| Microsoft Exchange Server | |
|---|---|
.svg) | |
| Basisdaten | |
| Entwickler | Microsoft |
| Erscheinungsjahr | 11. Juni 1996[1] |
| Aktuelle Version | SE RTM[2] (1. Juli 2025) |
| Betriebssystem | Microsoft Windows Server |
| Programmiersprache | C# (Seit Version 2013) |
| Kategorie | Groupware |
| Lizenz | MicrosoftEULA (Proprietäre Software) |
| deutschsprachig | ja |
| Microsoft Exchange Server | |
Microsoft Exchange Server ist eineGroupware- undE-Mail-Transport-Server-Software des UnternehmensMicrosoft. Sie dient der zentralen Ablage und Verwaltung vonE-Mails, Terminen, Kontakten, Aufgaben und weiteren Elementen für mehrere Benutzer und ermöglicht so die Zusammenarbeit in einerArbeitsgruppe oder in einem Unternehmen. Exchange Server setzt eineMicrosoft-Windows-Server-Software voraus und findet deshalb vor allem in von Microsoft-Produkten geprägten Infrastrukturen Verwendung.
Um als Anwender die Funktionen von Exchange Server nutzen zu können, ist eine zusätzliche Client-Software nötig. Microsoft liefert dafür das separate ProgrammMicrosoft Outlook, in Exchange Server selbst ist bereits dieWebanwendungOutlook on the web für denBrowser-Zugriff enthalten.
Im Rahmen des Microsoft-Online-DienstesMicrosoft 365 kann die Server-Software unter dem TitelExchange Online auch bzw. zusätzlich bei Microsoft („Cloud-Computing“) statt im eigenen Unternehmen („On Premises“) betrieben werden, was vor allem für kleinere Unternehmen ohne ausgeprägte IT-Infrastruktur interessant sein kann.
Die Exchange-Server-Version 2019 kann unterWindows Server 2019 sowieWindows Server 2022 betrieben werden. Im Netzwerk muss der Microsoft-VerzeichnisdienstActive Directory vorhanden sein, da Exchange Server sich intensiv in diesen integriert, u. a. zurBenutzerverwaltung.
Ungefähr einmal pro Halbjahr wird ein sogenanntesCumulative Update (CU) veröffentlicht, was den kompletten Stand des Produktes in Bezug auf Fehlerbehebungen und Funktionserweiterungen zu diesem Zeitpunkt widerspiegelt und damit nicht nur für Aktualisierungen, sondern auch für Neu-Installationen genutzt werden kann. Zu beachten ist, dass Microsoft nur für die jeweils letzten beiden Cumulative UpdatesProdukt-Unterstützung, z. B. in Form von Sicherheitsupdates, bietet.[3]
Das Produkt ist in den VariantenStandard undEnterprise erhältlich. Die Standardversion ist für den Einsatz in kleineren Unternehmen ausgerichtet, da sie nur 5Datenbanken pro Server erlaubt. Die Enterprise-Version erlaubt dagegen bis zu 100 Datenbanken pro Server.
Jeder Nutzer der Software benötigt zusätzlich eineClientzugriffslizenz (CAL). Diese gibt es ebenfalls in der Basis-VarianteStandard und als zusätzlicheAdd-on-Lizenz in der VarianteEnterprise, um erweiterte Server-Funktionen nutzen zu können.[4]
Mit derExchange Server Subscription Edition, welche im dritten Quartal 2025 veröffentlicht werden soll, wechselt Microsoft zu einem abonnementbasierten Lizenzmodell.[5]
Aus dem anfänglich einfachen E-Mail-System wurde eine umfangreicheGroupware-Lösung. In der Version 2003 wurde mit demIntelligent Message Filter (IMF) erstmals eine serverseitige Filterung implementiert, die es ermöglicht,unerwünschte E-Mails auszufiltern. Seit der Version 2013 ist ebenfalls eine rudimentäreAnti-Virus-Software enthalten.
Die Funktionalität umfasst:
Grundsätzlich werden Daten unterteilt in einerseits persönliche und benutzerabhängige und andererseits gemeinsam genutzte Daten wie zum Beispiel die sogenanntenÖffentlichen Ordner, wodurch Gruppenarbeit möglich wird.
AlsFront-End-Anwendung wird meistens Microsoft Outlook genutzt. Als Alternative unterLinux kann auchNovell Evolution verwendet werden. Jedoch ist eine Nutzung von Exchange Server auch per Webanwendung mittels Outlook Web App oder über mobile Geräte mittels ActiveSync bzw. Telefon (Outlook Voice Access) möglich.
Bei Nutzung von Outlook zusammen mit Exchange Server wird der Funktionsumfang von Outlook erweitert. So wird z. B. ein Abwesenheitsassistent angeboten, der eingehende E-Mails mit einer Abwesenheitsnachricht beantwortet. Auch bestimmte andere Regeln für eingehende Mails werden direkt auf dem Server abgearbeitet, auch wenn der Benutzer Outlook nicht gestartet hat. Der Benutzer kann Ordner seines Postfaches, z. B. den Kalender, für andere Nutzer freigeben. Bei der Planung einer Besprechung wird dem Einladenden angezeigt, ob der Eingeladene verfügbar ist oder bereits einen anderen Termin hat.
Exchange Server kann mit der Portal-SoftwareMicrosoft SharePoint Server sowie demInstant-Messaging-ProduktMicrosoft Teams (Nachfolger vonMicrosoft Lync) zusammenarbeiten.
Die Verwaltung von Exchange Server erfolgt über eine Webanwendung, dasExchange Administration Center (EAC), oder für erweiterte Möglichkeiten mittelsExchange Management Shell (EMS) perPowerShell.
Die Exchange-Funktionalität ist in der Version 2019 in zwei sogenannte Rollen gegliedert, die bei der Installation festgelegt werden:
Microsoft Exchange Server benutzt zur Kommunikation mit dem Client eineproprietäreSchnittstelle namensMAPI, deren Aufrufe mittels der ProtokolleRPC undHTTP transportiert werden und die unter anderem von Microsoft Outlook fürWindows verwendet wird. Bei Verwendung aktueller Versionen von Exchange Server und Outlook wird die RPC-Schicht zugunsten größerer Flexibilität deaktiviert und MAPI wird direkt per HTTP übertragen.
Outlook fürMacintosh nutzt dagegen die Server-SchnittstelleExchange Web Services (EWS), die aufSOAP basiert und mit Exchange Server 2007 eingeführt wurde. In Zukunft sollten Drittanbieter dieREST-SchnittstelleMicrosoft Graph anstatt der MAPI- und EWS-Schnittstellen benutzen.
Um den Ausfall eines Servers zu überbrücken, können mehrere Server zu einer sogenannten Datenbankverfügbarkeitsgruppe (Database Availability Group, DAG) verbunden werden. In dieser kann jeder Server ein Duplikat einer Datenbank eines anderen Servers vorhalten und so im Fehlerfall ohne Unterbrechung dessen Rolle übernehmen. Zu diesem Zweck werden alle Änderungen an der aktiven Datenbank permanent an die passive(n) Datenbank-Kopie(n)repliziert.
| Version | Jahr |
|---|---|
| 4.0 | 1996 |
| 5.0 | 1997 |
| 5.5 | 1998 |
| 2000 (6.0) | 2000 |
| 2003 (6.5) | 2003 |
| 2007 (8.x) | 2006 |
| 2010 (14.x) | 2009 |
| 2013 (15.0) | 2012 |
| 2016 (15.1) | 2015 |
| 2019 (15.2) | 2018 |
Ursprünglich bot Microsoft das Mailsystem MS Mail (bis einschließlich Version 3.5) an, das aber die Anforderungen größerer Umgebungen nicht mehr erfüllen konnte. So war es nur möglich, maximal 500 Postfächer auf einem Server anzulegen, und die Ablage der Daten in einem Dateibaum entpuppte sich mit zunehmendem Mailaufkommen immer mehr als Problem ob der Menge der zu verwaltenden Daten. Exchange selbst wurde von Grund auf neu entwickelt. Um eine Nähe zuMicrosoft Mail zu suggerieren und den Kunden den Umstieg auf Exchange nahezulegen, wurde beim ersten Exchange Server dieVersionsnummer 4.0 verwendet. Bei der Entwicklung spielten von Beginn an die sichere Datenverarbeitung (relationale Datenbank mit2-Phase-Commit-Transaktionen) und dieSkalierbarkeit eine besondere Rolle. Die Basis bildet seit Beginn dieJet Engine (Jet Blue), die später auch für Produkte wieActive Directory verwendet wurde.
Als Standardprodukt mit sehr hohem Marktanteil, einem gewissen Wartungsaufwand (siehe Produktpflege-Modell) und oft direkter Verbindung zum Internet, um zum Beispiel E-Mails von überall abrufen zu können, steht Exchange Server permanent im Fokus von Angreifern. Außerdem bietet der illegale Zugriff auf vertrauliche E-Mails und Kontakte ein erhebliches Spionage- und Erpressungspotential. In Kombination mit der tiefen Integration in das Active Directory weist auch dasBundesamt für Sicherheit in der Informationstechnik (BSI) auf die Rolle von Exchange-Server als potentielles Einfallstor ins interne Netzwerk hin.[6]
Im Februar 2020 wurde eine Sicherheitslücke geschlossen, die unter Kenntnis von Zugangsdaten eines beliebigen E-Mail-Kontos dieKompromittierung des ganzen Servers erlaubte. Die Schwachstelle befand sich in Outlook Web App (OWA). Benutzer können sich darüber imWebbrowser anmelden, um Exchange-Dienste wie z. B. Mails ohne die Installation einerClient-Software zu verwenden. Zur Ausnutzung müssen Angreifer lediglich Zugang zum Konto eines frei wählbaren Mitarbeiters erhalten. Dieser benötigt keine spezielle Berechtigungen, sodass für externe Personen etwa dieBrute-Force-Methode oderSocial Engineering (Sicherheit) in Frage kommen. Die Lücke besitzt dieCommon Vulnerabilities and Exposures (CVE) Nummer CVE-2020-0688.[7]
Im März 2021 wurden über eine Kombination anderer Sicherheitslücken tausende in Unternehmen, Organisationen und Behörden betriebene Exchange Server angegriffen, diesmal sogar gänzlich ohne die Kenntnis von Zugangsdaten. Microsoft veröffentlichte in der Folge einenPatch zum Schließen der Lücken und riet Kunden zur sofortigen Installation.[8] Sowohl die US-Regierung als auch das BSI gaben Warnungen heraus.[9] DieEuropäische Bankenaufsichtsbehörde meldete diesbezüglich unbefugte Zugriffe und schaltete ihr E-Mail-System vorübergehend ab.[10] Microsoft und die US-amerikanischen Behörden sehen eine chinesische Hackergruppe namens „Hafnium“ mit staatlichem Auftrag hinter den Hackerangriffen.[9][10]
Um dynamischer auf Netzwerk-Angriffe beiZero-Day-Lücken reagieren zu können, wurde seitens Microsoft im September 2021 derExchange Emergency Mitigation Service in das Produkt integriert. Dieser lädt (ähnlich Anti-Virus-Signaturen) periodisch bekannte Angriffsmuster und blockiert sie auf dem Server, um die Zeit bis zu einer vollständigen Fehlerbehebung zu überbrücken.[11]
Im September 2022 wurden zwei Sicherheitslücken bekannt (CVE-2022-41040, CVE-2022-41082),[12] die es in Kombination Angreifern aus der Ferne erlaubten, eigenen Programmcode mit höchsten Rechten mithilfe von PowerShell auszuführen. Sie wurden „ProxyNotShell“ genannt und mit dem Schweregrad „Hoch“ klassifiziert. Angreifer müssen zur Ausnutzung zumindest über irgendeine Art von Anmeldedaten verfügen. Mittels des Exchange-Emergency-Mitigation-Dienstes wurden bekannte Angriffsmuster automatisch an allen Exchange-Servern, die diesen Dienst nutzen, blockiert. Die eigentliche Fehlerbehebung wurde erst im November 2022 veröffentlicht.
Im Februar 2024 wurde eine weitere Sicherheitslücke bekannt, die Angreifern eine unberechtigteNTLM-Authentifizierung und somit den Zugriff auf Exchange Server ermöglicht (CVE-2024-21410[13]). DasBundesamt für Sicherheit in der Informationstechnik stufte den Exploit als kritisch ein.[14]
Zu Microsoft Exchange Server existieren viele Konkurrenzprodukte mit unterschiedlichen Funktionsumfängen wieHCL Notes,GroupWise,Scalix,Axigen,IceWarp Server sowie die Open-Source-AlternativenKopano,Open-Xchange,SOGo,Zimbra,Kolab undCitadel/UX. Des Weiteren gibt es alternative Implementierungen des MAPI-Protokolls, welche die Anbindung standardkonformer Groupware- und E-Mail-Programme an Microsoft Exchange Server ermöglichen.