Gefälschte E-Mails sind für Unternehmen ein echtes Risiko. Besonders heikel wird es, wenn Angreifer die Schutzmechanismen von Exchange Online umgehen können. Genau das zeigt der Fall „Ghost-Sender“.
Wie der Fehler entsteht
Viele Unternehmen setzen vor Exchange Online einen externen Mailfilter ein. Dieser nimmt E-Mails über den MX-Eintrag an, prüft sie und leitet sie dann an Exchange Online weiter. Genau an dieser Stelle entsteht die Schwachstelle.
Exchange Online behandelt die eingehenden Nachrichten in dieser Konstellation anders als erwartet. Prüfungen wie SPF und DMARC greifen dann nicht zuverlässig. So gelangen gefälschte Absenderadressen durch und landen im Postfach der Empfänger.
Warum das für Angriffe so gefährlich ist
Eine gefälschte E-Mail wirkt für viele Mitarbeitende glaubwürdig, vor allem in Outlook. Dort kann sogar ein passendes Profilbild erscheinen. Das erhöht das Risiko für Betrug, Datenabfluss und finanzielle Schäden.
Besonders kritisch ist das bei Angriffen auf Zahlungen, interne Anweisungen oder Kontozugänge. Solche Nachrichten werden oft für Business Email Compromise eingesetzt. Dabei geben sich Angreifer als Geschäftsführung, Partner oder Kolleginnen und Kollegen aus.
Welche Unternehmen betroffen sein können
Gefährdet sind vor allem Organisationen, die Exchange Online mit einem vorgelagerten Maildienst betreiben. Das betrifft viele Setups mit Cloud-Filter, Archivierung oder Mail-Sicherheitsdiensten.
Wer die Mailroute über externe Systeme führt, sollte die eigene Konfiguration genau prüfen. Der Fehler hängt nicht an einer einzelnen Mailbox, sondern an der Art, wie die Systeme miteinander verschaltet sind.
Welche Gegenmaßnahmen helfen
Es gibt zwei zentrale Wege, um das Risiko zu senken. Die erste Möglichkeit ist ein „partner organization connector“. Damit lässt sich die Verbindung zwischen den Systemen sauberer steuern.
Die zweite Möglichkeit ist eine Mailregel, die verdächtige Nachrichten in Quarantäne verschiebt. Das betrifft vor allem E-Mails, bei denen der Header X-MS-Exchange-Organization-AuthAs nicht auf Internal steht und die IP-Adresse des einliefernden Mailservers unbekannt ist.
Beide Schritte brauchen eine saubere Prüfung der eigenen Mailarchitektur. Wer Exchange Online mit externen Filtern einsetzt, sollte die Regeln nicht aufschieben.
Was Admins jetzt tun sollten
Prüfen Sie die aktuelle Mailstrecke vom Eingang bis zur Zustellung. Schauen Sie, ob ein externer Dienst vor Exchange Online sitzt und ob dort Weiterleitungen aktiv sind.
Kontrollieren Sie zudem, ob verdächtige Mails in Ihrem Umfeld bereits aufgetaucht sind. Ein gezielter Blick in Logs, Header und Quarantäne hilft bei der Einschätzung.
Wer Schutzregeln erst später anpasst, lässt Angreifern Zeit. In diesem Fall liegt die Verantwortung klar bei den Unternehmen, nicht beim Anbieter.
Praktische Lehre für den Alltag
Der Fall zeigt, wie wichtig die Kontrolle der eigenen Mailwege bleibt. Eine Cloud-Plattform schützt nur dann gut, wenn die Umgebung korrekt eingerichtet ist.
Gerade bei E-Mail-Sicherheit zählt jedes Detail. Schon ein kleiner Konfigurationsfehler kann dafür sorgen, dass gefälschte Nachrichten wie echte Mails wirken. Unternehmen sollten ihre Schutzregeln deshalb regelmäßig prüfen und anpassen.
