MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

30.000 unsichere Exchange Server

Die Meldung des BSI am 28. Okt 2025 war deutlich: Über 30.000 veraltete Exchange Server sind per OWA aus dem Internet erreichbar

Für die Mail-Server-Produkte Microsoft Exchange Server 2016 und 2019 ist Mitte Oktober planmäßig der Support des Herstellers ausgelaufen. Seitdem werden keine Sicherheitsupdates mehr für diese Versionen bereitgestellt. Dennoch werden nach Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin über 30.000 MS-Exchange-Server in Deutschland mit diesen oder noch älteren Versionen und einem offen über das Internet erreichbaren Outlook Web Access betrieben.
Quelle https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251028_Support_Ende_Exchange-Server.html

Nun hat auch das BSI einen deutlichen Hinweis veröffentlicht, dass Exchange 2019 und ältere Server keine Updates mehr bekommen und angeblich 30.000 damit „veraltete“ und potentiell unsichere Exchange Server allein in Deutschland aus dem Internet erreichbar und angreifbar sein könnten.

Wie schlimm ist es?

Am 14. Oktober hat Microsoft am letzten Tag des Support Lifecycle noch schnell zwei Updates für Exchange 2016 und 2019 released.

Das sind aber definitiv die letzten öffentlich verfügbaren Updates. Microsoft hat allerdings für Kunden auch danach noch Updates versprochen, die das Extended Security Update-Programm für Exchange abgeschlossen haben und dafür bezahlen. Damit möchte Microsoft zumindest für die Firmen eine Lösung aufzeigen, die schon in der Migration sind aber es nicht rechtzeitig schaffen werden.

Als ich diese Seite am 10. Nov 2025 geschrieben habe, gab es aber auch für Exchange Server SE noch keine neueren Security Updates. Es ist quasi die Ruhe vor dem Sturm, denn der nächste Patchday ist der 11. November 2025 (Zweiter Dienstag im Monat) und viele Exchange Administratoren werden nun gebannt auf die Exchange Server SE Updates für diesen Patchday warten.

Wenn Microsoft hier kritische Lücken in Exchange Server SE fixt, dann müssen wir davon ausgehen, dass die gleichen Lücken auch in Exchange 2019/2016 nur nur theoretisch existieren, sondern auch ausgenutzt werden können. Potentielle Angreifer werden also genau diese Updates auf ihren Angriffsvektor untersuchen

Insofern ist die Warnung des BSI entsprechend ernst zu nehmen. Sie sollten umgehend eine Sicherheitsabschätzung ihrer aktuellen Umgebung machen und sich darauf vorbereiten.

Stimmt die Zahl 30.000?

Damit stellt sich die Frage, wie das BSI überhaupt diese Zahl ermittelt hat. Sind ihre Server denn überhaupt erfasst worden oder ist das nur eine allgemeine Schätzung? Das BSI legt das Verfahren nicht im Detail offen aber schreibt:

Dennoch laufen in Deutschland aktuell noch 92% der dem BSI bekannten rund 33.000 on-premise Exchange-Server mit offen aus dem Internet erreichbarem Outlook Web Access mit Version 2019 und älter.
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-287772-1032.pdf?__blob=publicationFile&v=3

In dem PDF wird sogar die Verteilung nach der Version in Prozent veröffentlicht:


Quelle: BSI https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2025/2025-287772-1032.pdf?__blob=publicationFile&v=3

Das BSI hat vermutlich entweder eine Liste der DE-Domains oder einfach die in Deutschland über Provider angeschlossenen Subnetze nach Webservern durchsucht und die Antwort ausgewertet. auf der Seite Exchange Versionen analysieren und Exchange Build Nummer ermitteln habe ich einige technische Hintergründe beschrieben, wie Sie einen Exchange Server von Extern abfragen und die Version ermitteln können. Das funktioniert natürlich nur, wenn der Exchange Server direkt aus dem Internet erreichbar ist. Damit finden Sie nur kleine Server, die direkt am Internet hängen.

Diese Analyse funktioniert nicht wenn z.B.

  • ... ein ReverseProxy mit Preauthentication davor geschaltet ist,
    um anonyme Zugriffe auf Exchange früh zu unterbinden und nur erwünschte URLs zu erlauben.
  • ... wenn ein Exchange SE-Server als Frontend-Rolle genutzt wird
    Anwender können so weiterhin auf Exchange 2016 Postfach-Servern nach der Anmeldung zugreifen, ohne dass Sie von extern dies erkennen.

Es könnten als noch viel mehr Server sein, die potentiell gefährdet sind und viele Server sind vermutlich sehr kleine Installationen, die nicht oder schlecht gepflegt werden und sich der Gefahr gar nicht bewusst sind.

Abhilfe

Wenn Sie aber das Risiko nun kennen, dann können Sie sich nicht mehr herausreden und müssen handeln. Hier eine Auswahl der Möglichkeiten:

  • Exchange 2019 auf Exchange SE Inplace Update
    Exchange SE ist genau genommen auch nur ein Exchange 2019 Server und ein Inplace-Update ist dies mal sogar möglich. Kümmern Sie sich schnell um eine Lizenz und starten Sie ein Inplace Updates auf dem Server. Das Risiko ist minimal, die Systemvoraussetzungen sind identisch und selbst mit der Exchange 2019 Lizenz läuft der Server erst einmal weiter. Erst mit einem späteren CU soll eine genaue Prüfung erfolgen. Das ist aber eine technische Lösung und ohne passende Lizenz ist der Betrieb nicht rechtmäßig. Siehe Exchange SE Licensing
  • Update von Exchange 2016 auf Exchange SE
    Wenn Sie noch "so alt" sind, ist nur ein "Swing Update" möglich. Sie sollten Sie nun aber den Zwischenschritt über Exchange 2019 sparen. Dennoch ist der der Prozess aufwändiger und dauert länger, da Sie alle Rollen (Clientzugriff, Transport und Postfachdaten) auf neue Server migrieren müssen. In der Zwischenzeit sollten Sie Härtungsmaßnahmen für Exchange 2016 umsetzen.
  • Migration zu Exchange Online und Entfernen von Exchange OnPremise
    Der Wechsel zu Exchange Online ist auch jetzt noch eine Option und kann sehr schnell erfolgen. Danach ist lokal oft kein Exchange Server mehr erforderlich, denn seit April 2022 können Sie allein mit der Exchange Management Shell und seit August 2025 können Sie Exchange Objekte sogar komplett in Exchange Online (Stichwort isExchangeCloudManaged:$true) verwalten. Siehe dazu Exchange Online Provisioning. Ein lokaler Exchange Server ist nur noch erforderlich, wenn Sie weiterhin lokale SMTP-Relays oder lokale Postfächer betreiben müssen.
  • Extended Security Updates Programm (ESU)
    Sie können Exchange 2016/2019 noch bis 14.04.2026 mit Extended Security Update betreiben. Dies sind aber Zusatzkosten und nimmt etwas Druck aber eine Migration müssen Sie dennoch angehen. Zudem nimmt Microsoft wohl nur Kunden auf, die eine Migration schon durchführen oder konkrete Planungen nachweisen. 

Es gibt noch einige weitere Optionen, au die ich nicht alle eingehen kann. Auf der Seite Exchange SE Update Guide und Migration zu Exchange Server SE finden sie weitere Informationen

Was kann ich sonst machen?

Nehmen wir mal an, dass sie den Exchange 2016/2019 noch nicht entfernen können aber das Extended Security Update Programm steht ihnen nicht zur Verfügung. Dann ist es besonders wichtig, dass Sie alle zukünftigen Exchange SE Updates genau auf ihr Angriffspotential hinsichtlich ihres Risikos analysieren.

  • Sicherheitslücke anonym von extern ausnutzbar
    Das ist natürlich der GAU und schon der Hafnium Exploit hat die Gefahr deutlich gemacht. Ich würde mich aber nicht darauf verlassen, dass Microsoft selbst solche Fehler für Exchange 2016/2019 mit einem öffentlichen Update korrigiert. Sollte so ein Fehler offenbar werden, können Sie ihren Exchange Server erst einmal nur "offline" nehmen
  • Sicherheitslücke authentifiziert von extern ausnutzbar
    Damit beschränkt sich der Kreis der Angreifer auf authentifizierte Personen. Das scheint erst einmal weniger kritisch aber es soll Firmen geben, in denen sich Angreifer schon viele Wochen eingenistet haben und nur auf solch eine Lücke warten. Über eine Preauthentication für Zugriffe aus dem Internet können Sie die Angriffsfläche aber reduzieren. Die Details sind dann Aufgabe einer Sicherheitsbetrachtung.
  • Fix gegen Datenverlust
    Es gibt immer mal wieder Fehler in Exchange, die einen Datenverlust bewirken können, z.B. Fehler in der Datenbank oder dem Transport. Ihr Risiko ist dabei nicht ein externer Angreifer, sondern einfach eine Fehlfunktion, die es wohl schon viele Monate oder Jahre gibt aber nun erst erkannt wurde. Bewerten Sie, wie lange Sie mit diesem Risiko leben wollen.
  • Fix/Nachrüstung für Funktionen
    Am unkritischsten sind Korrektoren, die einen Fehler in der Funktion betreffen, aber keine Daten löschen oder Lücken aufreißen. Wenn z.B. Zeitzonen angepasst werden oder neue Betriebssysteme eines mobilen Clients eine Funktion nutzen, die alte Server noch nicht unterstützen, dann kann dies den Rollout oder Updates von Clients blockieren oder zumindest erschweren.

Wir werden also abwarten müssen, welche Korrekturen Microsoft mit Exchange Server SE zukünftig veröffentlicht.

Viele Schutzvorkehrungen können Sie aber zusätzlich vorsehen und hätten Sie sogar schon viele Jahre umsetzen können. Sie beziehen sich auf entsprechende Sicherungs- und Härtungsmaßnahmen der lokalen Exchange Server gegen Angriffe

  • Sicheres Betriebssystem
    Updates Exchange sind nur ein Teil. Lücken und Fehler im Betriebssystem können auch mit installiertem Exchange Server weiter korrigiert werden. Windows 2016 unter Exchange 2016 bekommt noch bis 12. Jan 2027 entsprechende Updates. (https://learn.microsoft.com/de-de/lifecycle/products/windows-server-2016)
  • Netzwerksegmentierung und Verbindungssteuerung
    Ein Exchange Server hat klar bekannte Anforderungen hinsichtlich ausgehender Verbindungen zu DNS-Servern (53/UDP+TCP), anderen Mailservern (25/SMTP) und im Backend zu Domain Controllern (LDAP/Kerberos), Backup-Systemen, Monitoring-Systemen etc.
    Eingehend sind Exchange Server für Client über 25/SMTP für Mailserver und 443/HTTPS für Clients erreichbar. Der Zugriff auf 587/SMTP, 993/IMAP4S, 995/POP3S kann oft sogar auf bestimmte Subnetze beschränkt oder generell abgeschaltet werden (https://learn.microsoft.com/de-de/exchange/plan-and-deploy/deployment-ref/network-ports)
    Die Durchsetzung dieser Beschränkungen sollten Sie nicht nur der Exchange Konfiguration oder der natürlich aktivierten Windows Firewall überlassen. Sie können Exchange Server in eigene Subnetze platzieren und über interne Firewall oder zumindest Accesslisten auf dem internen Router die Kommunikation auf das nötige Minimum beschränken.
    Es gibt kein Grund, warum z.B. Clients auf auf SMB, RPC oder Exchange interne Ports (444/http, 8080/HTTPS, 50636(EdgeSync) u.a. zugreifen müssen oder Exchange Server andere Server ansprechen.
  • Exchange als Sprunghost
    Gerade der Hafnium Exploit hat deutlich gemacht, ob ein von extern gekaperter Exchange Server als Sprungbrett in die Firma dienen kaknn. Wenn ihr Exchange 2016 Server nicht mehr aktualisiert wird, dann ist es höchste Zeit die Möglichkeiten des Server zur Kommunikation zu anderen Diensten zu reduzieren.
  • Pre-Authentifizierung oder VPN
    Die sehr große Angriffsfläche von anonymen Zugriffen können Sie mit einer Preauthentifizierung über einen ReverseProxy, WebApplication Firewall oder VPN-Zwang reduzieren. Das gilt für Zugriffe aus dem Internet ebenso wie aus dem internen LAN. So ein Reverse Proxy kann zudem TLS aufbrechen und die URLs weiter auf schädliche Aktionen überprüfen. Achten Sie dabei aber auch die Besonderheiten von Exchange Extended Protection. Zugriffe aus dem internen LAN und dem Internet und beschränken die Angreifer auf authentifizierte Anwender oder explizit zugelassene IP-Adressen, z.B. für Exchange Hybrid. Das ist allerdings kein Schutz gegen den Zugang durch Angreifer, die entsprechende Zugangsdaten bereits haben.

Die Updates im Okt 2025 für Exchange 2016/2019 und SE haben alle die drei gleichen Lücken gefixt, die aber nur ausnutzbar waren, wenn der Angreifer entweder auf dem Server sich anmelden konnte oder ein authentifizierter Benutzer war

Das soll kein Freibrief für einen Weiterbetrieb von Exchange 2016/2019 sein, aber schauen Sie sich zukünftige Exchange SE Updates diesbezüglich an. Das Risiko nimmt aber von Monat zu Monat zu. Das sind nur ein paar Ansätze für eine bessere Absicherung von Exchange gegen mögliche Angriffe aus dem internen und externen Netzwerk. Wer heute noch Exchange 2019/2016 oder noch älter betreibt, muss umgehend handeln, eine Risikobetrachtung durchführen und bis zum kompletten Rückbau die Server bestmöglich absichern, den Zugriff beschränken und zügig migrieren.

Die Sicherheit und Härtung von Exchange Servern ist ein vielschichtiges Thema und betrifft nicht nur den Server, sondern auch das Netzwerk, Firewalls und viele Lücken kommen indirekt durch unsichere Active Directory Einstellungen. Über Net at Work können Sie mich gerne für kommerzielle Anfragen erreichen.

Vermutlich offene Lücken

Hier versuche ich die Lücken zu beschreiben, die durch Exchange Server SE Updates mittlerweile gefixt sind aber in Exchange 2016/2019 vermutlich weiter vorhanden sind.

No Exchange Server Security Updates for November 2025
https://techcommunity.microsoft.com/blog/exchange/no-exchange-server-security-updates-for-november-2025/4468993

Damit haben alle Exchange 2016/2019 Server auch ohne Wartung noch mal eine Frist bis Dezember.

Datum/SU/CU Schweregrad Beschreibung und Links

 

 

 

Die hier gemachten Analysen und Bewertungen sind meine individuelle Einschätzung und sollten Sie dabei unterstützen ihre eigene Sicherheitsbetrachtung durchzuführen.

Weitere Links