Exchange Online: Microsoft stellt Basic Authentication schrittweise ab

Viele Unternehmen nutzen bis heute SMTP AUTH (Client Submission), um E-Mails aus Scannern, Multifunktionsgeräten oder Fachanwendungen zu versenden - oft mit „klassischem“ Benutzername/Kennwort. Genau diese letzte große Ausnahme im Cloud-Betrieb wird nun endgültig abgelöst: Microsoft stellt Basic Authentication für SMTP AUTH in Exchange Online schrittweise in den Ruhestand. Wer weiterhin auf Basic Auth setzt, riskiert mittelfristig Versandstörungen und verpasst eine wichtige Sicherheitsverbesserung.

Der entscheidende Punkt: Kunden müssen ihre Geräte und Applikationen rechtzeitig auf Modern Auth (OAuth) oder Alternativen umstellen.

Basic Authentication wurde für die meisten Exchange-Protokolle bereits weitgehend abgeschaltet. SMTP AUTH war lange die Ausnahme, weil es in der Praxis oft „an Geräten hängt“. Trotzdem bleibt Basic Auth ein hohes Risiko:

• Benutzername und Kennwort werden bei Basic Auth bei jeder Anmeldung übertragen (und häufig auch auf Geräten/Applikationen gespeichert). Das macht Credential Theft, Phishing und Brute-Force-Angriffe deutlich attraktiver.
• Betroffen sind vor allem Geräte/Apps, die per SMTP über smtp.office365.com oder smtp-legacy.office365.com mit Basic Auth senden.

Kurz gesagt: Was technisch „immer funktioniert hat“, ist aus Security-Sicht längst nicht mehr zeitgemäß und wird deshalb jetzt auch für SMTP AUTH zurückgebaut.

Ursprünglich war geplant, Basic Auth für SMTP AUTH bereits zwischen März und April 2026 vollständig abzulehnen. Dieser Plan wurde verworfen - Exchange Team Blog hat eine neue, deutlich verlängerte Timeline veröffentlicht.

Aktueller Stand:

• Jetzt bis Ende Dezember 2026: Verhalten bleibt unverändert - Basic Auth für SMTP AUTH funktioniert weiterhin.
• Ende Dezember 2026: In bestehenden Tenants wird Basic Auth für SMTP AUTH standardmäßig deaktiviert - Admins können es bei Bedarf manuell wieder aktivieren.
• Neue Tenants nach Dezember 2026: Basic Auth für SMTP AUTH ist standardmäßig nicht mehr verfügbar - unterstützt wird nur noch OAuth.
• 2. Halbjahr 2027: Microsoft will das finale Abschaltdatum („final removal date“) ankündigen.

Wichtig für die Planung: Ende 2026 wird zum organisatorischen Wendepunkt. Ab dann ist Basic Auth nicht „weg“, aber eben nicht mehr der Default und genau das führt in der Praxis häufig zu ungeplanten Ausfällen, wenn niemand die Abhängigkeiten kennt.

Der schnellste Weg führt über den Report „ SMTP Auth-Clientsbericht“ im neuen Exchange Admin Center:

• Pfad: Berichte> E-Mail-Fluss > SMTP Auth-Clientsbericht.
• Der Report zeigt u. a.:
  • Wer/was SMTP AUTH nutzt (Konten oder System-/Service-Accounts)
  • Authentifizierungsprotokoll:
    • Standardauthentifizierung (Basic Auth) --> Handlungsbedarf
    • Moderne Authentifizierung (Modern Auth) --> kein Handlungsbedarf
  • Domain, TLS-Nutzung und Nachrichtenvolumen
• Standard ist 7 Tage, erweiterbar auf bis zu 90 Tage, plus Filtermöglichkeiten für die Eingrenzung.

Praxis-Tipp: Exportieren Sie die Ergebnisse (z. B. CSV) und bauen Sie daraus eine einfache Liste: Absenderkonto → Gerät/Applikation → Standort/Owner → mögliche Zielarchitektur. So wird aus „wir müssen mal schauen“ ein planbares Migrationspaket.

1) Bestandsaufnahme: Wo steckt noch Basic Auth?

Starten Sie mit dem SMTP AUTH Clients-Report und identifizieren Sie alles, was als Standardauthentifizierung auftaucht. Das ist Ihre „To-do-Liste“.

2) Prüfen: Unterstützen Geräte/Apps schon OAuth?

Bei vielen Scannern/MFPs oder Anwendungen ist OAuth heute per Firmware-Update oder Konfigurationsänderung möglich. Wo das geht, ist die Empfehlung klar:

• Auf SMTP AUTH mit OAuth umstellen
• Keine neuen Lösungen mehr auf Basic Auth aufbauen

3) Wenn OAuth nicht geht: Microsoft-Alternativen einplanen

Wenn ein Gerät/eine Anwendung technisch nicht auf OAuth gehoben werden kann, nennt Microsoft drei Ausweichoptionen:

• Nur interner Versand (innerhalb Exchange Online):
  High Volume Email for Microsoft 365 (aktuell Public Preview, für LoB-Anwendungen/hohe Volumina).
• Interner und externer Versand:
  Azure Communication Services Email als Alternative für Szenarien, die sonst bei Basic Auth „festhängen“.
• Hybrid-Umgebungen:
  Nutzung eines lokalen Exchange Servers (Basic Auth on-prem) oder eines Receive Connectors für anonymes Relay innerhalb der eigenen Infrastruktur.

Wer Basic Auth unbedingt weiter benötigt, muss auf eine der Alternativen ausweichen (HVE, ACS Email oder Hybrid/on-prem) – denn SMTP AUTH Basic Auth ist in Exchange Online ein Auslaufmodell.

Für abtis Managed-Service-Kunden ist wichtig zu unterscheiden:

• Die Umstellung von Drittanbieter-Geräten/-Applikationen (Scanner-Firmware, Anpassung von Fachanwendungen, Herstellerkontakt, Tests) liegt organisatorisch beim Kunden und ist nicht Bestandteil des Managed Service.
• abtis unterstützt typischerweise dort, wo es am meisten hilft:
  • Analyse & Einordnung (Report-Auswertung, Betroffenheit, Priorisierung)
  • Beratung zur Zieloption (OAuth vs. HVE vs. ACS vs. Hybrid)
  • Konfiguration auf Exchange-Online-Seite (Rahmenbedingungen, Einstellungen, saubere Umsetzung)

Für weitergehende Unterstützung (Projektbegleitung, Architektur, Rollout-Planung, Testszenarien, Vendor-Management) ist der richtige Weg ein entsprechendes Beratungs-/Projektpaket.

Auch wenn Basic Auth bis Ende 2026 zunächst weiterläuft: Der Aufwand steckt nicht im Microsoft-Schalter, sondern in Ihren Abhängigkeiten (Geräte, Service-Konten, Applikationen, Verantwortlichkeiten).

Empfohlener Ablauf:

1. Überblick verschaffen: SMTP AUTH Clients-Report ziehen und „Standardauthentifizierung “-Sender identifizieren.
2. Bewertung vornehmen: Pro Sender entscheiden: OAuth möglich? Wenn nein: welche Alternative (HVE/ACS/Hybrid)?
3. Bis Q4/2026: Migration/Umstellung abgeschlossen und dokumentiert - inklusive Ownership und Monitoring.

Den offiziellen, aktualisierten Zeitplan finden Sie im Beitrag des Exchange Team Blog.

Buchen Sie ein kurzes Gespräch mit den abtis Experten. Wir unterstützen bei der Report-Analyse, ordnen die Optionen ein und zeigen Ihnen einen pragmatischen Migrationspfad damit Ihr Mailversand spätestens bis Ende 2026 sicher und stabil läuft.