Exchange 2016 & 2019 Hybrid Server werden zukünftig geblockt

Mit dem Supportende von Exchange Server 2016 und 2019 im Oktober ist eine Zäsur erreicht, die viele Unternehmen aktuell noch unterschätzen. Denn mit dem Ende des Supports entfallen nicht nur Sicherheitsupdates. Microsoft hat gleichzeitig einen technischen Mechanismus etabliert, der mittelfristig dazu führt, dass E-Mails aus diesen Umgebungen von Exchange Online nicht mehr angenommen werden. 

Was zunächst theoretisch klingt, wird in der Praxis sehr konkret. Für alle Organisationen, die weiterhin Exchange 2016 oder 2019 einsetzen – insbesondere in hybriden Szenarien – stellt sich nicht mehr die Frage ob, sondern wann Einschränkungen im Mailverkehr auftreten. 

Wie Exchange Online nicht mehr konforme Server behandelt

Microsoft setzt auf ein gestuftes Enforcement-Verfahren, das automatisch greift, sobald ein Exchange-Server als „non-compliant“ eingestuft wird. Der Auslöser ist dabei nicht das Supportende an sich, sondern der Moment, in dem eine kritische Sicherheitslücke nicht mehr gepatcht werden kann. Ab diesem Zeitpunkt startet ein klar definierter Zeitplan: 

• Nach 30 Tagen werden E-Mails nur noch verzögert zugestellt 

• Nach 60 Tagen beginnt Exchange Online, E-Mails aktiv zu blockieren 

• Nach 90 Tagen werden keinerlei E-Mails mehr angenommen 

Der vollständige technische Ablauf ist in diesem Artikel ausführlich beschrieben: 
https://www.abtis.de/aktuelles/news/microsoft-blockiert-verstaerkt-e-mails-von-unsicheren-exchange-servern 

Wichtig ist dabei: Mit dem letzten Sicherheitsupdate im Oktober gelten Exchange Server 2016 und 2019 faktisch für alle betroffenen Umgebungen als nicht mehr patchbar. Sobald Microsoft eine bestehende oder neu bewertete kritische Schwachstelle als relevant einstuft, startet der Compliance-Timer damit nicht individuell, sondern zeitgleich für alle Kunden, die diese Versionen noch produktiv einsetzen. Dass seit dem Supportende bislang keine neue kritische Lücke kommuniziert wurde, ist daher keine Entwarnung, sondern lediglich eine trügerische Ruhephase. Microsoft kann diese Bewertung jederzeit ändern. 

Temporäre Pause – aber kein Ausweg

Microsoft bietet die Möglichkeit, dieses Enforcement zeitweise auszusetzen. Pro Tenant können aktuell maximal 90 Tage pro Kalenderjahr genutzt werden. Diese Pause kann sinnvoll sein, um laufende Projekte geordnet abzuschließen – sie ist jedoch keine langfristige Lösung und auch kein Ersatz für eine strategische Entscheidung. 

Gerade problematisch: Diese 90 Tage stehen allen betroffenen Kunden gleichzeitig nur sehr begrenzt zur Verfügung. Sobald Microsoft die Bewertung ändert oder eine neue Schwachstelle als kritisch einstuft, beginnt der Countdown bei sehr vielen Unternehmen parallel zu laufen. 

Warum das Thema viele Unternehmen gleichzeitig treffen wird

Exchange 2016 und 2019 sind weit verbreitet. Entsprechend groß ist die Zahl der Umgebungen, die aktuell technisch stabil laufen, aber strategisch auf einer Sackgasse stehen. Das Risiko liegt weniger in einem plötzlichen technischen Defekt – sondern in einem gleichzeitigen, extern getriebenen Handlungszwang. 

Wenn Blockierungen einsetzen, bleibt kaum Zeit für saubere Planung, Tests oder organisatorische Abstimmungen. Migrationen, die heute strukturiert vorbereitet werden können, werden dann unter Zeitdruck umgesetzt - mit entsprechend höherem Risiko. 

Was Unternehmen jetzt tun sollten

Unsere Empfehlung ist klar: Jetzt ist der richtige Zeitpunkt, um aktiv zu werden und nicht erst beim ersten verzögerten Mailversand. 

Konkret bedeutet das: 

1. Bestandsaufnahme durchführen 
   Welche Exchange-Versionen sind im Einsatz? Gibt es Hybrid-Abhängigkeiten zu Exchange Online? 

2. Strategische Zielplattform festlegen 
   Migration zu Exchange Online, Umstieg auf Exchange Server SE oder eine alternative Architektur - wichtig ist eine bewusste Entscheidung.

3. Zeit realistisch bewerten 
   Technische Migration ist nur ein Teil. Change Management, Security, Compliance und Betrieb müssen mitgedacht werden. 

4. Puffer bewusst einsetzen 
   Eine mögliche Enforcement-Pause sollte strategisch genutzt werden - nicht als letzte Rettung. 

Fazit: Ruhe ist kein Zeichen von Sicherheit

Dass aktuell noch keine Blockierungen stattfinden, ist kein Freifahrtschein. Exchange 2016 und 2019 werden perspektivisch als unsicher eingestuft und Exchange Online wird darauf reagieren. Für Unternehmen bedeutet das: Wer jetzt plant, handelt souverän. Wer wartet, riskiert einen extern getriebenen Ausnahmezustand im zentralen Kommunikationssystem. 

Als abtis unterstützen wir unsere Kunden dabei, rechtzeitig Klarheit zu schaffen, sowohl technisch, organisatorisch als auch strategisch. Sprechen Sie uns an, bevor aus einem planbaren Projekt ein kritischer Vorfall wird.