
Vorsicht: unsichere Hybride MS365 Lösungen
Rund jede fünfte getestete Exchange-Online-Domain lässt sich gefälschte E-Mails direkt ins Postfach legen. Vorbei an SPF, DKIM und DMARC.
Sicherheitsforscher von InfoGuard Labs haben die Lücke am 9. Juni 2026 unter dem Namen Ghost-Sender veröffentlicht. Es ist keine Schwachstelle zum Patchen, sondern eine Standardeinstellung bei Exchange Online: Mails, die direkt an den Tenant-Endpunkt bei MS gesendet werden, werden angenommen, auch wenn der MX wo anders hin zeigt. Das ist üblich wenn ein hybrides Setup vorliegt und der Maileingang auf den onpremise Server zeigt oder wenn vor MS365 ein externer Filterservice vorangestellt ist. Damit können vorgelagerte Schutzinstanzen kinderleicht umgangen werden.
Der Kern:
→ Der Angreifer stellt direkt an Exchange Online zu und umgeht den MX der Domain – Microsoft nimmt die Mails einfach an.
→ Die (gefälschte) Mail umgeht sehr wahrscheinlich alle Sicherheitsmaßnahmen, die außerhalb von Microsoft existieren.
Microsoft stuft das als bekannte architektonische Einschränkung ein, ein zentraler Fix existiert nicht, und der Support bestätigte zugleich eine aktive Versandaktion gefälschter Mails. Unternehmen müssen also selbst aktiv werden.
Die vorgelagerte Schutzinstanz ist dabei nicht das Problem, sie soll der eine kontrollierte Eingang sein. Das Problem ist die Seitentür, die Exchange Online standardmäßig offenlässt.
Was sie schließt:
→ Partner-Connector mit Wildcard und IP- oder Zertifikatsbindung, alternativ eine Transport-Regel, die nicht intern authentifizierte Mails in Quarantäne legt
→ Direct Send deaktivieren, anschließend kostenlos unter http://ghost-sender.com prüfen
Wir unterstützen Sie bei der Abdichtung Ihres MS365 Tenants mit SecuMail®
Quellen:
InfoGuard Labs, „Ghost-Sender, Universal Email Spoofing against Exchange Online“, 09.06.2026
heise online, „Ghost-Sender: Exchange Online lässt gefälschte E-Mails anstandslos durch“, Dr. Christopher Kunz, 11.06.2026