August 2025
Autor des Beitrags
Ben
Senior Architect
Team Cloud Productivity
LinkedIn
Veröffentlicht am
08.08.2025 von Ben
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Wichtige Sicherheitsinformation:

Sicherheitsrisiko bei Direct Send in Microsoft Exchange Online

 

Direct Send wird von Hackern missbraucht – aber viele Unternehmen brauchen es weiterhin.

Diese Aussage bringt ein aktuelles Problem im Bereich Microsoft 365 Exchange Online auf den Punkt: Ein praktisches Feature mit einem gefährlichen Nebeneffekt.

Was Sie beachten sollten, wenn Sie Direct Send im Einsatz haben, erklären wir Ihnen in diesem Blogpost.

Was ist Direct Send?

 

Direct Send erlaubt es Geräten und Anwendungen, E-Mails über Exchange Online an interne Empfänger zu versenden – ohne Authentifizierung. Typische Einsatzszenarien sind:

  • Multifunktionsdrucker, die Scans per Mail verschicken
  • interne Anwendungen, die automatisierte E-Mails generieren
  • Alerts aus Monitoring-Systemen

Der Vorteil: Man braucht keine Benutzeranmeldung oder Authentifizierungsmechanismen wie SMTP AUTH oder OAuth.

 

Das Problem: offen für Missbrauch

 

Gerade weil Direct Send ohne Authentifizierung funktioniert und überdies keine Einschränkung auf spezifische Absendersysteme möglich ist, stellt es ein beliebtes Ziel für Angreifer dar. Sobald bekannt ist, dass ein Unternehmen Exchange Online verwendet, können Angreifer über diesen Weg ohne weiteres Zutun Phishing-Kampagnen oder Spam versenden – im Namen der eigenen Domain.

 

 

Lösung 1: Deaktivierung der Funktionalität

 

Idealerweise wird die Funktion vollständig abgeschaltet.

Anleitung von Microsoft:

👉 Mehr Kontrolle über Direct Send

Dies mag jedoch nicht in jedem Fall möglich sein, bspw. wenn die nutzenden Systeme die moderne Authentifizierung über OAuth nicht unterstützen. Dann kommt Lösung 2 in Betracht.

 

Lösung 2: Einschränkung auf erlaubte IP-Adressen

 

Microsoft hat auf die Gefahr reagiert und bietet nun eine Möglichkeit, Direct Send gezielt per Transportregel auf bestimmte IP-Adressen einzuschränken.

Anleitung von Microsoft:

👉 Mehr Kontrolle über Direct Send

Beispielhafte Umsetzung:

  • Anlage einer Transportregel, die eingehende Direct Send-Nachrichten blockiert
  • Ausnahme für definierte IP-Adressen des eigenen Netzwerks oder von Partnern

Damit wird verhindert, dass fremde Systeme E-Mails über die Direct Send-Funktion verschicken.

 

Wie finde ich heraus, wer Direct Send in meinem Mandanten verwendet?

 

Neben der Einschränkung kann auch eine Analyse vergangener Direct Send-E-Mails helfen. Microsoft beschreibt in seinem Blogbeitrag, wie man sich per PowerShell (oder bei Verfügbarkeit von Defender for Office 365 Plan 2 auch über die GUI) einen Bericht aller Direct Send-Nachrichten erstellen kann.

Nutzen:

  • Erkennen, welche Systeme Direct Send verwenden
  • Erkennen, wann ein potenzieller Missbrauch begonnen und aufgehört hat
  • Identifizieren betroffener Benutzerkonten oder Zieladressen
  • Frühzeitiges Warnen der Empfänger

Diese Transparenz hilft nicht nur im Akutfall, sondern auch zur Risikobewertung und Vorbereitung auf zukünftige Vorfälle.

 

Fazit & Handlungsempfehlung

 

Direct Send kann ein nützliches Werkzeug sein – doch wer es nutzt, muss es auch kontrollieren. Unsere Empfehlungen:

  1. Sofort prüfen, ob Direct Send im eigenen Mandanten aktiv ist
  2. IP-Adressfilterung mit Transportregeln implementieren
  3. Auswertungen fahren, um eventuellen Missbrauch aufzudecken
  4. Regelmäßig prüfen, ob neue Sicherheitsfunktionen verfügbar sind

 

Sie benötigen Unterstützung? Wir helfen gerne!

 

Quellen:

Microsoft Tech Community Blog:

https://techcommunity.microsoft.com/blog/exchange/introducing-more-control-over-direct-send-in-exchange-online/4408790/

KOntakt

Ihr persönlicher Ansprechpartner

Brauchen Sie weitere Informationen zu unseren Leistungen und Produkten? Oder suchen Sie nach einer passenden Lösung für Ihren Anwendungsfall? Dann zögern Sie nicht uns zu kontaktieren.

 

JAKOB BECKMANN  | Sales Manager

+49 89 71040920

jakob@provectus.de

 

Zum Kontaktformular

 

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Alles wissenswerte

auf einen Blick
Zum Infohub
Blogbeitrag

Experts Live Germany 2026 in Leipzig: Provectus vor Ort – mit neuem Azure Managed Service.

Dann sehen wir uns am 03. März 2026 auf der EXPERTS LIVE GERMANY in Leipzig. Ein besonderes Highlight: Unser Vortrag “ 12.500 € Azure‑Kosten – und niemand merkt’s“
Weiterlesen
Blogbeitrag

Datenklassifizierung als Fundament für KI-Einsatz und Voraussetzung für NIS2, DORA & KRITIS

Datenklassifizierung ist die Basis für sichere, regelkonforme Datenverarbeitung und den sinnvollen Einsatz von KI – auch im Kontext von NIS2, DORA und KRITIS.
Weiterlesen
Webinar

12.500 € verbrannt und niemand merkt’s: So verhindern Managed Services Kostenfallen und Risiken

In diesem kostenlosen Webinar erfahren Sie, wie Azure-Kostenfallen entstehen, wie Fehlkonfigurationen frühzeitig erkannt werden und welche Betriebsstandards Managed Services dafür einsetzen.
Weiterlesen
Blogbeitrag

Datenstrategie und hohe Datenqualität: Der Schlüssel für KI, Automatisierungen & Compliance

Ohne Datenstrategie keine KI: Wie Unternehmen mit hoher Datenqualität, Governance und Datenhygiene Automatisierung ermöglichen und DSGVO, NIS2, DORA & KRITIS erfüllen.
Weiterlesen
Whitepaper

ROI messbar steigern mit M365 Copilot

Erfahren Sie, wie Sie den ROI von Microsoft Copilot berechnen und KI-Adoption in messbaren Business Value verwandeln.
Weiterlesen
Blogbeitrag

Microsoft 365: Schonfrist für abgelaufene Abonnements endet

Microsoft stellt das bisherige Modell für ablaufende Microsoft-365-Abonnements grundlegend um. Ab 01. April 2026 schafft der Konzern die bekannte kostenfreie Schonfrist ab und ersetzt sie durch ein neues Abrechnungsmodell.
Weiterlesen
Blogbeitrag

Provectus Microsoft Copilot Jumpstart: Ihre Vorteile

Provectus ist Microsoft Copilot & Agents at Work Jumpstart Ready Partner und gibt die Förderung direkt an Sie weiter. So ermöglichen wir unseren Kund:innen einen finanziell erleichterten Einstieg in Microsoft Copilot und KI-Agents.
Weiterlesen
Blogbeitrag

Hessische Beauftragte für Datenschutz und Informationssicherheit (HBDI) veröffentlichen Bericht zur datenschutzkonformen Nutzung von Microsoft 365

Der HBDI bestätigt: Microsoft 365 kann unter bestimmten Bedingungen DSGVO-konform eingesetzt werden. Der Bericht ordnet rechtliche und technische Aspekte ein.
Weiterlesen
Blogbeitrag

Szenario: Teams-Bot greift im Benutzerkontext auf Azure Ressourcen zu 

Im Entwicklungsverlauf eines Teams–Bots zeigt sich folgendes Anforderungsszenario: Der Bot soll im Kontext der angemeldeten Person auf weitere Azure–Ressourcen zugreifen.
Weiterlesen
Blogbeitrag

Unser Start ins Trainee-Programm bei Provectus 

Unsere Trainees berichten von den ersten Monaten im Provectus-Traineeprogramm, geben Einblicke in Workshops, Lernphasen und den täglichen Einsatz von KI-Tools und zeigen, wie sie auf ihre Rolle als Junior Professionals vorbereitet werden.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
©provectus 2024