Exchange Online gaat e-mails van permanent kwetsbare Exchange-servers blokkeren, zo heeft Microsoft aangekondigd. Dit moet beheerders aansporen om naar een wel ondersteunde Exchange-versie te migreren. In eerste instantie wordt er begonnen met e-mails die vanaf mailservers met Exchange Server 2007 worden verstuurd, maar later gaat dit ook gelden voor Exchange 2010 en Exchange 2013. Microsoft wil naar eigen zeggen op deze manier het handhavingssysteem testen en aanpassen.
Zero trust
Microsoft gebruikt het Zero Trust-beveiligingsmodel voor zijn cloudservices, wat vereist dat verbonden apparaten en servers aantoonbaar gezond en beheerd zijn. Servers die niet worden ondersteund of niet gepatcht zijn, zijn voortdurend kwetsbaar en kunnen niet worden vertrouwd, en daarom kunnen e-mailberichten die vanaf deze servers worden verzonden, ook niet worden vertrouwd. Aanhoudend kwetsbare servers verhogen het risico op beveiligingsinbreuken, malware, hacking, data-exfiltratie en andere aanvallen aanzienlijk.
Terwijl we doorgaan met het verbeteren van de beveiliging van onze cloud, gaan we het probleem aanpakken van e-mail die naar Exchange Online wordt verzonden vanaf niet-ondersteunde en niet-gepatchte Exchange-servers. Er zijn veel risico’s verbonden aan het uitvoeren van niet-ondersteunde of niet-gepatchte software, maar verreweg het grootste risico is de beveiliging. Zodra een versie van Exchange Server niet langer wordt ondersteund, ontvangt deze geen beveiligingsupdates meer; dus eventuele kwetsbaarheden die worden ontdekt nadat de ondersteuning is beëindigd, worden niet verholpen. Er zijn vergelijkbare risico’s verbonden aan het uitvoeren van software die niet is gepatcht voor bekende kwetsbaarheden. Zodra een beveiligingsupdate is uitgebracht, zullen kwaadwillende actoren de update reverse-engineeren om een beter begrip te krijgen van hoe de kwetsbaarheid op niet-gepatchte servers kan worden misbruikt.
We hebben vaak gezegd dat het van cruciaal belang is voor klanten om hun Exchange-servers te beschermen door up-to-date te blijven met updates en door andere acties te ondernemen om de beveiliging van hun omgeving verder te versterken. Veel klanten hebben actie ondernomen om hun omgeving te beschermen, maar er zijn nog steeds veel Exchange-servers die geen ondersteuning meer hebben of aanzienlijk achterlopen met updates. Beperken en blokkeren van e-mail van aanhoudend kwetsbare Exchange-servers naar Exchange Online. Aldus het Microsoft Exchange team
30 dagen om actie te ondernemen
Zodra een permanent kwetsbare Exchange-server verbinding maakt met Exchange Online voor het afleveren van e-mails zal dit in het Exchange admin center van de kwetsbare server worden gemeld. Beheerders krijgen dan dertig dagen de tijd om actie te ondernemen. Na deze periode zal Exchange Online beginnen met het “throttelen” van verbindingen afkomstig van de server en een SMTP 450 foutmelding geven. In eerste instantie zal het throttelen vijf minuten per uur zijn, maar dit zal met de tijd verder toenemen.
Waarschuwing niet ondersteunde Exchange-server
Als deze maatregel niet helpt zal Exchange Online beginnen met het blokkeren van verbindingen, en daarmee e-mails, afkomstig van de kwetsbare Exchange-server. Ook de periode dat Exchange Online verbindingen blokkeert vindt geleidelijk plaats, totdat het helemaal niet meer mogelijk is om vanaf de kwetsbare Exchange-server e-mails naar Exchange Online te sturen. Microsoft stelt dat het de maatregel niet invoert om klanten naar de cloud te krijgen, maar die te waarschuwen voor de risico’s van het draaien van een niet meer ondersteunde Exchange-server.
