EXO Throttling und Blocking

Vermutlich haben Sie auch auf dem Exchange Team Blog den Artikel gelesen, dass Microsoft Exchange Online anfängt, die Einlieferung von Mails durch zu alte Exchange Server Versionen zu unterbinden. Was steckt dahinter und was können sie tun, wenn dieser Fall ihre Kommunikation erschwert?

Schutzbedarf

Wer einen Mailserver betreibt, kann diesen schlecht verbergen. Mittels DNS kann jeder den MX-Record einer Domain ausfindig machen und über Port 25 eine Mail zustellen. Besser: Er kann es versuchen denn in Zeiten von Spam, Malware u.a. können Sie heute keinen Server mehr ohne entsprechende Spamfilter wie z.B. NoSpamProxy u.a. betreiben. Wenn Sie mögen können Sie die Absender in verschiedene Klassen einteilen.

  • Aktive Spam/Malware-Sender
    Das sind Systeme, die millionenfach ihre Schadsoftware über meist temporäre oder gekaperte Privatrechner oder unsicher konfigurierte Mailserver als "offenes Relay" versenden. Die meisten, wenngleich nicht alle, dieser Mails werden von Spamfiltern
  • Professionell betriebene Systeme
    Auf der anderen Seite stehen Mailserver, deren Betreiber alles für eine zuverlässige Zustellung machen. Sie nutzen aktuelle Software, die nicht nur optimal konfiguriert ist, sondern auch viele Zusatzfunktionen wie SPF und DKIM, gerne auch TLS oder SMIME unterstützen, und damit dem empfangenen System viele Möglichkeiten zur Verifikation ermöglichen.
  • Unsichere Systeme
    Dann gibt es aber noch zu viele Installationen, die einfach nur mal eingerichtet und dann vergessen wurden. Aus heutiger Sicht sind diese Server unsicher und zuerst ein Risiko für den Betreiber selbst aber im zwischen Schritt auch für alle anderen System, zu denen diese Umgebung eine Verbindung aufnehmen kann.

Die in 2023 eingeführte Funktion zum Drosseln und im Extremfall zum Blockieren von eingehenden SMTP-Verbindungen solcher Systeme soll die Betreiber aktiv darauf aufmerksam machen, dass Sie ein unsichere System betreiben.

Ehe sie nun Zeter und Mordio schreien und auf Microsoft schimpfen, sollten Sie überlegen, welche Auswirkungen diese Änderung hat. Für Nutzer von Exchange Online kommt der Moment, dass einige Mails erst verspätet und schlimmstenfalls gar nicht mehr angenommen werden. Der Absender kann seine Mails nicht mehr absenden aber das ist und bleibt nun mal dessen Verantwortung. Versuchen Sie mal ein Paket oder einen Brief bei der Post aufzugeben, der z.B. Gefahrstoffe enthält oder aufgrund der Form oder Verschmutzung nicht transportiert werden kann. Förderbänder reagieren z.B. empfindlich auf klebrige Oberflächen. Auch im Internet erzwingen die meisten populären Seiten mittlerweile TLS 1.2 (Siehe TLS 1.2 Enforcement) oder alte Browser und sperren damit natürlich alte Clients aus. Ein Windows XP mit Internet Explorer 8 kann nicht wirklich mehr im Internet teilnehmen. Selbst im Straßenverkehr müssen auch alte Fahrzeuge einem Mindeststandard entsprechen, damit sie zulassungsfähig sind. Schon um ein Mitlesen auf dem Transportweg zu erschweren, würde ich statt "Opportunistic TLS" auf "Mandantory TLS" umsteigen, d.h. wer nicht mal mit einem selbstsignierten Zertifikat Transportverschlüsseln kann, darf nicht mehr einliefern.

Betroffene Systeme

Die neue Funktion von Exchange wird aber keine Zustellung aus dem Internet unterbinden sondern greift nur auf "On-Premises"-Konnectoren in ihrem Office 365 Tenant. Diese Konfiguration sollte aber nur für die Hybrid-Kopplung mit Servern ihres eigenen Unternehmens eingesetzt werden. Ein "On-Premises"-Connector gewährt dem einliefernden Mailserver einen sehr hohen Vertrauensvorschuss, z.B.: indem diverse Spamfilter nicht greifen und auch die "Header Firewall" ausgeschaltet bleibt. Daher ist es wichtig, dass ein System mit diesen Privilegien auch entsprechende Sicherheitsstandards erfüllt.

Die neuen Drosselung und Blockierung wirken erst einmal nur auf dem On-Premises-Connector. Dazu müssen Sie den Exchange Hybrid Mode eingerichtet haben, der ihnen in Exchange Online zwei zusätzliche Connectoren generiert von denen einer die Richtung von On-Prem zu Exchange Online bedient:

Die Verbindungen zu diesem Connectoren müssen natürlich nicht von einem Exchange On-Premises Server kommen, sondern können auch andere Firmenmailserver sein. Die vom HCW konfigurierte Connectore haben aber noch weitere Parameter, die Sie nur in der Exchange Online PowerShell sehen:

Der Parameter verrät Exchange Online, dass diese eine Verbindung von einem On-Premises-System ist, und Exchange Online den zusätzlichen Headern in der Mail vertrauen soll. Zudem bietet er der Gegenseite dann das SMTP-Verb "XOORG" an, so dass auch hier der einliefernde Exchange Server mehr Informationen mitliefern kann.

Leider hat Microsoft noch nicht dokumentiert, woran genau Exchange Online einen einliefernden Exchange Server mit dessen Version und Patchstand ausfindig macht. Vielleicht senden aktuelle Exchange Server schon im SMTP-Handshake eine zusätzliche Information mit, so dass Exchange Online dies sofort prüfen kann. Oder EXO prüft einfach den obersten "ReceivedBy"-Header der Mail.

Mittlerweile hat Microsoft eine Roadmap veröffentlicht.


Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/update-on-transport-enforcement-system-in-exchange-online/ba-p/3827774

Da sie als Administrator des Tenant meist auch Administrator der lokalen Exchange Server sind, liegt es in ihrer Hand, das lokale System entsprechend sicher zu machen. Sie sollten also schon aus eigenen Interesse ihre lokalen Exchange Server aktuell halten. Knifflig wird es allerdings, wenn Sie lokal einen Exchange Server betreiben für den es keine Update mehr gibt. Ab April 2023 trifft dies dann für Exchange 2013,2010,2007 und früher zu, die dann nicht mehr als Gegenstelle eines On-Premises-Connectors genutzt werden können.

In der ersten Stufe wird Microsoft diese Funktion auf Exchange 2007 beschränken.

The enforcement system will eventually apply to all versions of Exchange Server and all email coming into Exchange Online, but we are starting with a very small subset of outdated servers: Exchange 2007 servers that connect to Exchange Online over an inbound connector type of On-Premises.
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/throttling-and-blocking-email-from-persistently-vulnerable/ba-p/3762078

Wer heute noch Exchange 2007 betreibt (Support Ende war am 11. April 2017!) wird damit aber feststellen, dass diese Änderung ab Aktivierung nach 90 Tagen den Mailfluss zwischen einem lokalen Exchange 2007 Server und einem Tenant komplett unterbricht. Leider kann in eine Exchange 2007 Umgebung auch maximal ein Exchange 2013 Server installiert werden, dessen Support im April 2023 ausläuft. Sie müssen also möglichst schnell den Exchange 2007 Server loswerden oder auf den On-Premises-Connector verzichten.

Eskalation

Microsoft definiert acht Stufen des Drosseln und Blockieren, die abhängig von der Dauer des "Compliance Status" sind. Microsoft bewertet bei der eingehenden Verbindung die Version des Exchange On-Premises Servers anhand der Version im SMTP-Header und prüft diese gegen die eigene Build-History (Siehe auch Exchange und Outlook Build Nummern). "Compliant" sind alle Exchange Server, die von Microsoft in dem Moment noch unterstützt werden, d.h. das aktuelle oder vorherige Security Update installiert haben. Da Microsoft ca. jeden Monat ein Exchange Security Update veröffentlicht, sollte ihre lokale Installation nicht länger als ca. 60 Tage ungepatched bleiben.

Aus meiner Erfahrung sollten Sie speziell Security Updates sehr kurzfristig einspielen oder vielleicht den lokalen Service komplett zu Exchange Online migrieren.

Die acht Stufen orientieren sich an den Tagen seit dem der Server als "unsicher" zählt. Ich habe die Tabelle von Microsoft in einen Zeitablauf gebracht. Die X-Achse gibt die Tage seit dem "outdated"-Status eines Servers an und die >-Achse die Anzahl der Minuten. Ein Reporting ist dabei immer vom Tag 0 schon aktiv.

  • Blaue Linie: Temporäre Ablehnung
    Zuerst nimmt die Anzahl an Minuten zu, an denen Exchange Online die Mails mit einem temporären Fehler abblockt. Ihr Absender stellt die Mail zurück und versucht es später wieder. Der Anwender bemerkt dies indirekt, dass eine Mail von ihm verspätet zugestellt wird und der Administrator wird hoffentlich entweder im Monitoring sehen, dass Mails länger in der Queue liegen oder Anwender anrufen.
450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
  • Rote Linie: Permanente Ablehnung
    Nach 50 Tagen fängt Exchange Online an, die Mails dauerhaft abzulehnen. Der Absender bekommt dann eine Unzustellbarkeit und wird sich an seinen Administrator wenden oder die Mails einfach erneut senden.
450 4.7.230 Connecting Exchange server version is out-of-date; connection to Exchange Online throttled for 5 mins/hr. For more information see https://aka.ms/BlockUnsafeExchange.
  • Grüne Linie: Problemloser Empfang
    Die Anzahl in Minuten, an denen Exchange Online die Mails ungedrosselt oder ungeblockt von einem veralteten Server annimmt, nimmt immer weiter ab, bis nach 90 Tagen gar kein Empfang mehr möglich ist.

Wenn ein Administrator es wirklich so lange verpasst hat, dann kann er pro Jahr bis zu insgesamt 90 Tage ein "Unblocking" aktivieren. Diese Option ist dafür gedacht, um temporär wirklich eine Verzögerung bei der Installation von Updates zu überbrücken.

Abhilfe

Wenn Exchange Online ihre On-Premises-Umgebung blockt, dann werden ihnen die 90 Tage "Unblocking" nicht mehr reichen. Entsprechend gibt es folgende Optionen:

  • Exchange Update
    Sie aktualisieren ihren Exchange Server auf eine Version und einen Patchstand, der von Exchange Online akzeptiert wird. Das kann auch ein weiterer Exchange Server rein für SMTP-Routing zum Tenant sein. Beachten Sie aber die "Tri-State"-Versionsregel, d.h. Exchange 2007 kann nur mit 2010/2013 aber nicht 2016 parallel existieren.
  • Verzicht auf On-Premises Connector
    Sie können einen Partner-Connector mit dem gleichen Informationen (Source-IP, Source Zertifikat) anlegen, um ihrem Exchange On-Premises Server einen Vorteil zu gewähren. Allerdings ist dies nicht mit einem On-Premises-Connector zu vergleichen, denn die Mails von On-Premises zu Exchange Online werden dann nicht mehr als "intern" angesehen. Entsprechend funktionieren insbesondere Mails an Verteiler oder Gruppen mit Beschränkungen auf "Authentifizierte Benutzer" nicht mehr.
  • Fremdsystem als Relay
    Sie könnten ihre On-Premises Mails über einen 3rd Party SMTP-Server routen. Dann "erkennt" Exchange aber auch nicht mehr, dass es sich um einen Exchange Server handelt aber der Weg bekommt auch nicht mehr die Privilegien eines "On-Premises"-Connector.
  • Rückbau Exchange On-Premises
    Sie können auch die Anzahl der Mails von Exchange On-Premises Absendern an Exchange Online Empfängern dadurch reduzieren, dass sie die Postfächer in die Cloud migrieren, so dass am Ende nur noch wenige Mails von z.B.: automatisierten Problemen übrig bleiben, die dann aber auch über einen Partner Connector bedient werden können.

Probleme bekommen im ersten Schritt zuerst die Exchange 2007 Administratoren. Alle anderen haben noch etwas Zeit. Das sollte aber kein Grund sein die Ertüchtigung der lokalen Umgebung zu verschieben

Zukunft

Aktuell ist es nur Exchange Online, welches die unsicheren Exchange On-Premises Server mehr und mehr blockiert. Allerdings sollten wir uns sicher sein, dass jede Firma ein berechtigtes Interesse daran hat, die eigene IT-Umgebung zu sichern. Genau genommen machen das alle Spamfilter schon lange, die Mails von bestimmten IP-Adresse (RBL-Listen, Dynamische IP-Adressen, Offene Relays, Backscatter-Server etc.) ablehnen. Exchange Online hat hier die On-Premises Server im Blick, die durch den Connector eine Vertrauensstellung bekommen haben, die ihnen als ungepatchtes oder veraltetes System gar nicht mehr zustehen sollte.

Ich bin sicher, dass nicht nur Microsoft kontinuierlich die Zugriffe und Verbindungen auf Microsoft 365 beobachtet und wenn bestimmte Muster, Clients oder Server ein Risiko darstellen, dann würde ich als Firma auch Vorkehrungen treffen. Wenn es einen zuverlässigen Weg gibt, z.B. alte Browser, IMAP/POP-Client oder auch Mailserver zu erkennen, die nachweislich unsicher sind, dann kommt irgendwann der Moment, diese Systeme zu blocken oder zumindest zu bestrafen.

We are initially focusing on email servers we can readily identify as being persistently vulnerable, but we will block all potentially malicious mail flow that we can.
Quelle: FAQ-Bereich auf https://techcommunity.microsoft.com/t5/exchange-team-blog/throttling-and-blocking-email-from-persistently-vulnerable/ba-p/3762078

Wenn das der einzige Weg ist, solche Firmen dazu zu zwingen, sich um eine aktuelle Konfiguration ihrer Umgebung zu kümmern, dann finde ich den Weg gerechtfertigt, auch wenn dies mit Kosten bei der anderen Seite verbunden ist. Mit einer Übergangszeit dürften oder können eben einige Dinge nicht mehr genutzt werden. Dieses Prinzip gilt aber nicht nur in der IT. Bezahlen mit Magnetstreifen funktioniert genauso wenig wie Telefonieren mit einem GSM-Telefon aus den Anfangszeiten. Ich habe früher GSM-Modems ersetzt, weil sie nicht mehr funktionsfähig waren und über den TLS 1.2-Zwang ist auch nur eine Minderheit erzürnt, denen Sicherheit nicht wichtig ist.

Gewöhnen wir uns daran, dass Sicherheit und Stabilität eine kontinuierliche Weiterentwicklung aber auch Aktualisierung erforderlich macht und dies nicht immer ohne Kosten möglich ist. Vielleicht ist es ja doch die eine Option, den schlecht lokal verwalteten Service an einen Anbieter zu überführen. Es muss ja nicht Microsoft sein.

Weitere Links