Transport-based Enforcement System: Microsoft beginnt alte Exchange Server zu blockieren

Um weiterhin die Sicherheit von Exchange Online zu garantieren, beginnt Microsoft schrittweise damit, alte Exchange Server Versionen zu blockieren. Das neue System, welches nun schrittweise eingeführt wird, nennt sich „Transport-based Enforcement System“ und hat drei Funktionen: Melden, Drosseln und Blockieren. In der ersten Stufe werden Administratoren darüber informiert, dass sich im Unternehmen alte Exchange Server Versionen befinden, welche nicht mehr unterstützt werden und somit auch keine Sicherheitsupdates mehr erhalten. Wenn weiterhin nicht mehr unterstütze Exchange Server Versionen eingesetzt werden, werden Mails vom on-Prem Exchange Server zu Exchange Online gedrosselt, somit sinkt zunächst der Durchsatz an Mails on on-Prem Exchange Server zu Exchange Online und die Zustellung von Mails dauert länger. Die letzte Phase ist das Blockieren der Mails vom nicht mehr unterstützen Exchange Server zu Exchange Online. Exchange Online nimmt dann keine Mails mehr von diesen Exchange Servern an.

Das „Transport-based Enforcement System“ wird zunächst schrittweise eingeführt und wirkt sich zunächst nur auf Exchange Server 2007 und einer Hybrid Konfiguration mit Exchange Online aus. Zunächst sind sind nur Exchange 2007 Server betroffen, welche E-Mails über einen Inbound Connector des Typs „OnPremises“ an Exchage Online / Office 365 übermitteln. Microsoft weißt aber darauf hin, dass dieses System erweitert wird und somit auch bald alle nicht mehr unterstützen Exchange Server Versionen im schlimmsten Fall blockiert werden. Microsoft hat zunächst Exchange 2007 gewählt, da dies aktuell die älteste Exchange Server Version ist, welche noch in einer Hybrid Konfiguration mit Exchange Online verbunden werden kann.

In Zukunft wird Microsoft dieses System auf alle alten Exchange Server Versionen ausdehnen, egal auf welchem Weg diese Server Mails an Exchange Online senden. Wenn Microsoft dieses Vorgehen so beibehält, dürfte das „Transport-based Enforcement System“ dafür sorgen, dass die alten Exchange Server Versionen endlich abgelöst werden und verschwinden. Können alte Exchange Server zukünftig keine Mails mehr an Exchange Online schicken, dürfte aufgrund der Größe von Exchange Online und den vielen Benutzern schnell der Leidensdruck zu groß werden.

Transport-based Enforcement System

Wie bereits erwähnt, hat das Transport-based Enforcement System drei Funktionen, die erste Funktion ist das Melden von nicht mehr unterstützen Exchange Server Versionen. Im Exchange Online Admin Center können Admins zunächst eine Übersicht aufrufen, auf der ersichtlich ist, ob es betroffene Exchange Server gibt und in welchem Status sich diese Server befinden. Microsoft hat bereits einen Screenshot des Berichts veröffentlicht:

Transport-based Enforcement System
Quelle: https://aka.ms/BlockUnsafeExchange

Die zweite Funktion ist das Drosseln eines nicht mehr unterstützen Servers, in dieser Phase wird Exchange Online Mails mit dem folgenden SMTP Status Code ablehnen:

450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.

Der on-Prem Server wird somit gezwungen die Mail in seiner Warteschlange zu halten und muss später erneut versucht die Mail zuzustellen. Hierdurch sinkt der Durchsatz an Mails zu Exchange Online und die Zustellung der Mails dauert länger.

In der dritten Phase lehnt Exchange Online alle Mails des veralteten Exchange Servers ab. Der SMTP Status Code lautet dann:

550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.

In diesem Fall ist die Zustellung nicht mehr möglich und der Absender erhält einen Unzustellbarkeitsbericht. Die Drosselung von Mails setzt nach 30 Tagen ein, die dritte Stufe und somit die Ablehnung von Mails tritt nach 90 Tagen in Kraft. Die Drosselung wird dabei schrittweise erhöht, was die folgende Tabelle verdeutlicht:

Transport-based Enforcement System
Quelle: https://aka.ms/BlockUnsafeExchange

Admins haben die Möglichkeit etwas mehr Zeit für die Ablösung der alten Server zu erhalten, indem das Blockieren und Drosseln für maximal 90 Tage pro Jahr ausgesetzt wird. Die Pausierung der Drosselung kann per Server konfiguriert werden, ist aber auf maximal 90 Tage beschränkt. Wer also beispielsweise 2 Exchange 2007 Server betreibt, kann einen Server 30 Tage und den anderen 60 Tage pausieren, danach sind die 90 Tage aufgebraucht.

Ob eine Exchange Server Version veraltet ist, wird nicht aktiv ermittelt. Der Zähler für den Server läuft los, wenn der alte Exchange Server eine Mail an Exchange Online zustellt. Wie bereits erwähnt wird das Transport-based Enforcement System zunächst auf Exchange 2007 Server ,welche mit einen Inbound Connector mit Exchange Online verbunden sind, angewendet. Wer also aktuell noch Exchange 2007 Server einsetzt sollte mit dem folgenden Befehl prüfen, ob es einen entsprechenden Connector gibt:

Get-InboundConnector | ft Name,ConnectorType

Noch ist das Transport-based Enforcement System nicht aktiv, wer aber über alte Exchange Server verfügt sollte sich spätestens jetzt Gedanken über die Migration machen, sonst hat man wohlmöglich bald einen sehr engen Zeitrahmen für die Migration. Auch muss damit gerechnet werden, dass das System auf andere nicht mehr unterstütze Exchange Versionen wie Exchange 2010 und bald auch Exchange 2013 ausgeweitet wird (unabhängig der Hybrid Konfiguration).

Hier findet sich der Artikel auf dem Exchange Team Blog:

10 Gedanken zu „Transport-based Enforcement System: Microsoft beginnt alte Exchange Server zu blockieren“

  1. Wir haben bei einem Kunden einen Exchange Server 2019 mit dem letzten CU und allerneusten Updatestand. Trotzdem bekommt er inzwischen den Block rein und muss manuell diese Ausnahme aktivieren, mit der Throttling & Blocking temporär deaktiviert wird.
    Kann es sein, dass Microsoft das nicht ganz sauber umgesetzt hat? Wieso wird auch ein aktueller Server geblockt?
    Noch viel wichtiger: Wie bekommt man das gelöst?

    Antworten
  2. Ein zu harscher Schritt!
    Zuerst „nur“ die angebundenen Hybrid-Exchange-Server, was man noch halbwegs nachvollziehen kann.
    Aber wie kommt man die Idee, später sogar die Annahme via SMTP von ungepatchten Exchange-Servern zu verweigern?
    -> dadurch wird die SMTP-Zustellung weiter verschlechtert.
    Die Urväter vom SMTP-Protokoll würden sich im Grabe drehen.

    -> ähnlich wie beim Schritt, MSOffice stets mehr Richtung Cloud zu pushen oder den MS SBS-Server einzustampfen, verlieren die am Ende Kunden, welche dann Richtung Open-Source abwandern (zu Recht)!

    Frage: Wie will MS365 Exchange-Online denn via reiner SMTP-Zustellung den Patch-Status vom zustellenden Exchange „auslesen“? IdR gibts hier doch nur ein HELO/EHLO? Oder prüft das MS365-Exchange-Online anhand von Fingerprinting und den verwendeten Cipher-Suites?

    Antworten
    • Der Patchstand ist unwichtig, es geht rein um die Version des Exchange.
      Derzeit 2007, egal ob gepatcht oder nicht.
      Bzw. er ist definitiv ungepatcht, denn seit April 2017, also seit fast 6 Jahren gibt es dafür keine Patches mehr.
      Für Exchange 2010 endete der Support im Oktober 2020, ist also auch schon fast 3 Jahre her.
      Wer noch 2007 oder 2010 aktiv nutzt, legt wohl extrem wenig Wert auf Sicherheit.

      Microsoft wertet wohl den Mailheader aus.
      Da steht ja das sendende Mailsystem drin. Beispielsweise beim Exchange 2016 mit Patchstand März 2023 steht da im Header der String „15.1.2507.23“ drin, also die Exchange-Versionsnummer.

      Und danach kann man Filtern.
      Also alles Ablehnen, bei dem im Header als Sendesystem Exchange drinsteht mit einer Versionsnummer kleiner 15.0.x.
      Damit würde alle Mails von Exchange 2010 und älter abgelehnt.

      Antworten
      • Könnte man bei einer Header Auswertung nicht auf die Idee kommen, diesen zu manipulieren?
        Geht das für den Versand nicht auch, wie für den Empfang?

        Antworten
        • Natürlich kann man das. Insofern ist sich auch MS sicherlich bewußt, dass man damit nur die offensichtlich „uninteressierten“ Admins erwischt. Alle anderen haben ja keine solche Systeme mehr direkt am Internet (hoffentlich). ;)

  3. Guten Morgen Herr Zöchling,

    sehr interessanter Artikel zu der ich eine Verständnisfrage habe:
    Wird es dann auch so kommen, wenn jemand noch einen Exchange 2007 im Einsatz hat, dass der online Exchange generell mal die Mailannahme verweigern wird unabhängig ob eine Hybridkonfiguration vorliegt oder nicht? Quasi Kunde A mit EX2007 verschickt eine Mail an Lieferanten B mit Exchange Online und die E-Mail wird einfach nicht angenommen?

    Vielen Dank

    Antworten
    • Unwahrscheinlich aber nicht unmöglich. Bei einem hybridconnector läuft halt weniger über die antispam Maßnahmen als wenn man das von außen reinsendet. Ansonsten dürften hier wohl alle nur raten und mutmaßen. ;)

      Antworten
      • Im übrigen steht diese Frage mehr oder weniger auch in der faq bei ms. ;)

        Does this mean that my Exchange Online organization might not receive email sent by a 3rd party company that runs an old or unpatched version of Exchange Server?
        Possibly. The transport-based enforcement system initially applies only to email sent from Exchange 2007 servers to Exchange Online over an inbound connector type of OnPremises. The system does not yet apply to email sent to your organization by companies that do not use an OnPremises type of connector. Our goals are to reduce the risk of malicious email entering Exchange Online by putting in place safeguards and standards for email entering the service and to notify on-premises admins that the Exchange server their organization uses needs remediating.

        Antworten
  4. Ist ja eigentlich logisch, dass ms da einschreitet bei hybrid-Verbindungen. Auch wenn da jetzt vermutlich wieder Verschwörungen abgestellt werden können. ;)

    Antworten

Schreibe einen Kommentar