2025 年 10 月 — Exchange Server 安全更新

2025 年 10 月 — Exchange Server 安全更新

Microsoft Exchange Server SE - 本地部署的企业级电子邮件解决方案

Exchange Server 订阅版 (SE)

请访问原文链接：https://sysin.org/blog/exchange-server-se/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

Exchange

2025 年 10 月 15 日

Microsoft 已发布以下产品中发现漏洞的安全更新（SU）：

• Exchange Server Subscription Edition (SE)：https://sysin.org/blog/exchange-server-se/
• Exchange Server 2019：https://sysin.org/blog/exchange-server-2019/
• Exchange Server 2016：https://sysin.org/blog/exchange-server-2016/

以下特定版本的 Exchange Server 可获取安全更新：

• Exchange SE RTM：https://sysin.org/blog/exchange-server-se/
• Exchange Server 2019 CU14 和 CU15：https://sysin.org/blog/exchange-server-2019/
• Exchange Server 2016 CU23：https://sysin.org/blog/exchange-server-2016/

2025 年 10 月的安全更新修复了由安全合作伙伴负责任地向 Microsoft 报告、以及通过 Microsoft 内部流程发现的漏洞。虽然目前尚未发现任何已知的攻击利用，但 Microsoft 仍强烈建议立即安装这些更新以保护您的环境。

这些漏洞影响 Exchange Server。本地部署的 Exchange Server 客户需要安装更新，而使用 Exchange Online 的客户已自动受到保护，无需额外操作，只需更新环境中的 Exchange 服务器或 Exchange 管理工具工作站即可。

有关具体漏洞（CVE）的详细信息，请参阅 Microsoft 安全更新指南。

Exchange 2016 和 2019 的最后一次公开安全更新

2025 年 10 月的安全更新是 Exchange Server 2016 和 2019 的最后一次公开版本。今后，只有通过 Microsoft 客户经理申请并获得这些版本的扩展安全更新（ESU）的客户，才能在 2026 年 4 月前继续收到新的安全更新。

Microsoft 建议将组织升级到 Exchange Server Subscription Edition (SE)，而不是继续使用 2016 或 2019 的扩展安全更新。请注意，从 Exchange SE CU2 开始，将不再支持与 Exchange 2016 和 2019 共存（如果组织中仍存在这些旧版本，CU2 安装将被阻止）。

无法再通过 Export-ExchangeCertificate 导出 Auth 证书

自 2025 年 10 月安全更新起，为提高安全性，使用 Export-ExchangeCertificate 命令导出 Exchange Server Auth 证书及其私钥的操作将被阻止。Auth 证书对于 Exchange Server 的安全通信至关重要，而导出其私钥的情况极为罕见。若遇到 Auth 证书相关问题，可使用 PowerShell 脚本 MonitorExchangeAuthCertificate 进行故障排查。

更新安装

以下是更新流程建议：

• 使用 Exchange Server Health Checker 脚本盘点 Exchange 服务器，确定需要安装的更新。运行脚本可检查服务器是否存在更新滞后（包括 CU、SU 或手动操作）。
• 安装最新的累积更新（CU）。使用 Exchange Update Wizard 工具选择当前和目标 CU，以获得指导步骤。
• 安装完成后，重新运行 Health Checker 以确认是否需要进一步操作 (sysin)。
• 如果在安装过程中或安装后出现错误，可运行 SetupAssist 脚本协助修复。如遇更新失败，可参考官方文档中的修复步骤。

常见问题 (FAQs)

组织处于 Exchange Online 混合模式，是否需要采取措施？

Exchange Online 已自动受到保护，但仍需在本地 Exchange 服务器上安装此安全更新，即使这些服务器仅用于管理。如果在安装更新后更换了 Auth 证书，应重新运行混合配置向导。

上次安装的安全更新已有数月，是否需要逐个安装？

安全更新是累积的。如果当前运行的 CU 受该安全更新支持，无需按顺序安装之前的版本，只需直接安装最新的安全更新即可。

是否必须在所有 Exchange 服务器上安装安全更新？“仅管理工具” 机器是否需要？

建议在所有 Exchange 服务器以及运行 Exchange 管理工具的服务器和工作站上安装安全更新，以确保客户端与服务器间的兼容性。如果您的环境中没有运行中的 Exchange 服务器 (sysin)，但需要更新 Exchange 管理工具，请参阅相关文档以获取指导。

备注：内容来自官方文档，经过笔者修改。

下载地址

Microsoft Exchange Server 2016 Cumulative Update 23 (October 2025 Security Updates)

Microsoft Exchange Server 2019 Cumulative Update 15 (October 2025 Security Updates)

Microsoft Exchange Server SE RTM (October 2025 Security Updates)