Stell dir vor, du öffnest dein Postfach und findest eine E-Mail vom „CEO“. Sie sieht intern aus, wird über Microsoft-Infrastruktur zugestellt – doch das entsprechende Konto existiert gar nicht. Willkommen beim Missbrauch von Direct Send: Eine Designschwäche, die es Angreifern ermöglicht, E-Mails direkt in Microsoft 365 einzuschleusen – ohne Login, ohne kompromittierte Konten und sogar mit frei erfundenen Absenderadressen.

Was ist passiert?‍

Seit Mai 2025 missbrauchen Angreifer vermehrt die Direct-Send-Funktion in Microsoft 365. Diese Funktion ist eigentlich für einfache Geräte wie Drucker gedacht, die keine Authentifizierung unterstützen. In der Praxis erlaubt sie jedoch jedem, E-Mails über die Infrastruktur eines fremden Tenants in Microsoft 365 zu verschicken – allein mit Kenntnis des Tenantnamens. Es muss nicht einmal ein echtes Postfach existieren, da Absenderadressen frei erfunden werden können. Damit lassen sich nicht nur interne Szenarien vortäuschen, sondern auch Nachrichten zwischen verschiedenen M365-Domains innerhalb derselben Region versenden (z. B. @domain1.eu → @domain2.eu).

Der Missbrauch funktioniert ausschließlich innerhalb der Microsoft-365-Umgebung und ist an die jeweilige regionale Infrastruktur (Geo-Routing) gebunden. Praktisch heißt das: Zustellungen innerhalb derselben Region (z. B. Europa) sind möglich, während eine Zustellung über Regionsgrenzen hinweg (z. B. USA → Europa) fehlschlägt – typischerweise mit dem Fehler 451 4.4.62 Mail sent to the wrong Office 365 region. (ATTR35).

Wie funktioniert der Missbrauch?

Ein Beispiel aus der Praxis mit PowerShell:
‍‍
     Send-MailMessage -From '"Absender" <[email protected]>' -To '[email protected]' -Subject 'Bitte sofort      klicken' -SmtpServer 'firma-at.mail.protection.outlook.com' -Port 25

Die Nachricht landet im Postfach, als käme sie von einem Kollegen oder sogar von der Geschäftsführung.

Besonders perfide: Da der Versand über Microsofts eigene Infrastruktur erfolgt, greifen die üblichen Erkennungsmechanismen nicht zuverlässig. Ein wirksamer Schutz besteht nur, wenn SPF, DKIM und DMARC konsequent und korrekt konfiguriert sind. Andernfalls fehlen die sonst üblichen Phishing-Warnungen.

Empfehlungen für Organisationen

• Prüfen Sie den Einsatz von Direct Send: Ermitteln Sie, ob Ihre Organisation diese Funktion aktiv nutzt. Falls nicht erforderlich, aktivieren Sie die Einstellung Reject Direct Send per PowerShell:

     Set-OrganizationConfig -RejectDirectSend $true


• Audit und Monitoring: Überprüfen Sie Mail-Flow-Regeln und akzeptierte IPs für unauthentifizierte Relays. Achten Sie auf Header-Indikatoren wie compauth=fail, um Spoofing-Versuche zu erkennen.
• Starke Mail-Authentifizierung: Erzwingen Sie SPF mit Hard-Fail (-all), aktivieren Sie DKIM und setzen Sie DMARC strikt auf p=reject, wo immer möglich.
• Anti-Spoofing-Mechanismen:
  Nutzen Sie Anti-Spoofing-Policies und richten Sie eine Kennzeichnung, Quarantäne oder Blockierung für nicht authentifizierte interne E-Mails ein.
• Benutzer-Sensibilisierung:
  Schulen Sie Mitarbeitende hinsichtlich aktueller Angriffsvektoren wie QR-Code-Phishing (Quishing) und weisen Sie auf verdächtige Inhalte oder unerwartete Login-Aufforderungen hin.
• Identity Security:
  Setzen Sie konsequent auf Multi-Faktor-Authentifizierung (MFA) für alle Benutzer. Ergänzend sollten Conditional Access Policies implementiert werden, um Zugriffe anhand von Standort, Gerät oder Risiko zu kontrollieren – besonders wichtig, falls Zugangsdaten kompromittiert werden.

Fazit‍

Der Missbrauch von Direct Send zeigt deutlich, dass Kommunikation in Microsoft 365 nicht automatisch vertrauenswürdig ist. Selbst frei erfundene Absenderadressen werden akzeptiert, solange sie innerhalb einer Region versendet werden – und das nicht nur innerhalb einer einzelnen Organisation, sondern auch zwischen verschiedenen M365-Tenants. Damit bleibt dieses Feature ein attraktives Werkzeug für Angreifer, um Social Engineering glaubwürdig wirken zu lassen. Unternehmen sollten deshalb prüfen, ob Direct Send in ihrer Umgebung wirklich benötigt wird – und es andernfalls konsequent deaktivieren.

‍