Six Eight Consulting
Navigation öffnen
Kontakt
Ghost-Sender: E-Mail-Spoofing in Microsoft Exchange Online
News

Ghost-Sender: E-Mail-Spoofing in Microsoft Exchange Online

Kurze Zusammenfassung der Ghost-Sender-Lücke von InfoGuard Labs: Spoofing in Exchange Online bei externer MX – wie sie funktioniert, wer betroffen ist, was hilft.

Mika Schmidt, IT Security Experte

Mika Schmidt

IT Security Experte
Veröffentlicht: Aktualisiert: 3 Min. Lesezeit

Die Lücke in einfachen Worten

Exchange Online hat neben dem normalen Mail-Weg einen zweiten, öffentlich erreichbaren Eingang. Wenn eine Firma ihre Mails über einen vorgelagerten Drittanbieter-Filter laufen lässt (externe MX), nimmt dieser zweite Eingang E-Mails von jedem Absender ungeprüft an. Angreifer schicken ihre Mail also einfach direkt dorthin – und umgehen den Filter komplett.

Drei Szenarien: externe MX mit Filter (Spoof abgefangen), externe MX mit direkter Verbindung zu Exchange Online (Spoof zugestellt) und MX direkt auf Exchange Online (Spoof abgefangen).
Normale Mail läuft über den Filter. Der Angreifer verbindet sich direkt mit Exchange Online (EOP) und umgeht den Filter.Bildquelle: labs.infoguard.ch/posts/ghost-sender

SPF, DKIM und DMARC schlagen dabei zwar fehl – die Mail wird aber trotzdem ohne Warnung zugestellt. Bei internen Absendern zeigt Outlook sogar das echte Profilbild an. Der ganze Angriff passt in einen PowerShell-Einzeiler:

powershell 
# Nur für autorisierte Tests im eigenen Tenant
Send-MailMessage `
  -SmtpServer "ihrtenant.mail.protection.outlook.com" `
  -From "noreply@microsoft.com" `
  -To "opfer@ihre-firma.de" `
  -Subject "Ihre Rechnung"
Prinzipbeispiel – nur für autorisierte Tests im eigenen Tenant.

Wer ist betroffen?

Betroffen sind Exchange-Online-Tenants mit externer MX (vorgelagerter Drittanbieter-Filter), bei denen die nötige Absicherung fehlt. Laut der Analyse war über die Hälfte dieser Umgebungen ungeschützt. Microsoft-Support bestätigt: Die Lücke wird aktiv ausgenutzt.

Geschützt oder verwundbar?

„Honor DMARC policy“ wirkt bei externer MX nicht, solange Enhanced Filtering for Connectors fehlt.
✓ Geschützt, wenn …✗ Verwundbar, wenn …
MX zeigt direkt auf Exchange OnlineExterne MX ohne weitere Konfiguration
Partner-Connector mit IP-/ZertifikatsprüfungConnector „eigener E-Mail-Server“ genutzt wird
Transport-Regel (Prio 0) quarantänisiert unauth. Mailnur Anti-Phishing-/Spam-Presets aktiv sind

Welche Maßnahmen helfen?

Sofortmaßnahmen

  1. 1

    Tenant testen

    Auf ghost-sender.com prüfen, ob der eigene Tenant verwundbar ist – vor und nach der Härtung.

  2. 2

    Partner-Connector mit strenger Auth einrichten

    Inbound-Connector vom Typ Partnerorganisation mit Zertifikat-/IP-Validierung des Filters und aktiviertem Enhanced Filtering for Connectors.

  3. 3

    Transport-Regel mit Priorität 0

    Alle Mails ohne gültigen Authentifizierungs-Header bzw. ohne freigegebene Absender-IP in Quarantäne verschieben.

  4. 4

    Direct Send abschalten

    Internes Spoofing zusätzlich unterbinden – per PowerShell mit Set-OrganizationConfig -RejectDirectSend $true.

powershell 
# Direct Send fuer den gesamten Tenant deaktivieren
Set-OrganizationConfig -RejectDirectSend $true
Direct Send tenant-weit abschalten (Exchange Online PowerShell).

FAQ zu Ghost-Sender

FAQ zu Ghost-Sender

Was ist Ghost-Sender?
Ghost-Sender ist eine Spoofing-Schwäche in Microsoft Exchange Online. Werden eingehende Mails über eine externe MX (Drittfilter) geleitet und fehlen die richtigen Connector- und Transport-Regeln, akzeptiert Exchange Online Mails direkt am *.mail.protection.outlook.com-Endpunkt, obwohl SPF, DKIM und DMARC fehlschlagen.
Ist Ghost-Sender ein CVE?
Nein. Microsoft stuft das Verhalten als bekannte architektonische Einschränkung ein, nicht als Schwachstelle. Es wurde kein CVE vergeben. Schützen müssen sich Organisationen trotzdem selbst über die korrekte Konfiguration.
Bin ich betroffen?
Gefährdet sind Exchange-Online-Tenants mit externer MX (z. B. vorgelagerter Drittanbieter-Filter) ohne Enhanced Filtering for Connectors, korrekt konfigurierten Partner-Connector und Quarantäne-Transportregel. Die Lücke lässt sich über ghost-sender.com prüfen.

Quelle und Credits: InfoGuard Labs

  1. Originalanalyse: Ghost-Sender – Spoofing emails in Exchange OnlineInfoGuard Labs (L. Dodgson, T. Oberdörfer, R. Hilber), 09.06.2026
  2. Tooling: Ghost-Sender Test- und ValidierungsseiteInfoGuard Labs
  3. Docs: Enhanced Filtering for Connectors in Exchange OnlineMicrosoft Learn, abgerufen am 09.06.2026