E-Mail-Fälschung bei Exchange Online: Ghost-Sender betrifft viele Unternehmen

Ein Konfigurationsfehler bei Exchange Online, den Sicherheitsforscher auf den Namen „Ghost-Sender“ getauft haben, erlaubt Spammern und Cyberkriminellen, gefälschte E-Mails an den Schutzmaßnahmen des Anbieters vorbeizuschleusen. Microsofts Sicherheitsabteilung erklärte sich für nicht zuständig – Kunden müssen sich selbst kümmern.

Nutzt ein Unternehmen einen Dienst zur Mailfilterung oder für andere Aufgaben und hat diesen im DNS als MX-Eintrag (Mail eXchange) eingetragen, gehen alle Mails zunächst dorthin. Nach der Bearbeitung durch den externen Dienst leitet dieser die E-Mails an Exchange Online (EXO) weiter, um sie den Empfängern zuzustellen. Dabei ignoriert EXO dann jedoch übliche Maßnahmen gegen Mailspoofing wie SPF und DMARC und kippt auch offensichtlich gefälschte E-Mails bei den Empfängern ab.

Das liegt im Zusammenspiel der Exchange-Online- und der externen Mailserver begründet und ist ein Konfigurationsfehler bei deren Verschaltung. Wie die Entdecker von Infoguard erläutern, gibt es mehrere Methoden der Fehlerbehebung: Man könne einen sogenannten „partner organization connector“ konfigurieren oder per Mailregeln alle E-Mail in Quarantäne verschieben, deren Header X-MS-Exchange-Organization-AuthAs nicht auf Internal gesetzt und zudem die IP-Adresse des einliefernden Mailservers unbekannt ist.

Microsoft tut nichts, daher sollten Admins handeln

Microsofts Reaktion auf den Fehler – den heise security mit dem kostenlos verfügbaren Testprogramm nachvollziehen konnte – war befremdlich. Das Microsoft Security Response Center (MSRC) – aktuell mal wieder mit Sicherheitsforschern über Kreuz – wies die Infoguard-Forscher nach ihrer Meldung am 21. April 2026 ab: Es handele sich weder um eine sicherheitsrelevante Schwachstelle noch um einen Fall fürs MSRC. Daraufhin kontaktierten die Schweizer den Kundendienst des Redmonder Softwarehauses und erhielten eine Bestätigung: Tags zuvor habe man eine großangelegte Versandaktion gefälschter E-Mails festgestellt, das Problem werde also bereits von Missetätern ausgenutzt.

Dennoch passierte nichts, „Ghost-Sender“ funktioniert bis heute. Dabei tragen E-Mails mit gefälschten Absenderadressen (die in Outlooks Mailoberfläche sogar das passende Profilbild tragen) ein hohes Risiko für Betrügereien aller Art, speziell die als „Business Email Compromise“ bekannte Masche.

Administratoren, die Exchange Online mit vorgelagertem Filterdienst nutzen, sollten ihre Konfiguration daher zügig auf Anfälligkeit prüfen und gegebenenfalls eine der empfohlenen Gegenmaßnahmen ergreifen – in Redmond scheint man derzeit nicht der Ansicht zu sein, wegen „Ghost-Sender“ handeln zu müssen.

(cku)