image

Microsoft stelt volgende versie van Exchange Server uit tot tweede helft 2025

vrijdag 3 juni 2022, 10:15 door Redactie, 5 reacties

De volgende versie van Exchange Server zal pas in de tweede helft van 2025 verschijnen, wat mede komt door zeroday-aanvallen tegen de populaire mailserversoftware. Exchange 2016 en 2019 kunnen tot 14 oktober 2025 op beveiligingsupdates rekenen. Daarna zal alleen de nieuwe Exchange-versie worden ondersteund.

Oorspronkelijk stond de volgende versie van Exchange Server voor de tweede helft van 2021 gepland. Een grootschalige zeroday-aanval in maart 2021 waarbij gebruik werd gemaakt van meerdere kwetsbaarheden in Exchange gooide roet in het eten. Daarnaast lanceerde Microsoft een bugbountyprogramma voor Exchange en bracht verschillende tools uit om de veiligheid van het product te vergroten en klanten te beschermen.

"Hoewel we ons op security blijven richten, zijn we nu ook klaar om onze langetermijnroadmap voor Exchange Server te delen", zo laat het Exchange Team van Microsoft in een blogposting weten. Daarin staat dat de volgende Exchange-versie in de tweede helft van 2025 verschijnt en totdat moment de focus zal liggen op Exchange 2019.

"Exchange-servers bevatten vaak de meest gevoelige bedrijfsdata, en hosten het bedrijfsadresboek, waarom het essentieel is om deze servers en data te beschermen. We blijven ons dus richten op de security van Exchange Servers en zullen verschillende security-gerelateerde investeringen doen", aldus het Exchange Team.

Zo zal Microsoft "Modern authentication" aan on-premise Exchange Server-omgevingen gaan toevoegen. Het gaat hier om modernere authenticatiemethodes waarmee gebruikers op hun inbox kunnen inloggen. Later dit jaar komt het bedrijf met een tijdlijn voor de ondersteuning van Modern auth in de verschillende Outlook-clients. Verder zal Exchange Server 2019 volgend jaar TLS 1.3 gaan ondersteunen.

Reacties (5)
03-06-2022, 16:42 door Anoniem
Als je bedenkt dat TLS 1.0 19 jaar geleefd heeft, TLS 1.1 maar 12 jaar, dan mag je verwachten dat TLS 1.2 misschien al EOL zou moeten zijn en dan heb je nu nog niet TLS 1.3 geimplementeerd?
Beetje traag zou ik zeggen..

Als je ziet hoe de implementatie van TLS 1.2 ging, dat was pas een puinzooi...
Echt, hoe dom ben je als programmeur dat als je TLS 1.1 uitgerold dat je niet bedenkt dat er ook een TLS 1.2 kan komen en dat een client zich identificeert als iemand die TLS 1.2 ondersteunt?
En wat doe je dan als programmeur? TLS 1.2 ? die ken ik niet,... DISCONNECT...

Dat Microsoft, toch niet een softwareboer uit een polder, nu nog steeds niet nagedacht heeft over TLS 1.3 vind ik schokkend... Is er dan niemand die vooruit kijkt? Niemand een visie ofzo? Denken we alleen maar aan aandelen en vaccins?

Als je nu TLS 1.3 gaat implementeren, moet je al nagedacht hebben over de opvolger.... is dat TLS 1.4? of wat als er een serieuze flaw ontdekt wordt en je een alternatief moet hebben? Tis niet dat je kunt terugvallen op SSL zoals vroeger.
05-06-2022, 16:18 door Anoniem
Wellicht zullen pop en Imap (of beter nog zelfs de secure varianten) dus verdwijnen? Of zie ik dat verkeerd?
Weg openheid - het enige wat je dan nog kan doen is alle rotzooi in exchange forwarden naar buiten exchange.
Uiteraard ben ik vragende partij om secure-imap uit te gaan rusten met MFA - het mag ook een heel ander protocol worden... Zolang het maar open is en multi-platform, niet in handen van één partij.
06-06-2022, 08:11 door Anoniem
Door Anoniem: Wellicht zullen pop en Imap (of beter nog zelfs de secure varianten) dus verdwijnen? Of zie ik dat verkeerd?
Weg openheid - het enige wat je dan nog kan doen is alle rotzooi in exchange forwarden naar buiten exchange.
Uiteraard ben ik vragende partij om secure-imap uit te gaan rusten met MFA - het mag ook een heel ander protocol worden... Zolang het maar open is en multi-platform, niet in handen van één partij.

je hoeft geen exchange te gebruiken ansich... maar ja je zou maar in een grote wetenschappelijke organisatie zitten waarin de IT dienst bepaald dat het O365 exchange wordt (en zo flexibel als gewapend beton is) voor je en verder alles wat werk en productie en onderwijs betreft echter met Linux gaat...
06-06-2022, 16:40 door Anoniem
Ik heb die exchange server al los gekoppeld van het internet alleen via bepaalde ip adressen en vpn kan je mail ophalen. Moet je dus voorstellen dat MS een product uitbrengt met zg frontend servers. En alles maar dan ook alles relay ik via andere op linux gebaseerde tasks.

Volgens mij toch wel een grote fail voor die development afdeling. En dat outlook 2019 is ook ruk, zo slecht dat de geadviseerde work-around voor de ene bug, conflicteert met de work-around voor een andere bug.
06-06-2022, 16:57 door Anoniem
Door Anoniem: Als je bedenkt dat TLS 1.0 19 jaar geleefd heeft, TLS 1.1 maar 12 jaar, dan mag je verwachten dat TLS 1.2 misschien al EOL zou moeten zijn en dan heb je nu nog niet TLS 1.3 geimplementeerd?
Beetje traag zou ik zeggen..

Als je ziet hoe de implementatie van TLS 1.2 ging, dat was pas een puinzooi...
Echt, hoe dom ben je als programmeur dat als je TLS 1.1 uitgerold dat je niet bedenkt dat er ook een TLS 1.2 kan komen en dat een client zich identificeert als iemand die TLS 1.2 ondersteunt?
En wat doe je dan als programmeur? TLS 1.2 ? die ken ik niet,... DISCONNECT...

Dat Microsoft, toch niet een softwareboer uit een polder, nu nog steeds niet nagedacht heeft over TLS 1.3 vind ik schokkend... Is er dan niemand die vooruit kijkt? Niemand een visie ofzo? Denken we alleen maar aan aandelen en vaccins?

Als je nu TLS 1.3 gaat implementeren, moet je al nagedacht hebben over de opvolger.... is dat TLS 1.4? of wat als er een serieuze flaw ontdekt wordt en je een alternatief moet hebben? Tis niet dat je kunt terugvallen op SSL zoals vroeger.

Waarom niet gewoon een linux proxy die tls 1.3 forceert????
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.