Im Rahmen einer Incident-Analyse hat das InfoGuard Red Team eine Exchange Online-Fehlkonfiguration offengelegt, die eingehende E-Mails ohne SPF-Checks, DKIM- und DMARC-Validierung sowie ohne Spamfilter direkt in den Tenant leitet. Diese Schwachstelle unterminiert die Verteidsungsmechanismen und versetzt Angreifer in die Lage, realistische Phishing- und BEC-Attacken per gefälschten Absender auszuführen. Mit ghost-sender.com können Sicherheitsverantwortliche ihre Domains zügig analysieren und Fehlkonfigurationen risikofrei aufspüren lassen. So erzielen Unternehmen effektiv einen schnellen Überblick über E-Mail-Schutzlücken.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Nicht Microsoft-Fehler: Ungünstige Exchange Online-Einstellungen gefährden jetzt E-Mail-Sicherheit erheblich
Das InfoGuard Red Team entdeckte bei Sicherheitschecks einer Exchange Online-Umgebung, dass bestimmte Systeme E-Mails ohne jeglichen Authentifizierungsprozess direkt zustellen. Hierbei umgehen eingehende Nachrichten automatisch SPF, DKIM, DMARC sowie die vorhandenen Spamfilter und sämtliche vorgelagerte Mail-Gateways. Dieser Effekt entsteht nicht durch einen Defekt in der Microsoft-Software, sondern durch eine falsche Einstellung in Verbindung mit externen E-Mail-Gateways, die bewährte Mail-Security-Regeln unwirksam macht. Unternehmens-IT-Teams sollten ihre Mail-Routing-Einstellungen umgehend validieren lassen. Dringend um vorzugehen.
Keine SPF DKIM DMARC-Prüfung: Exchange Online akzeptiert beliebige Absender
Unter bestimmten Einstellungen akzeptiert Exchange Online eingehende Nachrichten direkt, wodurch Prüfungen durch SPF, DKIM, DMARC und weitere Sicherheits- oder Spamfilter ausfallen. Angreifer können in diesem Fall E-Mails von beliebigen internen oder externen Domains senden und etablierte Schutzmechanismen umgehen. Die direkte Zustellung ermöglicht es, gesund scheinende Nachrichten mit gefälschten Absenderadressen zu versenden. Dadurch entstehen effiziente Möglichkeiten für Spoofing, Phishing und andere Angriffsmethoden gegen Unternehmenspostfächer. Regelmäßige Prüfungen reduzieren dieses Risiko zeitnah deutlich.
Unternehmen mit externen Gateways riskieren Ghost-Sender Lücken in Exchange
Unternehmen, die Exchange Online einsetzen und ihre Mailströme über On-Premises-Gateways oder externe Cloud-Security-Dienste leiten, glauben ihre Infrastruktur ausreichend abgesichert. Diese Dienste prüfen eingehende Nachrichten mithilfe von SPF, DKIM, DMARC und Blacklists. InfoGuard weist darauf hin, dass eine fehlende SMTP-Restriktion Ghost-Sender-Angriffe ermöglicht. Davon betroffen sind Großkonzerne mit mehrstufigen Sicherheitsarchitekturen ebenso wie mittelständische Firmen, die auf externe E-Mail-Filter zur Entlastung ihrer IT setzen. Eine umfassende Konfigurationsanalyse und strikte Richtlinienpruefung schließen das Risiko.
Unkontrollierte Direktzustellung erlaubt realitätsnahe CEO-Fraud-Mails mit potentiellen hohen Konsequenzen
Die Umgehung von SPF, DKIM und DMARC führt dazu, dass E-Mails, die vermeintlich intern stammen, ungehindert ins Postfach gelangen. Diese Nachrichten können CEO-Fraud-Szenarien verstärken und Business Email Compromise ermöglichen, indem sie Vertrauen erzeugen und zum Teilen von Passwörtern, Bankdaten oder anderen sensiblen Informationen bewegen. Ohne diese zentralen Abwehrmechanismen profitieren Angreifer von langen Versteckspiel-Zeiträumen. Eine kontinuierliche Überprüfung und Anpassung der Mailflussregeln ist daher unerlässlich. Prüfung dieser Einstellungen schützt vor erfolgreichen Attacken.
Ghost-Sender.com bietet dreistufigen Domain-Check schnell transparent zuverlässig gegen Mail-Infrastruktur-Schwachstellen
Mit ghost-sender.com stellt InfoGuard einen kompakten, dreiphasigen Überprüfungsprozess bereit, um konfigurationsbedingte Angriffsflächen Ihrer E-Mail-Domains zu eliminieren. In Phase eins scannen spezialisierte Tools DNS- und Mailserver-Einträge auf korrektes Routing und Authentifizierungsrichtlinien. Phase zwei sieht die Einbindung von IT-Administratoren und Security-Analysten vor, um die Befunde gemeinsam zu bewerten. Abschließend informiert ein umfassendes Reporting die Verantwortlichen über konkrete Schwachstellen und Sofortmaßnahmen zur Absicherung Ihrer Exchange Online-Umgebung. Das Verfahren minimiert Spoofing-Risiken und erhöht Compliance.
Im InfoGuard Labs Blog: Angriffsszenarien analysiert und Schutzstrategien vorgestellt
Der Deep Dive im InfoGuard Labs Blog beleuchtet umfassend die sicherheitsrelevanten Exchange-Online- und Gateway-Einstellungen. Fachautoren erklären, wie Direktzustellungen kontrolliert und gängige Authentifizierungsverfahren effektiv abgestimmt werden, um Spoofing, Phishing und BEC-Methoden entgegenzuwirken. Durch konkrete Fallbeispiele werden Angriffsabläufe praxisnah veranschaulicht. Abschließend werden zielgerichtete Hardening- und Filterstrategien vorgestellt. Diese detaillierte Ausarbeitung unterstützt E-Mail-Security-Verantwortliche dabei, fundierte Entscheidungen für eine robuste und belastbare E-Mail-Infrastruktur zu treffen und bietet praxisnahe Implementierungsleitfäden für nachhaltige Sicherheit und Effizienzsteigerung.
Unternehmen, die ihre Exchange-Online-Instanzen mit ghost-sender.com testen, decken spezifische Szenarien auf, in denen Mails unerkannt zugestellt werden. Der Ghost-Sender-Test analysiert übermittelte Mail-Header, Gateway-Routing-Regeln und Authentifizierungsprotokolle hinsichtlich Lücken, die Angreifern das Einbringen falscher Absenderadressen erlauben. Nach Abschluss stehen detaillierte Reports bereit, die IT-Security-Verantwortlichen ermöglichen, ihre Mailserver-Strukturen zu härten und ihre Cyberresilienz nachhaltig zu verbessern.

