August 2025
Autor des Beitrags
Ben
Senior Architect
Team Cloud Productivity
LinkedIn
Veröffentlicht am
08.08.2025 von Ben
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Wichtige Sicherheitsinformation:

Sicherheitsrisiko bei Direct Send in Microsoft Exchange Online

 

Direct Send wird von Hackern missbraucht – aber viele Unternehmen brauchen es weiterhin.

Diese Aussage bringt ein aktuelles Problem im Bereich Microsoft 365 Exchange Online auf den Punkt: Ein praktisches Feature mit einem gefährlichen Nebeneffekt.

Was Sie beachten sollten, wenn Sie Direct Send im Einsatz haben, erklären wir Ihnen in diesem Blogpost.

Was ist Direct Send?

 

Direct Send erlaubt es Geräten und Anwendungen, E-Mails über Exchange Online an interne Empfänger zu versenden – ohne Authentifizierung. Typische Einsatzszenarien sind:

  • Multifunktionsdrucker, die Scans per Mail verschicken
  • interne Anwendungen, die automatisierte E-Mails generieren
  • Alerts aus Monitoring-Systemen

Der Vorteil: Man braucht keine Benutzeranmeldung oder Authentifizierungsmechanismen wie SMTP AUTH oder OAuth.

 

Das Problem: offen für Missbrauch

 

Gerade weil Direct Send ohne Authentifizierung funktioniert und überdies keine Einschränkung auf spezifische Absendersysteme möglich ist, stellt es ein beliebtes Ziel für Angreifer dar. Sobald bekannt ist, dass ein Unternehmen Exchange Online verwendet, können Angreifer über diesen Weg ohne weiteres Zutun Phishing-Kampagnen oder Spam versenden – im Namen der eigenen Domain.

 

 

Lösung 1: Deaktivierung der Funktionalität

 

Idealerweise wird die Funktion vollständig abgeschaltet.

Anleitung von Microsoft:

👉 Mehr Kontrolle über Direct Send

Dies mag jedoch nicht in jedem Fall möglich sein, bspw. wenn die nutzenden Systeme die moderne Authentifizierung über OAuth nicht unterstützen. Dann kommt Lösung 2 in Betracht.

 

Lösung 2: Einschränkung auf erlaubte IP-Adressen

 

Microsoft hat auf die Gefahr reagiert und bietet nun eine Möglichkeit, Direct Send gezielt per Transportregel auf bestimmte IP-Adressen einzuschränken.

Anleitung von Microsoft:

👉 Mehr Kontrolle über Direct Send

Beispielhafte Umsetzung:

  • Anlage einer Transportregel, die eingehende Direct Send-Nachrichten blockiert
  • Ausnahme für definierte IP-Adressen des eigenen Netzwerks oder von Partnern

Damit wird verhindert, dass fremde Systeme E-Mails über die Direct Send-Funktion verschicken.

 

Wie finde ich heraus, wer Direct Send in meinem Mandanten verwendet?

 

Neben der Einschränkung kann auch eine Analyse vergangener Direct Send-E-Mails helfen. Microsoft beschreibt in seinem Blogbeitrag, wie man sich per PowerShell (oder bei Verfügbarkeit von Defender for Office 365 Plan 2 auch über die GUI) einen Bericht aller Direct Send-Nachrichten erstellen kann.

Nutzen:

  • Erkennen, welche Systeme Direct Send verwenden
  • Erkennen, wann ein potenzieller Missbrauch begonnen und aufgehört hat
  • Identifizieren betroffener Benutzerkonten oder Zieladressen
  • Frühzeitiges Warnen der Empfänger

Diese Transparenz hilft nicht nur im Akutfall, sondern auch zur Risikobewertung und Vorbereitung auf zukünftige Vorfälle.

 

Fazit & Handlungsempfehlung

 

Direct Send kann ein nützliches Werkzeug sein – doch wer es nutzt, muss es auch kontrollieren. Unsere Empfehlungen:

  1. Sofort prüfen, ob Direct Send im eigenen Mandanten aktiv ist
  2. IP-Adressfilterung mit Transportregeln implementieren
  3. Auswertungen fahren, um eventuellen Missbrauch aufzudecken
  4. Regelmäßig prüfen, ob neue Sicherheitsfunktionen verfügbar sind

 

Sie benötigen Unterstützung? Wir helfen gerne!

 

Quellen:

Microsoft Tech Community Blog:

https://techcommunity.microsoft.com/blog/exchange/introducing-more-control-over-direct-send-in-exchange-online/4408790/

Kontakt

Ihr persönlicher Ansprechpartner

Brauchen Sie weitere Informationen zu unseren Leistungen und Produkten? Oder suchen Sie nach einer passenden Lösung für Ihren Anwendungsfall? Dann zögern Sie nicht uns zu kontaktieren.

 

JAKOB BECKMANN  | Sales Manager

+49 89 71040920

jakob@provectus.de

 

Zum Kontaktformular

 

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

Alles wissenswerte

auf einen Blick
Zum Infohub
Webinar

Vortrag: Moderne Apps brauchen moderne Plattformen: Warum der Betrieb über Ihren Erfolg entscheidet

Für alle, die beim Expert Day von Midrange verstehen wollen, warum Cloud-Projekte nicht an der Migration scheitern, sondern im Betrieb. Viele Unternehmen kämpfen danach mit steigenden Kosten, fehlender Transparenz und neuen Risiken. Der Grund: Cloud ist kein Infrastrukturthema, sondern ein Betriebsmodell mit klaren Anforderungen.
Weiterlesen
Blogbeitrag

Virtual Workplace Evolution 2026

Wir sind dabei und freuen uns auf einen spannenden Austausch zur Transformation von IT Workplaces.
Weiterlesen
Webinar

DORA-konformer Cloud-Betrieb: So setzen Sie Anforderungen praxisnah um

WEBINAR, 18.06: DORA-konformer Cloud-Betrieb praxisnah erklärt: Erfahren Sie im Webinar, wie Finanzunternehmen regulatorische Anforderungen wirksam, prüfbar und dauerhaft im IT-Betrieb umsetzen.
Weiterlesen
Blogbeitrag

Azure Arc, SQL-Updates, regionale Produktgrenze: Der MVP-Vorteil

Updates, die scheinbar laufen, aber nie ankommen. Ein Support-Ticket ohne belastbare Antwort. Und ein Betriebsproblem, das schnell zum Sicherheitsproblem werden kann. Wie ein Microsoft MVP in genau dieser Situation den entscheidenden Unterschied macht.
Weiterlesen
Blogbeitrag

Anthropic in Microsoft 365 Copilot: Warum das neue KI-Feature zum Governance-Test für Unternehmen wird 

Neue KI-Modelle in Microsoft 365 Copilot: Warum die Anthropic-Integration für Unternehmen Chancen, Pflichten und Risiken verändert.
Weiterlesen
Blogbeitrag

Azure Files im Enterprise Scale: Architektur mit Herstellervalidierung

Wenn Datenvolumina, verteilte Standorte und hybride Synchronisation zusammentreffen, reicht die Dokumentation oft nicht mehr aus. Wie eine Validierung mit der Microsoft Produktgruppe in solchen Fällen den Unterschied macht.
Weiterlesen
Webinar

Webinar – Need for Speed – wie Microsoft 365 Unternehmen in Zugzwang bringt

Für alle Unternehmen, die M365 stabil, sicher und effizient betreiben wollen. Wer souverän mit Changes umgeht, gewinnt Kontrolle und entlastet endlich das Tagesgeschäft. In diesem Webinar zeigen unsere Experten, wie Sie die Update‑Flut proaktiv statt reaktiv managen.
Weiterlesen
Blogbeitrag

Provectus und das IAMCP Business Chapter Azure Infrastruktur

Interview mit Matthias Braun über das IAMCP-Netzwerk, aktuelle Trends in der Azure Infrastruktur und den konkreten Mehrwert für Microsoft-Partner und deren Kunden.
Weiterlesen
Blogbeitrag

Citrix LAS kommt: Warum Sie jetzt handeln müssen 

Die Zeit der klassischen, dateibasierten Citrix-Lizenzierung läuft ab. Citrix hat klar kommuniziert: Am 15. April 2026 ist endgültig Schluss. Ab diesem Zeitpunkt wird ausschließlich noch der Citrix License Activation Service (LAS) unterstützt.
Weiterlesen
Webinar

Webinar – Automatisieren ohne IT-Frust: Microsoft Power Platform sicher betreiben und Potenzial nutzen

In diesem Webinar zeigen unsere Experten anhand praxisnaher Live-Demos, wie Unternehmen mit der Microsoft Power Platform Prozesse effizient automatisieren, externe Tools ersetzen und durch klare Governance sowie ein Center of Excellence einen sicheren und nachhaltigen Betrieb sicherstellen.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Facebook LinkedIn Instagram Youtube
©provectus 2024