Microsoft Exchange Server 2019 nähert sich dem Ende seines Lebenszyklus: Am 14. Oktober 2025 erreicht Exchange 2019 das offizielle End of Life (EOL), d.h. das Supportende. Für Unternehmen, die noch auf dieser On-Premises E-Mail-Plattform laufen, bedeutet das akuten Handlungsbedarf. Gleichzeitig verschärft Microsoft die Sicherheitsmaßnahmen für Exchange-Server: Ab 2025 werden E-Mails von unsicheren, ungepatchten Exchange-Servern in Richtung Microsoft 365 (Exchange Online) gedrosselt oder sogar blockiert, um die Cloud-Umgebung zu schützen. In diesem Beitrag erläutern wir, was das Supportende von Exchange 2019 bedeutet, welche Risiken mit dem Weiterbetrieb veralteter Exchange-Server einhergehen, welche neuen Maßnahmen Microsoft einführt und welche Optionen Unternehmen jetzt haben – inklusive eines dezenten Hinweises, wie die AMNAU GmbH Sie dabei unterstützen kann.
Supportende für Exchange Server 2019: Wann und was bedeutet EOL?
Microsoft wird den Support für Exchange Server 2019 am 14. Oktober 2025 einstellen. Ab diesem Datum erhalten Exchange 2019 (und ebenfalls Exchange 2016) keinerlei Updates oder technische Unterstützung mehr von Microsoft. Konkret bedeutet dies unter anderem: keine technischen Problemlösungen durch den Hersteller, keine Bugfixes für neu entdeckte Fehler, keine Sicherheitsupdates für auftretende Sicherheitslücken und sogar so grundlegende Dinge wie keine Aktualisierungen von Zeitzonen mehr.
Zwar läuft ein installierter Exchange 2019 Server nach dem 14. Oktober 2025 rein technisch weiter, aber: Entdeckte Schwachstellen bleiben ab dann unbehoben, was das System schnell verwundbar machen kann. Unternehmen stünden im Falle von Problemen oder Sicherheitsvorfällen ohne Unterstützung des Herstellers da. Dieses Supportende wird daher zum entscheidenden Stichtag für alle Organisationen, die Exchange-Server on-premises betreiben. Microsoft selbst „empfiehlt dringend, jetzt zu handeln“ – sprich, frühzeitig vor dem Stichtag eine Migration oder ein Upgrade durchzuführen.
Risiken durch den Betrieb veralteter Exchange-Server
Die fortgesetzte Nutzung einer nicht mehr unterstützten Exchange-Version wie 2019 birgt erhebliche Risiken für ein Unternehmen. Im Wesentlichen sind drei Problemfelder zu nennen:
- Sicherheitslücken: Ohne regelmäßige Sicherheitsupdates bleiben neu entdeckte Schwachstellen offen. Angreifer kennen diese Schwachstellen oft und können ungepatchte Server gezielt ausnutzen. Das erhöht das Risiko von Datenlecks, Malware-Infektionen oder Hackerangriffen drastisch. In der Vergangenheit wurden On-Premises Exchange-Server durch Exploits (z.B. ProxyShell, Hafnium) angegriffen – ein ungepatchter Server wäre ein leichtes Ziel.
- Vertrauensverlust anderer Systeme: Moderne Sicherheitskonzepte wie Zero Trust setzen voraus, dass alle angebundenen Geräte und Server auf einem aktuellen, geschützten Stand sind. Ein ungepatchter, veralteter Exchange-Server wird als unsicher eingestuft und damit auch dessen E-Mails als nicht vertrauenswürdig betrachtet. So können z.B. Empfangsserver (wie Exchange Online) E-Mails von solchen alten Servern herabstufen oder ablehnen. Ihr Unternehmen riskiert also, dass Kommunikationspartner Ihren E-Mails misstrauen oder diese im Worst Case gar nicht zustellen.
- Compliance-Probleme: Der Betrieb von Software außerhalb ihres unterstützten Lebenszyklus kann gegen Branchenvorschriften und Compliance-Richtlinien verstoßen. Viele Regulierungen (z.B. im Finanz- oder Gesundheitswesen) verlangen aktuelle, vom Hersteller gepflegte Systeme. Die Nutzung von nicht mehr unterstützter Software kann daher Prüfungsfeststellungen nach sich ziehen und im Ernstfall rechtliche Konsequenzen oder Strafen bedeuten. Selbst ohne direkte Regulierung gilt: Ein ungepatchter Mailserver stellt ein so hohes Risiko dar, dass er oft gegen die eigene IT-Sicherheitsrichtlinie verstößt.
Neben diesen Kernrisiken kommen praktische Nachteile hinzu: Keine Bugfixes kann zu Stabilitäts- oder Kompatibilitätsproblemen mit neuerer Software führen, und fehlende Zeitzonen-Updates können Kalender und Termine beeinträchtigen. Insgesamt sinken Sicherheit, Zuverlässigkeit und Vertrauen in eine veraltete Exchange-Plattform rapide.
Microsofts neue Maßnahmen: E-Mail-Drosselung und -Blockierung ab 2025
Microsoft reagiert auf die Gefahr ungepatchter Exchange-Server, die E-Mails in die Cloud senden, mit neuen Maßnahmen. Wie in einem offiziellen Blogpost angekündigt, wird ein Transport-basiertes Enforcement-System in Exchange Online eingeführt. Dieses System erkennt “persistently vulnerable” Exchange-Server – also Exchange-Systeme, die entweder nicht mehr unterstützt werden oder wichtige Sicherheitsupdates nicht installiert haben – und greift schrittweise in den Mailfluss ein. Ziel ist es, die Risiken für Exchange Online zu minimieren und Administratoren zum Handeln zu bewegen.
Konkret hat das System drei Stufen: Reporting, Throttling und Blocking. Zunächst erhält der Exchange-Administrator im Microsoft 365 Admin Center einen Bericht, dass ein verbundenes On-Premises Exchange-System veraltet oder ungepatcht ist. Dadurch wird eine 30-tägige Schonfrist eingeleitet, in der noch nichts blockiert wird – Zeit für den Admin, den Server zu aktualisieren oder zu ersetzen. Wird innerhalb dieser Frist keine Maßnahme ergriffen, folgt die nächste Stufe:
Throttling (Drosselung): Exchange Online beginnt, E-Mails von dem unsicheren Server künstlich zu verzögern. Technisch geschieht dies durch temporäre SMTP-Fehler (450er), die den sendenden Server zwingen, E-Mails später erneut zu versuchen. Anfangs werden z.B. 5 Minuten pro Stunde keine Mails angenommen, später 10 Minuten, dann 20 Minuten usw., sodass die Zustellung merklich verlangsamt wird. Diese Drosselung soll den Administrator wachrütteln, passiert aber noch mit automatischen Nachholversuchen – E-Mails kommen also verzögert noch an. Nach 30 Tagen Throttling ohne Reaktion geht das System zur letzten Stufe über.
Blocking (Blockierung): Bleibt der Server weiterhin ungepatcht, fängt Exchange Online an, E-Mails endgültig abzulehnen. Der Absender erhält dann Unzustellbarkeits-Nachrichten (SMTP 550er-Fehler). Zunächst betrifft die Blockade z.B. 5 Minuten pro Stunde, steigert sich dann auf 10 Minuten, 20 Minuten usw. Spätestens 90 Tage nach der ersten Erkennung eines unsicheren Servers wird schließlich 100 % des Mailverkehrs von diesem Server blockiert. E-Mails aus der alten Exchange-Umgebung erreichen dann keinen Exchange Online Empfänger mehr.
Stufenplan der Durchsetzung. Zunächst (Stufe 1) wird nur gewarnt; danach steigert Exchange Online schrittweise die Drosselung und Blockierung eingehender E-Mails von unsicheren Exchange-Servern. Nach 90 Tagen ohne Verbesserung (Stufe 8) werden schließlich alle E-Mails aus der alten Serverumgebung abgelehnt.
Dieses gestufte Vorgehen („progressive enforcement“) gibt Admins Gelegenheit zu reagieren, bevor es zum Komplett-Block kommt. Microsoft möchte legitime E-Mails nicht unnötig unterbrechen, aber die Sicherheit der Cloud gewährleisten. Mit diesem Druckmittel soll erreicht werden, dass Kunden ihre On-Premises Exchange-Server aktuell halten oder ablösen. Jede Organisation hat übrigens die Möglichkeit, die Durchsetzung einmalig bis zu 90 Tage auszusetzen (Enforcement Pause), um z.B. mehr Zeit für eine Migration zu gewinnen. Dies sollte jedoch nur als kurzfristige Notlösung dienen.
Wichtig: Diese Maßnahmen gelten perspektivisch für alle Exchange-Versionen, die E-Mails an Exchange Online senden. Begonnen hat Microsoft 2023 mit uralten Versionen (Exchange 2007/2010) im Hybridbetrieb. Ab Februar 2025 schließt das System nun auch Exchange 2019 ein, sofern dieser „signifikant veraltet“ ist. Spätestens mit Erreichen des EOL-Datums im Oktober 2025 fällt Exchange 2019 selbst unter diese Kategorie, da ab dann keine Sicherheitsupdates mehr verfügbar sind. Unternehmen, die bis dahin nichts unternehmen, müssen also damit rechnen, dass ihre E-Mails an Office 365-Kunden ab 2025 zunächst verzögert und letztlich vollständig blockiert werden – was gravierende Geschäftsunterbrechungen zur Folge hätte.
Was Unternehmen jetzt tun sollten: Migration, Upgrade oder Hybrid-Lösungen
Angesichts des nahenden Supportendes und der von Microsoft implementierten Maßnahmen sollten Unternehmen proaktiv eine Migrationsstrategie entwickeln. Warten Sie nicht bis zum letzten Moment – die Umstellung kann zeitaufwändig sein, insbesondere bei größeren Umgebungen. Im Grunde gibt es drei Optionen:
Für die meisten dürfte eine Migration in die Cloud die sinnvollste und zukunftssicherste Lösung sein. Microsoft selbst empfiehlt, vollständig auf Exchange Online bzw. Microsoft 365 umzusteigen. In Exchange Online profitieren Sie von kontinuierlichen Sicherheitsupdates und neuen Funktionen sofort nach Verfügbarkeit. Viele moderne Features – z.B. KI-gestützte Funktionen wie Microsoft Copilot – gibt es ausschließlich in der Cloud und nicht für lokale Exchange-Server. Durch die Migration eliminieren Sie das Risiko von EOL-Problemen komplett, denn die Verantwortung für Betrieb und Updates liegt bei Microsoft. Wichtig ist, die Migration frühzeitig zu planen: Von der Analyse der bestehenden Umgebung über das Bereinigen alter Postfächer bis zum eigentlichen Datenumzug sollten ausreichende Puffer eingeplant werden.
Manche Unternehmen benötigen aus bestimmten Gründen weiterhin eine lokale Exchange-Server-Instanz (z.B. für spezielle Compliance-Vorgaben oder Integrationen). Für diese Fälle bringt Microsoft in der zweiten Jahreshälfte 2025 eine neue Version heraus: Exchange Server Subscription Edition (SE). Diese Version wird ein abonnierbares On-Premises-Produkt mit kontinuierlichem Update-Modell sein. Der Vorteil: Sie können on-prem bleiben, erhalten aber wieder vollumfänglichen Support und Sicherheitsupdates. Exchange 2019 lässt sich voraussichtlich direkt in-place auf Exchange SE aktualisieren (analog einem CU-Update). Voraussetzung ist, dass Ihr Exchange 2019 auf dem neuesten Stand (letztes CU) ist – alten Versionen wie Exchange 2016 müssten zuerst auf 2019 gehoben werden, da Exchange SE nur von 2019 aus upgradefähig sein wird. Wenn Sie also nicht in die Cloud wechseln möchten, planen Sie spätestens jetzt das Upgrade auf Exchange 2019 (falls noch nicht erfolgt) und anschließend auf Exchange SE, sobald verfügbar.
Ein Hybridbetrieb verbindet das Beste aus beiden Welten – Sie behalten einen (kleinen) Exchange-Server on-prem für bestimmte Aufgaben oder Daten, während der Großteil der Postfächer in Exchange Online liegt. Viele Unternehmen wählen diesen Weg als Zwischenschritt. Wichtig ist hier, dass der lokale Server auf einer unterstützten Version bleibt (also perspektivisch Exchange SE) und konsequent gepatcht wird, um nicht zum „persistently vulnerable“ Kandidaten zu werden. Der Hybrid-Ansatz kann sinnvoll sein, um z.B. stufenweise zu migrieren oder um spezifische Compliance-Anforderungen zu erfüllen, die eine lokale Datenhaltung erfordern. Dennoch sollte langfristig geprüft werden, ob ein vollständiger Cloud-Betrieb nicht machbar und vorteilhafter ist, um den Wartungsaufwand weiter zu reduzieren.
Unabhängig von der gewählten Option gilt: Vorbereitung ist alles. Führen Sie eine Bestandsaufnahme Ihrer Exchange-Umgebung durch, schulen Sie Ihre Administratoren hinsichtlich der neuen Microsoft-Maßnahmen und erstellen Sie einen Migrationsfahrplan. Stellen Sie sicher, dass Ihre aktuellen Exchange-Server bis zur Ablösung alle verfügbaren Updates erhalten – so minimieren Sie das Sicherheitsrisiko in der Übergangszeit und vermeiden, von Microsofts Throttling/Blocking überrascht zu werden. Es ist ratsam, auch schon alternative Kommunikationswege einzuplanen (z.B. im Notfall über temporäre Mail-Konten in der Cloud), falls es doch zu Beeinträchtigungen kommen sollte.
Wie die AMNAU GmbH Sie unterstützen kann
Die bevorstehende EOL-Umstellung kann komplex sein – von der strategischen Entscheidungsfindung bis zur technischen Umsetzung. Hier steht Ihnen die AMNAU GmbH mit ihrer Expertise zur Seite. Als IT-Dienstleister mit Fokus auf Microsoft-Technologien, IT-Sicherheit und Unternehmensberatung unterstützen wir Sie dabei, die optimale Migrationsstrategie für Ihre Organisation zu finden. Unsere Experten begleiten Sie durch alle Phasen: von der Planung über die Migration zu Exchange Online oder in hybride Szenarien bis hin zum Upgrade Ihrer On-Premises-Server. Selbstverständlich kümmern wir uns auch um den sicheren Betrieb Ihrer E-Mail-Infrastruktur und stellen sicher, dass alle Systeme den aktuellen Sicherheitsanforderungen entsprechen.
Mit einer frühzeitigen und gut geplanten Migration oder Aktualisierung stellen Sie sicher, dass Ihr E-Mail-System auch nach Oktober 2025 zuverlässig, sicher und compliant bleibt. Die AMNAU GmbH steht Ihnen dabei beratend und operativ zur Seite, damit Sie den Wechsel reibungslos und ohne Geschäftseinbußen meistern. Jetzt ist der richtige Zeitpunkt, um aktiv zu werden – sprechen Sie uns gern an, wenn Sie Unterstützung auf dem Weg in die Zukunft Ihrer Exchange-Umgebung wünschen.
