In order to continue to guarantee the security of Exchange Online, Microsoft is gradually starting to block old Exchange Server versions. The new system, which is now being introduced gradually, is called the "Transport-based Enforcement System" and has three functions: Reporting, throttling and blocking. In the first stage, administrators are informed that there are old Exchange Server versions in the company that are no longer supported and therefore no longer receive security updates. If Exchange Server versions that are no longer supported continue to be used, mails from the on-prem Exchange Server to Exchange Online are throttled, which initially reduces the throughput of mails from the on-prem Exchange Server to Exchange Online and the delivery of mails takes longer. The last phase is the blocking of mails from the no longer supported Exchange Server to Exchange Online. Exchange Online then no longer accepts mails from these Exchange servers.
The "Transport-based Enforcement System" will initially be introduced in stages and will initially only affect Exchange Server 2007 and a hybrid configuration with Exchange Online. Initially, only Exchange 2007 servers that send emails to Exchange Online / Office 365 via an inbound connector of the type "OnPremises" are affected. However, Microsoft points out that this system will be expanded and therefore all Exchange Server versions that are no longer supported will soon be blocked in the worst case. Microsoft has initially selected Exchange 2007, as this is currently the oldest Exchange Server version that can still be connected to Exchange Online in a hybrid configuration.
In future, Microsoft will extend this system to all old Exchange Server versions, regardless of how these servers send mails to Exchange Online. If Microsoft maintains this approach, the "Transport-based Enforcement System" should ensure that the old Exchange Server versions are finally replaced and disappear. If old Exchange servers are no longer able to send mails to Exchange Online in the future, the size of Exchange Online and the large number of users could quickly become too much to bear.
Transport-based enforcement system
As already mentioned, the Transport-based Enforcement System has three functions, the first of which is the reporting of Exchange Server versions that are no longer supported. In the Exchange Online Admin Center, admins can first call up an overview that shows whether there are any affected Exchange servers and the status of these servers. Microsoft has already published a screenshot of the report:
The second function is to throttle a server that is no longer supported, in this phase Exchange Online will reject mails with the following SMTP status code:
450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
The on-prem server is thus forced to keep the mail in its queue and must try to deliver the mail again later. This reduces the throughput of mails to Exchange Online and the delivery of the mails takes longer.
In the third phase, Exchange Online rejects all mails from the outdated Exchange server. The SMTP status code then reads:
550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
In this case, delivery is no longer possible and the sender receives an undeliverability report. The throttling of emails begins after 30 days, the third stage and thus the rejection of emails comes into effect after 90 days. The throttling is gradually increased, as shown in the following table:
Admins have the option of getting a little more time to replace the old servers by suspending blocking and throttling for a maximum of 90 days per year. The pausing of throttling can be configured per server, but is limited to a maximum of 90 days. For example, if you operate 2 Exchange 2007 servers, you can pause one server for 30 days and the other for 60 days, after which the 90 days are used up.
Whether an Exchange Server version is obsolete is not actively determined. The counter for the server starts running when the old Exchange Server delivers a mail to Exchange Online. As already mentioned, the Transport-based Enforcement System is initially applied to Exchange 2007 servers that are connected to Exchange Online with an Inbound Connector. So if you are still using Exchange 2007 Server, you should use the following command to check whether there is a corresponding connector:
Get-InboundConnector | ft Name,ConnectorType
The Transport-based Enforcement System is not yet active, but anyone with old Exchange servers should start thinking about the migration now at the latest, otherwise they may soon have a very tight time frame for the migration. It must also be expected that the system will be extended to other Exchange versions that are no longer supported, such as Exchange 2010 and soon Exchange 2013 (regardless of the hybrid configuration).
Here you can find the article on the Exchange Team Blog:
Wir haben bei einem Kunden einen Exchange Server 2019 mit dem letzten CU und allerneusten Updatestand. Trotzdem bekommt er inzwischen den Block rein und muss manuell diese Ausnahme aktivieren, mit der Throttling & Blocking temporär deaktiviert wird.
Kann es sein, dass Microsoft das nicht ganz sauber umgesetzt hat? Wieso wird auch ein aktueller Server geblockt?
Noch viel wichtiger: Wie bekommt man das gelöst?
Ein zu harscher Schritt!
Zuerst „nur“ die angebundenen Hybrid-Exchange-Server, was man noch halbwegs nachvollziehen kann.
Aber wie kommt man die Idee, später sogar die Annahme via SMTP von ungepatchten Exchange-Servern zu verweigern?
-> dadurch wird die SMTP-Zustellung weiter verschlechtert.
Die Urväter vom SMTP-Protokoll würden sich im Grabe drehen.
-> ähnlich wie beim Schritt, MSOffice stets mehr Richtung Cloud zu pushen oder den MS SBS-Server einzustampfen, verlieren die am Ende Kunden, welche dann Richtung Open-Source abwandern (zu Recht)!
Frage: Wie will MS365 Exchange-Online denn via reiner SMTP-Zustellung den Patch-Status vom zustellenden Exchange „auslesen“? IdR gibts hier doch nur ein HELO/EHLO? Oder prüft das MS365-Exchange-Online anhand von Fingerprinting und den verwendeten Cipher-Suites?
Der Patchstand ist unwichtig, es geht rein um die Version des Exchange.
Derzeit 2007, egal ob gepatcht oder nicht.
Bzw. er ist definitiv ungepatcht, denn seit April 2017, also seit fast 6 Jahren gibt es dafür keine Patches mehr.
Für Exchange 2010 endete der Support im Oktober 2020, ist also auch schon fast 3 Jahre her.
Wer noch 2007 oder 2010 aktiv nutzt, legt wohl extrem wenig Wert auf Sicherheit.
Microsoft wertet wohl den Mailheader aus.
Da steht ja das sendende Mailsystem drin. Beispielsweise beim Exchange 2016 mit Patchstand März 2023 steht da im Header der String „15.1.2507.23“ drin, also die Exchange-Versionsnummer.
Und danach kann man Filtern.
Also alles Ablehnen, bei dem im Header als Sendesystem Exchange drinsteht mit einer Versionsnummer kleiner 15.0.x.
Damit würde alle Mails von Exchange 2010 und älter abgelehnt.
Könnte man bei einer Header Auswertung nicht auf die Idee kommen, diesen zu manipulieren?
Geht das für den Versand nicht auch, wie für den Empfang?
Natürlich kann man das. Insofern ist sich auch MS sicherlich bewußt, dass man damit nur die offensichtlich „uninteressierten“ Admins erwischt. Alle anderen haben ja keine solche Systeme mehr direkt am Internet (hoffentlich). ;)
Danke, hab ich im Nachgang erst aus den FAQs gelesen … :-)
Guten Morgen Herr Zöchling,
sehr interessanter Artikel zu der ich eine Verständnisfrage habe:
Wird es dann auch so kommen, wenn jemand noch einen Exchange 2007 im Einsatz hat, dass der online Exchange generell mal die Mailannahme verweigern wird unabhängig ob eine Hybridkonfiguration vorliegt oder nicht? Quasi Kunde A mit EX2007 verschickt eine Mail an Lieferanten B mit Exchange Online und die E-Mail wird einfach nicht angenommen?
Vielen Dank
Unwahrscheinlich aber nicht unmöglich. Bei einem hybridconnector läuft halt weniger über die antispam Maßnahmen als wenn man das von außen reinsendet. Ansonsten dürften hier wohl alle nur raten und mutmaßen. ;)
Im übrigen steht diese Frage mehr oder weniger auch in der faq bei ms. ;)
Does this mean that my Exchange Online organization might not receive email sent by a 3rd party company that runs an old or unpatched version of Exchange Server?
Possibly. The transport-based enforcement system initially applies only to email sent from Exchange 2007 servers to Exchange Online over an inbound connector type of OnPremises. The system does not yet apply to email sent to your organization by companies that do not use an OnPremises type of connector. Our goals are to reduce the risk of malicious email entering Exchange Online by putting in place safeguards and standards for email entering the service and to notify on-premises admins that the Exchange server their organization uses needs remediating.
Ist ja eigentlich logisch, dass ms da einschreitet bei hybrid-Verbindungen. Auch wenn da jetzt vermutlich wieder Verschwörungen abgestellt werden können. ;)