Was ist aus Sicht von Microsoft das Problem?
Wie viele andere Hersteller setzt auch Microsoft natürlich schon seit vielen Jahren auf die Cloud. Ein Fokus liegt dabei logischerweise auf dem Aspekt der Sicherheit: Nur wenn Security für potentielle Kunden überzeugend gewährleistet erscheint, werden sich diese auch für Microsoft Azure entscheiden.
Hier aber existiert eine Hintertür. Die Cloud-Lösungen – hinsichtlich Sicherheit stets auf dem neuesten Stand gehalten – kommunizieren möglicherweise mit Uralt-Technologien, die in Punkto Security „offen sind, wie ein Scheunentor“. Das wiederum wird zum Problem für Microsoft, da sich aus dieser Kombination von Alt und Neu Auswirkungen auf die Sicherheit der Cloud-Lösungen ergeben könnten. Also wurde man in Redmond aktiv. Wie genau, dass erläuterte der Hersteller Ende März auf einer seiner TechCommunity Webseiten. Fassen wir den Sachverhalt kurz zusammen.
Einschränkung und komplette Blockade von E-Mails
Hinter der „Einschränkung und Blockade von E-Mails von dauerhaft anfälligen Exchange-Servern zu Exchange Online“ steckt ein mehrstufiges System, das Microsoft die Kontrolle über die Security per „Enforcement“, zu Deutsch „Erzwingung“, sichern soll.
Stufe 1 - Reporting:
Konkret werden Administratoren in den betroffenen Unternehmen gewarnt, dass in ihrer Serverlandschaft nicht mehr unterstützte oder nicht mehr gepatchte Exchange Server arbeiten, die durch Upgrade oder Patching auf den neuesten Stand gebracht werden müssen. Klingt das nach sanftem Druck? Da es ja keine Patches mehr gibt, sollen Kunden upgraden? Die Stufe „Reporting“ ist damit quasi als Ultimatum zu verstehen.
Stufe 2 – Throttling; zu Deutsch „bremsen“ oder „einschränken“:
Denn nach der Warnung lässt Microsoft eine dem Hersteller angemessen scheinende Frist verstreichen und wird dann aktiv: Ist kein Upgrade oder Patching erfolgt, beginnt der Online Exchange Server, die Kommunikation mit seinem „alten“ Gegenüber einzuschränken. Administratoren könnten in dieser Phase etwa eine solche Fehlermeldung erhalten:
„450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange“.
Will man Stufe 1 als Ultimatum bezeichnen, könnte man hier vom “Schuss vor den Bug“ sprechen – „Wir meinen das durchaus ernst.“
Stufe 3 – Blockade
Wieder gibt Microsoft dem Administrator, beziehungsweis dem betroffenen Unternehmen einen gewissen Zeitraum, um zu reagieren. Bleibt diese Reaktion aus, greifen rigidere Maßnahmen des Herstellers. Die Kommunikation stockt massiv oder ist gar nicht mehr möglich – die entsprechende Meldung könnte diese sein
550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
Für welche Server gelten diese Maßnahmen?
Momentan gilt das „Transport-based Enforcement System“ lediglich für Exchange 2007. Laut Microsoft habe man sich für diese Version im Wesentlichen aus zwei Gründen entschieden: Zum einen, weil es sich hier um die älteste, noch im Gebrauch befindliche Exchange-Technologie handelt; zum anderen, da die Anzahl der tatsächlich noch vorhandenen Server eher gering ist und Microsoft in diesem doch recht leicht überschaubaren Rahmen das Enforcement-System gut auf Machbarkeit und Effizienz testen kann. Denn das Programm soll – so der Hersteller auf der oben zitierten Webseite - alsbald auf die auf 2007 folgenden Versionen, also Exchange 2010 und 2013, ausgedehnt werden.