Microsoft drosselt und verwirft jetzt Mails von veralteten Exchange Servern: Was Sie sofort tun sollten

Microsoft hat sein in Exchange Online (EXO) integriertes Transport-Enforcement-System breit aktiviert. E-Mails, die von veralteten oder ungepatchten On-Premises-Exchange-Servern nach Exchange Online gesendet werden, werden erst verzögert (throttling) und im nächsten Schritt abgewiesen (blocking). Sichtbar wird das u. a. im neuen Mail-Flow-Report in der EAC. Für betroffene Organisationen führt am schnellen Umstieg auf Exchange Server Subscription Edition (SE) kein Weg vorbei.

In diesem Blogbeitrag erfahren Sie alles zu den technischen Hintergründen, wie Sie im neuen Mail-Flow-Report überprüfen können, ob Sie betroffen sind und was Sie jetzt konkret tun können.

 

Was genau hat Microsoft eingeschaltet – und warum?

Microsoft schützt Exchange Online seit geraumer Zeit mit einem transportbasierten Enforcement-System. Dieses prüft eingehende Verbindungen von On-Prem-Exchange-Servern auf Support-Status und Patch-Stand. Server, die out of support oder signifikant im Rückstand sind, gelten als „persistently vulnerable“. Für diese Quellen wird der Mailfluss zunächst gedrosselt und bei ausbleibender Remediation blockiert. Hintergrund ist die Zero-Trust-Ausrichtung und die nachgewiesenen Risiken ungepatchter Systeme.

Wichtig: Microsoft hat den Rollout schrittweise erweitert und vermerkt explizit, dass Throttling/Blocking inzwischen für alle Exchange-Versionen greifen kann, einschließlich Exchange Server 2019, sofern diese signifikant veraltet sind (z. B. fehlende CUs/SUs).

Die drei Funktionen des Systems:

• Reporting: Sie erhalten Hinweise, welche On-Prem-Server aus Ihrer Organisation als veraltet gelten
• Throttling: Zustellung wird absichtlich verzögert, SMTP-Fehler 4.7.230 weisen darauf hin.
• Blocking: Zustellung wird zeitweise abgewiesen, SMTP-Fehler 5.7.230 signalisiert die Sperre.

Microsofts Ziel ist nicht legitime E-Mails zu behindern, sondern unsichere Eingänge in die Cloud zu unterbinden und Admins zur Remediation zu befähigen.

 

Wie erkenne ich, ob wir betroffen sind? Der neue Mail-Flow-Report in der EAC

Die Auswertung geschieht komfortabel in der neuen Exchange Admin Center (EAC) unter Reports → Mail flow. Dort stehen Mail-Flow-Reports bereit, die Trends sichtbar machen und Probleme in der Zustellung identifizieren. Für das aktuelle Thema besonders relevant ist der Report „Outofdate connecting onpremises Exchange servers“. Er zeigt Ihnen, welche On-Prem-Server (Version/Patch-Stand) von der Enforcement-Logik erfasst wurden und wie stark Throttling/Blocking greift.

So gelangen Sie hin:

• Öffnen Sie die neue EAC: https://admin.exchange.microsoft.com, dann Reports → Mail flow. Alternativ: Direktlink zu den Mail-Flow-Reports.
• Im Report „Outofdate connecting onpremises Exchange servers“ sehen Sie betroffene Systeme und können bei Bedarf eine Enforcement-Pause anstoßen (siehe unten).

Tipp: Die Reports setzen passende Berechtigungen voraus (z. B. Exchange Administrator, Organization Management, Security Administrator/Reader u. a.). Die vollständige Rollenzuordnung finden Sie in der Dokumentation zu den Mail-Flow-Reports.

 

Was passiert technisch bei Throttling und Blocking?

Wenn ein persistently vulnerable Exchange-Server nach EXO sendet, reagiert das System mit progressiven Maßnahmen:

1. Hinweis/Reporting in der EAC (und ggf. per Message Center/Reports).
2. Throttling (Zustell-Verzögerungen), erkennbar an SMTP 4.7.230 in Ihren On-Prem-Logs.
3. Blocking (zeitlich begrenzte Ablehnung), erkennbar an SMTP 5.7.230.

Die Maßnahmen eskalieren, solange keine Remediation erfolgt (Upgrade/Patching). Microsoft betont, dass die Sicherheit von EXO-Empfängern vorgeht und die Maßnahmen dynamisch angepasst werden.

Temporäre Atempause: Enforcement gezielt pausieren

Falls Sie unmittelbar Handlungsdruck haben (z. B. wichtige Geschäftsprozesse, Migrationsfenster), lässt sich die Enforcement-Logik pro Tenant für bis zu 90 Tage je Kalenderjahr pausieren, wahlweise am Stück oder in mehreren Tranchen. Wichtig: Nicht genutzte Tage eines beantragten Blocks werden nicht „erstattet“.

Zwei Wege zur Pause:

• In der EAC: Reports → Mail flow → Outofdate connecting onpremises Exchange servers → „Enforcement Pause“. Anzahl Tage eintragen, Speichern.
• Per PowerShell (Exchange Online Management):
  • PowerShell
  • Connect-ExchangeOnline
  • New-TenantExemptionInfo -BlockingScenario UnpatchedOnPremServer -NumberOfDays 90
  • Get-TenantExemptionInfo -BlockingScenario UnpatchedOnPremServer

Diese Pause ist kein Ersatz für ein Upgrade, sie verschafft Ihnen Zeit, um sauber auf einen unterstützten Stand zu kommen.

Dringende Empfehlung: Umstieg auf Exchange Server SE

Angesichts der Enforcement-Maßnahmen und der End-of-Support-Risiken empfiehlt Microsoft klar den Weg zu Exchange Server SE (Subscription Edition). SE ist die „Evergreen“-Generation von Exchange Server unter der Modern Lifecycle Policy, ohne festes Enddatum, solange Sie aktuell bleiben.

Was ist Exchange Server SE?

• Allgemeine Verfügbarkeit (GA) seit 1. Juli 2025.
• SE wird kontinuierlich gewartet (CUs/HUs), keine klassischen „nächsten Major-Versionen“.
• Koexistenz mit unterstützten Vorgängern (2016/2019) – nicht mit Exchange 2013.

Microsoft hat die Roadmap und das Upgrade-Vorgehen mehrfach präzisiert, inklusive Meilensteinen (2019 CU15 als Brücke, SE RTM, SE CU1/CU2) und Coexistence-Regeln.

Ihr realistischer Upgrade-Pfad

• Von Exchange 2019 (CU14/CU15) → SE: In-Place-Upgrade möglich (analog zu einem CU-Update). Das minimiert Risiko/Downtime und ist Microsofts bevorzugter Pfad.
• Von Exchange 2016 → SE: Legacy-Upgrade erforderlich (neue Server bereitstellen, Postfächer/Workloads migrieren, alte Server deinstallieren). Eine direkte In-Place-Route 2016 → SE gibt es nicht.

Microsoft fasst das im SE-UpgradeLeitfaden (Learn) und im TechCommunity-Beitrag detailliert zusammen, inklusive KoexistenzSperren (z. B. keine Koexistenz mit Exchange 2013) und Best Practices.

Warum SE jetzt priorisieren?

• Compliance & Security: Nur unterstützte Builds erhalten Sicherheitsupdates; ein Muss im Sinne von Zero Trust und aktueller Bedrohungslage.
• EnforcementDruck: Veraltete Systeme verursachen Zustellprobleme (Throttling/Blocking) Richtung EXO; das stört Fachbereiche und Kundenkommunikation.
• EvergreenModell: Mit SE vermeiden Sie künftige „große“ Sprünge; CUs halten Sie kontinuierlich compliant.