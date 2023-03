Entweder aktualisieren oder Exchange stellt den Dienst ein: Microsoft führt gegen Update-unwillige Administratoren ein neues Sicherheits-Feature ein, bei dem Exchange Online E-Mails von On-Premises-Servern erst langsamer und schließlich gar nicht mehr annimmt.

Acht Schritte und 90 Tage bleiben Zeit

Im ersten Schritt überprüft Microsoft mit einem neuen Tool im Exchange Admin Center (EAC), ob ein mit Exchange Online genutzter Server keinen Support mehr erhält oder Updates benötigt. Verantwortliche erhalten einen Report, der die nötigen Schritte – Aktualisierungen einspielen, auf eine neue Version migrieren – beschreibt. Gleichzeitig macht der Bericht klar, dass ansonsten ab einem bestimmten Zeitpunkt Konsequenzen drohen.

Administratoren bleiben zunächst dreißig Tage, zu reagieren. Anschließend greifen alle zehn Tage härtere Maßnahmen, bis Exchange Online nach neunzig Tagen jegliche Annahme von E-Mails verweigert. Beim Drosseln sendet es die SMTP-Fehlermeldung 450, setzt die E-Mails auf eine Warteliste und verschickt sie nach der Wartezeit automatisch. Fängt Exchange Online die Zusammenarbeit ein, erhält der Nutzer währenddessen eine SMTP-Fehlermeldung 550 sowie einen Non-Delivery Report (NDR). Ist die Sperre wieder aufgehoben, muss er den Versand der E-Mail wieder händisch anschieben.

Exchange Online drosselt oder sperrt künftig den Versand von E-Mails, wenn Nutzer ihren On-Premises-Server nicht aktualisieren. (Bild: Microsoft)

In den Fehlermeldungen steht, wie lange Exchange Online eine Drosselung oder eine Sperrung vornimmt. Administratoren können dies außerdem in einer Tabelle nachvollziehen (siehe Abbildung). Darüber hinaus können Nutzer ein Aussetzen der Maßnahmen beantragen: Microsoft räumt ihnen pro Jahr bis zu 90 Tage ein, in denen sie weiterhin die Reports erhalten, aber Exchange die E-Mails ohne Einschränkungen verschickt. Gedacht ist dieses Konto an Pausentagen fürs Aktualisieren der Systeme.

Langfristig alle Exchange Server betroffen

Letztendlich werden diese Maßnahmen alle Exchange-Installationen betreffen, doch laut Microsofts Ankündigung greifen sie zum Start ausschließlich für den Server 2007. Es handelt sich um die älteste Version der Software, deren Nutzer Microsoft mit dem neuen Reporting-System identifizieren kann. Aber auch wenn neuere Versionen noch nicht den Dienst verweigern werden, sind sie dennoch nicht sicher: Veraltete Server und fehlende Aktualisierungen stellen für Angreifer ein beliebtes Ziel dar, die zehntausende verwundbare Systeme bereiten sowohl Microsoft als auch dem CERT-Bund vom BSI Sorgen.

(fo)