Kann eine Domain mehr als einen SPF-Eintrag haben?

Nein. RFC 7208 schreibt genau einen SPF-Eintrag pro Domain vor. Wenn zwei TXT-Einträge vorhanden sind, die mit „v=spf1“ beginnen, geben beide einen „PermError“ zurück, und die SPF-Prüfung schlägt vollständig fehl. Führen Sie alle autorisierten Quellen in einem einzigen Eintrag zusammen.

Was bedeutet es, wenn meine Domain zu viele DNS-Abfragen aufweist?

Ihr SPF-Eintrag überschreitet das in RFC 7208 festgelegte Limit von 10 DNS-Lookups. Dies führt zu einem SPF-PermError, wodurch die SPF-Authentifizierung für alle E-Mails unterbrochen wird – nicht nur für die überzähligen. Reduzieren Sie die Anzahl der Einträge, ersetzen Sie diese durch „ip4:/ip6:“ oder nutzen Sie SPF-Flattening oder Makros, um das Limit nicht zu überschreiten.

Was ist der Unterschied zwischen SPF-Softfail (~all) und Hardfail (-all)?

„Softfail“ (~all) weist die Empfänger an, die E-Mail anzunehmen, sie jedoch als verdächtig zu kennzeichnen. „Hardfail“ (-all) weist die Empfänger an, die E-Mail sofort abzulehnen. Verwenden Sie „Softfail“ während der Ersteinrichtung und der Testphase; wechseln Sie zu „Hardfail“, sobald alle legitimen Absender bestätigt sind und DMARC eingerichtet ist.

Verhindert SPF E-Mail-Spoofing?

Nicht allein. SPF überprüft den Absender des Umschlags (Return-Path), nicht den „From“-Header, den die Empfänger sehen. Ein Angreifer kann die SPF-Prüfung bestehen, während er die sichtbare „From“-Adresse fälscht. Sie benötigen DMARC – das die Übereinstimmung zwischen den SPF-/DKIM-Ergebnissen und dem „From“-Header überprüft –, um das Fälschen des Anzeigenamens zu verhindern.

Was passiert, wenn SPF versagt?

Das hängt vom SPF-Qualifizierer ab und davon, ob DMARC konfiguriert ist. Bei „-all“ und einer DMARC-Ablehnungsrichtlinie wird die E-Mail blockiert. Bei „~all“ und ohne DMARC wird die E-Mail möglicherweise dennoch zugestellt, jedoch als verdächtig markiert. Fehlt SPF gänzlich, haben die Empfänger kein SPF-Signal, das sie auswerten könnten.

Wie überprüfe ich meinen SPF-Eintrag?

Nutzen Sie ein kostenloses Tool zur SPF-Abfrage. Geben Sie Ihre Domain ein, und das Tool ruft Ihren SPF-Eintrag aus dem DNS ab, überprüft die Syntax, zählt die DNS-Abfragen und markiert etwaige Fehler – einschließlich PermError- und „void lookup“-Verstößen.

Brauche ich SPF, wenn ich bereits DKIM und DMARC nutze?

Ja. DMARC setzt voraus, dass mindestens entweder SPF oder DKIM die Überprüfung besteht und die Übereinstimmung gewährleistet ist. Zwar reicht DKIM allein aus, um die DMARC-Anforderungen zu erfüllen, doch bietet die Kombination aus SPF und DKIM eine zusätzliche Absicherung. Sollte eine der beiden Methoden versagen (beispielsweise wenn SPF bei der Weiterleitung nicht funktioniert), kann die andere weiterhin die DMARC-Übereinstimmung gewährleisten.

Was bedeutet SPF-Ausrichtung?

Unter SPF-Übereinstimmung versteht man, dass die Domain im Return-Path (Absender des Umschlags) mit der Domain im From-Header übereinstimmt. DMARC überprüft diese Übereinstimmung. Ohne sie kann SPF zwar bestehen, DMARC jedoch weiterhin fehlschlagen – was bei vielen Drittanbietern der Fall ist, sofern diese nicht so konfiguriert sind, dass sie Ihre Domain im Return-Path verwenden.

Wie oft sollte ich meinen SPF-Eintrag aktualisieren?

Überprüfen Sie Ihren SPF-Eintrag jedes Mal, wenn Sie einen Versanddienst hinzufügen oder entfernen, und führen Sie mindestens vierteljährlich eine Überprüfung durch. SPF-Einträge verlieren ihre Gültigkeit, wenn Anbieter ihre IP-Bereiche ändern und sich die Versandinfrastruktur Ihres Unternehmens weiterentwickelt. Ein SPF-Eintrag, der vor sechs Monaten noch gültig war, kann heute fehlerhaft oder unvollständig sein.

Was ist SPF-Flattening?

Die SPF-Flattening-Funktion wandelt alle „include“-Einträge in reine IP-Adressen um und reduziert so die Anzahl der DNS-Abfragen. Dadurch bleibt man unter dem Limit von 10 Abfragen, es entsteht jedoch ein statischer Eintrag, der aktualisiert werden muss, sobald ein Anbieter seine IP-Adressen ändert. Moderne Alternativen wie SPF-Makros sorgen dafür, dass der Eintrag dynamisch bleibt und gleichzeitig das Limit nicht überschritten wird.

NTLM-Auslauf: Microsofts Zeitplan für die Abschaffung, Risiken und Migrationsleitfaden

Wichtigste Erkenntnisse

Microsoft geht schrittweise vor (Prüfung → Kompatibilitätskorrekturen → Standardmäßig deaktiviert), um sicherzustellen, dass Unternehmen genügend Zeit haben, veraltete Abhängigkeiten zu identifizieren, bevor es zu Ausfällen kommt.
Microsoft wird den Registrierungsschlüssel „BlockNTLMv1SSO“ im Oktober 2026 standardmäßig auf „Enforce (1)“ setzen, was bedeutet, dass NTLM Version 1 (die älteste und schwächste Version) für Single Sign-On (SSO) blockiert wird.
Microsoft wird Ende 2026 neue Funktionen einführen, um die Gründe zu beheben, aus denen Nutzer NTLM verwendet haben (wie die Anmeldung mit lokalen Konten oder den Fernzugriff, bei dem kein Domänencontroller sichtbar ist).
Dieser Schritt ist notwendig, da NTLM anfällig für „Relay“- und „Pass-the-Hash“-Angriffe ist, die es Hackern ermöglichen, sich innerhalb eines Netzwerks seitlich zu bewegen.
Die dringendste Maßnahme für MSPs besteht darin, noch heute die „erweiterte Überwachung“ zu aktivieren, um festzustellen, welche versteckten Anwendungen oder älteren Drucker noch NTLM verwenden.

Ende 2023 kündigte Microsoft erstmals seine „Evolution der Windows-Authentifizierung“ an , aus der sich die dreistufige Roadmap entwickelte , die derzeit bis 2026 umgesetzt wird. NT LAN Manager (NTLM) ist seit 1993 ein fester Bestandteil der Windows-Authentifizierung und hat dem Ökosystem über 30 Jahre lang gedient. Obwohl es Mitte 2024 offiziell als veraltet eingestuft wurde, macht der Zeitplan, den wir 2026 verfolgen, eines deutlich: NTLM ist kein Thema mehr für die „Zukunft“.

Für Managed Service Provider (MSPs) und IT-Teams bedeutet diese Umstellung einen erheblichen Wandel. Die Phase-1-Prüfung ist nun unter Windows 11 24H2 und Windows Server 2025 Standard und seit Ende 2025 aktiv. Im Januar 2026 stellte Microsoft eine aktualisierte Roadmap vor, um Windows in einen standardmäßig sicheren Zustand zu überführen. Während NTLM im Netzwerk in den kommenden Jahren standardmäßig deaktiviert wird, verbleibt das Protokoll als Fallback im Betriebssystem, das bei Bedarf von Administratoren explizit aktiviert werden muss; es wird noch nicht aus den Systemdateien gelöscht, aber das „Sicherheitsnetz“ wird entfernt.

Um Betriebsunterbrechungen zu vermeiden, müssen Unternehmen dieses Zeitfenster Mitte 2026 nutzen, um mit der Prüfung und der Umstellung auf Kerberos zu beginnen, bevor der Status „standardmäßig deaktiviert“ in der nächsten großen Windows Server-Version nach Server 2025 in Kraft tritt.

Was ist NTLM und warum schafft Microsoft es ab?

NTLM (New Technology LAN Manager) ist ein veraltetes Authentifizierungsprotokoll, das zur Überprüfung von Benutzern einen Challenge-Response-Mechanismus nutzt. Seit Jahrzehnten dient es als primäre Ausweichlösung, wenn Kerberos nicht verfügbar ist – häufig aufgrund von Anmeldungen über lokale Konten, Anwendungen, die es direkt anfordern, oder fehlender Sichtverbindung zu einem Domänencontroller.

Obwohl Microsoft Kerberos bereits vor über 20 Jahren als bevorzugtes Protokoll eingeführt hat, blieb NTLM in unzähligen Altumgebungen als Ausweichlösung fest verankert. Seine veraltete Architektur birgt jedoch mehrere kritische Sicherheitsrisiken, die modernen Standards nicht mehr genügen:

Schwache Kryptografie: Das auf MD4/MD5 basierende Design ist äußerst anfällig für Offline-Angriffe.
Keine gegenseitige Authentifizierung: NTLM überprüft nur den Client, nicht den Server, wodurch die Verbindung anfällig für Spoofing und Man-in-the-Middle-Angriffe ist.
Anfälligkeit für „Pass-the-Hash“-Angriffe: Angreifer können gestohlene NTLM-Hashes nutzen, um sich zu authentifizieren, ohne das Passwort des Benutzers zu kennen.
Anfälligkeit für Relay-Angriffe: Angreifer können Systeme dazu zwingen, sich bei von ihnen kontrollierten Servern zu authentifizieren, um ihre Berechtigungen zu erweitern.
Eingeschränkte Transparenz bei der Überwachung: In der Vergangenheit hatten Unternehmen nur sehr wenig Einblick darin, wo genau und warum NTLM ausgelöst wurde.

Wie sieht der dreistufige Zeitplan von Microsoft für die Abkündigung von NTLM aus?

Microsoft führt die Auslaufphase in drei klar abgegrenzten Schritten durch, um Unternehmen den Übergang zu erleichtern, ohne dass dabei kritische Infrastrukturen beeinträchtigt werden.

Phase 1 – Jetzt (verfügbar): Erweiterte Prüfung

Für Windows Server 2025 und Windows 11 Version 24H2 stehen derzeit erweiterte NTLM-Überwachungstools zur Verfügung. Diese Phase basiert auf dem Grundsatz, dass man nicht migrieren kann, was man nicht sieht; es geht darum, eine genaue Bestandsaufnahme der Abhängigkeiten von Alt-Systemen zu erstellen.

Detaillierte Protokollierung: Administratoren können mithilfe von Gruppenrichtlinieneinstellungen genau protokollieren, wo NTLM in der gesamten Umgebung noch verwendet wird.
Frist: Oktober 2026: Die Standardeinstellung des Registrierungsschlüssels „BlockNTLMv1SSO“ wird von „Audit“ auf „Enforce“ geändert, wodurch die Funktion effektiv deaktiviert wird

NTLMv1, sofern ein Administrator dies nicht ausdrücklich überschreibt.

Phase 2 – 2. Halbjahr 2026: Kompatibilitätskorrekturen

Derzeit, Anfang 2026, testet Microsoft im Rahmen des Windows Insider-Programms Funktionen, die darauf abzielen, die häufigsten Ursachen für den NTLM-Fallback zu beseitigen. Dazu gehören IAKerb und Local KDC, deren allgemeine Veröffentlichung für die zweite Jahreshälfte geplant ist.

IAKerb: Ermöglicht die Kerberos-Authentifizierung auch dann, wenn ein Domänencontroller nicht direkt erreichbar ist.
Lokales KDC: Übernimmt die Authentifizierung lokaler Konten, ohne auf modernen Systemen einen NTLM-Fallback zu erzwingen.
Änderungen bei der Authentifizierung: Zentrale Windows-Komponenten werden so aktualisiert, dass sie zunächst Kerberos-Authentifizierungen bevorzugen.

Phase 3 – Nächste große Windows Server-Version: Standardmäßig deaktiviert

Die NTLM-Netzwerkauthentifizierung wird in der Nachfolgeversion von Windows Server 2025 (voraussichtlich 2027/2028) standardmäßig deaktiviert. Derzeit behält Windows Server 2025 NTLM als Standard bei, bietet jedoch die erweiterten Überwachungstools, die zur Vorbereitung auf diese künftige Sperrung erforderlich sind.

„Secure-by-Default“: NTLM bleibt im Betriebssystem erhalten, wird jedoch nur dann aktiviert, wenn ein Administrator es über eine Richtlinie wieder zulässt.
Zeitplan: Obwohl diese letzte Phase mit der nächsten großen Version verbunden ist, hat Microsoft noch keinen konkreten Termin dafür bekannt gegeben.

Phase	Status	Tonartwechsel
Phase 1	Abgeschlossen/Laufend	Erweiterte Protokollierung ist unter Windows 11 24H2 / Server 2025 standardmäßig aktiviert.
Phase 2	In Kürze (2. Halbjahr 2026)	Die Funktionen „IAKerb“ und „Local KDC“ befinden sich derzeit in der Insider-Vorschau.
Phase 3	Zukunft	NTLM ist standardmäßig deaktiviert (voraussichtlich in der nächsten Version des Long-Term Servicing Channel (LTSC)).

Warum NTLM ein Sicherheitsrisiko darstellt: Die Angriffe, die es gefährlich machen

Die Abkehr von NTLM ist darauf zurückzuführen, dass dieses Protokoll bei modernen Cyberangriffen häufig für die laterale Bewegung und die Ausweitung von Berechtigungen ausgenutzt wird.

Pass-the-Hash: Angreifer stehlen NTLM-Hashes aus dem Arbeitsspeicher (mithilfe von Tools wie Mimikatz) und nutzen diese, um sich als das Opfer zu authentifizieren, ohne das eigentliche Passwort zu kennen. Der Hash entspricht in diesem Protokoll funktional dem Passwort.
NTLM-Relay-Angriffe: Angreifer fangen NTLM-Authentifizierungsversuche ab und leiten sie an einen anderen Server weiter, um sich unbefugten Zugriff zu verschaffen. Exploits wie PetitPotam, ShadowCoerce und RemotePotato0 ermöglichen es Angreifern, bestehende Schutzmaßnahmen zu umgehen.
Replay-Angriffe: Erfasste Token können später zur Authentifizierung bei Diensten wiederverwendet werden, auch ohne die ursprünglichen Anmeldedaten.
Offline-Knacken: NTLMv1-Hashes sind so schwach, dass sie fast augenblicklich geknackt werden können. NTLMv2 ist zwar sicherer, bleibt aber bei ausreichender Hardwareausstattung weiterhin anfällig für Offline-Brute-Force-Angriffe.

Wie schneidet NTLM im Vergleich zu Kerberos ab?

Kerberos ist seit über 20 Jahren das Standardprotokoll für Windows-Domänen und bietet eine weitaus höhere Sicherheit. Es nutzt eine ticketbasierte Authentifizierung mit zeitlich begrenzten Tokens und gegenseitiger Verifizierung.

Merkmal	NTLM	Kerberos
Gegenseitige Authentifizierung	Nein (nur für Kunden)	Ja (Client und Server)
Kryptografie	Schwach (auf MD4/MD5 basierend)	Stark (AES-basiert)
„Pass-the-Hash“-Sicherheitslücke	Ja	Nein
Sicherheitslücke durch Relay-Angriffe	Ja	Weitgehend gemildert
Einmalige Anmeldung (SSO)	Begrenzt	Umfassende Unterstützung
Netzwerk-Roundtrips	Mehr (langsamer)	Weniger (schneller)

Was dies für MSPs bedeutet: Die Auswirkungen auf die Kunden

Für MSPs, die mehrere Umgebungen verwalten, bedeutet die Ablösung von NTLM ein Projekt, das sich auf jeden einzelnen Kunden auswirkt.

Herausforderungen bei der Erfassung: Die Verwendung von NTLM bleibt oft unbemerkt, bis es zu Problemen kommt. Sie tritt möglicherweise nur bei bestimmten Ereignissen auf, wie z. B. Ausfällen von Domänencontrollern, was die Erfassung zeitaufwändig macht.
Risiken durch Anwendungsabhängigkeiten: Fachanwendungen, Druckserver und ältere ERP-Systeme (Enterprise Resource Planning) weisen häufig fest programmierte NTLM-Abhängigkeiten auf. MSPs müssen sich pro Kunde mit mehreren Anbietern abstimmen, um sicherzustellen, dass die Software für Kerberos aktualisiert wird.
Testaufwand: Jede Anwendung muss in Testumgebungen außerhalb der Produktionsumgebung bei deaktiviertem NTLM validiert werden, um Probleme aufzudecken, bevor sie zu Produktionsproblemen werden.
Kundenkommunikation: Da Microsoft auf die nächste Version des Long-Term Servicing Channel (LTSC) zusteuert, müssen MSPs ihre Kunden über NTLMv1 informieren und dabei die Umstellung als proaktive Sicherheitsverbesserung und nicht als Störung darstellen.
Geschäftsmöglichkeit: Audits, die Erfassung von Abhängigkeiten und die Migrationsplanung stellen für MSPs ein klares, abrechnungsfähiges Dienstleistungsangebot dar.

Inwiefern hängt die Abkündigung von NTLM mit der E-Mail-Sicherheit zusammen?

Die Abschaffung ist Teil einer umfassenderen Initiative hin zu einer phishing-resistenten, passwortlosen Authentifizierung. NTLM-Relay-Angriffe beginnen häufig mit kompromittierten E-Mail-Zugangsdaten; sobald ein Angreifer über Phishing Zugriff erlangt hat, nutzt er diesen als Sprungbrett für die NTLM-basierte laterale Bewegung.

Die Implementierung von E-Mail-Authentifizierungsprotokollen wie DMARC, SPF und DKIM schützt vor dem häufig genutzten Angriffsvektor für den anfänglichen Diebstahl von Zugangsdaten. Die von Microsoft für Outlook festgelegten Absenderanforderungen (gültig ab Mai 2025) stehen im Einklang mit dieser Entwicklung und verpflichten Massenversender zur Nutzung dieser Protokolle.

Dieser Netzwerkumstieg ist für MSPs der ideale Zeitpunkt, um den gesamten Identitätsperimeter zu überprüfen . Während Kerberos das interne Netzwerk schützt, sichern Protokolle wie DMARC und SPF das E-Mail-Gateway – den häufigsten Einstiegspunkt für den Diebstahl von Anmeldedaten, der zu NTLM-Relay-Angriffen führt.

Aktionsplan: Was IT-Teams und MSPs jetzt tun sollten

Hier sind einige Maßnahmen, die Sie jetzt ergreifen können und sollten:

Aktivieren Sie erweiterte Überwachungs- und Protokollaufbewahrungsfunktionen
Implementieren Sie umgehend Gruppenrichtlinieneinstellungen für eine detaillierte Protokollierung in modernen Windows-Umgebungen. So stellen Sie sicher, dass Ihnen die Rohprotokolle zur Authentifizierung sowie die Daten des Identitätsanbieters vorliegen, die erforderlich sind, um genau festzustellen, von wo aus sich ein Angreifer angemeldet hat. Verwenden Sie Hash-Tools, um einen SHA-256-Hash dieser Dateien zu erstellen, damit die Beweismittel für rechtliche oder versicherungstechnische Zwecke unverfälscht bleiben.
Erstellen Sie ein Verzeichnis der Abhängigkeiten und prüfen Sie diese auf Persistenz
Über die bloße Dokumentation von NTLM-auslösenden Systemen hinaus müssen Sie auch „versteckte“ Persistenzmechanismen erfassen. Dazu gehört die Identifizierung nicht autorisierter Weiterleitungsregeln für Postfächer sowie von Berechtigungen für OAuth-Anwendungen von Drittanbietern, die es einem Angreifer ermöglichen könnten, künftige Passwortänderungen zu umgehen.
Kontaktieren Sie Anbieter und setzen Sie moderne Standards durch
Vergewissern Sie sich, dass wichtige Software Kerberos unterstützt, und drängen Sie die Anbieter zudem dazu, auf phishing-resistente Multi-Faktor-Authentifizierung (MFA) wie FIDO2/WebAuthn umzusteigen. Verzichten Sie auf veraltete SMS- oder Push-Benachrichtigungen, da diese von modernen Angreifern leicht umgangen werden können.
Testkonfigurationen und Workflows zur Sperrung
Richten Sie Nicht-Produktionsumgebungen ein, um „NTLM-Off“-Konfigurationen zu testen. Erstellen und testen Sie gleichzeitig automatisierte Workflows, um aktive Sitzungstoken und Aktualisierungstoken zu sperren. Da eine bloße Passwortänderung einen Angreifer, der ein Anmelde-Cookie gestohlen hat, nicht aufhalten kann, muss Ihr Team in der Lage sein, sofort eine globale Abmeldung auszulösen.
Bereiten Sie sich auf verbindliche Fristen vor
Betrachten Sie die bevorstehenden Systemänderungen als verbindliche Frist für die Absicherung Ihrer Domain. Zu diesen Vorbereitungen sollte auch die Durchsetzung von DMARC mit einer „p=reject“-Richtlinie gehören. Dies verhindert, dass Angreifer Ihre Domain „spoofen“, um E-Mails zu versenden, die den Anschein erwecken, als stammten sie von Ihrem Unternehmen.
Überprüfen Sie neue Szenarien mit IAKerb und dem lokalen KDC
Da im zweiten Halbjahr 2026 neue Authentifizierungsfunktionen verfügbar werden, sollten Sie sicherstellen, dass diese Ihre Umgebung ordnungsgemäß unterstützen. Achten Sie in dieser Phase auch darauf, nach dateilosen Payloads und bösartigen Skripten (wie „ClickFix“-Taktiken) zu suchen, die während der Übergangsphase möglicherweise herkömmliche Gateways umgangen haben

Hinweis zur Stabilität des lokalen KDC: Einige IT-Teams, die die Funktion „Lokaler KDC“ in Windows 11 24H2 getestet haben, haben das Ereignis mit der ID 7031 (Dienstbeendigung) gemeldet. Sollte dies bei Ihnen auftreten, stellen Sie sicher, dass der Dienst auf „Automatisch (verzögerter Start)“ eingestellt ist, um zu verhindern, dass er während der anfänglichen Startsequenz ausfällt, bevor die Netzwerkabhängigkeiten bereit sind.

Resümee

Die Ablösung von NTLM ist ein wichtiger Schritt hin zu einer modernen, phishing-resistenten Identitätssicherung, doch die Netzwerkauthentifizierung ist nur die halbe Miete. NTLM-Relay- und Lateral-Movement-Angriffe beginnen oft mit einem einzigen kompromittierten E-Mail-Zugangsdatenpaar. Ein Angreifer, dem es gelingt, einen Mitarbeiter per Phishing zu täuschen, kann diesen Einstiegspunkt nutzen, um sich ins interne Netzwerk vorzuarbeiten und veraltete Protokolle wie NTLM auszunutzen.

Um die Tragweite der Abkündigung von NTLM voll und ganz zu verstehen, muss man sich bewusst machen, dass die Absicherung des E-Mail-Kanals ebenso wichtig ist wie die Umstellung Ihrer Authentifizierungsprotokolle.

Um Ihre Kunden wirklich zu schützen, müssen Sie sowohl das interne Netzwerk als auch den externen E-Mail-Verkehr absichern. So wie Microsoft bei Windows auf einen „secure-by-default“-Zustand hinarbeitet, tut die Branche dasselbe für E-Mails mithilfe von DMARC, SPF und DKIM. Diese Protokolle verhindern die ersten Spoofing- und Anmelde-Daten-Diebstahlversuche, die Schwachstellen im internen Netzwerk so gefährlich machen.

Lassen Sie nicht die „Haustür“ offen, während Sie die Büros im Inneren abschließen. Achten Sie bei der Überprüfung Ihrer Kunden auf NTLM-Abhängigkeiten darauf, dass deren E-Mail-Domains gleichermaßen gegen Identitätsdiebstahl abgesichert sind.

Entdecken Sie das PowerDMARC MSP-Partnerprogramm , um die DMARC-Implementierung zu vereinfachen und Ihren Kunden eine umfassende, mehrschichtige Sicherheitsstrategie zu bieten, die sowohl die Netzwerk- als auch die E-Mail-Authentifizierung abdeckt.

Häufig gestellte Fragen

Wird NTLM aus Windows entfernt?

Es wurde Mitte 2024 offiziell als veraltet eingestuft. Zwar wird NTLM-Netzwerkauthentifizierung in der nächsten Hauptversion von Windows Server standardmäßig blockiert, doch bleibt sie im Betriebssystem erhalten und kann bei Bedarf über Richtlinien wieder aktiviert werden.

Was löst NTLM ab?

Kerberos ist der Nachfolger und bietet moderne AES-basierte Verschlüsselung sowie Schutz vor Relay-Angriffen. Die Funktionen der Phase 2 (IAKerb und Local KDC) sollen die letzten Gründe für den NTLM-Fallback beseitigen.

Was ist ein NTLM-Relay-Angriff?

Dies geschieht, wenn ein Angreifer einen Authentifizierungsversuch abfängt und an einen anderen Server weiterleitet, um sich Zugang zu verschaffen, ohne das Passwort des Opfers zu kennen.

Kann NTLM nach Phase 3 wieder aktiviert werden?

Ja, dies kann über Richtlinienkontrollen ausdrücklich wieder aktiviert werden, doch sollte dies nur eine vorübergehende Übergangslösung während der Fehlerbehebung sein und keine langfristige Strategie

Wann wird NTLM standardmäßig deaktiviert?

Die Prüfung der Phase 1 ist ab sofort verfügbar. Kompatibilitätskorrekturen für Phase 2 (IAKerb und Local Key Distribution Center) werden im zweiten Halbjahr 2026 für Windows Server 2025 und Windows 11 24H2 bereitgestellt. Phase 3, in der NTLM standardmäßig deaktiviert ist, ist an die nächste Hauptversion des Windows Server Long-Term Servicing Channel (LTSC) gebunden, Microsoft hat jedoch noch kein konkretes Datum bekannt gegeben. Darüber hinaus sind Änderungen bei der Durchsetzung von NTLMv1 für Oktober 2026 geplant, was die nächste feste Frist darstellt, bis zu der Maßnahmen ergriffen werden müssen.

Was sollten MSPs tun, um sich auf die Abkündigung von NTLM vorzubereiten?

Beginnen Sie sofort mit Phase 1: Aktivieren Sie die erweiterte NTLM-Protokollierung in allen Client-Umgebungen, um festzustellen, wo das Protokoll noch verwendet wird. Erstellen Sie eine Bestandsaufnahme der Abhängigkeiten, kontaktieren Sie Anwendungsanbieter und beginnen Sie mit dem Testen von NTLM-off-Konfigurationen in Nicht-Produktionsumgebungen. Die Änderung der NTLMv1-Durchsetzung im Oktober 2026 ist die nächstgelegene feste Frist, die Maßnahmen erfordert. Behandeln Sie den Zeitplan für die NTLM-Abkündigung als ein Projekt, das alle Kunden umfasst, und nicht als eine einzelne Migration, und nutzen Sie ihn als Gelegenheit, Audits und die Kerberos-Migration als kostenpflichtige Dienstleistung anzubieten.

Über
Neueste Beiträge

Milena Baghdasaryan

Inhaltsspezialist bei PowerDMARC

Milena ist eine erfahrene Autorin und Inhaltserstellerin mit mehr als 7 Jahren Erfahrung in der Erstellung ansprechender Inhalte über IT, Cybersicherheit, virtuelle Veranstaltungen und mehr. Sie hat eine nachgewiesene Erfolgsbilanz bei der Erstellung hochwertiger Arbeiten für internationale Magazine und ist Absolventin renommierter Institutionen wie der New York University Abu Dhabi, UWC China und dem College of Europe.

Neueste Beiträge von Milena Baghdasaryan (alle anzeigen)

So richten Sie die E-Mail-Authentifizierung für eine neu registrierte Domain ein – 2. Juni 2026
Was ist ein Phishing-Link? – 19. Mai 2026
Was sind Hacktivisten-Angriffe und wie funktionieren sie? – 12. Mai 2026

NTLM-Auslauf: Was die Abschaffung durch Microsoft für MSPs und IT-Teams bedeutet