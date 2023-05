Microsoft hat aufgrund von weiterhin unzureichend gesicherten Exchange Server 2007-Systemen damit begonnen, versendete E-Mails zu blockieren. Geblockt werden dabei jetzt E-Mails, die von ungepatchten System an Exchange Online-Konten gesendet werden.

Aktive Ausnutzung von Schwachstellen seit Jahren bekannt

Stufenweise Änderungen

Sicherheits-Maßnahmen "Wenn ein Server nach einer bestimmten Zeit nicht repariert wird, beginnt Exchange Online, die Nachrichten von diesem Server zu drosseln. In diesem Fall gibt Exchange Online einen wiederholbaren SMTP 450-Fehler an den sendenden Server aus, der den sendenden Server veranlasst, die Nachricht in eine Warteschlange zu stellen und später erneut zu versuchen, was zu einer verzögerten Zustellung von Nachrichten führt. In diesem Fall wird der sendende Server automatisch versuchen, die Nachricht erneut zu senden.



Die Dauer der Drosselung wird mit der Zeit immer länger. Die schrittweise Drosselung über mehrere Tage soll das Bewusstsein der Administratoren schärfen und ihnen Zeit geben, den Server zu reparieren. Wenn der Administrator den Server jedoch nicht innerhalb von 30 Tagen nach Beginn der Drosselung in Ordnung bringt, wird die Durchsetzung bis zu dem Punkt fortgesetzt, an dem die E-Mail blockiert wird.



Wenn die Drosselung keinen Administrator dazu veranlasst, den Server zu patchen, werden E-Mails von diesem Server nach einer bestimmten Zeit (siehe unten) blockiert. Exchange Online gibt einen permanenten SMTP 550-Fehler an den Absender aus, der eine Nichtzustellungsmeldung (NDR) an den Absender auslöst. In diesem Fall muss der Absender die Nachricht erneut senden. Ein Beispiel für den SMTP-Fehler 550 ist unten aufgeführt: 550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr."

Daran hat Microsoft erinnert (via Günter Born ). Die Maßnahme ist getroffen worden, um möglichst viele Nutzer vor Manipulationsversuche zu schützen.Es geht dabei um das leidige Thema, das trotz vorhandener wichtiger Sicherheitsupdates viele Exchange Server zu lange - oder auf Dauer - ungepatcht bleiben. Über die dadurch entstehenden Probleme hatten wir in der Vergangenheit häufig berichtet . Microsoft hatte mit öffentlichen wiederholten Warnungen an Betreiber von Exchange-Servern herangetreten, da es bekanntermaßen Schwachstellen gibt, die aktiv ausgenutzt werden. Geholfen hat das aber wenig.Cyberkriminelle suchen gezielt nach Exchange Server, die im Internet zugänglich und nicht mit Sicherheits-Updates abgesichert wurden. Die Schwachstellen sind Einfallstore für verschiedene Angriffe, zum Beispiel mit Erpressungs-Trojanern und anderen Schadsoftware-Arten.Daher greift nun eine andere Idee: Wenn man die ungesicherten Exchange-Server nicht einfach aus der Ferne mit Updates versorgen kann, werden ihre versendeten E-Mails bei der Ankunft blockiert. Zunächst sind nur Server mit Exchange Server 2007 betroffen, die E-Mails über einen eingehenden Connector vom Typ OnPremises an Exchange Online senden. Geplant ist weiter, dass alle Versionen von Exchange Server von dem neuen Durchsetzungssystem betroffen sein werden, unabhängig davon, wie sie eine Verbindung zu Exchange Online herstellen.Es gibt dabei zwei Stufen. Zunächst eine Drosselung, dann eine Blockade. In der Techcommunity beschreibt Microsoft nun das Vorgehen