The estimated reading time 3 minutes
Microsoft hat den nächsten Schritt im Hinblick auf die Cloudsicherheit bekannt gegeben. In Zukunft werden Verbindungen von älteren und nicht gepatchten Exchangesystemen in Exchange Online nicht mehr angenommen. Das Unternehmen verfolgt damit die Zero Trust Strategie auch im Hybrid Bereich. (Was meiner Meinung nach auch ein sehr guter Schritt ist).
Wer noch mehr zum Thema Zero Trust wissen möchte, kann gerne im Zero Trust Blog von Microsoft stöbern, hier finden sich interessante Artikel zu verschiedenen Bereichen der Zero Trust Strategie.
Siehe hierzu die aktuelle Ankündigung des Exchange Teams im Blog.
Transport-based Enforcement System
Die Frage ist nun, was heißt „blocken“ aus der Sicht von Microsoft. Begonnen wird mit Exchange Server 2007 (ja leider gibt es diese immer noch in der freien Wildbahn), SMTP Verbindungen werden von diesen Servern nicht mehr angenommen. Hier bekommt dann der sendende Server einen SMTP Code präsentiert:
450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
Allerdings wird dieser Block nicht hart vollzogen, sondern es wird ein Throttling (Verzögerung / Verbindungsreduzierung) der Mails durchgeführt, sprich es werden sukzessive immer mehr Blocks folgen und die Zustellung der Mails wird verzögert. Ab einem gewissen Zeitpunkt, wird dann SMTP Error 550 gesendet, sprich es wird dann ein NDR (Non Delivery Report) an den Sender geschickt.
550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
Hier noch die Übersicht über die Throttling Level in einer Tabelle (bis zum kompletten Block hat man dann 90 Tage)
Laut Microsoft soll es bald auch ein neues Exchange Mail Flow Center geben, in dem dann solche Throttlings eingesehen werden können. Hierzu wird im Artikel dieser Screenshot mitgegeben:
Alle die es bis dahin noch nicht geschafft haben, können das Throttling / Blocking einmal pro Tenant und Jahr für bis zu 90 Tage pausieren um dann endlich die Exchange Migration auf ein aktuellen System durchzuführen.
Wenn in einem Tenant eine veraltete Exchange Version feststellt wurde erhält der Kunde 30 Tage vor Throttling noch ein Meldung ins Microsoft Message Center des Tenants.
Aktuell gibt es keine Aussage, wann es Exchange 2010 und Exchange 2013 betrifft, es wird aber vermutlich nicht so lange gewartet werden. Auf jeden Fall beginnt Microsoft mit der Exchange Version 2007 der Grund ist auch ganz amüsant, sie wollen es mit Exchange 2007 testen und etwas Feintuning betreiben.
Was passiert wenn ein veralteter Exchange Server einer anderen Organisation an meine Exchange Online Umgebung zu senden versucht?
Vermutlich wird dieser ebenfalls geblockt (noch nicht sicher). Sprich auch diejenigen die nichts mit M365 am Hut haben, sind gezwungen neuere Versionen von Exchange Server einzusetzen. Diese Aussage ist noch nicht definitiv, es würde aber im Bezug auf Zero Trust Sinn ergeben.
Stand heute wird das Blocking zunächst auf den Hybrid Connector beschränkt, allerdings ist es sehr gut möglich, dass dies auch auf den allgemeinen eingehenden Mailtraffic ausgeweitet wird.
Auch interessant finde ich folgende Aussage:
Wenn ich also einen Exchange Server 2016 auf einem Windows Server 2012R2 bis zum Ende der Supportlaufzeit von Exchange 2016 betreibe ist das vollkommen in Ordnung 😉 (natürlich nicht)
Wann die ganze Aktion starten soll, steht aktuell noch nicht fest, aber sicherlich lässt es nicht mehr lange auf sich warten.
In diesem Sinne wünsche ich schon jetzt viel Erfolg bei der anstehenden Exchange Migration.
[…] originalen Post des Exchange Teams. Dies wurde bereits am 23. März 2023 angekündigt, siehe hierzu den Artikel, bzw. den Exchange Team […]