Eigentlich wollte Microsoft in Exchange Online die Unterstützung für die Basisauthentifizierung mit Client-Übermittlung (SMTP AUTH) bereits im September 2025 einstellen. Dann hieß es, dass die Einstellung zwischen 1. März 2026 bis zum 30. April 2026 schrittweise einstellen. Dieses Datum ist nun nach Kunden-Feedback erneut kassiert worden. Bis Dezember 2026 bleibt alles beim Alten.
Ursprünglicher Zeitplan zur Abschaltung
Ich hatte im Juli 2024 erstmals im Blog-Beitrag Exchange Online: Basisauthentifizierung für Client-Übermittlung (SMTP AUTH) endet Sept. 2025 über Microsofts Pläne zur Abschaltung der Basisauthentifizierung mit Client-Übermittlung (SMTP AUTH) berichtet.
Hintergrund ist, dass es sich bei Basic Auth um eine veraltete Authentifizierungsmethode handelt, die Benutzernamen und Kennwörter im Klartext über das Netzwerk sendet. Dies macht sie anfällig für den Diebstahl von Zugangsdaten, Phishing und Brute-Force-Angriffe.
1. Plan zur Abschaltung Sept. 2025
Microsoft hat nach eigenen Angaben bereits im Jahr 2019 mit einem mehrjährigen Prozess zur Deaktivierung von Basic Auth in Exchange Online begonnen. Dieser Prozess wurde Ende 2022 abgeschlossen, wobei Client Submission (SMTP AUTH) die einzige Ausnahme darstellt.
Im Juli 2024 teilte Microsoft dann mit, auch Basic Auth aus der Client Client-Übermittlung (SMTP AUTH) zu entfernen. Nach September 2025 sollten Anwendungen und Geräte nicht mehr in der Lage sein, Basic Auth als Authentifizierungsmethode zu verwenden. Die Anwendungen und Geräte sollten spätestens ab diesem Zeitpunkt OAuth verwenden, wenn sie SMTP AUTH zum Senden von E-Mails benutzen.
2. Plan zur Abschaltung auf März 2026 verschoben
Im Artikel Exchange Online to retire Basic auth for Client Submission (SMTP AUTH) hieß es später, dass man in Exchange Online die Unterstützung für die Basisauthentifizierung mit Client-Übermittlung (SMTP AUTH) schrittweise einstellen werde. Beginnend mit einem geringen Prozentsatz an abgelehnten Übermittlungen für alle Tenants sollte die Abschaltung am 1. März 2026 beginnen und am 30. April 2026 mit 100 % abgelehnten Übermittlungen enden. Im Artikel findet sich aber eine gelb hinterlegte Meldung:
Update 1/27/2026: We have revised the timeline for this deprecation. Please see our new post Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline to read more.
Neue Termine zur SMTP AUTH-Abschaltung
Nun hat Microsoft die obigen Termine nach Feedback seiner Kunden erneut über den Haufen geworfen. Ich bin über nachfolgenden Post auf diese Terminverschiebung gestoßen, die Microsoft im Techcommunity-Beitrag Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline zum 27. Januar 2026 bekannt gegeben hat.
Das Microsoft 365-Team schreibt dort, dass viele Kunden weiterhin mit echten Herausforderungen bei der Modernisierung älterer E-Mail-Workflows konfrontiert seien. Diese Kunden benötigen ausreichend Zeit, um praktikable, sichere Alternativen einzuführen.Daher passt Microsoft erneut den Zeitplan für die Abschaffung der SMTP-AUTH-Basisauthentifizierung in Exchange Online an.
- Bis Dezember 2026: Das Verhalten der SMTP-AUTH-Basisauthentifizierung bleibt unverändert.
- Ende Dezember 2026: Die SMTP-AUTH-Basisauthentifizierung wird für bestehende Mandanten standardmäßig deaktiviert. Administratoren können sie bei Bedarf weiterhin aktivieren.
- Für neue Exchange Online Tenants, die nach Dezember 2026 erstellt werden, wird OAuth die unterstützte Authentifizierungsmethode und die SMTP-AUTH-Basisauthentifizierung standardmäßig nicht mehr verfügbar sein.
Microsoft will dann in der zweiten Hälfte des Jahres 2027 das endgültige Datum für die Entfernung der SMTP-AUTH-Basisauthentifizierung bekannt geben. Frage an die Leserschaft: Ist das überhaupt noch ein Thema, oder seid ihr längst auf OAuth gewechselt?
MVP: 2013 – 2016
