Die Spatzen pfeifen es von den Dächern und auch Microsoft wird nicht müde an das Support-Ende von Exchange 2016 / 2019 zu erinnern.
Kurz für diejenigen die es noch gar nicht mitbekommen haben, Microsoft wird den Support für Exchange Server 2016 und 2019 am 14. Oktober 2025 einstellen, heißt keine Funktions-, und noch viel wichtiger, keine Sicherheitsupdates mehr.
Seinen hauseigenen Exchange Server heutzutage per OWA ungeschützt ins Internet zu stellen, sollte heute schon bei allen Admins blankes Entsetzen hervorrufen.
Die Liste mit Sicherheitsproblemen und Zero-Day Exploits die allein in den letzten 2-3 Jahren in Exchange gefunden, ausgenutzt und (meistens zumindest) schnell notdürftig von Microsoft geflickt worden sind füllen mittlerweile eine ganze DIN A4 Seite aus. Cyberversicherungen nehmen diesen Sachstand mittlerweile sogar in Ihre Fragebögen auf, den Sie sich dann meist ordentlich bezahlen lassen.
Was tun?
Für diejenigen, die sich bisher gegen Microsofts fanatischen Cloud-Zwang gesträubt haben sieht die Zukunft betreff Exchange Server eher ziemlich düster aus. Kunden können entweder die Migration nach Exchange Online bis Oktober durchführen oder müssen sich mit der Exchange Server SE (Subscription Edition) zufriedenstellen.
Wie der Name schon suggeriert, werden hierfür monatliche Kosten fällig durch monatliche Opferungen Zahlungen an Microsoft:
Exchange Server SE Server-Lizenzen werden nicht mehr verkauft, sondern nur noch „vermietet“(Subscription). Dasselbe gilt für die User-CALs, hier kann man entweder bestehende M365-Lizenzen verwenden, die ein Exchange Server-CAL Recht haben (z.B. M365 E3 oder E5) oder besorgt sich spezielle Exchange Server SE-CALs.
Die Update-Strategie wird auf absehbare Zeit bei Exchange Server SE dieselbe bleiben wie aktuell, das heißt halbjährliche Update (CUs) im Frühjahr und Herbst. Die Benamung der CUs hat Microsoft letztes Jahr an Windows angepasst und tragen mittlerweile die Namen 25H1, 25H2 und so weiter.
Wo bin ich, wo muss ich hin?
Falls Sie Exchange Server 2016/2019 noch im Einsatz haben, sollten Sie sich überlegen, was Sie mit diesem nach Oktober 2025 anstellen wollen. Einige mögliche Überlegungen die Sie eventuell haben und die Möglichkeiten:
„Ich habe Exchange 2019 und möchte meinen Exchange Server nach Oktober 2025 weiterverwenden“ -> In-Place Upgrade zu Exchange Server SE
„Ich habe Exchange 2016 und möchte meinen Exchange Server nach Oktober 2025 weiterverwenden“ -> Migration zu Exchange Server 2019, dann In-Place Upgrade auf Exchange Server SE, oder Migration direkt zu Exchange Server SE
„Ich habe Exchange 2016 / 2019 und möchte diesen ab Oktober 2025 abschalten“ -> Migration zu Exchange Online oder auf ein anderes Mailsystem
„Ich habe Exchange 2016/2019 und möchte nicht nach Exchange Online / Exchange Server SE migrieren“ -> Migration auf ein anderes Mailsystem
Eine weitere Möglichkeit wäre das Weiterbetreiben Ihrer unsupporteten Exchange Server-Version, in Enterprise-Umgebungen ist diese Vorgehensweise jedoch nicht anwendbar.
Zeitplan
Für die Migration stellt MS folgenden Zeitplan bereit. Generell empfiehlt es sich die aktuellste Version von Exchange 2019 zu betreiben, um bestmöglich auf die Umstellung zu Exchange Server SE vorbereitet zu sein.
Bis heute (Ende Januar 2025) ist Microsoft Exchange-Admin immer noch das Exchange 2019 CU15 (24H2) Update schuldig, das ursprünglich schon 2024 erscheinen sollte.
Zu beachten ist, dass Exchange 2019 eine zwingende Voraussetzung für ein In-Place Upgrade ist. Exchange Server SE wird denselben Funktionsumfang und Codebasis beinhalten wie Exchange Server 2019 CU 15, lediglich die Lizenzierung wird geändert.
Exchange Server 2016?
Eine weniger bekannte Möglichkeit bietet sich Ihnen jedoch auch falls Sie noch Exchange Server 2016 einsetzen.
Anstatt eine Migration auf Exchange 2019 durchzuführen und danach noch auf Exchange Server SE ein In-Place Upgrade durchzuführen können Sie ein „Legacy-Update“ von Exchange 2016 zu SE durchführen. Dabei müssen Sie die Exchange Server SE-Infrastruktur parallel zu Ihrer 2016-Infrastruktur aufsetzen und die Mailboxen migrieren.
Allerdings bietet sich diese Option aufgrund des straffen Zeitplans zwischen dem Release von Exchange Server SE (Mitte 2025) und dem Support-Ende von Exchange 2016 (Oktober 2025) nur für kleinere Umgebungen an.
Kein Exchange Hybrid mehr mit Exchange 2016/2019
Wichtig zu beachten ist dass es ebenfalls nach dem 14. Oktober 2025 nicht mehr möglich ist einen Exchange 2016 / 2019 Server in einer Hybrid-Stellung mit Exchange Online für Mailflow weiter zu betreiben. Im Mai 2023 kündigte Microsoft nämlich das Transport-based Enforcement System an, mit dem E-Mails Richtung Exchange Online von nicht mehr supporteten Exchange Servern, die über einen Inbound-Connector kommen, abgelehnt werden. Daher ist es nicht ausreichend alle Mailboxen zu migrieren und den Exchange Server als Mail-Relay weiter zu verwenden. Auch für diesen Fall müssen Sie entweder auf Exchange Server SE migrieren oder einen 3rd-Party Mail-Relay (z.B. Postfix, Windows Server SMTP-Server) verwenden.
Letzter Exchange Server (Last Server Standing)
Für diejenigen die bereits Ihre Migration zu Exchange Online durchführen oder sogar schon abgeschlossen haben gibt es seit 2023 die Möglichkeit den letzten Exchange Server aus der Organisation zu entfernen. Wichtig zu beachten ist hierbei dass dies nur durchgeführt werden darf wenn der Exchange Server ausschliesslich für Recipient Management verwendet wird (kein Mail Relay, Transport Rules, Public Folder etc…).
Lizenz-Reporting zu Microsoft-Servern (Big Brother is watching you)
Bei Exchange Server SE stellt sich vielen Admins die Frage, ob auch das Lizenz-Reporting verändert wird (ähnlich wie Exchange Online) und zu MS heimtelefoniert, um unzureichende Lizenzen zu melden.
Hier sei angemerkt, dass die Lizenz-Thematik dieselbe sein wird wie vorher, d.h. sobald ein Exchange Server SE Server Lizenz-Key installiert wurde, wird das System keine Lizenzmeldungen Richtung MS senden. Die Hoheit der Lizenz-Compliance inklusive CALs liegt damit weiterhin bei Ihnen.
Hier sei angemerkt, dass die Lizenz-Thematik dieselbe sein wird wie vorher, d.h. sobald ein Exchange Server SE Server Lizenz-Key installiert wurde, wird das System keine Lizenzmeldungen Richtung MS senden. Die Hoheit der Lizenz-Compliance inklusive CALs liegt damit weiterhin bei Ihnen.
Abonnieren Sie unseren Newsletter, für mehr Tipps und Updates rund um die Themen Datensicherheit, Active Directory und IT-Security.