Lokale Exchange Server Systeme, die nicht regelmäßig aktualisiert werden und somit nicht auf einem unterstützten Versionsstand des kumulativen Updates sind, stellen ein Sicherheitsrisiko dar. Dies gilt insbesondere dann, wenn auch verfügbare Sicherheitsupdates für Exchange Server nicht installiert sind.
Mit einer hybriden Exchange Konfiguration kommunizieren solch ungepatchten Systeme auch mit Exchange Online. Und hier beginnt das Betriebsrisiko, vor dem sich Exchange Online mit einem besonderen Verfahren zur Blockierung unsicherer Exchange Server schützen möchte. Die Basis dieses Schutzes ist das Zero-Trust Sicherheitsmodell für den Betrieb der Cloud Infrastruktur. Server Systemen, die über einen langen Zeitraum nicht aktualisiert werden, müssen als unsicher angesehen werden und den von diesen Systemen empfangenen Nachrichten muss man misstrauen.
Deshalb führt Exchange Online eine Funktion zur Verbindungsreduzierung (Throttling) und Blockierung (Blocking) ein.
Exchange Online sieht die Verbindungsinformationen der Exchange Server Systeme, die direkt mit Exchange Online kommunizieren. Auf Basis dieser Informationen kann man ableiten, dass die Anzahl alter Exchange Server Versionen, aber auch nicht aktualisierter Server Systeme aktueller Versionen in lokalen Exchange Organisationen betrieben werden, hoch ist. Selbst die Zahl der Exchange Server 2007 System ist so groß, dass sie in einer statistischen Auswertung auffällt.
Das Risiko, vor dem sich Exchange Online schützen muss, geht von diesen veralteten lokalen Exchange Server Systemen aus. In der Zukunft wird Exchange Online nicht mehr unterstützte und ungepatchte Exchange Server Systeme erkennen und aktiv blockieren.
Als Teil eines Throttling und einer Blockierung wirst du, insofern aktiviert, auf einem lokalen Exchange Server in den SMTP-Protokollen einen Eintrag finden, der ähnlich dem folgenden Beispiel sein wird:
450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
Dieser Eintrag deutet auf ein Throttling hin und führt zu einem erneuten Zustellversuch durch den lokalen Server. Bei einer Blockierung wird dann ein 550-Fehler gesendet, der zu einem NDR für den Absender führt.
Neben den offensichtlichen Einträgen in der SMTP-Protokollierung wirst du auch im Microsoft 365 Nachrichten-Center informiert. Es lohnt sich also, das Nachrichten-Center im Blick zu haben und Benachrichtigungen zu aktivieren.
Nach der ersten Detektierung eines Server hast du maximal 90 Tage Zeit, um deine Exchange Server zu aktualisieren. Die folgende Tabelle verdeutlicht die einzelnen Stufen, in denen immer mehr die Daumenschrauben angezogen werden und es zu Verzögerungen im Nachrichtenfluss kommen wird.
| Durchsetzungsaktionen | Durchsetzungsdauer | |||
| Stufe | Bericht | Throttling min/h | Blockierung min/h | Nicht-Compliant (Tage) |
| 1 | Ja | 0 | 0 | 30 |
| 2 | Ja | 5 | 0 | 10 |
| 3 | Ja | 10 | 0 | 10 |
| 4 | Ja | 20 | 0 | 10 |
| 5 | Ja | 30 | 5 | 10 |
| 6 | Ja | 30 | 10 | 10 |
| 7 | Ja | 30 | 20 | 10 |
| 8 | Ja | 0 | 60 | 10 |
| Gesamtanzahl der Tage zwischen Ersterkennung und vollständiger Blockierung der Verbindungen | 90 | |||
Eine Organisation kann eine Pausierung dieser Durchsetzungskation von isngesamt 90 Tage je Kalenderjahr nutzen. Diese 90 Tagen können gestückelt in Anspruch genommen werden.
Scope
Im ersten Schritt werden diese Maßnahmen Exchange Server 2007-Systeme treffen, die sich über einen eingehenden Konnektor vom Typ OnPremises mit Exchange Online verbinden.
In Zukunft wird dieser Scope auf weitere, nicht mehr unterstützte Versionen, wie z.B. Exchange Server 2010 oder 2013, ausgeweitet. Es lohnt sich also, deine lokalen Exchange Server auf eine unterstützte Exchange Server Version zu aktualisieren,
Health Checker
Das Exchange Server Health Checker Script untertützt dich dabei, um die System-Konfiguration deiner Exchange Server zu prüfen und Risiken zu beseitigen.
Zu dem Thema wird es auch einen Talk beim nächsten hybriden Meetup der Exchange User Group am 11. Mai 2023 geben. Du kannst dich schon jetzt dafür anmelden.
