Bereits im Mai 2023 hat Microsoft ein neues Transport-Enforcement-System für Exchange Online angekündigt, welches darauf abzielt, die Kunden vor den Risiken von veralteten oder ungepatchten Exchange-Servern zu schützen und somit die Sicherheit der Cloud zu erhöhen. Das System wird in mehreren Stufen eingeführt und betraf zunächst nur Exchange 2007/2010 Server, welche über einen OnPremises-Connector E-Mails an Exchange Online senden. Seit Dezember 2023 betrifft dies auch Exchange 2013 Server.
Später wird es auf alle Versionen von Exchange Server und alle E-Mails, die in Exchange Online eingehen, ausgeweitet.
Was bedeutet dies genau?
Das Transport-Enforcement-System hat drei Hauptfunktionen: Berichterstattung, Drosselung und Blockierung.
Microsoft begründet diese Maßnahme mit der dringenden und zunehmenden Sicherheitsbedrohung für Kunden, die nicht unterstützte oder ungepatchte Software verwenden. Veraltete oder ungepatchte Exchange-Server sind anfällig für Sicherheitslücken, Malware, Hacking, Datenexfiltration und andere Angriffe. Microsoft verwendet das Zero Trust Sicherheitsmodell für seine Cloud-Dienste, welches erfordert, dass sich verbindende Geräte und Server als gesund und verwaltet beweisen. Server, die nicht unterstützt oder nicht gepatcht werden, sind dauerhaft verwundbar und können demnach nicht vertraut werden.
Kurzum bedeutet das, Microsoft wird Nachrichten von älteren, nicht unterstützten Exchange-Servern blockieren. Wenn diese über einen eingehenden Connector von einem nicht unterstützten Exchange-Server zu Exchange Online gesendet werden. Die Exchange-Server, die den Connector hosten, müssen somit auf eine unterstützte Version von Exchange 2016 oder Exchange 2019 aktualisiert und regelmäßig gepatcht werden.
Stufenweiser Rollout: Microsoft führt einen stufenweisen Rollout durch, um den Administratoren Zeit zu geben, ihre Server zu überprüfen und zu aktualisieren. Die Durchsetzung beginnt mit einer 30-tägigen Berichtsphase, gefolgt von einer zunehmenden Drosselung und Blockierung des Nachrichtenflusses. Wenn die Server innerhalb von 90 Tagen nach dem ersten Bericht nicht aktualisiert werden, wird der gesamte Nachrichtenfluss über den Connector blockiert.
Verlängerungsmöglichkeit: Microsoft ermöglicht es den Administratoren eine Verlängerung zu beantragen, wenn sie mehr Zeit benötigen, um Updates zu testen. Wichtig: Sie können die Verlängerung maximal für 90 Kalendertage vornehmen.
Exchange On-Premises vs. Exchange Online: Microsoft wird weiterhin sowohl Exchange On-Premises als auch Exchange Online vollständig unterstützen. Microsoft ist bewusst, dass viele Kunden noch eine Exchange-Hybridkonfigurationen benötigen.
Nächste Schritte:
Sie sollten nun ihre Hybrid-Exchange-Konfiguration überprüfen und entscheiden, ob sie Exchange On-Premises behalten oder komplett zu Exchange Online wechseln wollen.
Wie nutze ich die Verlängerungsmöglichkeit?
Verwenden Sie hierzu das Exchange Admin Center (EAC)
- Navigieren Sie zu Reports -> Mail flow -> Out-of-date connection on-premises Exchange servers
- Klicken Sie im Report auf Enforcement Pause
Wählen sie Anschluss die Anzahl der Tage aus (maximal 90 Kalendertage)
Bin ich bereits betroffen?
Wenn Ihre veralteten lokalen Exchange Server gedrosselt oder blockiert werden, werden Sie mindestens einen der folgenden Fehler in Ihren lokalen E-Mail-Protokollen sehen:
4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for n mins/hr.5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for n mins/hr.