Direct Send in Exchange Online: So schützen Sie Ihren ausgehenden Mail-Verkehr

Direct Send in Exchange Online: So schützen Sie Ihren ausgehenden Mail-Verkehr

Die „Direct-Send“-Funktion in Exchange Online ist seit Längerem bekannt. Aktuell beobachten wir in Kundenprojekten jedoch wieder vermehrt Konfigurationen, die unbeabsichtigte oder unerwünschte Mailflows ermöglichen.

Die Ursache: Historisch gewachsene Konfigurationen bleiben oft über längere Zeit unangetastet und bergen dadurch Risiken für Sicherheit, Compliance und Kontrolle. Für Unternehmen, die Exchange Online als Bestandteil ihrer E-Mail-Infrastruktur nutzen, lohnt sich daher ein genauer Blick auf die eigene Konfiguration.

Was ist Direct Send?

Mit Direct Send können Systeme innerhalb einer Microsoft-365-Umgebung E-Mails direkt über Exchange Online versenden, ohne dass eine Authentifizierung über SMTP erforderlich ist. Ursprünglich war diese Funktion etwa für Multifunktionsgeräte, Anwendungen oder andere interne Systeme vorgesehen.

Je nach Architektur und individueller Microsoft-365-Konfiguration kann Direct Send allerdings dazu führen, dass Nachrichten den vorgesehenen Mailflow umgehen. Die Kontrolle über den eigenen E-Mailverkehr geht an diesem Punkt verloren.

So reduzieren Sie das Risiko

Aus unserer Erfahrung haben sich insbesondere die folgenden Maßnahmen bewährt:

1. Direct Send überprüfen und einschränken

Prüfen Sie zunächst, ob Direct Send in Ihrer Umgebung tatsächlich benötigt wird. In vielen Organisationen wurde die Funktion früher einmal aktiviert, wird aber gar nicht mehr aktiv genutzt. Wenn möglich, sollte sie dann eingeschränkt oder ganz deaktiviert werden.

2. Nachrichten eindeutig kennzeichnen

Eine wirksame Möglichkeit besteht darin, legitime Nachrichten innerhalb von Exchange Online mit einem individuell modifizierten Header zu kennzeichnen und diesen vor dem Versand zu überprüfen.

Dazu kann eine Transportregel einen solchen Header mit einem „geheimen“ Wert ergänzen. Eine nachgelagerte Policy-Regel überprüft anschließend, ob dieser vorhanden ist. Nachrichten ohne den veränderten Header können zunächst überwacht und später bei Bedarf – ebenfalls regelbasiert – blockiert oder gesondert weitergeleitet werden.

3. Alternativ die Microsoft Tenant-ID prüfen

Als Alternative zur Header-Prüfung lässt sich auch die Microsoft Tenant-ID aus den Exchange-Headern als Authentifizierungsmerkmal verwenden.

Dabei wird überprüft, ob ausgehende Nachrichten den erwarteten Tenant Identifier enthalten. Nachrichten, die diese Prüfung nicht bestehen, kann man auch hier abhängig von den Sicherheitsanforderungen überwachen, blockieren oder weiterleiten.

4. Zunächst Transparenz schaffen

Bevor man zu so drastischen Maßnahmen greift, empfiehlt sich zunächst ein Monitoring der potenziell betroffenen Nachrichten.

Hierfür kann beispielsweise eine entsprechende Policy-Regel verdächtige Nachrichten zunächst per Blindkopie (BCC) an eine dedizierte Mailbox weiterleiten. So lässt sich nachvollziehen, ob und in welchem Umfang Direct-Send-Nachrichten überhaupt auftreten, ohne den laufenden Betrieb zu beeinträchtigen.

Sobald ausreichend Erkenntnisse aus dem Monitoring vorliegen, können die zuvor beschriebenen Regeln aktiviert werden.

Enterprise-E-Mail-Sicherheit endet nicht am Gateway

Die Direct-Send-Thematik zeigt einmal mehr, dass eine sichere E-Mail-Infrastruktur weit über klassische Spam- und Malware-Filter hinausgeht. Gerade in hybriden und cloudbasierten Enterprise-Umgebungen ist ein durchgängiger und kontrollierter Mailflow entscheidend.

Neben der regelmäßigen Überprüfung von Direct Send sollten Unternehmen daher ihre gesamte Exchange-Online-Konfiguration kontinuierlich evaluieren und sicherstellen, dass nur autorisierte Nachrichten die vorgesehenen Kommunikationspfade nutzen.

Verwandtes Thema: Ghost Sender in Exchange Online

Die Direct-Send-Problematik reiht sich in eine Reihe aktueller Diskussionen rund um Exchange Online ein. Ein weiteres Beispiel ist die sogenannte Ghost-Sender-Problematik, bei der unter bestimmten Voraussetzungen ebenfalls unerwünschte Mailflows entstehen können.

Unterstützung bei komplexen Mailflow-Szenarien

Eine professionelle Analyse der bestehenden E-Mail-Architektur, etwa im Rahmen von Professional-Services-Angeboten, hilft dabei, mögliche Schwachstellen frühzeitig zu erkennen und durch geeignete technische Maßnahmen zu beheben.

Tags: //

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert