De manera lenta pero segura, Microsoft tiene como objetivo hacer que sea imposible que los servidores de Microsoft Exchange en las instalaciones no compatibles o sin parches utilicen el servicio de nube alojado Exchange Online de la compañía para entregar correo electrónico.
Evite que los mensajes de correo electrónico potencialmente maliciosos lleguen a Exchange Online
a una dirección [the problem of persistently vulnerable Exchange servers that cannot be trusted]Estamos habilitando un sistema de cumplimiento basado en el transporte en Exchange Online que tiene tres funciones principales: informar, restringir y bloquear”, dijo el equipo de Exchange. masculino.
El sistema está diseñado para alertar a un administrador sobre servidores de Exchange no compatibles o sin parches en su entorno local que necesitan ser reparados (actualizados o parcheados).El sistema también tiene capacidades de limitación y bloqueo, por lo que si el servidor no se procesa, el flujo de correo de este servidor y finalmente lo bloqueó.
En la primera fase de esta implementación planificada, Microsoft dejará en claro a los administradores de Exchange Server que un servidor en particular no es compatible o está desactualizado: mostrando alertas en un nuevo informe de flujo de correo en el Centro de administración de Exchange Online y a través de una publicación en el centro de mensajes que todos los clientes de Exchange Server verán.
Si esto no los motiva a parchear o actualizar en los próximos 30 días, la empresa pasará a la siguiente etapa: retrasar (restringir) la entrega del servidor de correos electrónicos al servicio Exchange Online durante 5 minutos.
Las siguientes seis fases incluyen períodos de asfixia creciente o asfixia y bloqueo solamente. Por último, si el administrador de ese servidor no ha aplicado un parche o actualizado el servidor dentro de los 90 días, Exchange Online ya no aceptará ningún mensaje del servidor.
Etapas de un régimen de cumplimiento progresivo (fuente: Microsoft)
Microsoft dice que no se puede confiar en sus servidores «persistentemente vulnerables» y los correos electrónicos enviados desde ellos, y representan un riesgo para todas las instancias de la nube de Exchange Online, así como para los destinatarios de correo electrónico.
«El sistema de implementación eventualmente se aplicará a todas las versiones de Exchange Server y todo el correo electrónico entrante a Exchange Online, pero estamos comenzando con un subconjunto muy pequeño de servidores heredados: servidores Exchange 2007 que se conectan a Exchange Online a través de un tipo de conector de entrada OnPremises ”, agregó el equipo. Intercambio.
«Después de esta implementación inicial, agregaremos gradualmente otras versiones de Exchange Server al alcance del sistema de implementación. Eventualmente, ampliaremos nuestro alcance para incluir todas las versiones de Exchange Server, independientemente de cómo envíen correo a Exchange Online».
Si una versión del servidor todavía es compatible (como Exchange 2016 y 2019) pero el servidor está «significativamente atrasado» en las actualizaciones de seguridad, se considerará vulnerable y el flujo de correo se retrasará o bloqueará.
«Si se aplica un parche a un servidor después de que se haya bloqueado de forma permanente, Exchange Online volverá a aceptar mensajes del servidor, siempre y cuando el servidor cumpla con los requisitos. Si no se puede aplicar un parche al servidor, debe eliminarse permanentemente del servicio», señaló Microsoft.
¿Por qué?
El objetivo declarado de Microsoft es proteger su infraestructura interna y elevar el nivel de seguridad del ecosistema de Exchange, especialmente porque ha habido un aumento significativo en la frecuencia de los ataques contra los servidores de Exchange en los últimos años.
discusiones en vivo en anuncioSección de comentarios sobre Reddit Reveló que algunas personas dan la bienvenida al movimiento de Microsoft y otras lo ven como el comienzo de una táctica que obligará a los clientes a dejar de usar Exchange en las instalaciones por completo y cambiar a Exchange Online (y pagar por ello, por supuesto).
Scott Schnell, gerente de productos de Microsoft para Exchange Online y Exchange Server, dijo que Microsoft no dejará de admitir versiones más nuevas de servidores Exchange. Además, los clientes no están obligados a reemplazar las versiones no compatibles de Exchange por otras más nuevas.
«No hay requisitos para usar un producto de Microsoft para enviar correo a Exchange Online. Queremos que los clientes estén seguros sin importar dónde elijan ejecutar su correo electrónico».
¿Podemos suponer que esto significa que eventualmente, el tráfico de correo electrónico de otros productos que no son de Microsoft que son «persistentemente vulnerables» también se bloqueará? La empresa no fue mencionada explícitamente.
«Inicialmente nos enfocamos en los servidores de correo electrónico que podemos identificar fácilmente como permanentemente vulnerables, pero bloquearemos todo el flujo de correo potencialmente malicioso», afirmó el equipo de Exchange.
¿cuando?
Schnoll dice que después de una breve vista previa privada, la primera ola de clientes afectados verá el nuevo informe de flujo de correo y alertas el 23 de mayo.
«Junio es el momento en que comienza el estrangulamiento de la primera ola, y julio es el momento en que comienza el bloqueo. El día en que comienza el bloqueo para el grupo actual de clientes, el próximo grupo de clientes recibirá una notificación», agregó. .