. Dann setzt der Berichtsmodus ein, und der Administrator hat 30 Tage Zeit, den Server zu aktualisieren. Nach 30 Tagen ohne Reaktion beginnt die Drosselung, die in den n\u00e4chsten 30 Tagen in den Stufen 2-4 alle 10 Tage erh\u00f6ht wird.<\/p>\n<p>Wird der Server nicht innerhalb von 60 Tagen aktualisiert, beginnen die Modi Drosselung und Sperrung, und die Sperrung wird in den Stufen 5-7 alle 10 Tage \u00fcber die n\u00e4chsten 30 Tage erh\u00f6ht.<\/p>\n<p>Ist der Server 90 Tage nach der Erkennung immer noch nicht aktualisiert, ist Stufe 8 erreicht, und Exchange Online akzeptiert keine Nachrichten mehr von diesem Server. Sobald dieser On-Premises Exchange Server nach der Blockierung gepatcht bzw. aktualisiert, akzeptiert Exchange Online wieder Nachrichten von diesem Server. So soll auch erzwungen werden, dass nicht mehr im Support befindliche Exchange Server, f\u00fcr die es keine Sicherheitsupdates mehr gibt, aus dem Verkehr gezogen werden.<\/p>\n<h2>Pausieren der Regel<\/h2>\n<p>Der neue Mailflow-Bericht in der EAC erm\u00f6glicht es einem Administrator, eine vor\u00fcbergehende Durchsetzungspause zu beantragen. Dadurch werden alle Drosselungen und Blockierungen an Exchange Online unterbrochen und der Server wird f\u00fcr die vom Administrator angegebene Dauer (bis zu 90 Tage pro Jahr) in den reinen Berichtsmodus versetzt. Microsoft schreibt, dass jeder Tentant die Drosselung und Sperrung (an Exchange Online) f\u00fcr bis zu 90 Tage pro Jahr aussetzen kann.<\/p>\n<p>Das Durchsetzungssystem wird f\u00fcr alle Versionen von Exchange Server und alle E-Mails gelten, die von Exchange Online empfangen werden. Microsoft beginnen mit einer sehr kleinen Untergruppe von veralteten Servern: Exchange 2007-Server, die \u00fcber einen Inbound-Connector vom Typ OnPremises mit Exchange Online verbunden sind. Nach dieser ersten Bereitstellung wird Microsoft schrittweise weitere Exchange Server-Versionen in den Anwendungsbereich des Durchsetzungssystems aufnehmen. Schlie\u00dflich wird der Geltungsbereich auf alle Versionen von Exchange Server augeweitet, unabh\u00e4ngig davon, wie diese E-Mails an Exchange Online senden. Details sind dem Microsoft-Artikel zu entnehmen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/16\/outlook-wegen-kritischer-schwachstelle-cve-2023-23397-patchen\/\">Outlook wegen kritischer Schwachstelle CVE-2023-23397 patchen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/16\/patchday-microsoft-office-updates-14-mrz-2023\/\">Patchday: Microsoft Office Updates (14. M\u00e4rz 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/15\/exchange-server-sicherheitsupdates-14-mrz-2023\/\">Exchange Server Sicherheitsupdates (14. M\u00e4rz 2023)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/24\/outlook-schwachstelle-cve-2023-23397-nicht-vollstndig-gepatcht-absicherung-erforderlich\/\">Outlook-Schwachstelle CVE-2023-23397 nicht vollst\u00e4ndig gepatcht \u2013 Absicherung erforderlich<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/03\/28\/leitfacen-von-microsoft-zur-outlook-schwachstelle-cve-2023-23397\/\">Leitfaden von Microsoft zur Outlook-Schwachstelle CVE-2023-23397<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat gerade eine neue Sicherheitsrichtlinie f\u00fcr Exchange Online vorgestellt, mit der die Annahme von E-Mails von unsicheren On-Premises Exchange Servern (in hybriden Umgebungen) geblockt werden kann. Die betreffenden Administratoren erhalten eine Mitteilung, dass der On-Premises Exchange Server angreifbar sei. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/03\/28\/exchange-online-blockt-mails-von-on-premises-exchange-servern-mit-schwachstellen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[5359,4328],"class_list":["post-279062","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279062","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=279062"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/279062\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=279062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=279062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=279062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}