Exchange Server 2013 osiągnął definitywny koniec rozszerzonego wsparcia technicznego 11 kwietnia 2023 roku. Od tego dnia Microsoft nie wydaje już żadnych poprawek zabezpieczeń, aktualizacji zbiorczych ani nie świadczy pomocy technicznej dla tego serwera pocztowego. Jeśli Twoja organizacja nadal korzysta z Exchange 2013 — a wciąż robi to wiele polskich firm i urzędów — każdy kolejny dzień pracy na tej platformie zwiększa ryzyko naruszenia bezpieczeństwa i utraty zgodności z RODO.
W skrócie
- Rozszerzone wsparcie Exchange Server 2013 wygasło 11 kwietnia 2023 (mainstream support zakończył się już 10 kwietnia 2018)
- Microsoft nie udostępnił programu Extended Security Updates (ESU) dla Exchange 2013 — w przeciwieństwie do Windows Server czy SQL Server
- Brak łatek bezpieczeństwa oznacza, że każda nowa luka (CVE) odkryta po 11.04.2023 pozostaje niezałatana na zawsze
- Ostatni Cumulative Update to CU23 (czerwiec 2022) — nowsze poprawki nie powstaną
- Cztery ścieżki dalszego działania: pozostać (ryzyko), uaktualnić do Exchange 2016/2019, przejść na Exchange Server SE (Subscription Edition, wydany w lipcu 2025) lub migrować do Exchange Online
- Dla środowisk hybrydowych Exchange 2013 nie jest już wspierany jako serwer pomostowy do Microsoft 365 — oficjalny support hybrydowy wygasł wraz z końcem extended support
Co dokładnie oznacza koniec wsparcia Exchange 2013
Koniec rozszerzonego wsparcia (Extended Support) to kamień milowy w cyklu życia produktów Microsoft według Fixed Lifecycle Policy. Exchange Server 2013 przeszedł przez dwie fazy: mainstream support (9.01.2013 – 10.04.2018), w ramach której Microsoft dostarczał aktualizacje funkcjonalne, zbiorcze poprawki i zmiany projektowe, oraz extended support (11.04.2018 – 11.04.2023), w której wydawane były już wyłącznie krytyczne poprawki bezpieczeństwa.
Po 11 kwietnia 2023 roku wygasła również i ta ograniczona forma wsparcia. W przeciwieństwie do Exchange Server 2010, dla którego Microsoft wprowadził program płatnych Extended Security Updates (ESU) umożliwiający otrzymywanie łatek przez dodatkowy rok, dla Exchange 2013 taka opcja nie została nigdy udostępniona. Oznacza to jedną, twardą granicę: po 11.04.2023 Exchange 2013 nie otrzymuje żadnych aktualizacji — ani bezpłatnych, ani płatnych.
Konsekwencje techniczne i prawne
Pozostanie na Exchange 2013 po końcu wsparcia niesie ze sobą trzy grupy ryzyka:
| Obszar | Ryzyko |
|---|---|
| Bezpieczeństwo | Każda luka CVE odkryta po kwietniu 2023 (np. seria podatności ProxyNotShell, ProxyLogon z 2021 czy późniejsze zero-day) nigdy nie zostanie załatana na Exchange 2013. Serwer staje się trwałym celem ataków ransomware i kradzieży danych |
| Zgodność (compliance) | Brak wsparcia producenta oznacza naruszenie wymogów RODO (art. 32 — odpowiednie środki techniczne), norm ISO 27001 i regulacji branżowych (KNF, MIFiD II, dyrektywa NIS2). W razie wycieku danych firma ponosi pełną odpowiedzialność |
| Integracja | Exchange 2013 nie współpracuje już oficjalnie z Microsoft 365 w konfiguracjach hybrydowych — Microsoft zablokował wsparcie dla serwerów bez aktywnych aktualizacji zabezpieczeń. Nowe wersje Outlooka (od 2024) oraz protokoły modern authentication nie są kompatybilne z Exchange 2013 |
Ostatni stan techniczny — co otrzymał Exchange 2013 przed śmiercią
Exchange Server 2013 zakończył swój cykl życia na Cumulative Update 23 (CU23), wydanym w czerwcu 2022 roku. Była to ostatnia planowana aktualizacja zbiorcza, która podniosła numer kompilacji do 15.0.1497.x i wprowadziła ostatnie dostępne poprawki stabilności oraz zabezpieczeń znane przed końcem extended support.
Co Exchange 2013 posiada:
- Wsparcie dla protokołu MAPI/HTTP
- Podstawową integrację z Outlook Web App (OWA)
- Exchange ActiveSync dla urządzeń mobilnych
- Podstawową funkcjonalność DAG (Database Availability Groups)
Czego Exchange 2013 nie posiada i nigdy nie otrzyma:
- Modern authentication (OAuth 2.0) — obsługuje wyłącznie podstawowe uwierzytelnianie (basic auth), które Microsoft wyłączył dla Exchange Online i które jest podatne na ataki brute-force
- Wsparcia dla Windows Server 2022 jako systemu hostującego (maks. Windows Server 2016)
- Funkcji ochrony przed zaawansowanymi zagrożeniami (ATP)
- Integracji z Microsoft Teams
- Wsparcia protokołu TLS 1.3
Cztery ścieżki wyjścia z Exchange 2013 — analiza opcji
Opcja 1: Pozostać na Exchange 2013 — najwyższe ryzyko
Niektórzy administratorzy decydują się na pozostanie na Exchange 2013, zwykle z powodów budżetowych lub organizacyjnych. To decyzja skrajnie ryzykowna — od kwietnia 2023 nie ma już poprawek bezpieczeństwa, a każdy kolejny miesiąc zwiększa powierzchnię ataku. W praktyce oznacza to, że Exchange 2013 jest dziś (2026) niezałatany od ponad trzech lat — w tym czasie Microsoft opublikował kilkadziesiąt krytycznych CVE dotyczących nowszych wersji Exchange, z których część dotyczy również architektury Exchange 2013.
Koszt: 0 zł bezpośrednio, ale potencjalne koszty naruszenia — od kilkudziesięciu tysięcy do milionów złotych (kary RODO + koszty incydentów).
Opcja 2: Uaktualnienie in-place do Exchange 2016 lub 2019
Bezpośrednie uaktualnienie z Exchange 2013 do Exchange 2019 nie jest możliwe — Microsoft nie wspiera przeskakiwania wersji w jednym kroku. Oficjalna ścieżka to:
- Exchange 2013 → Exchange 2016 (in-place upgrade lub migracja między serwerami)
- Exchange 2016 → Exchange 2019
Exchange 2016 osiąga koniec mainstream support 13 października 2025, a extended support potrwa do października 2030. Exchange 2019 ma mainstream support do stycznia 2024 (już minął), a extended support do października 2025. Uwaga: Microsoft zapowiedział, że Exchange 2019 nie otrzyma już kolejnych CU po H2 2024.
Koszt: licencja Exchange Server 2019 Standard (~800-1200 USD za serwer) + CAL-e użytkowników + robocizna migracji.
Opcja 3: Exchange Server SE (Subscription Edition) — najnowsza ścieżka on-premises
W lipcu 2025 Microsoft wydał Exchange Server SE (Subscription Edition) — następną generację serwera Exchange on-premises, opartą na kodzie Exchange 2019, ale z nowym modelem licencjonowania subskrypcyjnego. Exchange SE jest dostępny wyłącznie w modelu subskrypcji (podobnie jak SharePoint Server SE) i wymaga Windows Server 2022 lub nowszego.
Migracja z Exchange 2013 do Exchange SE wymaga przejścia przez Exchange 2019 jako krok pośredni (Exchange 2013 → 2019 → SE). Exchange SE otrzymuje regularne aktualizacje zabezpieczeń i funkcji w ramach aktywnej subskrypcji.
Koszt: subskrypcja Exchange Server SE (~60-80 USD/użytkownika/rok) + Windows Server 2022/2025 + CAL-e użytkowników + robocizna.
Opcja 4: Migracja do Exchange Online (Microsoft 365)
Przeniesienie skrzynek pocztowych do chmury Microsoft 365 eliminuje konieczność zarządzania fizycznym serwerem Exchange. Dostępne są trzy mechanizmy migracji:
| Typ migracji | Dla kogo | Uwagi |
|---|---|---|
| Cutover | Do 2000 skrzynek, jednorazowo | Najprostsza, ale serwis niedostępny na czas migracji |
| Staged (etapowa) | Powyżej 2000 skrzynek, stopniowo | Wymaga koegzystencji Exchange 2013 z Exchange Online |
| Hybrydowa | Organizacje z długoterminową koegzystencją on-premises + chmura | Exchange 2013 nie jest już oficjalnie wspierany jako serwer hybrydowy — Microsoft wymaga co najmniej Exchange 2016 CU20+ |
Dla użytkowników Exchange 2013 najbezpieczniejszą ścieżką do chmury jest najpierw wdrożenie Exchange 2016 lub 2019 jako pomostu hybrydowego, a następnie migracja skrzynek do Exchange Online.
Koszt: Exchange Online Plan 1 (~18 zł/użytkownika/miesiąc) lub Microsoft 365 Business Standard (~55 zł/użytkownika/miesiąc) + jednorazowy koszt wdrożenia pomostu hybrydowego.
Którą opcję wybrać? Rekomendacja dla polskich organizacji
Decyzja zależy od wielkości organizacji, budżetu i strategii IT:
| Profil organizacji | Rekomendowana ścieżka |
|---|---|
| Mała firma (5-50 użytkowników) bez własnego działu IT | Migracja do Exchange Online — eliminuje koszty utrzymania serwera, aktualizacji, backupu i compliance |
| Średnia firma (50-500 użytkowników) z rozbudowanym AD | Exchange 2019 (lub SE) jako pomost hybrydowy + stopniowa migracja do Exchange Online |
| Duża firma / urząd (500+ użytkowników) z wymogami on-premises | Exchange Server SE z subskrypcją — pełna kontrola nad danymi, zgodność z regulacjami sektorowymi, wsparcie długoterminowe |
| Każda organizacja nadal na Exchange 2013 w 2026 | Natychmiastowe działanie — izolacja sieciowa serwera, audyt bezpieczeństwa i plan migracji w ciągu maks. 3 miesięcy |
Niezależnie od wybranej ścieżki: pozostanie na Exchange 2013 w 2026 roku to celowe narażanie organizacji na ataki. Brak łatek od ponad 3 lat w produkcie klasy enterprise, który w przeszłości był celem największych kampanii cyberprzestępczych (ProxyLogon 2021, ProxyShell, ProxyNotShell), to ryzyko nieakceptowalne z punktu widzenia zarówno bezpieczeństwa, jak i zgodności prawnej.
Częste pytania
Czy Exchange Server 2013 po końcu wsparcia nadal działa?
Tak, Exchange 2013 nadal działa technicznie — serwer przyjmuje i wysyła wiadomości, bazy danych są dostępne, OWA funkcjonuje. Problemem nie jest działanie, ale całkowity brak poprawek bezpieczeństwa. Każda luka odkryta po 11 kwietnia 2023 pozostaje niezałatana, a Microsoft nie zapewnia już żadnego wsparcia technicznego przy rozwiązywaniu problemów.
Czy można dokupić Extended Security Updates dla Exchange 2013?
Nie. Microsoft nie uruchomił programu ESU dla Exchange Server 2013. Program Extended Security Updates objął wybrane produkty — SQL Server 2012, Windows Server 2012/R2, Windows 7 — ale Exchange 2013 został z niego wykluczony. To kluczowa różnica względem Exchange 2010, który przez rok po końcu wsparcia mógł otrzymywać płatne łatki. Dla Exchange 2013 nie ma żadnej ścieżki przedłużenia wsparcia.
Czy Exchange 2013 można uaktualnić bezpośrednio do Exchange 2019?
Nie. Microsoft nie wspiera bezpośredniego uaktualnienia z Exchange 2013 do Exchange 2019. Wymagana jest migracja dwuetapowa: najpierw do Exchange 2016 (gdzie Exchange 2013 i 2016 współistnieją w tej samej organizacji), następnie do Exchange 2019. Alternatywnie można przeprowadzić migrację między serwerami (cross-forest lub w obrębie jednego lasu AD), przenosząc skrzynki na nowy, niezależny serwer Exchange 2019.
Jakie są największe luki bezpieczeństwa nierozwiązane na Exchange 2013?
Exchange 2013 jest podatny na wszystkie krytyczne CVE odkryte od kwietnia 2023 — w tym potencjalne warianty ProxyLogon (CVE-2021-26855), ProxyShell (CVE-2021-34473, CVE-2021-34523), ProxyNotShell (CVE-2022-41040, CVE-2022-41082) oraz nowsze podatności ujawnione w latach 2024-2026 dla Exchange 2019 i Exchange SE, które często dotyczą wspólnego kodu podstawowego. Ponadto brak wsparcia dla modern authentication (OAuth 2.0) oznacza, że Exchange 2013 opiera się wyłącznie na podstawowym uwierzytelnianiu (basic auth), podatnym na ataki brute-force, przechwytywanie haseł i credential stuffing.
Czy Exchange 2013 może współpracować hybrydowo z Exchange Online w 2026?
Oficjalnie — nie. Microsoft wymaga, aby serwer hybrydowy działał na wspieranej wersji Exchange. Exchange 2013 po 11.04.2023 nie spełnia tego warunku. W praktyce połączenie hybrydowe może nadal funkcjonować, ale Microsoft zastrzega sobie prawo do zablokowania ruchu z niewspieranych wersji Exchange, a w przypadku problemów technicznych nie udzieli pomocy. Każda poważna konfiguracja hybrydowa powinna opierać się na Exchange 2016 CU20+ lub Exchange 2019.
Czy polskie firmy nadal używają Exchange 2013?
Tak. Według dostępnych danych z rynku IT znaczna liczba polskich średnich firm, urzędów gminnych i instytucji publicznych nadal działa na Exchange 2013 — często z powodów budżetowych, braku świadomości ryzyka lub opóźnień w projektach migracyjnych. W 2026 roku każda organizacja na Exchange 2013 powinna traktować migrację jako priorytet bezpieczeństwa nr 1, nie jako opcjonalny projekt infrastrukturalny.
Czy migracja do chmury to jedyna sensowna opcja?
Nie. Exchange Online sprawdza się doskonale dla organizacji, które chcą wyeliminować koszty utrzymania infrastruktury serwerowej, ale dla firm z wymogami suwerenności danych, specyficznymi regulacjami branżowymi lub już opłaconymi licencjami Windows Server, Exchange Server SE (Subscription Edition) jest w pełni wspieraną i nowoczesną alternatywą on-premises. Wybór między chmurą a serwerem lokalnym powinien zależeć od strategii IT organizacji, a nie tylko od końca wsparcia Exchange 2013.
Jeśli planujesz migrację z Exchange 2013 na nowszą wersję Exchange Server i potrzebujesz legalnych licencji Microsoft w rozsądnej cenie, zapoznaj się z ofertą licencji serwerowych w sklepie KluczeSoft.pl — znajdziesz tam m.in. Windows Server, Exchange Server oraz licencje CAL potrzebne do pełnego wdrożenia: https://kluczesoft.pl/licencje-server.
Sprawdź też
- SharePoint 2013 — koniec wsparcia od 11 kwietnia 2023. Co to oznacza dla Twojej firmy i jakie są dostępne ścieżki migracji w 2026 roku
- SQL Server 2016 — koniec wsparcia 14 lipca 2026. Co to oznacza i jakie masz opcje?
- Windows Server 2012 koniec wsparcia — co to oznacza i jakie masz opcje
- Office 2021 — koniec wsparcia 13 października 2026. Co to oznacza i jakie masz opcje?
Sklep KluczeSoft
Potrzebujesz licencji? KluczeSoft.pl oferuje legalne klucze z gwarancją autentyczności i wysyłką w 1-3 minuty na e-mail:
Powiązane artykuły
- Windows Server 2012 koniec wsparcia — co to oznacza i jakie masz opcje — Koniec wsparcia (End of Support, w skrócie EOS) to oficjalny termin, w którym Microsoft zaprzestaje wydawania jakichkolwiek aktualizacji dla.
- SharePoint 2013 — koniec wsparcia od 11 kwietnia 2023. Co to oznacza dla Twojej firmy i jakie są dostępne ścieżki migracji w 2026 roku — Koniec wsparcia rozszerzonego (Extended Support End) to definitywny koniec cyklu życia produktu w modelu Fixed Lifecycle Policy Microsoft.
- SQL Server 2016 SP3 — koniec wsparcia rozszerzonego 14 lipca 2026. Co to oznacza i jakie masz opcje — SQL Server 2016 został wydany 1 czerwca 2016 roku jako trzynasta główna wersja flagowego systemu zarządzania bazami danych Microsoftu.
- Office 2013 — koniec wsparcia 11 kwietnia 2023. Co dalej i na co przejść? — Microsoft stosuje politykę Fixed Lifecycle Policy — każde wydanie Office ma z góry określone dwie daty graniczne.
- SQL Server 2016 — koniec wsparcia 14 lipca 2026. Co to oznacza i jakie masz opcje? — SQL Server 2016 pojawił się 1 czerwca 2016 roku.
Powiązane produkty
- Microsoft Exchange Server 2025 Standard klucz licencyjny — sprawdź dostępność i cenę w naszym sklepie
- Zobacz wszystkie exchange server 2025 — pełna oferta w kategorii
