Exchange Online stellt die Basic-Authentifizierung für „Client Submission (SMTP AUTH)“ stufenweise ein. Ab dem 1. März 2026 werden erste Verbindungsversuche mit Basic auth abgelehnt, und ab dem 30. April 2026 erfolgt die vollständige Abschaltung – Basic auth wird dann endgültig nicht mehr unterstützt. Ursprünglich war dieser Schritt bereits für September 2025 vorgesehen, wurde jedoch im Juni 2025 auf das Frühjahr 2026 verschoben.
Um Unternehmen und Administratoren rechtzeitig vorzubereiten, hat Microsoft zusätzliche Maßnahmen angekündigt. Bereits im Oktober 2024 wird ein spezieller Bericht – der sogenannte „SMTP AUTH Clients Submission Report“ – anzeigen, ob Verbindungen per Basic auth oder OAuth erfolgen. Darüber hinaus werden im Laufe des Jahres 2025 Erinnerungsmeldungen im Microsoft Message Center bereitgestellt, konkret zu Beginn des Jahres sowie noch einmal im August 2025.
Timeline
Zeitpunkt | Ereignis |
|---|---|
Oktober 2024 | Einführung des SMTP AUTH Clients Submission Reports – zeigt Basic- vs. OAuth-Nutzung |
Anfang 2025 | Erste Erinnerungsmeldung im Microsoft Message Center |
August 2025 | Zweite Erinnerungsmeldung im Microsoft Message Center |
1. März 2026 | Erste Ablehnungen von Basic-authentifizierten SMTP-Verbindungen |
30. April 2026 | Vollständige Abschaltung der Basic-Authentifizierung für SMTP AUTH |
Warum die Änderung?
Basic-Authentifizierung überträgt Benutzername und Passwort (oft in Base64 kodiert, aber leicht entschlüsselbar) – das macht sie anfällig für:
- Phishing und Credential Theft
- Brute-Force-Angriffe
- Umgehung von Multi-Factor Authentication (MFA)
Microsoft setzt deshalb auf OAuth 2.0 / Modern Authentication mit Token-basiertem, sicherem Ansatz, der auch MFA und Conditional Access unterstützt.
Alternativen zur Basic-Authentifizierung für SMTP AUTH
Falls Geräte oder Anwendungen noch Basic Authentication verwenden, gibt es mehrere Alternativen – je nach Einsatzzweck:
OAuth-Authentifizierung nutzen
Wenn der Client oder die Anwendung es unterstützt, sollte unbedingt auf OAuth umgestellt werden. Dies ist die sicherste und langfristig empfohlene Lösung.
High Volume Email für Microsoft 365
Für interne Empfänger innerhalb des eigenen Tenants bietet Microsoft einen speziellen Dienst an, der aktuell noch in der Public Preview ist. Er ist besonders für große Mengen an SMTP-Submissions optimiert.
Azure Communication Services – E-Mail (ACS)
Mit ACS lassen sich E-Mails sowohl an interne als auch an externe Empfänger senden. Die Lösung stellt eine moderne SMTP-Schnittstelle bereit, die mit sicherer Authentifizierung arbeitet und sich zentral verwalten lässt. Hier hat mein Kollege Nicolas vor einiger Zeit einen Artikel zum Communication Service verfasst.
Exchange-Server on-premises im Hybrid-Setup
Organisationen mit einer Hybrid-Umgebung können weiterhin über den lokalen Exchange-Server senden. Dabei ist es möglich, Basic Authentication lokal zu verwenden oder über einen Receive Connector Relay-Funktionalität bereitzustellen.
SMTP-Relay / Direct Send über Office 365 Connectoren
Für Geräte, die keine Authentifizierung unterstützen, kommt auch der direkte Versand über Office 365 Connectoren in Betracht. Diese Variante eignet sich besonders für spezielle Szenarien, in denen keine Umstellung auf OAuth möglich ist.