[English]Ganz kurze Information für Nutzer und Administratoren, die Microsoft 365 oder Microsoft Office 365 mit Exchange Online einsetzen und plötzlich mit dem Problem konfrontiert werden, dass der Versand von E-Mails in Microsoft Outlook oder bei anderen Anwendungen streikt. Microsoft hat den SMTP-Support aus Sicherheitsgründen mit einem Update für Exchange Online deaktiviert. Hier eine kurze Übersicht für Betroffene, Administratoren und Dienstleister.
Anzeige
Hinweis eines Lesers
Ich hatte das Thema selbst nicht auf dem Radar, da ich weder Office 365 noch Outlook verwende. Blog-Leser Robert G. war aber so freundlich, mir heute Vormittag die Information per Mail zu schicken (danke dafür), ich komme aber erst jetzt dazu, das Ganze aufzubereiten. Robert schrieb mir am frühen Morgen des 13. Juli 2022:
eine kleine Schikane von Microsoft. Heute wurde (nachts) die SMTP-Authentifizierung aus Sicherheitsgründen deaktiviert und man muss sie für die gewünschten Konten explizit einschalten. sTunnel meldet:
535 5.7.139 Authentication unsuccessful, SmtpClientAuthentication is disabled for the Tenant. Visit https://aka.ms/smtp_auth_disabled for more information. [FR3P281CA0086.DEUP281.PROD.OUTLOOK.COM] The SMTP server did not accept Auth LOGIN PASSWD value.
Da kamen durchaus Hinweise von MS, aber ich muss zugeben, dass mir die Konsequenzen nicht ganz klar waren.
An mir war das Thema gänzlich vorbei gegangen. Schauen wir, was das bedeutet, was Microsoft dazu mitteilt und wer betroffen ist.
Das Kürzel SMTP steht für Simple Mail Transfer Protocol, ein Protokoll zum Versenden von E-Mails, während zum Abholen POP3 und IMAP verwendet wird. Problem ist, dass das ursprüngliche SMTP-Übermittlungsverfahren 1982 keine Authentifizierung nutzte und seit der Erstimplementierung Hilfslösungen zum gesicherten E-Mail-Versand verwendet werden.
Ergänzung von Robert:
Outlook verwendet für Office365 bzw. Exchange Online ein eigenes Protokoll. Aber alle anderen Email-Programme, die das nicht implementiert haben, müssen sich mit POP3/IMAP und SMTP begnügen und können dann ein Problem kriegen.
sTunnel ist ein Hilfsprogramm auch zum Email-Versand, dass aus einer unverschlüsselten Verbindung transparent eine TLS-Verbindung macht. Es ist nicht trivial das in eigenen Programmen einzubauen.
Der erste Satz deckt sich auch mit dem Kommentar von Stefan Kanthak weiter unten.
Anzeige
SMTP-Authentifizierung in Exchange Online
Mit dem in der sTunnel-Meldung genannten Link gelangt man zum Supportbeitrag Enable or disable authenticated client SMTP submission (SMTP AUTH) in Exchange Online. Dort heißt es von Microsoft:
Die Client-SMTP-E-Mail-Übermittlungen (auch bekannt als authentifizierte SMTP-Übermittlungen) werden in den folgenden Szenarien in Office 365 und Microsoft 365 verwendet:
- POP3- und IMAP4-Clients. Mit diesen Protokollen können Clients nur E-Mail-Nachrichten empfangen, daher müssen sie authentifiziertes SMTP verwenden, um E-Mail-Nachrichten zu senden.
- Anwendungen, Berichtsserver und Multifunktionsgeräte, die E-Mail-Nachrichten erzeugen und senden.
Das SMTP AUTH-Protokoll (seit Feb. 2020 verfügbar) wird für die Übermittlung von SMTP-E-Mails an Clients verwendet, in der Regel an TCP-Port 587. SMTP AUTH unterstützt die moderne Authentifizierung (Modern Auth).
Praktisch alle modernen E-Mail-Clients, die eine Verbindung zu Exchange Online-Postfächern in Office 365 oder Microsoft 365 herstellen (z. B. Outlook, Outlook im Web, iOS Mail, Outlook für iOS und Android usw.), verwenden SMTP AUTH nicht zum Senden von E-Mail-Nachrichten.
Daher empfiehlt Microsoft im Supportbeitrag dringend, SMTP AUTH in der Exchange Online-Organisation zu deaktivieren und nur für die Konten (d. h. Postfächer) zu aktivieren, die es noch benötigen. Im Beitrag ist aber auch beschrieben, wie man die Unterstützung wieder aktivieren kann.
Anzeige
Seit Gestern Nachmittag fehlten uns Mails. Nun kennen wir den Grund. Danke Herr Born. Mal wieder.
Das wurde von MS schon seit Monaten angekündigt. Wer hier überrascht wurde liest wohl keine o365 News.
Hieß es nicht eigentlich es wird nur bei Tenants deaktiviert wo es bis jetzt nicht in Verwendung war?
Witzig ist auch Microsofts Vorschlag man solle halt modern auth für SMTP nutzen. Kennt jemand auch nur einen einzigen MFP der modern auth unterstützt? Clowns.
Moin,
die Antwort auf dein Problem lautet mailbox.org light Account.
> kb.mailbox.org/de/privat/e-mail-artikel/wie-viele-e-mails-kann-ich-versenden
Darunter gibt es natürlich auch Rate Limits auf kleinere Zeitspannen, aber es ist höher als der Unfug bei MS (30/Min)
> docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits?redirectedfrom=MSDN#receiving-and-sending-limits
auch wenn der Support mir keine genauen Zahlen nennen wollte.
Was sowieso die bessere Wahl ist, weil die Schmocks bei MS nur STARTTLS über 587 erlauben (was auf 25 nonencrypted zurückfallen darf, was ich aber verf*** nochmal ausschließen können will), aber kein ForceSSL über 465.
Achtung: Mindestens TLS 1.2 erforderlich, darunter antwortet deren Server nicht.
Da merkt man dann welche seiner Apps noch so alten Schmarn drin hat…
Macht dann 1€/Monat pro Sendeuser, aber solange es nur ausgehend ist ist es easy vertretbar, schon allein wegen der operativen Kamikazefahrt von MS.
Wenn auch eingehend ist halt RIP im Oktober wenn Basic Auth wegfliegt.
Denk bei der Mig dran auch die SPF Records und sowas nachzupflegen!
Hi, ja, wir haben durch unseren Provider noch einen Fallback über den geschickt werden kann. Nicht die schönste Geschichte aber ok. Sie werden wohl basic auth für SMTP ohnehin nicht abdrehen können aber wer weiß wie es in den kommenden Jahren aussieht.
Guenter, Du betreibst DESINFORMATION: die o.g. Clients beherrschen alle seit JAHREN das klassische SMTP AUTH
Das Problem ist nur die neumodische, auf OAuth aufsetzende SMTP Authentifikation, die Exchange Online zwar beherrscht, aber die Clients nicht.
Auch Microsofts FAQ desinformiert: während
"As of February 2020, OAuth authentication is available for POP3, IMAP4, and SMTP AUTH connections to Exchange Online." korrekt ist, ist "Virtually all modern email clients that connect to Exchange Online mailboxes in Office 365 or Microsoft 365 (for example, Outlook, Outlook on the web, iOS Mail, Outlook for iOS and Android, etc.) don't use SMTP AUTH to send email messages." völlig falsch: ich kenne keinen MUA, der SMTP AUTH nicht beherrscht.
Da steht bei MS: "don't use SMTP AUTH", nicht "don't support SMTP AUTH". Das ist ein feiner, aber semantisch bedeutsamer Unterschied. Sie können as also, nutzen es aber in der Standardeinstellung nicht. Zumindest verstehe ich das so.
Bei ein Drittel meiner Office365 Kunde wurde SMTP gestern Abend total deaktiviert obwohl jeden Tag mindestens 1 Mail gesendet wurde (Backup Logs).
SMTP war schnell wieder aktiviert. MS hatte eben schon oft kompliziert gewarnt.
Bei den anderen Kunden ist noch SMTP in jede Mailbox erlaubt. Da bin ich gespannt.
Die MS KI ist nicht sehr schlau. Wer zahlt jetzt für die Reparatur ?
Danke für die Rückmeldung im ersten Absatz.
Geht es hier nur um Port 587 oder auch 25?
Ab es damit zusammenhängt:
https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210
Zitat:
IPORTANT: Sometime in second and third quarters of 2022 we will selectively pick tenants and disable Basic Auth for all affected protocols except SMTP AUTH for a period of 12-48 hours. After this time, Basic Auth for these protocols will be re-enabled, if the tenant admin has not already re-enabled them using our self-service tools.
(Wobei hier ja ausdrücklich geschrieben wird, das es nicht für SMTP AUTH gilt….)
Ging mir kurz im Kopf herum – ich habe es aber verworfen, weil Basic Auth gemäß obigem Text ja ausgeschlossen wurde.
Hi, hat jemand eine Info was genau eingestellt werden muss damit ich das mit einem Multifunktionsgerät nutzen kann? (Außer im User SMTP zu aktivieren)
Geht das nur bei einem User mit Lizenz?
Port 587
smtp.office365.com
hab Lentzens mal ne Stunde versenkt ohne Lösung, im Office Log kommt immer Authentifizierung nicht möglich oder so.
Gruß
Ja auf User Ebene wird eine Lizenz benötigt die da Einstellung und Verwaltung der Email Apps im M365 Portal eingestellt werden muss. Oder eben tenantweit über Powershell.
Ja, das Konto braucht eine Lizenz. Anschließend kannst du es aktivieren:
Set-TransportConfig -SmtpClientAuthenticationDisabled $false
Set-CASMailbox -identity sendepostfach -smtpclientauthenticationDisabled $false
Ein User mit Lizenz wird benötigt, ja. beim Kunden gibt es ein Info-Postfach, dass bis dahin nur empfangen hat und dessen Daten verwende ich hier für den Versand.
wichtig auch, dass TLS 1.2 mit aktuellen Cipher Suites aktiviert ist. Hatte vor einer Woche einen Drucker der plötzlich aufgehört hat zu senden, im Test konnte er sich nicht anmelden obwohl alles auf SMTP eingestellt war…Schuld war dann, dass TLS 1.2 und aktuelle Ciphers gefehlt haben…danach ging's.
Per Powershell an den Exchange Online hängen:
Connect-Exchangeonline
Danach einen Befehl absetzen, danach gehts wieder …:
Set-TransportConfig -SmtpClientAuthenticationDisabled $false
Hatten wir leider auch bei sehr vielen Kunden.
Danke Microsoft. Immer wieder..
Der Mist läuft noch immer nicht.
Folgendes hab ich gemacht:
User hat Exchange Online Lizenz
Unter E-Mail-Apps verwalten "Authentifiziertes SMTP" eingeschalten
Im Powershell
Prüfung TransportConfig
Get-TransportConfig | Format-List SmtpClientAuthenticationDisabled
SmtpClientAuthenticationDisabled : False
Prüfung Mailbox
Get-CASMailbox -identity scanner | select name, SmtpClientAuthenticationDisabled
Name SmtpClientAuthenticationDisabled
—- ——————————–
scanner False
Testmail über Powershell
$creds = get-credential
Send-MailMessage -From scanner@Sendedomain.com -To empfaenger@Meinedomain.ch -subject "Test Email" -Body "Test SMTP Service from Powershell on Port 587" -SmtpServer smtp.office365.com -Credential $creds -UseSsl -Port 587
Fehler:
Send-MailMessage : Für den SMTP-Server ist eine sichere Verbindung erforderlich, oder der Client wurde nicht authentifiziert. Die Serverantwort war: 5.7.57 Client not authenticated to send mail. Error: 535 5.7.139
Authentication unsuccessful, the user credentials were incorrect.
Das habe ich vor ca. 2 Stunden abgesetzt, bisher noch ohne Erfolg.
Okay, ich habs geschafft.
Mit einem neu angelegten User hat es funktioniert (also anderer Benutzername).
Danach habe ich den User (scanner) gelöscht und wieder neu angelegt mit den selben Credentials. Und siehe da, es funktioniert.
Echt mühsam…
Wir haben seit gestern das Problem festgestellt, dass wir Postfächer mit Exchange Online Plan, die wir mittels IMAP durch eine Drittanwendung abfragen lassen, nicht mehr abfragen können.
Es erscheint permanent die Fehlermeldung "Server: outlook(dot)office365(dot)com, Username: postfach(at)domain.de. Server login error: aaac NO LOGIN failed".
Auch wenn es hierbei um das Empfangen von Mails geht, vermute ich einen Zusammenhang. Hat vielleicht jemand eine Idee, wie man das abstellen kann?
Unser Problem hat sich anscheinend, und vor allem glücklicherweise, wieder von selbst erledigt. Es gab keine Veränderung auf unserer Seite.
Bei mir melden sich heute auch diverse Kunden, dass das Mailversenden über Webseiten nicht mehr funktioniert – diese haben die diverse Accounts im Cloud CRM System eingebunden.
Soweit ich es jetzt über https://testconnectivity.microsoft.com/ nachvollziehen konnte funktioniert bei diesen Accounts die Basic Auth nicht mehr, die Modern Auth doch schon. Unter Get-CASMailbox sind die Accounts nach wie vor auf "SmtpClientAuthenticationDisabled : False" und auch unter Get-TransportConfig ist die Einstellung noch auf "SmtpClientAuthenticationDisabled : False".
Wie kann ich für einzelne Accounts die Basic Auth aktivieren? Die CRM Anbieter unterstützen Modern Auth nicht. Oder muss ich die Basic Auth Tenantweit einschalten? Oder geht das überhaupt noch? :-)
Hast Du einen User schon mal neu angelegt (in der Cloud) – hatte das gleiche Problem. Obwohl auf dem User auf FALSE, gings noch immer nicht.
Nachdem ich den User quasi neu erstellt habe (gelöscht, angelegt mit gleichen Credentials) konnte ich mit dem User auch versenden.
Mein Problem war tatsächlich das auf einmal abgeschaltete Basic Auth, IMAP und SMTP war bei mir immer noch eingeschaltet.
Folgendermaßen habe ich die Basic Auth wieder eingeschaltet: https://www.kraftkennedy.com/how-to-temporarily-re-enable-basic-authentication-in-exchange-online/
Ich hoffe, dass die CRM Anbieter bis zum 01. Oktober, wenn Basic Auth komplett deaktiviert wird, die Modern Auth unterstützen.
MS hat hier noch einen Artikel veröffnet:
https://docs.microsoft.com/de-de/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online
Da steht drin:
Im September 2021 haben wir angekündigt, dass ab dem 1. Oktober 2022 die Standardauthentifizierung für Outlook- und EWS-, RPS-, POP-, IMAP- und EAS-Protokolle in Exchange Online deaktiviert wird. SMTP-Authentifizierung wird auch deaktiviert, wenn sie nicht verwendet wird.
Der letzte Satz verstehe ich so, dass wenn ich es auf der Domäne oder einem User wieder enabled habe, es weiterhin funktionieren wird (nach dem 1. Okt). Oder wird die SMTP-Auth in jedem Fall auch deaktivert ?
So klar ist's leider nicht.
wie im oben verlinken MS Beitrag:
IMPORTANT: Sometime in second and third quarters of 2022 we will selectively pick tenants and disable Basic Auth for all affected protocols except SMTP AUTH for a period of 12-48 hours. After this time, Basic Auth for these protocols will be re-enabled, if the tenant admin has not already re-enabled them using our self-service tools.
During this time all clients and apps that use Basic Auth in the selected tenants will be affected, and they will be unable to connect. Any client or app using Modern Auth will not be affected. Users can switch to other clients (for example, use Outlook on the Web instead of an older Outlook client that does not support Modern Auth) while they upgrade or reconfigure their client apps.
Das hatten wir bei uns auch, das Ticketsystem war plötzlich nicht erreichbar (Pop3) und hat nicht gesendet. Wir haben dann entsprechend der MS Hinweise BasicAuth für das betreffende Postfcach wieder aktivert….
Man kann die Basic Auth für einzelne User aktivieren? Mir ist nur bekannt, dass es Tenantwide geht.
Wie habt ihr das gemacht?
Ich hätte ja kein Problem mit modern auth wenn nicht immer wieder Clients einen "silent Login error" bekommen würden und nach dem Kennwort gefragt werden würden. Klickt ma die Meldung weg und macht das Outlook neu auf geht auch alles ohne Kennworteingabe. Nervig ists das das auch während dem Arbeiten passiert. Grade auf einem Terminalserver kann ich auch nicht "mal eben" die Kiste neu aufsetzen. Profil neu erstellen nützt nichts.
Hat jemand auch schon das Problem gehabt?
https://docs.microsoft.com/en-us/office365/troubleshoot/authentication/automatic-authentication-fails
https://community.spiceworks.com/topic/2205118-office-365-won-t-log-in-without-enableadal-0
lg stefan
Offenbar hatte Microsoft SMTP AUTH mit Basic Auth auch zeitweise deaktiviert:
MC400930 | July 15 – We recently communicated in MC396962 that were going to disable basic authentication for a number of protocols as part of our wider program to secure Exchange Online. Approximately 7 days later, we turned off those specific protocols, but we also unintentionally disabled SMTP AUTH.We have since re-enabled SMTP AUTH, and are sorry for any inconvenience caused.It's important to note that we highly recommend that you disable SMTP AUTH in your Exchange Online organization, and enable it only for…
Einmal mit Profis…
Marcel
Kann jemand für einen Laien (!) mal kurz eine Anleitung liefern, wie ich mit Outlook und einem Web.de-Konto wieder Mails schreiben kann, sprich wie ich für die gewünschten Konten SMTP auth explizit einschalten kann? Danke!
Schau bei Web.de nach und stelle sicher, eine aktuelle Outlook-Version zu verwenden. Ich kann dazu nichts sagen, da ich seit 2009 ausschließlich den Thunderbird einsetze – und da läuft Web.de.