SEPPmail VMs in Azure und AWS
In den letzten Wochen haben uns Kunden und Partner vereinzelt darüber berichtet, dass der Betrieb einer SEPPmail VM in Azure nicht möglich war. Ausgehende E-Mails auf Port 25 zu senden, ging trotz Azure Enterprise Subscription und Öffnen eines Microsoft Support-Calls nicht, somit war eine Parallel-Integration zu einem E-Mail-System nicht konfigurierbar.
Bestehende SEPPmail VMs dürften weiterhin funktionieren. Bei einem Wechsel zu einer anderen Subscription kann es zu Einschränkungen oder gar zum Funktionsstopp kommen.
Wir möchten nun proaktiv darauf hinweisen, dass Microsoft offensichtlich den Einsatzbereich von SMTP-sendenden Devices schrittweise einschränkt. Hier ist nun ein Status aus unserer Sicht, ohne Anspruch auf Vollständigkeit.
Aktuelle Richtlinien von Azure
- Enterprise- und Microsoft-Kundenverträge (EA und MCA-E):
Für VMs in diesen Abonnements ist der ausgehende SMTP-Verkehr über Port 25 standardmäßig nicht blockiert.
Allerdings ist Port 25 bei Enterprise Dev/Test-Abonnements standardmäßig blockiert. Um diese Sperre aufzuheben, können Sie im Azure-Portal unter der Ressource „Virtuelles Netzwerk“ die Funktion „Diagnose und Behebung“ nutzen und eine Ausnahme beantragen. Nach Genehmigung muss die betroffene VM neu gestartet werden, um die Änderungen zu übernehmen.
- Andere Abonnementstypen:
Bei Abonnements außerhalb von EA und MCA-E blockiert Azure standardmäßig ausgehende Verbindungen über Port 25. Diese Richtlinie dient der Verbesserung der Sicherheit und der Einhaltung von Industriestandards.
Strategien für VMs, die Port 25 zwingend benötigen
- Ausnahmeantrag für Port 25 stellen
Falls Ihr Abonnement es erlaubt, können Sie eine Ausnahme beantragen, um Port 25 zu entsperren. Gehen Sie dazu wie folgt vor:
- Navigieren Sie im Azure-Portal zur Ressource „Virtuelles Netzwerk“.
- Nutzen Sie die Funktion „Diagnose und Behebung“, um einen Antrag zu stellen.
- Nach der Genehmigung muss die betroffene VM neu gestartet werden.
- Alternative Abonnements nutzen
Falls Ihre aktuelles Abonnement keine Ausnahme für Port 25 erlaubt, sollten Sie in Erwägung ziehen, auf eine Enterprise-Subscription oder eine andere passende Kategorie umzusteigen, die keine Blockierung von Port 25 vorsieht.
- Sicherheitsmaßnahmen verstärken
Der Betrieb von Port 25 bringt Sicherheitsrisiken wie Spam-Verteilung mit sich. Daher sollten Sie zusätzliche Maßnahmen ergreifen wie:
- Einschränkungen auf IP- oder Firewall-Ebene, um nur autorisierten Datenverkehr zuzulassen.
- Implementierung von Mechanismen zur Missbrauchserkennung und -verhinderung.
Zukunftsaussichten zu Port 25 auf Azure
Microsoft hat derzeit keine Pläne angekündigt, Port 25 vollständig für alle Abonnements zu blockieren. Dennoch ist es möglich, dass sich die Richtlinien zukünftig ändern könnten, um Sicherheitsstandards weiter zu erhöhen. Deswegen prüfen Sie, ob Ihr Abonnement eine Ausnahme für Port 25 erlaubt, und beantragen Sie diese gegebenenfalls rechtzeitig.
Verfolgen Sie regelmäßig die Richtlinien-Updates von Microsoft, um auf Änderungen vorbereitet zu sein.
Falls das in Ihrem Abonnement nicht möglich ist, finden Sie alternative Hosting-Anbieter, die diesen Service bieten, oder betreiben Sie die SEPPmail Appliance bei sich im Rechenzentrum. Alternativ wechseln Sie in die SEPPmail.cloud, falls das Ihre Unternehmensrichtlinie und das Setup der Appliance erlauben.
Für Amazon Web Services haben wir Ähnliches festgestellt; wir haben jedoch so wenige Kunden auf dieser Plattform, dass wir hier nicht weiter recherchiert haben.