Exchange Online

Exchange Online stellt die Basic-Authentifizierung für “Client Submission (SMTP AUTH)” stufenweise ein. Ab dem 1. März 2026 werden erste Verbindungsversuche mit Basic auth abgelehnt, und ab dem 30. April 2026 erfolgt die vollständige Abschaltung – Basic auth wird dann endgültig nicht mehr unterstützt. Ursprünglich war dieser Schritt bereits für September 2025 vorgesehen, wurde jedoch im Juni 2025 auf das Frühjahr 2026 verschoben. Um Unternehmen und Administratoren rechtzeitig vorzubereiten, hat Microsoft zusätzliche Maßnahmen angekündigt. Bereits seit Oktober 2024 zeigt der “SMTP AUTH Clients Submission Report” an, ob Verbindungen per Basic auth oder OAuth erfolgen. Darüber hinaus werden im Laufe des Jahres 2025 Erinnerungsmeldungen im Microsoft Message Center bereitgestellt, konkret zu Beginn des Jahres sowie noch einmal im August 2025. ...

Was ist Direct Send und warum ist es problematisch? Direct Send ist eine Funktion in Exchange Online, mit der Geräte, Anwendungen oder Drittservices E-Mails direkt, ohne jegliche Authentifizierung, an Postfächer im eigenen Tenant senden können. Statt über sichere, geprüfte Verbindungen zu laufen, greifen diese Mails auf die öffentlich erreichbare Endpoint-Domain des Tenants zu, z. B. deine‑firma‑com.mail.protection.outlook.com. Genau darin liegt das Risiko: Da keine Authentifizierung notwendig ist, können Angreifer täuschend echte interne E-Mails versenden, ohne Zugang zu Konten oder Passwörtern. Hinzu kommt, dass Direct Send herkömmliche Schutzmechanismen wie SPF, DKIM und DMARC umgeht, weil die Mails über Microsofts eigene Infrastruktur zugestellt werden. Dadurch können Phishing-Nachrichten leichter in Postfächern landen und ein hohes Sicherheitsrisiko darstellen. ...

Viele Admins kennen dieses Bild. Alle Postfächer längst in Exchange Online, aber im Keller steht immer noch dieser eine Exchange-Server, der eigentlich nichts mehr tut – außer Attribute im Active Directory für die Cloud freizugeben. Er läuft, er nervt, er wird gebraucht - bisher. Warum war dieser Server so hartnäckig nötig? Weil Exchange-Attribute von synchronisierten Benutzern in der Cloud nicht einfach angepasst werden konnten. Änderungen an E-Mail-Adressen oder Postfacheinstellungen mussten weiterhin On-Prem erledigt werden. Auch wenn die Postfächer längst weggezogen waren, hing das Management noch an der lokalen Infrastruktur. ...

Am 14. Oktober 2025 endet der erweiterte Support für Exchange Server 2016 und 2019. Ab diesem Datum erhalten diese Versionen keine Sicherheitsupdates, Fehlerbehebungen oder technischen Support mehr​. Zwar werden bestehende Exchange-Server weiterhin funktionieren, jedoch läuft man ohne Updates Gefahr, bekannten oder zukünftigen Sicherheitslücken schutzlos ausgesetzt zu sein​. Für viele Unternehmen kann der Betrieb nicht unterstützter Systeme zudem Compliance-Risiken bedeuten, da Sicherheitsstandards und Prüfungen aktuelle Patches voraussetzen. Folgen und Risiken des Support-Endes Ohne weitere Sicherheitsupdates steigt das Risiko von Datenpannen und Systemkompromittierungen erheblich. Neue Schwachstellen – ähnlich früheren Exchange-Exploits – würden ungepatcht bleiben. Überdies verfolgt Microsoft im Sinne von Zero Trust konsequent die Absicherung von Cloud-Anbindungen. So werden aktuell bereits Verbindungen von veralteten oder ungepatchten On-Premises-Exchange-Servern unterbunden oder limitiert​. IT Administratoren sehen in Ihren SMTP Logs mitunter folgende Meldungen. Die Limitierung lässt sich zwar für 90 Tage pausieren, danach bestehen zumindest in hybriden Umgebungen erhebliche Einschränkungen. ...

Microsoft wird im kommenden Monat die Grenzwerte für den Versand von externen E-Mails von Exchange Online heraus beschränken. Bereits heute ist es nicht gestattet, Exchange Online für den Massenmailversand zu verwenden. Diesbezüglich wurde vor einiger Zeit bereits die Lösung High Volume E-Mail (HVE) in Exchange Online bereitgestellt: Manage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn Die sog. Tenant External Recipient Rate Limit TERRL wird nachfolgend erklärt: ...

Seit 2024 prüft Microsoft bei der Aktivierung von „Outlook New“ auf dem Desktop, ob eine gültige Office-App-Lizenz vorhanden ist. Nutzer mit Business Basic Lizenz oder Exchange Online Lizenz erhalten häufig Fehlermeldungen wie „NoOfficeProPlus“, da diese Lizenz die Nutzung von Desktop-Anwendungen nicht abdeckt. Laut Microsoft sollte die Nutzung von Outlook Classic (Windows und Mac) sowie von Outlook für Windows in Verbindung mit Office 365 E1, Microsoft 365 Business Basic oder Microsoft Exchange Online P1/P2 bereits jetzt nicht mehr möglich sein. (Exchange Online service description - Service Descriptions | Microsoft Learn) ...

Hintergrund Für einige Berechtigungen ist es hilfreich diese an die Mitgliedschaft in bestimmten Gruppen zu binden. Leider sind nicht alle Berechtigungen an eine Gruppe zu binden. Das bezieht sich zum Beispiel auf zugelassene Exchange Protokolle. Es könnte also sinnvoll sein eine AzureAD Gruppe zu verwenden dessen Mitglieder automatisch für die Nutzung von SMTP oder die Nutzung von IMAP/POP3 aktiviert werden ohne, dass man manuell in die Exchange Administration eintauchen muss. Diese Gruppe kann zum Beispiel auch aus dem OnPrem AD synchronisiert werden. Somit kann man dort auch direkt die Protokolle für einen Nutzer administrieren. ...