Die sicherheitsrelevanten Meldungen rund um Microsoft 365 und Exchange Online häufen sich derzeit spürbar. Überhaupt wird die Gemengelage rund um das Thema E-Mail-Sicherheit zunehmend komplexer. Als langjähriger Experten für E-Mail-Sicherheit und geschäftskritische Kommunikations-Infrastrukturen haben wir bei Retarus die wichtigsten Informationen zum aktuellsten Microsoft-„Aufregerthema“ zusammengefasst und für Sie eingeordnet.
Seit einigen Tagen sorgen Berichte rund um die so genannten „Ghost-Sender“-Thematik für Diskussionen unter E-Mail-Verantwortlichen. Auch wir stehen diesbezüglich seit dem Auftreten der ersten Meldungen in engem Austausch mit unseren Kunden.
Was Sie jetzt tun sollten
Vor dem Hintergrund des aktuellen Themas, wollen wir Ihnen im Folgenden einige Empfehlungen mit auf den Weg geben, damit Sie oder Ihre Administratoren den eigenen E-Mail-Flow und die aktuelle Konfiguration mit vorgeschalteten Security Gateways gezielt überprüfen können. Denn der Fall „Ghost Sender“ zeigt einmal mehr, dass die Sicherheit von E-Mail-Infrastrukturen nicht allein von einzelnen Schutzmechanismen oder Bereitstellungsmodellen abhängt, sondern maßgeblich von deren sauberer technischer Umsetzung.
1. Anfälligkeit für direkte Zustellung prüfen
Es empfiehlt sich, zeitnah zu prüfen, ob Ihre Umgebung grundsätzlich für eine direkte Zustellung an den Tenant außerhalb des vorgesehenen Security-Gateway-Pfads anfällig ist. Ein gezielter Test, etwa über ein dafür bereitgestelltes Prüfverfahren wie ghost-sender.com, kann hier eine schnelle erste Einordnung geben. Wenn die Prüfung zeigt, dass Ihre Exchange-Online-Postfächer von außen via „Ghost Sender“ erreichbar sind, empfehlen wir die folgenden Schritte.
2. Den vorgesehenen Zustellpfad eindeutig definieren
Ein zentraler Punkt ist der vorgesehene Zustellpfad selbst. Eingehende E-Mails sollten technisch eindeutig über das vorgelagerte Secure Email Gateway geleitet werden. In der Praxis heißt das: Der sogenannte Mail-Exchange-Eintrag (MX-Record) sollte so gesetzt sein, dass eingehende E-Mails zunächst über das Gateway und nicht direkt über Exchange Online zugestellt werden. Gleichzeitig sollte in Exchange Online ein passender Inbound Partner Connector eingerichtet sein, der genau diesen Weg abbildet.
3. Den Inbound Connector restriktiv konfigurieren
Ein weiterer wichtiger Schritt ist, den Connector möglichst restriktiv zu konfigurieren. Entscheidend hierbei ist, dass nur autorisierte Gateway-Quell-IPs zugelassen werden. So lässt sich verhindern, dass eingehende Verbindungen außerhalb des definierten Pfads dennoch als legitim behandelt werden. Ergänzend kann es sinnvoll sein, den Mail Flow zusätzlich über Transport Layer Security (TLS) beziehungsweise eine passende TLS-Domain- oder Zertifikatsprüfung abzusichern.
4. Direkte SMTP-Zustellung an Exchange Online unterbinden
Direkte Zustellungen an Exchange Online außerhalb des autorisierten Gateway-Pfads sollten konsequent unterbunden werden. Ob dies über Transportregeln oder andere Restriktionen umgesetzt wird, hängt von der jeweiligen Umgebung ab. Entscheidend ist, dass nach der technischen Anpassung nicht nur die Konfiguration sauber aussieht, sondern auch praktisch geprüft wird, ob Direct-to-Tenant- oder Spoofing-Szenarien tatsächlich blockiert werden.
5. Senderauthentifizierung regelmäßig überprüfen
Der fünfte Punkt geht über den aktuellen Anlass hinaus: Überprüfen Sie regelmäßig auch die grundlegenden Schutzmechanismen rund um Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting and Conformance (DMARC). Gerade eine sauber umgesetzte und perspektivisch restriktivere DMARC-Policy hilft dabei, unerwünschte Mail Flows und Spoofing-Risiken insgesamt wirksam zu reduzieren. Wir bei Retarus sehen diese Mechanismen grundsätzlich als festen Bestandteil einer belastbaren E-Mail-Sicherheitsstrategie.
Retarus als Partner für alle E-Mail-Themen
Wer den Weg eingehender E-Mails konsequent absichert und direkte Umgehungen verhindert, kann das Risiko für Spoofing und betrügerische Nachrichten deutlich reduzieren. Retarus versteht sich dabei als Partner, der genau diese Herausforderungen im Blick hat und Unternehmen dabei unterstützt, E-Mail-Sicherheit ganzheitlich umzusetzen.
Wenn Sie in der Praxis Unterstützung benötigen, genau solche Mail-Flow-Risiken sichtbar zu machen, nehmen Sie gerne Kontakt mit unseren Experten auf.
