Ghost-Sender: Konfigurationsrisiko in Exchange Online gefährdet E-Mail-Sicherheit

Kürzlich wurden Details zu einer gravierenden Konfigurationslücke namens „Ghost-Sender“ veröffentlicht. Hierbei handelt es sich nicht um einen Software-Fehler im Code von Microsoft, sondern um einen architektonischen blinden Fleck bei der Einbindung externer E-Mail-Sicherheitsgateways in Exchange Online.

Das technische Problem: Umgehung des Sicherheits-Gateways

Viele Unternehmen leiten ihren eingehenden E-Mail-Verkehr primär über ein externes Security-Gateway (z. B. von Drittanbietern), um Spam und Phishing zu filtern, bevor die Nachrichten an Exchange Online übergeben werden.

Das Problem bei „Ghost-Sender“: Wenn Exchange Online nicht explizit so konfiguriert ist, dass es ausschließlich Nachrichten von diesem Gateway akzeptiert, bleibt der standardmäßige Microsoft-Inbound-Pfad (.mail.protection.outlook.com) weiterhin für direkte Verbindungen aus dem Internet offen.

Die Auswirkung:
Angreifer können das externe Sicherheits-Gateway komplett umgehen und E-Mails direkt an Exchange Online senden. In diesem Szenario werden SPF- und DMARC-Prüfungen häufig umgangen. Angreifer sind dadurch in der Lage, legitime interne oder externe Absenderadressen zu fälschen. Die E-Mails werden direkt in die Postfächer der Anwender zugestellt.

Wer ist von der Schwachstelle betroffen?

Eine Anfälligkeit besteht in der Regel dann, wenn folgende zwei Bedingungen erfüllt sind:

1. Das Unternehmen nutzt Microsoft Exchange Online (auch in hybriden Umgebungen).
2. Der MX-Eintrag der Domäne verweist auf ein externes E-Mail-Gateway, aber Exchange Online wurde nicht restriktiv konfiguriert, um direkte Zustellungsversuche von anderen Servern abzuweisen.

So prüfen Sie Ihre Betroffenheit

Zur schnellen Überprüfung der eigenen Mail-Infrastruktur wurde die Plattform https://ghost-sender.com eingerichtet.

Administratoren können dort ihre Mail-Domänen eingeben. Das Tool simuliert einen direkten Zustellungsversuch unter Umgehung des regulären MX-Pfads. Erhält das Tool eine positive Rückmeldung der Microsoft-Server, ist die Domäne für das Ghost-Sender-Szenario anfällig.

Empfohlene Gegenmaßnahmen

Sollte der Test eine Verwundbarkeit aufzeigen, lassen sich die Risiken durch gezielte Konfigurationsanpassungen minimieren:

Inbound-Connectors restriktiv einstellen: Konfigurieren Sie in Exchange Online Connectors vom Typ „Partner“ und erzwingen Sie, dass E-Mails für Ihre Domäne ausschließlich von den IP-Adressbereichen oder mit den TLS-Zertifikaten Ihres dedizierten Gateways akzeptiert werden.

Mails ohne Gateway-Validierung blockieren: Erstellen Sie Mail-Flow-Regeln (Transportregeln), die Nachrichten blockieren oder unter Quarantäne stellen, wenn diese nicht den vordefinierten Authentifizierungspfad über Ihr Gateway genommen haben.

Direct Send prüfen: Deaktivieren Sie die Direct-Send-Funktion, sofern diese für Ihre internen Prozesse nicht zwingend erforderlich ist, um das Fälschen interner Identitäten zu erschweren.

Wir empfehlen, diese Überprüfung zeitnah durchzuführen, um unbefugtes E-Mail-Spoofing effektiv zu unterbinden.