DMARCPulse
Kostenlos starten
Alle Beiträge CVE-2026-42897: Exchange-Lücke ermöglicht E-Mail-Spoofing via XSS – was DMARC leisten kann und was nicht

CVE-2026-42897: Exchange-Lücke ermöglicht E-Mail-Spoofing via XSS – was DMARC leisten kann und was nicht

DMARCPulse Team

Eine neue Exchange-Lücke wird aktiv ausgenutzt

Microsoft hat eine kritische Schwachstelle in Exchange Server bestätigt: CVE-2026-42897 erlaubt Angreifern, über eine Cross-Site-Scripting-Lücke (XSS) E-Mails so zu manipulieren, dass sie scheinbar von legitimen Absendern stammen. Die Lücke wird laut Microsoft bereits aktiv in freier Wildbahn ausgenutzt – On-Premises-Installationen sind direkt betroffen.

Für IT-Admins, die Exchange lokal betreiben, ist das ein Alarmsignal. Aber auch wer bereits DMARC, SPF und DKIM eingerichtet hat, sollte genau verstehen, wo diese Schutzmechanismen greifen – und wo nicht.

Was genau passiert bei diesem Angriff?

Die Schwachstelle sitzt in der Exchange-Weboberfläche (OWA) und ermöglicht es einem Angreifer, über präparierte Anfragen JavaScript-Code einzuschleusen. Dieser Code kann im Kontext einer authentifizierten Sitzung ausgeführt werden – und damit E-Mails im Namen des angemeldeten Nutzers versenden oder manipulieren.

Das Besondere: Die E-Mail verlässt das System als legitime Nachricht des echten Nutzers. Sie kommt vom richtigen Mailserver, trägt die richtige Absenderadresse und passiert interne Weiterleitungsregeln ohne Auffälligkeiten.

Warum DMARC, SPF und DKIM hier an ihre Grenzen stoßen

DMARK, SPF und DKIM sind darauf ausgelegt, externe Domain-Spoofing-Angriffe abzuwehren – also Fälle, in denen jemand von außen vorgibt, eine Domain zu sein, die er nicht kontrolliert.

Bei CVE-2026-42897 ist die Ausgangslage eine andere:

  • SPF prüft, ob der sendende Mailserver für die Domain autorisiert ist. Da die E-Mail vom legitimen Exchange-Server kommt, besteht SPF problemlos.
  • DKIM signiert die Nachricht kryptografisch. Da Exchange die Signatur selbst erstellt, ist auch DKIM gültig.
  • DMARC baut auf SPF und DKIM auf. Wenn beide Checks bestehen, gilt die Nachricht als authentifiziert – unabhängig davon, ob ein Angreifer die Sitzung missbraucht hat.

Kurz gesagt: Die E-Mail ist technisch authentisch, aber inhaltlich manipuliert. DMARC sieht keinen Grund, sie abzulehnen.

Was das für Empfänger bedeutet

Empfänger – ob intern oder extern – erhalten eine Nachricht, die alle Authentifizierungsprüfungen besteht. Kein Spam-Filter schlägt Alarm, kein DMARC-Report zeigt eine Auffälligkeit. Das macht diesen Angriffsvektor besonders gefährlich für gezielte Phishing-Kampagnen oder Business Email Compromise (BEC).

Ein typisches Szenario: Ein Angreifer kompromittiert eine OWA-Sitzung über die XSS-Lücke, versendet eine Zahlungsaufforderung im Namen des CFO an die Buchhaltung. Die E-Mail kommt vom echten Exchange-Server, hat eine gültige DKIM-Signatur, besteht SPF und DMARC – und landet im Posteingang.

Was Admins jetzt tun sollten

Der wichtigste Schritt ist sofortige Patchbereitschaft. Microsoft hat einen Patch veröffentlicht – dieser sollte unverzüglich eingespielt werden. Darüber hinaus gibt es mehrere Maßnahmen, die das Risiko reduzieren:

  • Exchange-Patch einspielen: Das ist keine optionale Maßnahme. Systeme ohne Patch sind aktiv gefährdet.
  • OWA absichern: Zugriff auf OWA auf bekannte IP-Bereiche oder VPN beschränken, wo immer möglich.
  • MFA erzwingen: Mehrstufige Authentifizierung verhindert, dass gestohlene Zugangsdaten allein für eine Session-Übernahme reichen.
  • DMARC-Reporting auswerten: Auch wenn DMARC den Angriff nicht blockiert, können ungewöhnliche Sendevolumen oder neue IP-Adressen in Aggregate Reports auf Missbrauch hindeuten.
  • Interne Awareness schärfen: Mitarbeiter sollten wissen, dass auch scheinbar legitime interne E-Mails hinterfragt werden dürfen – besonders bei Zahlungsaufforderungen.

Was DMARC trotzdem leistet

Es wäre falsch, DMARC wegen dieser Lücke abzuschreiben. DMARC bleibt essenziell für den Schutz vor externem Domain-Spoofing – also dem klassischen Fall, in dem Angreifer eure Domain von fremden Servern aus missbrauchen.

Wer noch keine DMARC-Policy auf p=reject gesetzt hat, lässt genau diesen Angriffsvektor offen. Und wer kein aktives Reporting betreibt, bemerkt oft erst Wochen später, dass die eigene Domain für Phishing missbraucht wird.

DMARCPulse zeigt euch in Echtzeit, welche Quellen E-Mails in eurem Namen versenden – und ob dabei Auffälligkeiten auftreten, die auf Missbrauch hindeuten. Das ersetzt keinen Exchange-Patch, aber es ist die Grundlage für informierte Entscheidungen.

Fazit

CVE-2026-42897 ist ein gutes Beispiel dafür, dass E-Mail-Sicherheit aus mehreren Schichten besteht. DMARC, SPF und DKIM schützen die Infrastruktur nach außen – aber sie können keinen Angriff abwehren, der innerhalb eines legitimen Systems stattfindet. Patch-Management, Zugangskontrolle und Nutzer-Awareness sind hier die entscheidenden Faktoren.

Prüft jetzt, ob eure DMARC-Policy auf Enforcement steht und ob euer Reporting aktiv ist: Kostenloser Domain-Check auf DMARCPulse