3.1 Min. Lesezeit

„Wir bekommen keine Mails mehr?!?“ – Was steckt hinter Microsofts “Transport-based Enforcement System“ für alte Exchange Server?

SoftwareOne blog editorial team
SoftwareOne RedaktionsteamTrend Scouts
An image of a blue and red arrow in a dark background.

Immer noch haben einige Unternehmen alte Versionen des Microsoft Exchange Servers im Einsatz, für die der Hersteller den Support längst eingestellt hat. Das ist im Prinzip auch möglich. Mit dem Support endete aber auch das Release von Safety Patches. Kommunizieren diese alten Server mit neueren, besonders den aktuellen Online-Versionen, entsteht unter Umständen ein Sicherheitsrisiko. Microsoft hat nun ein System installiert, das die entsprechende Kommunikation einschränken oder ganz unterbinden kann. Endet in den betroffenen Unternehmen damit plötzlich der Mailverkehr? Was genau dahinter steckt, erläutert dieser Blogbeitrag.

 

Was ist aus Sicht von Microsoft das Problem?

Wie viele andere Hersteller setzt auch Microsoft natürlich schon seit vielen Jahren auf die Cloud. Ein Fokus liegt dabei logischerweise auf dem Aspekt der Sicherheit: Nur wenn Security für potentielle Kunden überzeugend gewährleistet erscheint, werden sich diese auch für Microsoft Azure entscheiden.  Hier aber existiert eine Hintertür. Die Cloud-Lösungen – hinsichtlich Sicherheit stets auf dem neuesten Stand gehalten – kommunizieren möglicherweise mit Uralt-Technologien, die in Punkto Security „offen sind, wie ein Scheunentor“. Das wiederum wird zum Problem für Microsoft, da sich aus dieser Kombination von Alt und Neu Auswirkungen auf die Sicherheit der Cloud-Lösungen ergeben könnten. Also wurde man in Redmond aktiv. Wie genau, dass erläuterte der Hersteller Ende März auf einer seiner TechCommunity Webseiten. Fassen wir den Sachverhalt kurz zusammen.

Einschränkung und komplette Blockade von E-Mails 

Hinter der „Einschränkung und Blockade von E-Mails von dauerhaft anfälligen Exchange-Servern zu Exchange Online“ steckt ein mehrstufiges System, das Microsoft die Kontrolle über die Security per „Enforcement“, zu Deutsch „Erzwingung“, sichern soll. 

Stufe 1 - Reporting: 
Konkret werden Administratoren in den betroffenen Unternehmen gewarnt, dass in ihrer Serverlandschaft nicht mehr unterstützte oder nicht mehr gepatchte Exchange Server arbeiten, die durch Upgrade oder Patching auf den neuesten Stand gebracht werden müssen. Klingt das nach sanftem Druck? Da es ja keine Patches mehr gibt, sollen Kunden upgraden? Die Stufe „Reporting“ ist damit quasi als Ultimatum zu verstehen. 

Stufe 2 – Throttling; zu Deutsch „bremsen“ oder „einschränken“: 
Denn nach der Warnung lässt Microsoft eine dem Hersteller angemessen scheinende Frist verstreichen und wird dann aktiv: Ist kein Upgrade oder Patching erfolgt, beginnt der Online Exchange Server, die Kommunikation mit seinem „alten“ Gegenüber einzuschränken. Administratoren könnten in dieser Phase etwa eine solche Fehlermeldung erhalten: 
„450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange“. 
Will man Stufe 1 als Ultimatum bezeichnen, könnte man hier vom “Schuss vor den Bug“ sprechen – „Wir meinen das durchaus ernst.“ 

Stufe 3 – Blockade
Wieder gibt Microsoft dem Administrator, beziehungsweis dem betroffenen Unternehmen einen gewissen Zeitraum, um zu reagieren. Bleibt diese Reaktion aus, greifen rigidere Maßnahmen des Herstellers. Die Kommunikation stockt massiv oder ist gar nicht mehr möglich – die entsprechende Meldung könnte diese sein 
550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.

Für welche Server gelten diese Maßnahmen? 

Momentan gilt das „Transport-based Enforcement System“ lediglich für Exchange 2007. Laut Microsoft habe man sich für diese Version im Wesentlichen aus zwei Gründen entschieden: Zum einen, weil es sich hier um die älteste, noch im Gebrauch befindliche Exchange-Technologie handelt; zum anderen, da die Anzahl der tatsächlich noch vorhandenen Server eher gering ist und Microsoft in diesem doch recht leicht überschaubaren Rahmen das Enforcement-System gut auf Machbarkeit und Effizienz testen kann. Denn das Programm soll – so der Hersteller auf der oben zitierten Webseite - alsbald auf die auf 2007 folgenden Versionen, also Exchange 2010 und 2013, ausgedehnt werden.

Was können betroffene Kunden tun? 

Microsoft räumt betroffenen Kunden die Möglichkeit einer Pause ein, sprich, das Enforcement für 90 Tage im Jahr auszusetzen. Allerdings sind damit Kosten verbunden. Zwar kann diese Frist für einen Übergang helfen, allerdings kann man hier kaum von einer finalen und damit nachhaltigen Lösung des Problems sprechen.

Tatsächlich greift Microsoft im Interesse der Sicherheit seiner Cloud zu Maßnahmen, die in Richtung der Kunden einen gewissen Druck erzeugen sollen. Darüber kann man denken wie man will - der Einsatz von Technologie ohne Sicherheits-Updates ist aber, gerade angesichts der alltäglichen Bedrohung durch Cyber-Kriminalität, eine Praxis, die die betroffenen Unternehmen ohnehin stetig überdenken sollten. Gerade in einem so sensiblen Bereich, wie dem der Kommunikation. Vielleicht ist diese Aktion des Herstellers ein guter Anlass, mitunter risikoreiche Altlasten endlich zu entsorgen.

An image of a blue and red light coming out of a box.

Sprechen Sie mit unseren Experten

Wir empfehlen, die Situation im Unternehmen genau zu analysieren und dann geeignete Schritte einzuleiten. Unter Umständen kann die Bandbreite der in Frage kommenden Reaktionen größer sein, als Sie denken. Nehmen Sie Kontakt mit den Experten der Microsoft Advisory Services von SoftwareOne auf. Wir beraten Sie hinsichtlich dessen, was zwingend notwendig ist, zeigen Ihnen aber besonders auch alle Chancen auf, die sich aller Erfahrung nach aus Situationen wie der vorliegenden ergeben.

Sprechen Sie mit unseren Experten

Wir empfehlen, die Situation im Unternehmen genau zu analysieren und dann geeignete Schritte einzuleiten. Unter Umständen kann die Bandbreite der in Frage kommenden Reaktionen größer sein, als Sie denken. Nehmen Sie Kontakt mit den Experten der Microsoft Advisory Services von SoftwareOne auf. Wir beraten Sie hinsichtlich dessen, was zwingend notwendig ist, zeigen Ihnen aber besonders auch alle Chancen auf, die sich aller Erfahrung nach aus Situationen wie der vorliegenden ergeben.

Author

SoftwareOne blog editorial team

SoftwareOne Redaktionsteam
Trend Scouts

IT Trends und branchenbezogene Neuigkeiten