Powoli, ale nieuchronnie, Microsoft zamierza uniemożliwić nieobsługiwanym i/lub niezałatanym lokalnym serwerom Microsoft Exchange korzystanie z firmowej usługi hostowanej w chmurze Exchange Online w celu dostarczania poczty e-mail.

Blokowanie potencjalnie złośliwych wiadomości e-mail przed dotarciem do usługi Exchange Online

„Adresować [the problem of persistently vulnerable Exchange servers that cannot be trusted]udostępniamy oparty na transporcie system egzekwowania w Exchange Online, który ma trzy podstawowe funkcje: raportowanie, ograniczanie i blokowanie” — zauważył zespół Exchange.

„System został zaprojektowany w celu ostrzegania administratora o nieobsługiwanych lub niezałatanych serwerach Exchange w ich środowisku lokalnym, które wymagają naprawy (aktualizacji lub poprawki). System ma również możliwości ograniczania i blokowania, więc jeśli serwer nie zostanie naprawiony, przepływ poczty z tego serwera zostanie ograniczony (opóźniony) i ostatecznie zablokowany”.

Na pierwszym etapie tego planowanego egzekwowania Microsoft po prostu wyjaśni administratorom Exchange Server, że dany serwer jest nieobsługiwany lub nieaktualny: wyświetlając alerty w nowym raporcie przepływu poczty w centrum administracyjnym w Exchange Online oraz poprzez post w Centrum wiadomości, który zobaczą wszyscy klienci programu Exchange Server.

Jeśli to nie zachęci ich do wprowadzenia poprawek lub aktualizacji w ciągu najbliższych 30 dni, firma przejdzie do następnego etapu: opóźnienia (ograniczenia) dostarczania wiadomości e-mail przez serwer do usługi Exchange Online na 5 minut.

Kolejne 6 etapów obejmuje wydłużające się okresy samego dławienia lub dławienia ORAZ blokowania. Wreszcie, jeśli administrator tego serwera nie przeniósł się do poprawki lub uaktualnienia serwera w ciągu 90 dni, usługa Exchange Online nie będzie już akceptować żadnych wiadomości z serwera.

Etapy progresywnego systemu egzekwowania (źródło: Microsoft)

Microsoft twierdzi, że serwerom „stale wrażliwym” i wysyłanym z nich wiadomościom e-mail nie można ufać i stanowią one zagrożenie dla wszystkich instancji chmury Exchange Online, a także odbiorców wiadomości e-mail.

„System egzekwowania będzie ostatecznie dotyczył wszystkich wersji programu Exchange Server i całej poczty przychodzącej do usługi Exchange Online, ale zaczynamy od bardzo małego podzbioru przestarzałych serwerów: serwerów Exchange 2007, które łączą się z usługą Exchange Online za pośrednictwem łącznika przychodzącego typu OnPremises, ” dodał Zespół Giełdy.

„Po tym wstępnym wdrożeniu stopniowo będziemy włączać inne wersje programu Exchange Server w zakres systemu egzekwowania. Ostatecznie rozszerzymy nasz zakres o wszystkie wersje Exchange Server, niezależnie od tego, w jaki sposób wysyłają pocztę do Exchange Online”.

Jeśli wersja serwera jest nadal obsługiwana (np. Exchange 2016 i 2019), ale serwer jest „znacząco opóźniony” w aktualizacjach zabezpieczeń, zostanie uznany za podatny na ataki, a przepływ poczty z niego będzie opóźniony i/lub zablokowany.

„Jeśli serwer zostanie załatany po tym, jak został trwale zablokowany, usługa Exchange Online ponownie będzie akceptować wiadomości z serwera, o ile serwer pozostaje zgodny. Jeśli serwer nie może zostać załatany, musi zostać trwale usunięty z eksploatacji” – wskazał Microsoft.

Dlaczego?

Deklarowanym celem Microsoftu jest ochrona jego infrastruktury wewnętrznej oraz podniesienie profilu bezpieczeństwa ekosystemu Exchange, zwłaszcza że w ostatnich latach nastąpił znaczny wzrost częstotliwości ataków na serwery Exchange.

Ożywione dyskusje w sekcji komentarzy do ogłoszenia i na Reddit ujawniły, że niektórzy ludzie witają ruch Microsoftu, a inni postrzegają go jako początek manewru, który zmusi klientów do całkowitego zaprzestania korzystania z Exchange on-prem i przejścia na korzystanie z Exchange Online (i płacenia za to , Oczywiście).

Scott Schnoll – Microsoft Product Manager dla Exchange Online i Exchange Server – powiedział, że Microsoft nie zaprzestanie obsługi nowszych wersji serwerów Exchange. Ponadto klienci nie muszą wymieniać nieobsługiwanych wersji programu Exchange na nowszą.

„Nie ma wymogu używania produktu Microsoft do wysyłania poczty do Exchange Online. Chcemy, aby klienci byli bezpieczni bez względu na to, gdzie zdecydują się uruchomić swoją pocztę e-mail” – zauważył.

Czy możemy założyć, że oznacza to, że w końcu ruch e-mail z innych produktów innych niż Microsoft, które są uważane za „trwale podatne na ataki”, również zostanie zablokowany? Firma nie określiła tego wprost.

„Początkowo koncentrujemy się na serwerach poczty e-mail, które możemy łatwo zidentyfikować jako stale podatne na ataki, ale będziemy blokować cały potencjalnie szkodliwy przepływ poczty, jaki tylko możemy” — stwierdził zespół Exchange.

Gdy?

Schnoll mówi, że po krótkiej prywatnej wersji zapoznawczej pierwsza fala klientów, których to dotyczy, zobaczy nowy raport o przepływie poczty i alerty 23 maja.

„Czerwiec to początek dławienia dla pierwszej fali, a lipiec to początek blokowania. W dniu rozpoczęcia blokowania dla obecnej grupy klientów, następna grupa klientów otrzyma powiadomienie” – dodał.