漏洞频出的Exchange 服务器：准备应对邮件限速与阻断

基于传输的强制执行系统已启动。当您阅读本文时，来自持续存在漏洞系统的邮件正被拦截。

Microsoft 将对从Exchange服务器发往Exchange Online的邮件实施限流甚至拦截。基于传输的强制执行系统会对从存在漏洞的Exchange Servers发出的邮件进行报告。该系统初期引入递延投递机制，延迟将逐步加剧，最终完全阻断邮件流以迫使管理员更新本地环境。此举旨在保障Microsoft 365组织的卓越安全性。请确认该功能是否影响您，并了解如何保障邮件流畅运行。

哪些组织受新Exchange限流策略影响？

根据Exchange团队文章说明，本次更新旨在应对“持续存在漏洞的Exchange服务器”。

该系统将分阶段实施。初期，基于传输的强制执行系统仅适用于通过入站本地连接器连接Exchange Online的Exchange服务器，即仅混合环境受影响。但Microsoft 强调，该系统核心目标是阻止潜在恶意邮件进入Exchange Online，并迫使组织修复本地服务器漏洞。因此可以预见，即使非混合环境的组织，若未能保障本地环境安全，最终也将受到影响。

基于传输的强制执行系统仅适用于高风险环境，即“持续存在漏洞的Exchange服务器”。让我们具体解析其含义。

何为持续存在漏洞的Exchange服务器？

此类服务器实例存在已知未修复的安全漏洞。若您正延迟部署安全更新（SU），请注意时间正在流逝。

更严重的问题在于使用生命周期已终止（官方术语为“扩展支持终止”）的Exchange Server版本。这意味着该版本将不再接收任何安全更新，换言之，它已然成为传输层强制机制的重点监控对象。

目前尚不明确参与扩展安全更新（ESU）计划会产生何种影响——一方面，ESU可在官方支持终止后继续提供关键级和重要级安全更新；另一方面，它并不会延迟Exchange Server的生命周期终止，也无法修复中等和低危级漏洞。我们仍在等待Microsoft 就此提供更多细节。

如何检查租户是否受影响？

Exchange 管理中心（EAC）提供针对此场景的专用报告。请前往 Exchange 管理中心 > 报告 > 邮件流 > 过时的连接本地 Exchange 服务器。

您也可通过 onnect-ExchangeOnlineC连接至 Exchange Online 组织，然后运行

若收到以下提示，则当前无需采取任何措施。

邮件限流与封锁时间线

Exchange Server 的邮件流量限流与封锁涉及两条时间线：

• 传输层强制系统的实施阶段。即系统如何处理报告、限流和封锁操作。
• 功能部署阶段。由于邮件限流与阻断可能影响（甚至损害）多个组织，Microsoft 首先从支持混合部署的最老旧本地环境开始实施，逐步扩展至较新（漏洞较少）的服务器。目前传输层强制执行系统已全面部署至所有Exchange Server版本，包括Exchange 2019。

传输层强制执行系统的阶段划分

该系统共设8个阶段。当检测到不合规服务器时即启动第一阶段。若漏洞未修复，系统将在指定时间后进入下一阶段。

首阶段持续30天，后续各阶段均为10天。

• 前30天内，不合规服务器将出现在新邮件流报告中。此阶段不会实施邮件限流或拦截，属于警告期，为安装最新安全更新留出时间。
• 邮件限流开始。每小时将有5分钟时段，邮件将因SMTP 450错误被退回，导致邮件投递延迟。
• 限流时长增至每小时10分钟。
• 限流时长增至每小时20分钟。
• 限流时长封顶为每小时30分钟。邮件封锁阶段启动。自此时起，每小时将有5分钟时段内，Exchange Online将以永久性SMTP 550错误退回邮件。此类邮件无法送达最终收件人，发件人需重新发送。
• 封锁时长延长至每小时10分钟。
• 封锁时长延长至每小时20分钟。
• 最终阶段：在违规持续90天后强制执行——此时所有来自存在漏洞服务器的邮件均将被阻断。

分阶段实施

基于传输的强制执行系统已逐步推出。启动日期标志着特定Exchange发行版（版本）首次接受漏洞扫描，标志着第一阶段强制执行启动。

如前所述，基于传输的强制执行系统已面向所有Exchange Server版本（除Exchange Server订阅版外）正式启用。具体实施阶段如下：

1. 2023年8月9日 – Exchange 2007
2. 2023年9月23日 – Exchange 2010
3. 2023年12月22日 – Exchange 2013
4. 2024年3月21日 – Exchange 2016与2019

Exchange团队公布传输强制执行系统相关计划

合规保障措施

为避免邮件流量受限或被拦截，请及时更新Exchange服务器安全补丁。最重要的是，确保地下室角落没有未打补丁的Exchange 2007服务器潜伏。

若您使用的第三方解决方案依赖旧版Exchange 2010，现在正是寻找替代方案的良机。

短期解决方案是暂停强制执行。您可直接通过EAC邮件流报告申请此选项，每年最多可使用90天，当系统进入第一阶段（参见强制执行阶段说明）后，该选项可暂时停止邮件流量限制与封锁。此选项预计将被频繁使用——许多企业遵循在生产环境部署安全更新前等待的策略，以防更新后出现故障导致回滚（此类情况仍时有发生）。

90天限制的设置将在每年的首日被重置。

遗憾的是，若您使用的Exchange版本已达到生命周期终止状态，将无法确保本地环境的安全性。此时唯一可行的解决方案是迁移至受支持的Exchange版本或纯云端环境。

如何暂停传输启用的强制执行系统中的限流和封锁

有两种方法可暂停受影响Exchange服务器的限流和封锁。无论采用哪种方法，都能确保您的Microsoft 365正常接收邮件，即使连接的本地服务器未能按时完成更新。

在 Exchange 管理中心操作

前往 Exchange 管理中心 > 报告 > 邮件流 > 过时的连接本地 Exchange 服务器 > 强制暂停。仅当存在被传输启用的强制执行系统识别为持续存在漏洞的服务器时，才会显示此选项。

使用 PowerShell 操作

1. 首先通过Connect-ExchangeOnline 连接到 Exchange Online 组织。
2. 然后使用以下 cmdlet 检查是否存在活跃的强制暂停：
   Get-TenantExemptionInfo -BlockingScenario UnpatchedOnPremServer
   注：当前该命令的文档说明有限。请注意此命令还可检测另外两种阻断场景。要获取其他场景的结果，请将“-BlockingScenario” 属性值改为：TenantRelayMessageRate 或 TenantOnPremRate.
3. 接下来运行以下命令创建暂停（立即生效）或延长现有暂停：
   New-TenantExemptionInfo -BlockingScenario UnpatchedOnPremServer -Number of Days /* 最大值为90天 */

值得注意的是，目前尚无命令可用于在更新受影响服务器后取消强制暂停。

如何进行迁移？

在时间压力下进行迁移存在诸多风险。颇具讽刺意味的是，在此场景中，迁移恰恰是由一项本应规避风险的功能所强制触发的。

要实现可靠迁移，请使用专用迁移工具。您将获得以下优势：

• 由日常处理复杂迁移项目的专家提供每周5天×24小时的技术支持
• 简化流畅的迁移流程（无需脚本编写或复杂规划）
• 高级报告功能
• 无限增量迁移确保每个邮箱项目完整迁移