Um weiterhin die Sicherheit von Exchange Online zu garantieren, beginnt Microsoft schrittweise damit, alte Exchange Server Versionen zu blockieren. Das neue System, welches nun schrittweise eingeführt wird, nennt sich „Transport-based Enforcement System“ und hat drei Funktionen: Melden, Drosseln und Blockieren. In der ersten Stufe werden Administratoren darüber informiert, dass sich im Unternehmen alte Exchange Server Versionen befinden, welche nicht mehr unterstützt werden und somit auch keine Sicherheitsupdates mehr erhalten. Wenn weiterhin nicht mehr unterstütze Exchange Server Versionen eingesetzt werden, werden Mails vom on-Prem Exchange Server zu Exchange Online gedrosselt, somit sinkt zunächst der Durchsatz an Mails on on-Prem Exchange Server zu Exchange Online und die Zustellung von Mails dauert länger. Die letzte Phase ist das Blockieren der Mails vom nicht mehr unterstützen Exchange Server zu Exchange Online. Exchange Online nimmt dann keine Mails mehr von diesen Exchange Servern an.
Das „Transport-based Enforcement System“ wird zunächst schrittweise eingeführt und wirkt sich zunächst nur auf Exchange Server 2007 und einer Hybrid Konfiguration mit Exchange Online aus. Zunächst sind sind nur Exchange 2007 Server betroffen, welche E-Mails über einen Inbound Connector des Typs „OnPremises“ an Exchage Online / Office 365 übermitteln. Microsoft weißt aber darauf hin, dass dieses System erweitert wird und somit auch bald alle nicht mehr unterstützen Exchange Server Versionen im schlimmsten Fall blockiert werden. Microsoft hat zunächst Exchange 2007 gewählt, da dies aktuell die älteste Exchange Server Version ist, welche noch in einer Hybrid Konfiguration mit Exchange Online verbunden werden kann.
In Zukunft wird Microsoft dieses System auf alle alten Exchange Server Versionen ausdehnen, egal auf welchem Weg diese Server Mails an Exchange Online senden. Wenn Microsoft dieses Vorgehen so beibehält, dürfte das „Transport-based Enforcement System“ dafür sorgen, dass die alten Exchange Server Versionen endlich abgelöst werden und verschwinden. Können alte Exchange Server zukünftig keine Mails mehr an Exchange Online schicken, dürfte aufgrund der Größe von Exchange Online und den vielen Benutzern schnell der Leidensdruck zu groß werden.
Transport-based enforcement system
As already mentioned, the Transport-based Enforcement System has three functions, the first of which is the reporting of Exchange Server versions that are no longer supported. In the Exchange Online Admin Center, admins can first call up an overview that shows whether there are any affected Exchange servers and the status of these servers. Microsoft has already published a screenshot of the report:
The second function is to throttle a server that is no longer supported, in this phase Exchange Online will reject mails with the following SMTP status code:
450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
The on-prem server is thus forced to keep the mail in its queue and must try to deliver the mail again later. This reduces the throughput of mails to Exchange Online and the delivery of the mails takes longer.
In the third phase, Exchange Online rejects all mails from the outdated Exchange server. The SMTP status code then reads:
550 5.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online blocked for 10 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
In this case, delivery is no longer possible and the sender receives an undeliverability report. The throttling of emails begins after 30 days, the third stage and thus the rejection of emails comes into effect after 90 days. The throttling is gradually increased, as shown in the following table:
Admins have the option of getting a little more time to replace the old servers by suspending blocking and throttling for a maximum of 90 days per year. The pausing of throttling can be configured per server, but is limited to a maximum of 90 days. For example, if you operate 2 Exchange 2007 servers, you can pause one server for 30 days and the other for 60 days, after which the 90 days are used up.
Whether an Exchange Server version is obsolete is not actively determined. The counter for the server starts running when the old Exchange Server delivers a mail to Exchange Online. As already mentioned, the Transport-based Enforcement System is initially applied to Exchange 2007 servers that are connected to Exchange Online with an Inbound Connector. So if you are still using Exchange 2007 Server, you should use the following command to check whether there is a corresponding connector:
Get-InboundConnector | ft Name,ConnectorType
The Transport-based Enforcement System is not yet active, but anyone with old Exchange servers should start thinking about the migration now at the latest, otherwise they may soon have a very tight time frame for the migration. It must also be expected that the system will be extended to other Exchange versions that are no longer supported, such as Exchange 2010 and soon Exchange 2013 (regardless of the hybrid configuration).
Here you can find the article on the Exchange Team Blog: