Um weiterhin die Sicherheit von Exchange Online zu garantieren, beginnt Microsoft schrittweise damit, alte Exchange Server Versionen zu blockieren. Das neue System, welches nun schrittweise eingeführt wird, nennt sich „Transport-based Enforcement System“ und hat drei Funktionen: Melden, Drosseln und Blockieren. In der ersten Stufe werden Administratoren darüber informiert, dass sich im Unternehmen alte Exchange Server Versionen befinden, welche nicht mehr unterstützt werden und somit auch keine Sicherheitsupdates mehr erhalten. Wenn weiterhin nicht mehr unterstütze Exchange Server Versionen eingesetzt werden, werden Mails vom on-Prem Exchange Server zu Exchange Online gedrosselt, somit sinkt zunächst der Durchsatz an Mails on on-Prem Exchange Server zu Exchange Online und die Zustellung von Mails dauert länger. Die letzte Phase ist das Blockieren der Mails vom nicht mehr unterstützen Exchange Server zu Exchange Online. Exchange Online nimmt dann keine Mails mehr von diesen Exchange Servern an.
Das „Transport-based Enforcement System“ wird zunächst schrittweise eingeführt und wirkt sich zunächst nur auf Exchange Server 2007 und einer Hybrid Konfiguration mit Exchange Online aus. Zunächst sind sind nur Exchange 2007 Server betroffen, welche E-Mails über einen Inbound Connector des Typs „OnPremises“ an Exchage Online / Office 365 übermitteln. Microsoft weißt aber darauf hin, dass dieses System erweitert wird und somit auch bald alle nicht mehr unterstützen Exchange Server Versionen im schlimmsten Fall blockiert werden. Microsoft hat zunächst Exchange 2007 gewählt, da dies aktuell die älteste Exchange Server Version ist, welche noch in einer Hybrid Konfiguration mit Exchange Online verbunden werden kann.
In Zukunft wird Microsoft dieses System auf alle alten Exchange Server Versionen ausdehnen, egal auf welchem Weg diese Server Mails an Exchange Online senden. Wenn Microsoft dieses Vorgehen so beibehält, dürfte das „Transport-based Enforcement System“ dafür sorgen, dass die alten Exchange Server Versionen endlich abgelöst werden und verschwinden. Können alte Exchange Server zukünftig keine Mails mehr an Exchange Online schicken, dürfte aufgrund der Größe von Exchange Online und den vielen Benutzern schnell der Leidensdruck zu groß werden.
Transport-based Enforcement System
Wie bereits erwähnt, hat das Transport-based Enforcement System drei Funktionen, die erste Funktion ist das Melden von nicht mehr unterstützen Exchange Server Versionen. Im Exchange Online Admin Center können Admins zunächst eine Übersicht aufrufen, auf der ersichtlich ist, ob es betroffene Exchange Server gibt und in welchem Status sich diese Server befinden. Microsoft hat bereits einen Screenshot des Berichts veröffentlicht:
Die zweite Funktion ist das Drosseln eines nicht mehr unterstützen Servers, in dieser Phase wird Exchange Online Mails mit dem folgenden SMTP Status Code ablehnen:
450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
Der on-Prem Server wird somit gezwungen die Mail in seiner Warteschlange zu halten und muss später erneut versucht die Mail zuzustellen. Hierdurch sinkt der Durchsatz an Mails zu Exchange Online und die Zustellung der Mails dauert länger.
In der dritten Phase lehnt Exchange Online alle Mails des veralteten Exchange Servers ab. Der SMTP Status Code lautet dann:
550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
In diesem Fall ist die Zustellung nicht mehr möglich und der Absender erhält einen Unzustellbarkeitsbericht. Die Drosselung von Mails setzt nach 30 Tagen ein, die dritte Stufe und somit die Ablehnung von Mails tritt nach 90 Tagen in Kraft. Die Drosselung wird dabei schrittweise erhöht, was die folgende Tabelle verdeutlicht:
Admins haben die Möglichkeit etwas mehr Zeit für die Ablösung der alten Server zu erhalten, indem das Blockieren und Drosseln für maximal 90 Tage pro Jahr ausgesetzt wird. Die Pausierung der Drosselung kann per Server konfiguriert werden, ist aber auf maximal 90 Tage beschränkt. Wer also beispielsweise 2 Exchange 2007 Server betreibt, kann einen Server 30 Tage und den anderen 60 Tage pausieren, danach sind die 90 Tage aufgebraucht.
Ob eine Exchange Server Version veraltet ist, wird nicht aktiv ermittelt. Der Zähler für den Server läuft los, wenn der alte Exchange Server eine Mail an Exchange Online zustellt. Wie bereits erwähnt wird das Transport-based Enforcement System zunächst auf Exchange 2007 Server ,welche mit einen Inbound Connector mit Exchange Online verbunden sind, angewendet. Wer also aktuell noch Exchange 2007 Server einsetzt sollte mit dem folgenden Befehl prüfen, ob es einen entsprechenden Connector gibt:
Get-InboundConnector | ft Name,ConnectorType
Noch ist das Transport-based Enforcement System nicht aktiv, wer aber über alte Exchange Server verfügt sollte sich spätestens jetzt Gedanken über die Migration machen, sonst hat man wohlmöglich bald einen sehr engen Zeitrahmen für die Migration. Auch muss damit gerechnet werden, dass das System auf andere nicht mehr unterstütze Exchange Versionen wie Exchange 2010 und bald auch Exchange 2013 ausgeweitet wird (unabhängig der Hybrid Konfiguration).
Hier findet sich der Artikel auf dem Exchange Team Blog: