Seit der letzten Woche gibt es einige Berichte darüber, dass Exchange Online als Spam-Versender verwendet wird. Êine erster Betrag hierzu wurde im Forum von administrator.de veröffentlicht. Das Fehlerbild deutet auf den ersten Blick darauf hin, dass Server von Exchange Online gehackt wurden, es also ein ähnliche Angriff wie auf lokale Exchange Server zu dieser Situation geführt hat.
Einzelene Empfängerdomänen haben in diesem Zusammenhang mehr als 10.000 E-Mail-Nachrichten pro Tag erhalten. Je nach eingesetzter E-Mail-Sicherheitslösung wurden die als Spam erkannten Nachrichten allerdings abgewiesen und nicht an die Zielempfänger zugestellt. Mit solch einer massenhaften Abweisung unterliegt Exchange Online dem Risiko, dass die sendenden IP-Adressen auf Blocklisten (RBL) landen.
Im Normalfall kann Exchange Online ausgehende E-Mail-Nachrichten, je nach Charakteristik, als Spam-Nachrichten einstufen. In solch einem Fall leitet Exchange Online die Nachrichten automatisch über den roten IP-Adresspool, um den regulären IP-Adresspool zu schützen. Jeder Exchange Online Mandant verfügt über eine Anti-Spam-Richtlinie für ausgehende Nachrichten, die nicht deaktiviert werden kann. Es ist jedoch möglich, diese Richtlinie in gewissem Umfang zu konfigurieren.
Gegenwärtig ist noch unklar, über welchen Weg der Versand der Spam-Nachrichten erfolgt.
Eine Möglichkeit ist die Nutzung eines OAuth-Token zum authentifizierten Zugriff auf ein Exchange Online Postfach. Dieses Szenario wurde am 22. September in einem Artikel des Microsoft 365 Defender Teams beschrieben. Der Artikel beschreibt ausführlich, welche Maßnahmen in einem Microsoft 365 Mandanten umzusetzen sind, um Hochrisiko-Konten und Exchange Online besser zu schützen.
Hierzu gehören:
- Aktivierung des bedignten Zugriffs (Conditional Access)
- Fortlaufende Zugriffsevaluierung (Continous Access Validation)
- Aktivierung der Sicherheitsstandards (Security Defaults), wenn die vorherigen zahlungspflichtigen Funktionen nicht zur Verfügung stehen
- Multi-Faktor-Authentifizierung mit Nummernüberprüfung
Ich werde diesen Artikel erweitern, sobald weitere Informationen vorliegen.
