{"id":32989,"date":"2025-12-15T14:13:22","date_gmt":"2025-12-15T12:13:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32989"},"modified":"2025-12-15T14:13:22","modified_gmt":"2025-12-15T12:13:22","slug":"exchange-se-hardening-2026","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/exchange-se-hardening-2026\/32989\/","title":{"rendered":"Absicherung von Exchange-Servern"},"content":{"rendered":"<p>In zwei Punkten sind sich die meisten Cybersicherheits-Experten einig: Angriffe auf Microsoft Exchange Server gelten als unvermeidlich und es besteht ein sehr hohes Kompromittierungsrisiko. Im Oktober hat Microsoft <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/released-october-2025-exchange-server-security-updates\/4461276\" target=\"_blank\" rel=\"noopener nofollow\">den Support f\u00fcr Exchange Server 2019 eingestellt<\/a>. Damit ist die Exchange Server Subscription Edition (<a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/upgrading-your-organization-from-current-versions-to-exchange-server-se\/4241305\" target=\"_blank\" rel=\"noopener nofollow\">Exchange SE<\/a>) ab 2026 die einzige unterst\u00fctzte lokale L\u00f6sung. Trotzdem verwenden viele Unternehmen weiterhin Exchange Server 2016, 2013 und noch \u00e4ltere Versionen.<\/p>\n<p>F\u00fcr Angreifer ist Exchange ein unwiderstehliches Ziel. Popularit\u00e4t, Komplexit\u00e4t, eine F\u00fclle an Einstellungen und in erster Linie die Erreichbarkeit aus externen Netzwerken machen es anf\u00e4llig f\u00fcr eine Vielzahl von Attacken:<\/p>\n<ul>\n<li>Infiltration von E-Mail-Konten durch <a href=\"https:\/\/www.forbes.com\/sites\/daveywinder\/2025\/06\/13\/microsoft-users-warned-of-ongoing-password-spraying-attack---act-now\/\" target=\"_blank\" rel=\"noopener nofollow\">Password-Spraying<\/a> oder gezieltes Phishing (Spearphishing)<\/li>\n<li>Kompromittierung von Benutzerkonten \u00fcber veraltete Authentifizierungsverfahren<\/li>\n<li>Diebstahl bestimmter E-Mail-Konten. Dazu werden \u00fcber Exchange-Webdienste sch\u00e4dliche E-Mail-Verarbeitungsregeln injiziert<\/li>\n<li><a href=\"https:\/\/securelist.com\/analysis-of-attack-samples-exploiting-cve-2023-23397\/110202\/\" target=\"_blank\" rel=\"noopener\">Diebstahl<\/a> von Token zur Authentifizierung von Mitarbeitern oder <a href=\"https:\/\/www.kaspersky.com\/blog\/cve-2024-49040-email-spoofing-protection\/52699\/\" target=\"_blank\" rel=\"noopener nofollow\">F\u00e4lschung von Nachrichten<\/a>. Hierbei wird die unsichere Exchange-Infrastruktur f\u00fcr die E-Mail-Verarbeitung ausgenutzt<\/li>\n<li>Ausnutzung von Schwachstellen in Exchange und IIS (Internetinformationsdienste), um auf dem Server <a href=\"https:\/\/securelist.com\/toddycat\/106799\/\" target=\"_blank\" rel=\"noopener\">beliebigen Code auszuf\u00fchren<\/a> (Web-Shells bereitzustellen)<\/li>\n<li>Ausbreitung \u00fcber das Netzwerk und Kompromittierung von Servern. Dabei wird der Exchange-Server <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/pst-want-shell-proxyshell-exploiting-microsoft-exchange-servers\" target=\"_blank\" rel=\"noopener nofollow\">zum Ansatzpunkt f\u00fcr Netzwerkspionage<\/a>, Malware-Hosting und Datenverkehrs-Tunneling<\/li>\n<li>Langfristige E-Mail-Exfiltration durch spezielle Exchange-Implantate<\/li>\n<\/ul>\n<p>Exchange-Angriffe sind komplex und vielf\u00e4ltig. Darum lohnt sich ein Blick in Studien zu Bedrohungen wie <a href=\"https:\/\/securelist.com\/ghostcontainer\/116953\/\" target=\"_blank\" rel=\"noopener\">GhostContainer<\/a>, <a href=\"https:\/\/securelist.com\/owowa-credential-stealer-and-remote-access\/105219\/\" target=\"_blank\" rel=\"noopener\">Owowa<\/a>, <a href=\"https:\/\/securelist.com\/cve-2022-41040-and-cve-2022-41082-zero-days-in-ms-exchange\/108364\/\" target=\"_blank\" rel=\"noopener\">ProxyNotShell<\/a> und <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-powerexchange-malware-backdoors-microsoft-exchange-servers\/\" target=\"_blank\" rel=\"noopener nofollow\">PowerExchange<\/a>.<\/p>\n<p>Es ist durchaus m\u00f6glich, Angreifern die Kompromittierung von Exchange zu erschweren und die Auswirkungen eines erfolgreichen Angriffs abzumildern. Dies erfordert jedoch eine Vielzahl von Ma\u00dfnahmen\u00a0\u2013 von einfachen Konfigurations\u00e4nderungen bis hin zu aufwendigen Migrationen des Authentifizierungsprotokolls. Die CISA, das Canadian Center for Cyber Security und andere Aufsichtsbeh\u00f6rden f\u00fcr Cybersicherheit haben vor Kurzem einen Leitfaden zu den wichtigsten Schutzma\u00dfnahmen <a href=\"https:\/\/www.cisa.gov\/resources-tools\/resources\/microsoft-exchange-server-security-best-practices\" target=\"_blank\" rel=\"noopener nofollow\">ver\u00f6ffentlicht<\/a>. Welche Schritte sind f\u00fcr die Absicherung deines lokalen Exchange-Servers erforderlich?<\/p>\n<h2>Veraltete Versionen ersetzen<\/h2>\n<p>Sowohl Microsoft als auch die CISA empfehlen den Umstieg auf <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/upgrading-your-organization-from-current-versions-to-exchange-server-se\/4241305\" target=\"_blank\" rel=\"noopener nofollow\">Exchange SE<\/a>, um Sicherheits-Updates rechtzeitig zu erhalten. F\u00fcr Unternehmen, die den Wechsel nicht sofort durchf\u00fchren k\u00f6nnen, gibt es ein kostenpflichtiges Abonnement mit erweiterten Sicherheits-Updates (ESU) f\u00fcr die Versionen 2016 und 2019. Microsoft betont, dass der Aufwand f\u00fcr ein Upgrade von Version 2016 oder 2019 auf Exchange SE mit der Installation eines standardm\u00e4\u00dfigen kumulativen Updates vergleichbar ist.<\/p>\n<p>Wenn du trotz allem eine nicht unterst\u00fctzte Version beibehalten m\u00f6chtest, muss diese gr\u00fcndlich sowohl vom internen als auch vom externen Netzwerk isoliert werden. Der gesamte E-Mail-Verkehr sollte durch ein speziell konfiguriertes <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security\/mail-security-appliance?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Gateway f\u00fcr E-Mail-Sicherheit<\/a> flie\u00dfen.<\/p>\n<h2>Regelm\u00e4\u00dfige Updates<\/h2>\n<p>Microsoft ver\u00f6ffentlicht zwei kumulative Updates (KUs) pro Jahr. Daneben erscheinen monatliche Sicherheits-Hotfixes. Wichtig: Exchange-Administratoren m\u00fcssen eine zuverl\u00e4ssige Bereitstellung dieser Updates einrichten, da Angreifer bekannte Schwachstellen innerhalb k\u00fcrzester Zeit ausnutzen k\u00f6nnen. Den Zeitplan und die Inhalte dieser Updates findest du auf der offiziellen <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/new-features\/build-numbers-and-release-dates\" target=\"_blank\" rel=\"noopener nofollow\">Microsoft-Seite<\/a>. Nat\u00fcrlich musst du auch den Integrit\u00e4ts- und Update-Status deiner Exchange-Installation verfolgen. Daf\u00fcr eignen sich Tools wie <a href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Setup\/SetupAssist\/\" target=\"_blank\" rel=\"noopener nofollow\">SetupAssist<\/a> und <a href=\"https:\/\/aka.ms\/ExchangeHealthChecker\" target=\"_blank\" rel=\"noopener nofollow\">Exchange Health Checker<\/a>.<\/p>\n<h2>Dringende Ma\u00dfnahmen<\/h2>\n<p>Wie sich kritische, aktiv ausgenutzte Schwachstellen vorl\u00e4ufig entsch\u00e4rfen lassen, wird normalerweise im <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/bg-p\/Exchange\" target=\"_blank\" rel=\"noopener nofollow\">Exchange Team Blog<\/a> und auf der Seite <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-emergency-mitigation-service\" target=\"_blank\" rel=\"noopener nofollow\">Exchange Emergency Mitigation<\/a> erl\u00e4utert. Auf deinen Exchange-Mailbox-Servern sollte der Dienst \u201eEmergency Mitigation\u201c (EM) aktiviert sein. EM stellt automatisch eine Verbindung mit dem Office-Konfigurationsdienst (Office Config Service) her und l\u00e4dt Regeln zur Entsch\u00e4rfung kritischer Bedrohungen herunter. Diese Ma\u00dfnahmen helfen dabei, anf\u00e4llige Dienste schnell zu deaktivieren und b\u00f6sartige Anfragen zu blockieren. Dazu dienen Rewrite-Regeln f\u00fcr URLs in <a href=\"https:\/\/de.wikipedia.org\/wiki\/Microsoft_Internet_Information_Services\" target=\"_blank\" rel=\"noopener nofollow\">IIS<\/a>.<\/p>\n<h2>Sichere Baselines<\/h2>\n<p>Ein einheitlicher, unternehmensweit g\u00fcltiger Satz von Einstellungen, die f\u00fcr das Unternehmen optimiert sind, muss auf Exchange-Server, auf Mail-Clients aller Plattformen und auf Betriebssysteme angewendet werden.<\/p>\n<p>Die empfohlenen Sicherheits-Baselines unterscheiden sich je nach Betriebssystem und Exchange-Version. Daf\u00fcr verweist der CISA-Leitfaden auf die g\u00e4ngigen, frei verf\u00fcgbaren Anweisungen von <a href=\"https:\/\/downloads.cisecurity.org\/#\/\" target=\"_blank\" rel=\"noopener nofollow\">CIS Benchmarks<\/a> und <a href=\"https:\/\/learn.microsoft.com\/de-de\/microsoft-365-apps\/security\/security-baseline\" target=\"_blank\" rel=\"noopener nofollow\">Microsoft<\/a>. Die neueste CIS Benchmark wurde f\u00fcr Exchange 2019 erstellt, ist aber auch vollst\u00e4ndig auf Exchange SE anwendbar, da sich die konfigurierbaren Optionen der aktuellen Abo-Edition nicht von Exchange Server 2019 CU15 unterscheiden.<\/p>\n<h2>Spezielle Sicherheitsl\u00f6sungen<\/h2>\n<p>Viele Unternehmen machen einen gravierenden Fehler: Ihre Exchange-Server verf\u00fcgen nicht \u00fcber EDR- und EPP-Agenten. Um die Ausnutzung von Schwachstellen und die Ausf\u00fchrung von Web-Shells zu verhindern, muss der Server durch eine Sicherheitsl\u00f6sung mit Exploit-Pr\u00e4vention gesch\u00fctzt werden. Eine gute Option ist [EDR placeholder]. Exchange Server l\u00e4sst sich in <a href=\"https:\/\/support.kaspersky.com\/KESWin\/12.5\/de-DE\/173854.htm\" target=\"_blank\" rel=\"noopener\">Antimalware Scan Interface (AMSI)<\/a> integrieren, damit Sicherheitstools serverseitige Ereignisse effektiv verarbeiten k\u00f6nnen.<\/p>\n<p>Erlaubnislisten f\u00fcr Programme k\u00f6nnen Angreifer erheblich dabei st\u00f6ren, Schwachstellen in Exchange auszunutzen. Die meisten modernen EPP-L\u00f6sungen habe diese Funktion standardm\u00e4\u00dfig an Bord. Wenn du auf native Windows-Tools angewiesen bist, kannst du nicht vertrauensw\u00fcrdige Programme \u00fcber App Control for Business oder AppLocker einschr\u00e4nken.<\/p>\n<p>Zum Schutz von Mitarbeitern und Ger\u00e4ten sowie zur Filterung des E-Mail-Datenverkehrs sollte der Server eine L\u00f6sung wie <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security\/mail-server?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Security for Mail Server<\/a> verwenden. Dadurch werden gleich mehrere Probleme gel\u00f6st, f\u00fcr die das standardm\u00e4\u00dfige lokale Exchange keine Tools bietet: beispielsweise die Authentifizierung des Absenders \u00fcber die Protokolle SPF, DKIM und DMARC oder der Schutz vor komplexem Spam und Spearphishing.<\/p>\n<p>Falls auf dem Server kein vollst\u00e4ndiges EDR bereitgestellt wird, musst du unbedingt den standardm\u00e4\u00dfigen Anti-Virus aktivieren und sicherstellen, dass die Regel \u201eWebshellerstellung f\u00fcr Server blockieren\u201c zur <a href=\"https:\/\/learn.microsoft.com\/de-de\/defender-endpoint\/attack-surface-reduction-rules-reference\" target=\"_blank\" rel=\"noopener nofollow\">Verringerung der Angriffsfl\u00e4che<\/a> (ASR) aktiviert ist.<\/p>\n<p>Damit der Server nicht durch das standardm\u00e4\u00dfige Antivirenprogramm ausgebremst wird, <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/antispam-and-antimalware\/windows-antivirus-software\" target=\"_blank\" rel=\"noopener nofollow\">empfiehlt<\/a> Microsoft, bestimmte Dateien und Ordner von der Untersuchung auszuschlie\u00dfen.<\/p>\n<h2>Eingeschr\u00e4nkter Administratorzugriff<\/h2>\n<p>Angreifer erweitern h\u00e4ufig ihre Berechtigungen, indem sie den Zugriff auf das Exchange Admin Center (EAC) und das PowerShell-Remoting ausnutzen. Hier hat sich bew\u00e4hrt, diese Tools nur von einer festgelegten Anzahl von Workstations mit privilegiertem Zugriff (PAWs) aus zug\u00e4nglich zu machen. Dies kann durch Firewall-Regeln auf den Exchange-Servern oder durch die Verwendung einer Firewall realisiert werden. Auch die integrierten <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/clients\/client-access-rules\/client-access-rules\" target=\"_blank\" rel=\"noopener nofollow\">Clientzugriffsregeln<\/a> in Exchange k\u00f6nnen in diesem Fall n\u00fctzlich sein. Der Missbrauch von PowerShell l\u00e4sst sich dadurch jedoch nicht verhindern.<\/p>\n<h2>Kerberos und SMB ersetzen NTLM<\/h2>\n<p>Microsoft nimmt veraltete Netzwerk- und Authentifizierungsprotokolle schrittweise aus dem Verkehr. SMBv1 und NTLMv1 werden in modernen Windows-Installationen standardm\u00e4\u00dfig deaktiviert. In zuk\u00fcnftigen Versionen wird auch NTLMv2 ausgeschaltet. Ab <a href=\"https:\/\/techcommunity.microsoft.com\/blog\/exchange\/exchange-server-roadmap-update\/4132742\" target=\"_blank\" rel=\"noopener nofollow\">Exchange SE CU1<\/a> wird NTLMv2 durch Kerberos ersetzt, das mithilfe von MAPI \u00fcber HTTP als standardm\u00e4\u00dfiges Authentifizierungsprotokoll implementiert wird.<\/p>\n<p>IT- und Sicherheitsteams sollten ihre Infrastruktur gr\u00fcndlich auf veraltete Protokolle durchleuchten und eine Migration auf zeitgem\u00e4\u00dfe, sicherere Authentifizierungsmethoden planen.<\/p>\n<h2>Aktuelle Authentifizierungsmethoden<\/h2>\n<p>Ab Exchange 2019 CU13 k\u00f6nnen Clients eine Kombination aus OAuth 2.0, MFA und ADFS f\u00fcr eine sichere Serverauthentifizierung nutzen\u00a0\u2013 ein Framework, das als <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">Modern Auth<\/a> (Modern Authentication) bekannt ist. Dann kann ein Nutzer nur auf sein Postfach zugreifen, nachdem die MFA \u00fcber ADFS erfolgreich abgeschlossen wurde und der Exchange-Server ein g\u00fcltiges Zugriffstoken vom ADFS-Server erh\u00e4lt. Sobald alle Nutzer zu Modern Auth migriert wurden, muss die Standardauthentifizierung auf dem Exchange-Server <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/disable-basic-authentication-on-exchange-server-virtual-directories\" target=\"_blank\" rel=\"noopener nofollow\">deaktiviert<\/a> werden.<\/p>\n<h2>Erweiterten Schutz aktivieren<\/h2>\n<p>Der <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-extended-protection?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">Erweiterte Schutz<\/a> (Extended Protection, EP) bietet Schutz vor <a href=\"https:\/\/web.archive.org\/web\/20251010130732\/https:\/www.microsoft.com\/en-us\/msrc\/blog\/2024\/12\/mitigating-ntlm-relay-attacks-by-default\/\" target=\"_blank\" rel=\"noopener nofollow\">NTLM-Relay-<\/a> Angriffen, Adversary-in-the-Middle und \u00e4hnlichen Methoden. Er steigert die TLS-Sicherheit durch ein Channel Binding Token (CBT). Wenn Anmeldedaten oder ein Token gestohlen wurden und der Angreifer diese in einer anderen TLS-Sitzung verwenden will, kappt der Server die Verbindung. EP kann nur aktiviert werden, wenn alle Exchange-Server dieselbe TLS-Version verwenden.<\/p>\n<p>Der Erweiterte Schutz ist bei neuen Serverinstallationen ab Exchange 2019 CU14 standardm\u00e4\u00dfig aktiviert.<\/p>\n<h2>Sichere TLS-Versionen<\/h2>\n<p>Die gesamte Server-Infrastruktur, einschlie\u00dflich aller Exchange-Server, sollte so konfiguriert werden, dass dieselbe TLS-Version verwendet wird (1.2 oder noch besser 1.3). Microsoft bietet <a href=\"https:\/\/learn.microsoft.com\/en-us\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-tls-configuration\" target=\"_blank\" rel=\"noopener nofollow\">genaue Anleitungen<\/a> zur optimalen Konfiguration und den erforderlichen Voraussetzungen. Mit einem Skript von <a href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Diagnostics\/HealthChecker\/TLSConfigurationCheck\/\" target=\"_blank\" rel=\"noopener nofollow\">Health Checker<\/a> kannst du \u00fcberpr\u00fcfen, ob diese Einstellungen richtig und einheitlich sind.<\/p>\n<h2>HSTS<\/h2>\n<p>Um sicherzustellen, dass alle Verbindungen durch TLS gesch\u00fctzt sind, solltest du zus\u00e4tzlich HTTP Strict Transport Security (HSTS) konfigurieren. Dadurch k\u00f6nnen bestimmte AitM-Angriffe verhindert werden. Nachdem die Einstellungen von Exchange Server gem\u00e4\u00df den <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/configure-http-strict-transport-security-in-exchange-server\" target=\"_blank\" rel=\"noopener nofollow\">Empfehlungen von Microsoft<\/a> angepasst wurden, ist die Verschl\u00fcsselung f\u00fcr alle Verbindungen mit Outlook im Web (OWA) zwingend.<\/p>\n<h2>Download-Dom\u00e4nen<\/h2>\n<p>Die <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-download-domains\" target=\"_blank\" rel=\"noopener nofollow\">Downloaddom\u00e4nen<\/a>-Funktion (Download Domains) sch\u00fctzt vor bestimmten Cross-Site-Request-Forgery-Angriffen und Cookie-Diebstahl. Dazu werden verschiedene Dom\u00e4nen verwendet: Auf einer Unternehmensdom\u00e4ne l\u00e4uft Outlook im Web, w\u00e4hrend heruntergeladene Anh\u00e4nge in eine andere Dom\u00e4ne verschoben werden. Benutzeroberfl\u00e4che und Nachrichtenliste werden also in einer Dom\u00e4ne geladen, und f\u00fcr den Download von Dateianh\u00e4ngen dient eine zweite.<\/p>\n<h2>Rollenbasiertes Verwaltungsmodell<\/h2>\n<p>Exchange Server implementiert ein rollenbasiertes Zugriffskontrollmodell (RBAC) f\u00fcr privilegierte Nutzer und Administratoren. Die CISA weist darauf hin, dass Benutzerkonten mit AD-Administratorrechten h\u00e4ufig auch zur Verwaltung von Exchange verwendet werden. Wird bei dieser Konfiguration ein Exchange-Server kompromittiert, so gilt gleichzeitig auch die komplette Dom\u00e4ne als kompromittiert. Daher ist es wichtig, <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/permissions\/split-permissions\/configure-exchange-for-split-permissions?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">geteilte Berechtigungen<\/a> und RBAC zu verwenden, um die Exchange-Verwaltung sauber von anderen Administratorrechten zu trennen. Auf diese Weise wird die Anzahl der Nutzer und Administratoren mit unverh\u00e4ltnism\u00e4\u00dfigen Berechtigungen reduziert.<\/p>\n<h2>PowerShell-Stream-Signierung<\/h2>\n<p>Administratoren verwenden h\u00e4ufig PowerShell-Skripte (auch cmdlets genannt), um Einstellungen zu \u00e4ndern und Exchange-Server \u00fcber die Exchange Management Shell (EMS) zu verwalten. Der Fernzugriff auf die PowerShell sollte idealerweise deaktiviert werden. Sollte er dennoch aktiviert sein, m\u00fcssen die an den Server gesendeten Befehlsdatenstr\u00f6me durch <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-serialization-payload-sign?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">Zertifikate<\/a> gesch\u00fctzt werden. Diese Einstellung ist seit November 2023 f\u00fcr Exchange 2013, 2016 und 2019 standardm\u00e4\u00dfig aktiviert.<\/p>\n<h2>Schutz f\u00fcr E-Mail-Header<\/h2>\n<p>Im November 2024 hat Microsoft einen optimierten Schutz vor Angriffen eingef\u00fchrt, bei denen die P2-FROM-Mail-Header gef\u00e4lscht werden und die manipulierten E-Mail-Nachrichten so aussehen, als stammten sie von einem vertrauensw\u00fcrdigen Absender. Neue Erkennungsregeln identifizieren jetzt E-Mails, bei denen diese Header vermutlich manipuliert wurden. Administratoren <a href=\"https:\/\/learn.microsoft.com\/de-de\/exchange\/plan-and-deploy\/post-installation-tasks\/security-best-practices\/exchange-non-compliant-p2from-detection?view=exchserver-2019\" target=\"_blank\" rel=\"noopener nofollow\">d\u00fcrfen diesen Schutz nicht deaktivieren<\/a> und sollten verd\u00e4chtige Nachrichten mit dem Header X-MS-Exchange-P2FromRegexMatch zur weiteren Analyse an Sicherheitsexperten weiterleiten.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Auch die Mail-Server deines Unternehmens k\u00f6nnen durch gezielte Angriffe gef\u00e4hrdet sein. Wie l\u00e4sst sich dieses Risiko minimieren?<\/p>\n","protected":false},"author":2722,"featured_media":32988,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10],"tags":[3396,274,844,62,3779,3469,25,53,1498,1654],"class_list":{"0":"post-32989","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-bec","9":"tag-bedrohungen","10":"tag-business","11":"tag-e-mail","12":"tag-exchange","13":"tag-gezielte-angriffe","14":"tag-microsoft","15":"tag-phishing","16":"tag-schwachstellen","17":"tag-tips"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-se-hardening-2026\/32989\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-se-hardening-2026\/29882\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-se-hardening-2026\/24962\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-se-hardening-2026\/29769\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-se-hardening-2026\/28827\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-se-hardening-2026\/31718\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-se-hardening-2026\/30373\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-se-hardening-2026\/40949\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-se-hardening-2026\/14096\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-se-hardening-2026\/54835\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-se-hardening-2026\/23455\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-se-hardening-2026\/35691\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-se-hardening-2026\/35319\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/e-mail\/","name":"E-Mail"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32989"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32989\/revisions"}],"predecessor-version":[{"id":33010,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32989\/revisions\/33010"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32988"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}