Display Name Spoofing – Was steckt hinter dem Absendernamen?

Phishing-Angriffe setzen oft nicht auf gefälschte Domains oder komplexe Technik – sie missbrauchen einfach den Anzeigenamen im Absenderfeld einer E-Mail. Das nennt sich Display Name Spoofing, und es ist erschreckend einfach umzusetzen.

Was ist Display-Name-Spoofing?

Der Anzeigename im Absenderfeld («From») ist frei wählbar – z. B. Hans Muster, CEO. Die eigentliche Absenderadresse (z. B. hans.muster.ceo@betrug-mail.com) stimmt dabei nicht mit der Identität überein. Viele Mailprogramme zeigen standardmässig nur den Anzeigenamen an, die vollständige Adresse bleibt verborgen.

Typische Merkmale:

• Der Anzeigename entspricht einer bekannten Person (z. B. CEO, Finanzleiter, IT-Administrator)
• Die E-Mail-Adresse dahinter gehört nicht zur Organisation
• Ziel ist meist, Empfänger zu Überweisungen, dem Teilen vertraulicher Daten oder dem Öffnen von Schadlinks zu bewegen

Wie erkennt Microsoft solche Angriffe?

Bei reinem Display-Name-Spoofing schlägt SPF/DKIM/DMARC nicht fehl – die Absenderdomain (z. B. @gmail.com) ist technisch legitim authentifiziert. Microsoft Defender for Office 365 setzt deshalb auf eine Kombination aus modernen Erkennungsmethoden:

SPF, DKIM und DMARC – Was steckt dahinter und warum lohnt sich die Auswertung?

E-Mail ist nach wie vor das wichtigste Kommunikationsmittel im Geschäftsalltag – und gleichzeitig eines der beliebtesten Angriffsziele. Phishing, Spam und Domain-Spoofing nehmen zu. Mit SPF, DKIM und DMARC stehen drei bewährte Mechanismen zur Verfügung, die zusammen einen wirksamen Schutz bilden. In diesem Beitrag erkläre ich, wie die drei Protokolle funktionieren, was Alignment bedeutet und welchen konkreten Nutzen die Auswertung von DMARC-Reports bringt.

Die drei Säulen der E-Mail-Authentifizierung

SPF (Sender Policy Framework) legt fest, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden. Der Eintrag wird als TXT-Record im DNS veröffentlicht. Exchange Online-Kunden verwenden typischerweise:

v=spf1 include:spf.protection.outlook.com -all

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur. Der empfangende Mailserver kann anhand eines öffentlichen Schlüssels im DNS prüfen, ob die Nachricht unverändert ist und wirklich von der angegebenen Domain stammt.

DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf. Es legt fest, wie ein empfangender Mailserver mit Nachrichten umgehen soll, die die Prüfungen nicht bestehen – und liefert Reports darüber, was im Namen der eigenen Domain versendet wird.

Entfernung des letzten lokalen Exchange Servers nach Hybridbetrieb

Einleitung

Dieser Post beschreibt den vollständigen und unterstützten Ablauf, um den letzten lokalen Exchange Server nach einer abgeschlossenen Hybridmigration ausser Betrieb zu nehmen. Es richtet sich an Umgebungen, in denen alle produktiven Postfächer bereits nach Exchange Online migriert wurden, die Identitäten jedoch weiterhin im lokalen Active Directory verwaltet und über Azure AD Connect mit Microsoft Entra ID (Azure AD) synchronisiert werden.

Ziel ist es, den lokalen Exchange Server sicher zu entfernen, ohne die Empfängerverwaltung zu verlieren, und gleichzeitig sicherzustellen, dass keine hybriden Abhängigkeiten mehr bestehen. Dabei werden die Exchange Server SE Management Tools zur weiteren Verwaltung verwendet, und das Microsoft-Skript CleanupActiveDirectoryEMT.ps1 sorgt für die abschliessende Bereinigung der lokalen Active Directory-Objekte.

Checkliste

1)       Ausgangslage prüfen

• Alle produktiven Postfächer sind in Exchange Online. Keine Benutzer-, Shared-, Ressourcen- oder Archivpostfächer mehr on-prem.
  Beispiel vor Ort:

    Set-ADServerSettings -ViewEntireForest $true
Get-Mailbox -ResultSize Unlimited

Exchange SE Lizenzen

Lizenzsituation Exchange Server im Hybridbetrieb

Du planst 2 lokale Exchange-Server, die mit Exchange Online verbunden sind (Hybrid). Die Lizenzkosten hängen davon ab, ob es noch lokale Postfächer gibt und welche Microsoft 365 Lizenzen im Einsatz sind.

---

1. Alle Postfächer in der Cloud → kostenlose Hybridlizenz

• Wenn wirklich kein einziges Postfach On-Prem liegt, kannst du den kostenlosen Exchange Hybrid Server einsetzen.

• Keine Kosten für Serverlizenzen oder CALs.

• Lizenz wird über den Hybrid Configuration Wizard angefordert.

• Einschränkung: Die kostenlose Hybridlizenz darf nur für einen einzelnen Exchange-Server genutzt werden – kein zweiter Server für Hochverfügbarkeit oder Lastverteilung möglich.

---

2. Lokale Postfächer vorhanden, alle Benutzer mit Microsoft 365 E3/E5

• E3/E5 enthalten die Exchange-CAL-Rechte für On-Prem-Zugriff.

• Du brauchst nur die Serverlizenzen (Exchange SE Standard inkl. SA).

• 2 Server: aktuell ca. CHF 1’000 pro Jahr, ab Juli 2025 ca. CHF 1’100 pro Jahr (+10 % Preissteigerung).

---

3. Lokale Postfächer vorhanden, nicht alle Benutzer mit M365 E3/E5

• Für Benutzer ohne E3/E5 brauchst du zusätzlich CALs (ca. CHF 62 pro Benutzer/Jahr).

• Beispiel mit 5 lokalen Benutzern:

  • Serverlizenzen: CHF 1’000/Jahr

  • CALs: CHF 310/Jahr

  • Total: aktuell ca. CHF 1’310/Jahr, ab Juli 2025 ca. CHF 1’457/Jahr (wegen +10 % Serverpreis, +15 % CAL-Preis).

---

Fazit:

• Am günstigsten ist es, wenn alle Benutzer E3/E5 haben – dann fallen nur Serverkosten an.

• Wenn keine lokalen Postfächer vorhanden sind, kannst du komplett kostenlos mit der Hybridlizenz arbeiten, musst aber auf Hochverfügbarkeit verzichten.

• Sobald ein Postfach On-Prem liegt, reicht die Hybridlizenz nicht mehr aus.

Hyper-V Livemigration auf Windows Server Core schlägt fehl (0x8009030D)

 Die Installation eines Hyper-V Hostes mit Windows Server Core bietet sich an. Oder ihr verwendet eine der kostenlosen Windows Versionen "Hyper-V Server 2016" oder "Hyper-V Server 2019". Die kosten nichts, können aber nicht mit Desktop experience installiert werden.

Die Verwaltung der virtuellen Computer auf dem Hyper-V Host lässt sich wunderbar remote erledigen.

Doch vor kurzem habe ich doch etwas gefunden, was sich von der Ferne schlecht erledigen lässt. Wie ihr sicher wisst, funktionieren Livemigrationen von virtuellen Computern zwischen Hyper-V Hosts, auch wenn sie sich nicht als Cluster verbunden sind. Am einfachsten geht das zwischen Hyper-V Host welche Mitglied der gleichen Domäne sind.

Ich hatte damit nie Probleme, bis ich versucht habe eine VM per Livemigration von einem Hyper-V Host auf einen anderen Hyper-V Host zu verschieben und bei der Hyper-V Host's waren mit Windows Server Core installiert. Mir wurde eine unschöne Fehlermeldung angezeigt, die besagte, dass die Authentifizierung zwischen den Hyper-V Hosts nicht funktionierte und darum die VM nicht verschoben werden kann.

Dies ist die Fehlermeldung als Text:

Failed to establish a connection with host 'host name': No credentials are available in the security package (0x8009030E)

und in Deutsch:

Fehler beim Herstellen einer Verbindung mit dem Host 'host name': Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt. (0x8009030D).

Das Problem ist, dass für die Authentifizierung zwischen den Hyper-V Hosts standardmässig CredSSP verwendet wird. Dies hat einen entscheidenden Nachteil: 

Man muss interaktiv an dem Hyper-V Host angemeldet sein, von dem aus man die Livemigration startet. Nur lässt sich auf einem Windows Server Core die Hyper-V Verwaltungskonsole nicht installieren. Man verwaltet die VMs aus der Ferne auf einem Admin-Server mit GUI.

Es gibt viele Vorschläge, wie man diese Problem lösen kann. Aus meiner Sicht ist es aber am einfachsten, die Livemigrationen direkt auf dem Hyper-V Host mit PowerShell zu starten:

Move-VM -Name Test-VM001 -DestinationHost Host01 -IncludeStorage -DestinationStoragePath "D:\Hyper-V\Test-VM001"

Sicherheitslücke in Exchange - Wurde ich schon angegriffen? Hafnium Test

 Es wurden ja in den letzten Monaten öfters Sicherheits-Updates für Exchange veröffentlicht. Doch die Sicherheitslücken, für welche Anfang März 2021 Patches veröffentlicht wurden, scheint eine der gefährlicheren zu sein. Informationen dazu gibt es auf dem Exchange Team Blog, im MS Security Blog oder auch bei EighTwOne.com.

Wichtig ist auch noch zu prüfen, ob schon ein Angriff stattgefunden hat, dies geht einfach mit dem Script  Test-ProxyLogon.ps1: https://github.com/microsoft/CSS-Exchange/tree/main/Security

Unter obigem Link gibt es noch weitere Scripts, welche zu diesem Thema gehören. Das Script ExchangeMitigations.ps1 soll nur angewendet werden, wenn ihr den Exchange Server aus irgendwelchen Gründen nicht sofort Patchen könnt. Das selbe gilt für BackendCookieMitigation.ps1. Diese beiden Scripts benötigt ihr also nicht, wenn ihr die Sicherheits-Updates installiert.

Das Script CompareExchangeHashes.ps1 nutzt euch nur etwas, wenn ihr einen Supportvertrag mit Microsoft habt. Es soll zusätzlich prüfen, ob ihr angegriffen worden seid. Das Problem ist aber, dass das Script 600 - 800 MB grosse XML-Dateien produziert und immer sagt, ihr seid angegriffen worden. Auch wenn man das Script auf einem neu installierten Exchange Server ohne Internetverbindung ausführt, wie ihr hier nachlesen könnt: https://www.reddit.com/r/sysadmin/comments/m16y8m/hafnium_breach_recap_new_compareexchangehashes/
Am Ende könnt ihr dass eben die XML-Dateien bei Microsoft hochladen, doch eben nur mit einem Supportvertrag.

Jedoch gibt es noch das Script HealtjCheck, welches sehr hilfreich ist: https://github.com/dpaulson45/HealthChecker#download

Damit könnt ihr einfach nachschauen, ob alle eure Exchange Server aktuell sind und es werden sonst noch sinnvolle Einstellungen geprüft.

Wenn euere Exchange Organisation aus mehren Exchange Server besteht, startend ihr das Health Checker Script am einfachsten mit folgenden Command:

Get-ExchangeServer | ?{$_.AdminDisplayVersion -Match "^Version 15"} | %{.\HealthChecker.ps1 -Server $_.Name}; .\HealthChecker.ps1 -BuildHtmlServersReport; .\ExchangeAllServersReport.html

Schon wieder ein neuer Sicherheits-Patch für Exchange (CVE-2020-16969)

 Kaum haben wir unsere Exchange-Umgebungen wieder sicher gemacht, indem eines der neusten CU's installiert wurde, erscheint schon wieder ein neuer Sicherheits-Patch für Exchange. Folgende Versionen sind betroffen:

• Microsoft Exchange Server 2013 Cumulative Update 23
• Microsoft Exchange Server 2016 Cumulative Update 17
• Microsoft Exchange Server 2016 Cumulative Update 18
• Microsoft Exchange Server 2019 Cumulative Update 6
• Microsoft Exchange Server 2019 Cumulative Update 7

Das Problem hat damit zu tun, wie Exchange Token validiert. Ein Angreifer, der die Sicherheitslücke erfolgreich ausnutzt, kann dies verwenden um weitere Informationen von einem Benutzer zu erhalten.

Hier die Original-Beschreibung von Microsoft:

An information disclosure vulnerability exists in how Microsoft Exchange validates tokens when handling certain messages. An attacker who successfully exploited the vulnerability could use this to gain further information from a user.

To exploit the vulnerability, an attacker could include specially crafted OWA messages that could be loaded, without warning or filtering, from the attacker-controlled URL. This callback vector provides an information disclosure tactic used in web beacons and other types of tracking systems.

The security update corrects the way that Exchange handles these token validations.

Quelle: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16969

Unter dem Link findet ihr weitere Informationen und könnt die Sicherheits-Paches herunterladen.

Der Patch kommt als *.msp und ist in etwa 160 MB gross. Während der Installation werden die Exchange Services sowie der IIS gestoppt. Es gibt also einen Dienstunterbruch um am Ende muss der Server neu gestartet werden. Bei mir hat die Installation ca. eine Stunde gedauert. Am Ende musste der Server neu gestartet werden.

Startet die Installation in einem CMD mit erhöhten Rechten und falls ihr eine Umgebung mit mehreren Exchange Servern betreibt, setzt die Server vor der Installation in den Maintenance Mode.