Microsoft Exchange Server

Microsoft Exchange Server ist eine Groupware- und E-Mail-Transport-Server-Software des Unternehmens Microsoft. Sie dient der zentralen Ablage und Verwaltung von E-Mails, Terminen, Kontakten, Aufgaben und weiteren Elementen für mehrere Benutzer und ermöglicht so die Zusammenarbeit in einer Arbeitsgruppe oder in einem Unternehmen. Exchange Server setzt eine Microsoft-Windows-Server-Software voraus und findet deshalb vor allem in von Microsoft-Produkten geprägten Infrastrukturen Verwendung.

Microsoft Exchange Server
Basisdaten
Entwickler	Microsoft
Erscheinungsjahr	11. Juni 1996[1]
Aktuelle Version	2019 CU14[2] (13. Februar 2024)
Betriebssystem	Microsoft Windows Server
Programmiersprache	C#
Kategorie	Groupware
Lizenz	Microsoft EULA (Proprietäre Software)
deutschsprachig	ja
Microsoft Exchange Server

Um als Anwender die Funktionen von Exchange Server nutzen zu können, ist eine zusätzliche Client-Software nötig. Microsoft liefert dafür das separate Programm Microsoft Outlook, in Exchange Server selbst ist bereits die Webanwendung Outlook on the web für den Browser-Zugriff enthalten.

Im Rahmen des Microsoft-Online-Dienstes Microsoft 365 kann die Server-Software unter dem Titel Exchange Online auch bzw. zusätzlich bei Microsoft („Cloud-Computing“) statt im eigenen Unternehmen („On Premises“) betrieben werden, was vor allem für kleinere Unternehmen ohne ausgeprägte IT-Infrastruktur interessant sein kann.

Details

Die Exchange-Server-Version 2019 kann unter Windows Server 2019 sowie Windows Server 2022 betrieben werden. Im Netzwerk muss der Microsoft-Verzeichnisdienst Active Directory vorhanden sein, da Exchange Server sich intensiv in diesen integriert, u. a. zur Benutzerverwaltung.

Ungefähr einmal pro Halbjahr wird ein sogenanntes Cumulative Update (CU) veröffentlicht, was den kompletten Stand des Produktes in Bezug auf Fehlerbehebungen und Funktionserweiterungen zu diesem Zeitpunkt widerspiegelt und damit nicht nur für Aktualisierungen, sondern auch für Neu-Installationen genutzt werden kann. Zu beachten ist, dass Microsoft nur für die jeweils letzten beiden Cumulative Updates Produkt-Unterstützung, z. B. in Form von Sicherheitsupdates, bietet.^[3]

Lizenzierung

Das Produkt ist in den Varianten Standard und Enterprise erhältlich. Die Standardversion ist für den Einsatz in kleineren Unternehmen ausgerichtet, da sie nur 5 Datenbanken pro Server erlaubt. Die Enterprise-Version erlaubt dagegen bis zu 100 Datenbanken pro Server.

Jeder Nutzer der Software benötigt zusätzlich eine Clientzugriffslizenz (CAL). Diese gibt es ebenfalls in der Basis-Variante Standard und als zusätzliche Add-on-Lizenz in der Variante Enterprise, um erweiterte Server-Funktionen nutzen zu können.^[4]

Funktionsumfang

Aus dem anfänglich einfachen E-Mail-System wurde eine umfangreiche Groupware-Lösung. In der Version 2003 wurde mit dem Intelligent Message Filter (IMF) erstmals eine serverseitige Filterung implementiert, die es ermöglicht, unerwünschte E-Mails auszufiltern. Seit der Version 2013 ist ebenfalls eine rudimentäre Anti-Virus-Software enthalten.

Die Funktionalität umfasst:

• E-Mails
• Termine/Kalender (inkl. Terminplanungs-Assistent)
• Aufgaben
• Kontakte/Adressen
• Notizen
• Mobiler E-Mail-Zugriff via ActiveSync-Technologie
• E-Mail-Abruf mittels POP3/IMAP4, E-Mail-Zustellung per SMTP
• Globales Adressbuch
• Zertifikatbasierte Authentifizierung
• Unterstützung für Secure/Multipurpose Internet Mail Extensions (S/MIME)
• Intelligenter Anti-Spam-Filter: SmartScreen-Filtertechnologie, Intelligent Message Filter (IMF)
• Globale Annahme- und Verweigerungsliste (Weiße Liste/Schwarze Liste)
• Anti-Viren-Filterung bzw. Anti-Viren-API, mit der Antivirensoftware von Drittanbietern angebunden werden kann
• Unterstützung für das Sender-ID-E-Mail-Authentifizierungsprotokoll
• Outlook Web App, Webzugriff auf die Funktionen des Servers
• Hybrid-Betrieb mit einem Microsoft-365-Exchange-Online-Dienst
• Data Loss Prevention

Grundsätzlich werden Daten unterteilt in einerseits persönliche und benutzerabhängige und andererseits gemeinsam genutzte Daten wie zum Beispiel die sogenannten Öffentlichen Ordner, wodurch Gruppenarbeit möglich wird.

Als Front-End-Anwendung wird meistens Microsoft Outlook genutzt. Als Alternative unter Linux kann auch Novell Evolution verwendet werden. Jedoch ist eine Nutzung von Exchange Server auch per Webanwendung mittels Outlook Web App oder über mobile Geräte mittels ActiveSync bzw. Telefon (Outlook Voice Access) möglich.

Bei Nutzung von Outlook zusammen mit Exchange Server wird der Funktionsumfang von Outlook erweitert. So wird z. B. ein Abwesenheitsassistent angeboten, der eingehende E-Mails mit einer Abwesenheitsnachricht beantwortet. Auch bestimmte andere Regeln für eingehende Mails werden direkt auf dem Server abgearbeitet, auch wenn der Benutzer Outlook nicht gestartet hat. Der Benutzer kann Ordner seines Postfaches, z. B. den Kalender, für andere Nutzer freigeben. Bei der Planung einer Besprechung wird dem Einladenden angezeigt, ob der Eingeladene verfügbar ist oder bereits einen anderen Termin hat.

Exchange Server kann mit der Portal-Software Microsoft SharePoint Server sowie dem Instant-Messaging-Produkt Microsoft Teams (Nachfolger von Microsoft Lync) zusammenarbeiten.

Die Verwaltung von Exchange Server erfolgt über eine Webanwendung, das Exchange Administration Center (EAC), oder für erweiterte Möglichkeiten mittels Exchange Management Shell (EMS) per PowerShell.

Technik

Rollen

Die Exchange-Funktionalität ist in der Version 2019 in zwei sogenannte Rollen gegliedert, die bei der Installation festgelegt werden:

• Postfach – beinhaltet die Hauptfunktionalität, hält die Datenbanken vor und nimmt die Client-Anfragen entgegen
• Edge-Transport – zusätzliche Sicherung der E-Mail-Übermittlung zwischen internem Netzwerk und Internet (z. B. Spam-Filterung); normalerweise in einer DMZ befindlich

Client-Server-Kommunikation

Microsoft Exchange Server benutzt zur Kommunikation mit dem Client eine proprietäre Schnittstelle namens MAPI, deren Aufrufe mittels der Protokolle RPC und HTTP transportiert werden und die unter anderem von Microsoft Outlook für Windows verwendet wird. Bei Verwendung aktueller Versionen von Exchange Server und Outlook wird die RPC-Schicht zugunsten größerer Flexibilität deaktiviert und MAPI wird direkt per HTTP übertragen.

Outlook für Macintosh nutzt dagegen die Server-Schnittstelle Exchange Web Services (EWS), die auf SOAP basiert und mit Exchange Server 2007 eingeführt wurde. In Zukunft sollten Drittanbieter die REST-Schnittstelle Microsoft Graph anstatt der MAPI- und EWS-Schnittstellen benutzen.

Hochverfügbarkeit

Um den Ausfall eines Servers zu überbrücken, können mehrere Server zu einer sogenannten Datenbankverfügbarkeitsgruppe (Database Availability Group, DAG) verbunden werden. In dieser kann jeder Server ein Duplikat einer Datenbank eines anderen Servers vorhalten und so im Fehlerfall ohne Unterbrechung dessen Rolle übernehmen. Zu diesem Zweck werden alle Änderungen an der aktiven Datenbank permanent an die passive(n) Datenbank-Kopie(n) repliziert.

Geschichte

Versionshistorie

Version	Jahr
4.0	1996
5.0	1997
5.5	1998
2000 (6.0)	2000
2003 (6.5)	2003
2007 (8.x)	2006
2010 (14.x)	2009
2013 (15.0)	2012
2016 (15.1)	2015
2019 (15.2)	2018

Ursprünglich bot Microsoft das Mailsystem MS Mail (bis einschließlich Version 3.5) an, das aber die Anforderungen größerer Umgebungen nicht mehr erfüllen konnte. So war es nur möglich, maximal 500 Postfächer auf einem Server anzulegen, und die Ablage der Daten in einem Dateibaum entpuppte sich mit zunehmendem Mailaufkommen immer mehr als Problem ob der Menge der zu verwaltenden Daten. Exchange selbst wurde von Grund auf neu entwickelt. Um eine Nähe zu Microsoft Mail zu suggerieren und den Kunden den Umstieg auf Exchange nahezulegen, wurde beim ersten Exchange Server die Versionsnummer 4.0 verwendet. Bei der Entwicklung spielten von Beginn an die sichere Datenverarbeitung (relationale Datenbank mit 2-Phase-Commit-Transaktionen) und die Skalierbarkeit eine besondere Rolle. Die Basis bildet seit Beginn die Jet Engine (Jet Blue), die später auch für Produkte wie Active Directory verwendet wurde.

Sicherheit

Als Standardprodukt mit sehr hohem Marktanteil, einem gewissen Wartungsaufwand (siehe Produktpflege-Modell) und oft direkter Verbindung zum Internet, um zum Beispiel E-Mails von überall abrufen zu können, steht Exchange Server permanent im Fokus von Angreifern. Außerdem bietet der illegale Zugriff auf vertrauliche E-Mails und Kontakte ein erhebliches Spionage- und Erpressungspotential. In Kombination mit der tiefen Integration in das Active Directory weist auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Rolle von Exchange-Server als potentielles Einfallstor ins interne Netzwerk hin.^[5]

Im Februar 2020 wurde eine Sicherheitslücke geschlossen, die unter Kenntnis von Zugangsdaten eines beliebigen E-Mail-Kontos die Kompromittierung des ganzen Servers erlaubte. Die Schwachstelle befand sich in Outlook Web App (OWA). Benutzer können sich darüber im Webbrowser anmelden, um Exchange-Dienste wie z. B. Mails ohne die Installation einer Client-Software zu verwenden. Zur Ausnutzung müssen Angreifer lediglich Zugang zum Konto eines frei wählbaren Mitarbeiters erhalten. Dieser benötigt keine spezielle Berechtigungen, sodass für externe Personen etwa die Brute-Force-Methode oder Social Engineering (Sicherheit) in Frage kommen. Die Lücke besitzt die Common Vulnerabilities and Exposures (CVE) Nummer CVE-2020-0688.^[6]

Im März 2021 wurden über eine Kombination anderer Sicherheitslücken tausende in Unternehmen, Organisationen und Behörden betriebene Exchange Server angegriffen, diesmal sogar gänzlich ohne die Kenntnis von Zugangsdaten. Microsoft veröffentlichte in der Folge einen Patch zum Schließen der Lücken und riet Kunden zur sofortigen Installation.^[7] Sowohl die US-Regierung als auch das BSI gaben Warnungen heraus.^[8] Die Europäische Bankenaufsichtsbehörde meldete diesbezüglich unbefugte Zugriffe und schaltete ihr E-Mail-System vorübergehend ab.^[9] Microsoft und die US-amerikanischen Behörden sehen eine chinesische Hackergruppe namens „Hafnium“ mit staatlichem Auftrag hinter den Hackerangriffen.^[8][9]

Um dynamischer auf Netzwerk-Angriffe bei Zero-Day-Lücken reagieren zu können, wurde seitens Microsoft im September 2021 der Exchange Emergency Mitigation Service in das Produkt integriert. Dieser lädt (ähnlich Anti-Virus-Signaturen) periodisch bekannte Angriffsmuster und blockiert sie auf dem Server, um die Zeit bis zu einer vollständigen Fehlerbehebung zu überbrücken.^[10]

Im September 2022 wurden zwei Sicherheitslücken bekannt (CVE-2022-41040, CVE-2022-41082),^[11] die es in Kombination Angreifern aus der Ferne erlaubten, eigenen Programmcode mit höchsten Rechten mithilfe von PowerShell auszuführen. Sie wurden „ProxyNotShell“ genannt und mit dem Schweregrad „Hoch“ klassifiziert. Angreifer müssen zur Ausnutzung zumindest über irgendeine Art von Anmeldedaten verfügen. Mittels des Exchange-Emergency-Mitigation-Dienstes wurden bekannte Angriffsmuster automatisch an allen Exchange-Servern, die diesen Dienst nutzen, blockiert. Die eigentliche Fehlerbehebung wurde erst im November 2022 veröffentlicht.

Im Februar 2024 wurde eine weitere Sicherheitslücke bekannt, die Angreifern eine unberechtigte NTLM-Authentifizierung und somit den Zugriff auf Exchange Server ermöglicht (CVE-2024-21410^[12]). Das Bundesamt für Sicherheit in der Informationstechnik stufte den Exploit als kritisch ein.^[13]

Alternativen

Zu Microsoft Exchange Server existieren viele Konkurrenzprodukte mit unterschiedlichen Funktionsumfängen wie HCL Notes, GroupWise, Scalix, Axigen, IceWarp Server sowie die Open-Source-Alternativen Kopano, Open-Xchange, SOGo, Zimbra, Kolab und Citadel/UX. Des Weiteren gibt es alternative Implementierungen des MAPI-Protokolls, welche die Anbindung standardkonformer Groupware- und E-Mail-Programme an Microsoft Exchange Server ermöglichen.

Literatur

• Tony Redmond: Microsoft Exchange Server 2010 – Das Handbuch. Microsoft Press, 2011, ISBN 978-3-86645-152-0, S. 996 (Inhaltsverzeichnis [abgerufen am 26. Juli 2011]). 
• Walter Glenn, Scott Lowe, Joshua Maher: Microsoft Exchange Server 2007 – Das Handbuch. Microsoft Press Deutschland, 2007, ISBN 978-3-86645-116-2.
• Kay Unkroth, Fergus Strachan, Microsoft Exchange Team u. a.: Microsoft Exchange Server 2003 – Die technische Referenz. Microsoft Press Deutschland, 2005, ISBN 978-3-86063-974-0.
• Siegfried Jagott, Joel Stidley: Microsoft Exchange Server 2010 Best Practices. Microsoft Press, 2010, ISBN 978-0-7356-2719-2.

Weblinks

• Microsoft Technet – Exchange
• Exchange Team Blog (englisch)

Einzelnachweise

1. docs.microsoft.com.
2. Exchange Server build numbers and release dates. Abgerufen am 26. Februar 2020 (englisch). 
3. Servicing Exchange 2013. In: Exchange Team Blog. Abgerufen am 26. Februar 2020. 
4. Microsoft Exchange Server licensing. In: Office.com. Abgerufen am 14. Juli 2013. 
5. BSI: Die Lage der IT-Sicherheit in Deutschland 2021. Abgerufen am 6. Oktober 2022. 
6. CVE-2020-0688 - Security Update Guide - Microsoft Security Response Center. Abgerufen am 13. März 2021. 
7. CVE-2021-26855 - Security Update Guide - Microsoft Security Response Center. Abgerufen am 11. März 2021. 
8. Microsoft Exchange Server: Weltweite Angriffswelle besorgt Sicherheitsexperten. In: DER SPIEGEL. Abgerufen am 9. März 2021. 
9. Microsoft-Exchange-Hack: EU-Bankenaufsichtsbehörde muss Mail-System abschalten. In: DER SPIEGEL. Abgerufen am 9. März 2021. 
10. Exchange Team Blog: New security feature in September 2021 Cumulative Update for Exchange Server. Abgerufen am 16. November 2022 (englisch). 
11. Microsoft Security Response Center: Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server – Microsoft Security Response Center. Abgerufen am 5. Oktober 2022 (englisch). 
12. CVE-2024-21410, auf cve.mitre.org
13. Version 1.0: Microsoft Exchange – Aktive Ausnutzung einer Zero-Day-Schwachstelle. In: Bundesamt für Sicherheit in der Informationstechnik. Bundesministerium des Innern und für Heimat, 15. Februar 2024, abgerufen am 26. Februar 2024.