Seit der letzten Woche gibt es einige Berichte darüber, dass Exchange Online als Spam-Versender verwendet wird. Êine erster Betrag hierzu wurde im Forum von administrator.de veröffentlicht. Das Fehlerbild deutet auf den ersten Blick darauf hin, dass Server von Exchange Online gehackt wurden, es also ein ähnliche Angriff wie auf lokale Exchange Server zu dieser Situation geführt hat.
Einzelene Empfängerdomänen haben in diesem Zusammenhang mehr als 10.000 E-Mail-Nachrichten pro Tag erhalten. Je nach eingesetzter E-Mail-Sicherheitslösung wurden die als Spam erkannten Nachrichten allerdings abgewiesen und nicht an die Zielempfänger zugestellt. Mit solch einer massenhaften Abweisung unterliegt Exchange Online dem Risiko, dass die sendenden IP-Adressen auf Blocklisten (RBL) landen.
Im Normalfall kann Exchange Online ausgehende E-Mail-Nachrichten, je nach Charakteristik, als Spam-Nachrichten einstufen. In solch einem Fall leitet Exchange Online die Nachrichten automatisch über den roten IP-Adresspool, um den regulären IP-Adresspool zu schützen. Jeder Exchange Online Mandant verfügt über eine Anti-Spam-Richtlinie für ausgehende Nachrichten, die nicht deaktiviert werden kann. Es ist jedoch möglich, diese Richtlinie in gewissem Umfang zu konfigurieren.
Gegenwärtig ist noch unklar, über welchen Weg der Versand der Spam-Nachrichten erfolgt.
Eine Möglichkeit ist die Nutzung eines OAuth-Token zum authentifizierten Zugriff auf ein Exchange Online Postfach. Dieses Szenario wurde am 22. September in einem Artikel des Microsoft 365 Defender Teams beschrieben. Der Artikel beschreibt ausführlich, welche Maßnahmen in einem Microsoft 365 Mandanten umzusetzen sind, um Hochrisiko-Konten und Exchange Online besser zu schützen.
Hierzu gehören:
- Aktivierung des bedignten Zugriffs (Conditional Access)
- Fortlaufende Zugriffsevaluierung (Continous Access Validation)
- Aktivierung der Sicherheitsstandards (Security Defaults), wenn die vorherigen zahlungspflichtigen Funktionen nicht zur Verfügung stehen
- Multi-Faktor-Authentifizierung mit Nummernüberprüfung
Ich werde diesen Artikel erweitern, sobald weitere Informationen vorliegen.
Links
- Microsoft Security Report Highlights OAuth Compromise of Exchange Online
- Malicious OAuth applications abuse cloud email services to spread spam
- Configure outbound spam filtering in EOP
Teilen mit:
- Klick, um über Twitter zu teilen (Wird in neuem Fenster geöffnet)
- Klick, um auf Facebook zu teilen (Wird in neuem Fenster geöffnet)
- Klick, um auf LinkedIn zu teilen (Wird in neuem Fenster geöffnet)
- Klicken, um auf Telegram zu teilen (Wird in neuem Fenster geöffnet)
- Klicken, um einem Freund einen Link per E-Mail zu senden (Wird in neuem Fenster geöffnet)