Was ist Direct Send und warum ist es problematisch?
Direct Send ist eine Funktion in Exchange Online, mit der Geräte, Anwendungen oder Drittservices E-Mails direkt, ohne jegliche Authentifizierung, an Postfächer im eigenen Tenant senden können. Statt über sichere, geprüfte Verbindungen zu laufen, greifen diese Mails auf die öffentlich erreichbare Endpoint-Domain des Tenants zu, z. B. deine‑firma‑com.mail.protection.outlook.com.
Genau darin liegt das Risiko: Da keine Authentifizierung notwendig ist, können Angreifer täuschend echte interne E-Mails versenden, ohne Zugang zu Konten oder Passwörtern. Hinzu kommt, dass Direct Send herkömmliche Schutzmechanismen wie SPF, DKIM und DMARC umgeht, weil die Mails über Microsofts eigene Infrastruktur zugestellt werden. Dadurch können Phishing-Nachrichten leichter in Postfächern landen und ein hohes Sicherheitsrisiko darstellen.
Bin ich betroffen?
Ob im eigenen Tenant die Option richtig gesetzt ist, kann man über Exchange Online Powershell abfragen. Steht der Parameter auf false ist Direct Send nicht auf authentifizierte Connectoren beschränkt.
|
|
Zusätzlich hierzu lässt sich über das Exchange Online-Admin-Center über Reports > Mailflow > Inbound messages report erfassen, wie viele Mails an Connectoren vorbei versendet werden.
Wie kann man Direct Send absichern?
Ein neues Feature in Exchange Online ermöglicht es, dass E-Mails vom eigenen Domainnamen, aber ohne Authentifizierung, grundsätzlich abgelehnt werden. Aktivieren kann man dies per Exchange Online PowerShell
|
|
Nach Aktivierung wird jede Direct‑Send-Mail mit dem Fehler
|
|
abgelehnt.
Nach der Aktivierung dürfen nur noch Systeme, die sich über Inbound Connectoren authentifizieren, senden. Hier ist gegebenenfalls ein wenig Vorarbeit notwendig, wenn zuvor Systeme nicht über Inbound Connector authentifiziert wurden.