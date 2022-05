Zu den Exchange-Online-Diensten von Microsoft können sich Nutzer mit dem Basic-Auth-Verfahren anmelden, das im HTTP-Standard verankert ist. Dabei handelt es sich faktisch um eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert ist und sich sehr einfach praktisch von jedem dekodieren lässt. Microsoft deaktiviert das Anmeldeverfahren ab dem 1. Oktober dieses Jahres endgültig.

So einfach das Vorhaben zunächst klingt, so gibt es jedoch auch hier einige Hürden. Viele Exchange-Online-Nutzer setzen Mailprogramme oder Apps ein, die das unsichere Verfahren nutzen. In einem Blog-Beitrag schreibt Microsoft, dass jedoch inzwischen bereits viele auf Versionen umgestiegen sind, die moderne Authentifizierungsmechanismen unterstützen.

Schwachstelle Authentifizierung

Weiter schreibt das Unternehmen, dass insbesondere Basic-Auth eine der, wenn nicht sogar die meist-missbrauchte Schwachstelle zur Kompromittierung der Kunden ist. Die Anzahl der Angriffe darauf nehme sogar noch zu. Für Millionen von Exchange-Online-Kunden habe man daher Basic-Auth inzwischen deaktiviert. Diese hätten das Verfahren nicht eingesetzt. Ebenso deaktiviere man andere ungenutzte Anmeldeverfahren für alle Kunden.

Microsoft betont, dass es das Anmeldeverfahren weltweit ab dem 1. Oktober 2022, und nicht schon vollständig zu dem Datum abschalten möchte. Betroffen sind die Protokolle MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell.

SMTP AUTH deaktivere Microsoft nur bei den Kunden, die es nicht nutzen; wo es also im Einsatz ist, rührt der Hersteller die Einstellungen nicht an. Hier schieben die Autoren des Beitrags jedoch die Empfehlung nach, das Verfahren für die Instanz zu deaktivieren und lediglich für die einzelnen Konten zu aktivieren, die es wirklich benötigen.

Auch geben die Autoren in ihrem Beitrag Tipps, wie einige der wichtigsten Apps und Programme auf moderne Authentifizierung umgestellt werden können. Sie beschreiben Vorgehensweisen für Outlook, POP/IMAP in Verbindung mit OAuth, EWS-Apps, ActiveSync, PowerShell-Skripte, Reporting Web Services sowie Microsoft Teams Rooms. Sofern die zugreifende Software angepasst ist, können Exchange-Online-Administratoren Basic-Authentication auch selber abschalten. Microsoft stellt eine Anleitung dazu bereit.

Lesen Sie auch: Themenseite zu Exchange auf heise online

(dmk)