Ein Konfigurationsfehler bei Exchange Online, den Sicherheitsforscher auf den Namen „Ghost-Sender“ getauft haben, erlaubt Spammern und Cyberkriminellen, gefälschte E-Mails an den Schutzmaßnahmen des Anbieters vorbeizuschleusen. Microsofts Sicherheitsabteilung erklärte sich für nicht zuständig – Kunden müssen sich selbst kümmern.
Nutzt ein Unternehmen einen Dienst zur Mailfilterung oder für andere Aufgaben und hat diesen im DNS als MX-Eintrag (Mail eXchange) eingetragen, gehen alle Mails zunächst dorthin. Nach der Bearbeitung durch den externen Dienst leitet dieser die E-Mails an Exchange Online (EXO) weiter, um sie den Empfängern zuzustellen. Dabei ignoriert EXO dann jedoch übliche Maßnahmen gegen Mailspoofing wie SPF und DMARC und kippt auch offensichtlich gefälschte E-Mails bei den Empfängern ab.
Das liegt im Zusammenspiel der Exchange-Online- und der externen Mailserver begründet und ist ein Konfigurationsfehler bei deren Verschaltung. Wie die Entdecker von Infoguard erläutern, gibt es mehrere Methoden der Fehlerbehebung: Man könne einen sogenannten „partner organization connector“ konfigurieren oder per Mailregeln alle E-Mail in Quarantäne verschieben, deren Header X-MS-Exchange-Organization-AuthAs nicht auf Internal gesetzt und zudem die IP-Adresse des einliefernden Mailservers unbekannt ist.
