Ghost-Sender sorgt aktuell für Aufmerksamkeit rund um die Sicherheit von Exchange-Online und Microsoft-365. Denn in vielen Unternehmen ist es gängige Praxis, den eingehenden E-Mail-Verkehr nicht ausschließlich über die Standard-Schutzmechanismen von Microsoft-365 abzusichern, sondern zusätzlich auf spezialisierte E-Mail-Sicherheitslösungen externer Anbieter zu setzen. Solche vorgeschalteten Secure-E-Mail-Gateways übernehmen eine wichtige Rolle als zusätzliche und Provider-unabhängige Schutzebene etwa gegen Phishing und Virenangriffe.
Vor diesem Hintergrund sorgt derzeit das Thema Ghost-Sender für Aufmerksamkeit. Gemeint ist eine Schwachstelle beziehungsweise riskante Fehlkonfiguration im Zusammenspiel von Exchange-Online mit genau solchen vorgeschalteten E-Mail-Sicherheitslösungen. Betroffen sind vor allem Umgebungen, in denen eingehende Nachrichten zunächst über ein Secure-E-Mail Gateway oder einen externen Filterdienst angenommen und erst danach an Microsoft-365 beziehungsweise Exchange-Online weitergeleitet werden. Bei Standardkonfigurationen kann es sein, dass gefälschte E-Mails mit manipuliertem Absender dennoch zugestellt werden.
Das ist deshalb kritisch, weil solche Nachrichten für Empfänger täuschend echt wirken können und damit das Risiko für Phishing und Business-E-Mail-Compromise deutlich steigt. Für IT-Verantwortliche ist nun vor allem wichtig zu verstehen: Nicht jede Microsoft-365-Umgebung ist automatisch betroffen. Entscheidend ist vielmehr, wie der eingehende Mailflow technisch aufgebaut und abgesichert ist. Für IT-Admins lohnt sich daher jetzt ein nüchterner und gezielter Konfigurationscheck.
Anfälligkeit für direkte Zustellung prüfen
Es empfiehlt sich zeitnah zu prüfen, ob die IT-Umgebung grundsätzlich für eine direkte Zustellung an den Tenant außerhalb des vorgesehenen Security-Gateway-Pfads anfällig ist. Ein gezielter Test, etwa über ein dafür bereitgestelltes Prüfverfahren wie ghost-sender.com, kann hier eine schnelle erste Einordnung geben. Wenn die Prüfung zeigt, dass Exchange-Online-Postfächer von außen via „Ghost Sender“ erreicht werden können, empfehlen sich die folgenden Schritte.
Den vorgesehenen Zustellpfad eindeutig definieren
Ein zentraler Punkt ist der vorgesehene Zustellpfad selbst. Eingehende E-Mails sollten technisch eindeutig über das vorgelagerte Secure-E-Mail Gateway geführt werden. In der Praxis heißt das: Der sogenannte Mail-Exchange-Eintrag (MX-Record) sollte so gesetzt sein, dass eingehende E-Mails zunächst über das Gateway und nicht direkt über Exchange-Online zugestellt werden. Gleichzeitig sollte in Exchange-Online ein passender Inbound-Partner-Connector eingerichtet sein, der genau diesen Weg abbildet.
Den Inbound-Connector restriktiv konfigurieren
Ein weiterer wichtiger Schritt ist, den Connector möglichst restriktiv zu konfigurieren. Besonders wichtig ist, dass nur autorisierte Gateway-Quell-IPs zugelassen werden. So lässt sich verhindern, dass eingehende Verbindungen außerhalb des definierten Pfads dennoch als legitim behandelt werden. Ergänzend kann es sinnvoll sein, den Mailflow zusätzlich über Transport-Layer-Security (TLS) beziehungsweise eine passende TLS-Domain- oder Zertifikatsprüfung abzusichern.
Direkte SMTP-Zustellung an Exchange-Online unterbinden
Direkte Zustellungen an Exchange-Online außerhalb des autorisierten Gateway-Pfads sollten konsequent unterbunden werden. Ob dies über Transportregeln oder andere Restriktionen umgesetzt wird, hängt von der jeweiligen Umgebung ab. Entscheidend ist, dass nach der technischen Anpassung nicht nur die Konfiguration sauber aussieht, sondern auch praktisch geprüft wird, ob Direct-to-Tenant- oder Spoofing-Szenarien tatsächlich blockiert werden.
Senderauthentifizierung regelmäßig überprüfen
Der fünfte Punkt geht über den aktuellen Anlass hinaus: Überprüfen Sie regelmäßig auch die grundlegenden Schutzmechanismen rund um Sender-Policy-Framework (SPF), Domainkeys-Identified-Mail (DKIM) und Domain-based Message-Authentication, Reporting and Conformance (DMARC). Gerade eine sauber umgesetzte und perspektivisch restriktivere DMARC-Policy hilft dabei, unerwünschte Mailflows und Spoofing-Risiken insgesamt wirksam zu reduzieren.
Fazit: Saubere Konfiguration ist entscheidend
Der Fall Ghost-Sender zeigt vor allem, dass die Sicherheit von E-Mail-Infrastrukturen nicht allein von einzelnen Schutzmechanismen abhängt, sondern maßgeblich von deren sauberer technischer Umsetzung. Für IT-Admins ist das Thema deshalb vor allem ein Anlass, den eigenen Mailflow, Connectoren und Zustellpfade genau zu prüfen. Wer den Weg eingehender E-Mails konsequent absichert und direkte Umgehungen verhindert, kann das Risiko für Spoofing und betrügerische Nachrichten deutlich reduzieren.
Von Sören Schulte, E-Mail-Security-Experte bei Retarus
