Lentement mais sûrement, Microsoft vise à empêcher les serveurs Microsoft Exchange sur site non pris en charge et/ou non corrigés d’utiliser le service cloud hébergé Exchange Online de l’entreprise pour envoyer des e-mails.
Empêcher les e-mails potentiellement malveillants d’atteindre Exchange Online
“Adresser [the problem of persistently vulnerable Exchange servers that cannot be trusted]nous activons un système d’application basé sur le transport dans Exchange Online qui a trois fonctions principales : la création de rapports, la limitation et le blocage », l’équipe Exchange indiqué.
« Le système est conçu pour alerter un administrateur sur les serveurs Exchange non pris en charge ou non corrigés dans leur environnement sur site qui nécessitent une correction (mise à niveau ou correctif). Le système a également des capacités de limitation et de blocage, donc si un serveur n’est pas corrigé, le flux de messagerie de ce serveur sera limité (retardé) et finalement bloqué.
Dans la première étape de cette application prévue, Microsoft indiquera simplement aux administrateurs d’Exchange Server qu’un serveur particulier n’est pas pris en charge ou est obsolète : en affichant des alertes dans un nouveau rapport de flux de messagerie dans le centre d’administration d’Exchange Online, et via une publication dans le centre de messages que tous les clients Exchange Server verront.
Si cela ne les incite pas à corriger ou à mettre à niveau dans les 30 prochains jours, l’entreprise passera à l’étape suivante : retarder (limiter) la livraison des e-mails du serveur au service Exchange Online pendant 5 minutes.
Les 6 étapes suivantes impliquent des périodes croissantes de limitation ou de limitation ET de blocage. Enfin, si l’administrateur de ce serveur n’a pas décidé de corriger ou de mettre à niveau le serveur dans les 90 jours, Exchange Online n’acceptera plus aucun message du serveur.
Les étapes du système d’application progressive (Source : Microsoft)
Selon Microsoft, les serveurs « vulnérables en permanence » et les e-mails qu’ils envoient ne sont pas fiables et constituent un danger pour toutes les instances cloud d’Exchange Online, ainsi que pour les destinataires des e-mails.
“Le système d’application s’appliquera éventuellement à toutes les versions d’Exchange Server et à tous les e-mails entrant dans Exchange Online, mais nous commençons avec un très petit sous-ensemble de serveurs obsolètes : les serveurs Exchange 2007 qui se connectent à Exchange Online via un type de connecteur entrant OnPremises, “, a ajouté l’équipe d’échange.
« Suite à ce déploiement initial, nous intégrerons progressivement d’autres versions d’Exchange Server dans le champ d’application du système d’application. Finalement, nous élargirons notre champ d’application pour inclure toutes les versions d’Exchange Server, quelle que soit la manière dont elles envoient le courrier à Exchange Online.
Si une version de serveur est toujours prise en charge (par exemple Exchange 2016 et 2019) mais que le serveur est “significativement en retard” sur les mises à jour de sécurité, il sera considéré comme vulnérable et le flux de courrier en sera retardé et/ou bloqué.
“Si le serveur est corrigé après avoir été définitivement bloqué, alors Exchange Online acceptera à nouveau les messages du serveur, tant que le serveur reste en conformité. Si un serveur ne peut pas être corrigé, il doit être définitivement retiré du service », a souligné Microsoft.
Pourquoi?
L’objectif déclaré de Microsoft est de protéger son infrastructure interne et d’améliorer le profil de sécurité de l’écosystème Exchange, notamment parce qu’il y a eu une augmentation significative de la fréquence des attaques contre les serveurs Exchange au cours des dernières années.
Des discussions animées dans le annoncela section des commentaires et sur Reddit a révélé que certaines personnes saluent la décision de Microsoft et d’autres y voient le début d’une manœuvre qui obligera les clients à cesser complètement d’utiliser Exchange sur site et à passer à Exchange Online (et à payer pour cela, bien sûr).
Scott Schnoll, responsable produit Microsoft pour Exchange Online et Exchange Server, a déclaré que Microsoft n’arrêtera pas la prise en charge des nouvelles versions des serveurs Exchange. En outre, les clients ne sont pas tenus de remplacer les versions non prises en charge d’Exchange par une version plus récente.
« Il n’est pas nécessaire d’utiliser un produit Microsoft pour envoyer du courrier à Exchange Online. Nous voulons que les clients soient en sécurité, peu importe où ils choisissent d’exécuter leur messagerie », a-t-il noté.
Pouvons-nous supposer que cela signifie qu’à terme, le trafic de messagerie provenant d’autres produits non Microsoft jugés «vulnérables en permanence» sera également bloqué? La société n’a pas dit explicitement.
“Nous nous concentrons initialement sur les serveurs de messagerie que nous pouvons facilement identifier comme étant constamment vulnérables, mais nous bloquerons tous les flux de messagerie potentiellement malveillants que nous pouvons”, a déclaré l’équipe Exchange.
Quand?
Schnoll dit qu’après un bref aperçu privé, la première vague de clients concernés verra le nouveau rapport sur le flux de messagerie et les alertes le 23 mai.
“Juin est le moment où l’étranglement commence pour la première vague, et juillet est le moment où le blocage commence. Le jour où le blocage commence pour l’ensemble actuel de clients, le prochain ensemble de clients recevra une notification », a-t-il ajouté.
