Der Exchange-Server in der lokal installierten Variante erhält weiter neue Sicherheitsfunktionen. Microsoft hat jetzt angekündigt, HTTP Strict Transport Security (HSTS) für Exchange 2016 und 2019 sowie Extended Protection für Exchange 2019 anzubieten. Letzteres wird standardmäßig mit dem kommenden 2023-H2-Update für Exchange 2019 aktiviert. Beide Mechanismen sollen Adversary-in-the-Middle-Angriffe (AitM) unterbinden – auch als Man-in-the-Middle (MitM) bekannt.
Für Outlook Web Access (OWA) oder das Exchange Control Panel (ECP) soll HSTS die Nutzung von TLS-Verschlüsselung erzwingen. In der Ankündigung schreibt Microsoft, dass der Mechanismus AitM-Angriffe, bei denen bösartige Akteure etwa die Nutzung schwächer geschützter Protokolle erzwingen wollen, erkennt und die Verbindung kappt. Browser-Nutzerinnen und -Nutzer könnten dadurch zudem keine Zertifikatswarnungen umgehen. Eine Anleitung, wie IT-Verantwortliche HSTS auf ihrem Exchange-Server aktivieren, liefert Microsoft ebenfalls.
