Mehr Kontrolle über Direct Send in Exchange Online
Ab sofort steht in Exchange Online die neue Funktion Reject Direct Send im Public Preview zur Verfügung. Sie ermöglicht es Organisationen, sich besser vor unautorisierten, anonymen E-Mails zu schützen, die unter Verwendung eigener Domains an interne Postfächer zugestellt werden (Sicherheitsproblem).
Das Direct Send-Verfahren wurde über viele Jahre hinweg von zahlreichen Organisationen genutzt, häufig aus Unwissenheit oder mangels sicherer Alternativen. Heute stehen mit Lösungen wie dem High Volume Email (HVE) Feature oder Azure Communication Services (ACS) jedoch moderne, sichere Alternativen zur Verfügung, sodass die Abkehr von Direct Send in den meisten Fällen problemlos möglich ist.
Was ist Direct Send in Exchange Online?
Direct Send bezeichnet die Zustellung von E-Mails an Exchange Online-Postfächer ohne Authentifizierung, jedoch unter Verwendung einer im Tenant registrierten (accepted) Domain. Typische Anwendungsfälle sind z. B.:
- Multifunktionsdrucker, die Scan-to-Mail verwenden
- interne Anwendungen mit E-Mail-Export
- Drittanbieter-Cloudlösungen, die im Namen der Organisation kommunizieren
Da diese Methode technisch gesehen wie eine anonyme Internetzustellung agiert, unterliegt sie vollständig der Auswertung durch SPF, DKIM und DMARC.
Risiken bei ungeschütztem Direct Send
Fehlkonfigurierte SPF-Records oder fehlende Partnerkonnektoren können dazu führen, dass solche Nachrichten als Spam eingestuft oder vollständig abgewiesen werden. Direct Send erlaubt keine Authentifizierung via SMTP-AUTH oder OAuth, was die Möglichkeit für Spoofing innerhalb der eigenen Domain begünstigen kann.
Das neue Feature Reject Direct Send greift genau an diesem Punkt an, indem es Direct Send-Zustellungen blockieren kann, bei denen:
- die P1 Mail-From-Adresse (Envelope Sender) eine akzeptierte Domain ist
- keine Attribuierung durch einen Mailflow-Connector erfolgt (also anonym zugestellt wird)
Dabei anzumerken ist: Der P2-Header (From: im Nachrichtenkopf) bleibt von dieser Prüfung unberührt.
Aktivierung der Funktion
Die Funktion Reject Direct Send ist vorerst standardmäßig deaktiviert und kann über PowerShell für die gesamte Organisation aktiviert werden:
Set-OrganizationConfig -RejectDirectSend $true
Die Änderung wird innerhalb von ca. 30 Minuten global wirksam. Ab diesem Zeitpunkt werden Direct Send-Zustellungen, die nicht über einen authentifizierten Connector erfolgen, mit folgendem Fehler dauerhaft abgewiesen:
550 5.7.68 TenantInboundAttribution; Direct Send not allowed for this organization from unauthorized sources
So wird Direct Send autorisiert
Organisationen, die Direct Send weiterhin nutzen möchten (z. B. für vertrauenswürdige Drittanbieter oder interne Applikationen), müssen einen Partner-Mailflow-Connector einrichten. Dieser kann entweder auf einer TLS-Zertifikatprüfung oder auf IP-Adressen basieren, um eingehende Nachrichten zu autorisieren. Weitere Informationen dazu: Configure mail flow using connectors in Exchange Online
Bekannte Einschränkungen
Ein Spezialfall tritt bei Mail-Forwarding ohne SRS (Sender Rewriting Scheme) auf. Wenn eine externe Partei eine E-Mail weiterleitet, die ursprünglich von einer internen Adresse stammt, und ihr Provider SRS nicht unterstützt, wird der ursprüngliche Absender beibehalten. Mit aktivierter Reject Direct Send-Funktion werden solche Nachrichten abgelehnt, sofern kein passender Partner-Connector eingerichtet ist, auch wenn sie vor Aktivierung lediglich durch SPF gefiltert wurden.
Zukünftige Entwicklungen
Microsoft plant, Reject Direct Send mittelfristig für alle neuen Tenants standardmäßig zu aktivieren, ohne Deaktivierungsmöglichkeit. Dies ist Teil der Strategie, die E-Mail-Sicherheit von Beginn an zu erhöhen („Secure by Default“). Zudem wird an einem Reporting-Feature gearbeitet, das Administratoren künftig eine detaillierte Übersicht zu eingehendem Direct Send-Traffic im Tenant liefern wird.
