Exchange Online: Microsoft aktualisiert Zeitplan für SMTP Auth Basic-Ende
Für diverse Protokolle hat Microsoft in Exchange Online Basic Authentication bereits rausgeworfen. Für SMTP verschiebt sich der Zeitplan.
(Bild: Michael Traitov/Shutterstock.com)
Für Exchange Online hat Microsoft bereits die unsichere und angreifbare Anmeldung mittels Basic Authentication für diverse Protokolle deaktiviert. SMTP AUTH hat das Unternehmen jedoch nicht angerührt. Das soll sich ändern – und nun verschiebt Microsoft die Pläne weiter nach hinten.
Bislang hat Microsoft die einfache Nutzernamen-Passwort-Anmeldung für MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell abgedreht. Im April 2024 hatte Microsoft dann Pläne angekündigt, nun auch SMTP AUTH Basic auslaufen zu lassen, ursprünglich beginnend ab März 2026. Am Dienstag dieser Woche hat Microsoft nun einen neuen Zeitplan für das Ende von SMTP AUTH Basic herausgegeben.
SMTP AUTH Basic: Neuer Zeitplan zur Abschaltung
In dem Blog-Beitrag schreibt Microsoft, dass bis Dezember 2026 das SMTP-AUTH-Basic-Authentifizierungsverhalten unverändert bleibe. Ende Dezember 2026 deaktiviert Microsoft standardmäßig für alle bestehenden Tenants SMTP AUTH Basic Authentication – Admins haben jedoch noch die Möglichkeit, das bei Bedarf wieder zu aktivieren.
Neue, nach dem Dezember 2026 angelegte Tenants haben standardmäßig SMTP AUTH Basic nicht mehr zur Auswahl. Hier kommt OAuth als unterstützte Authentifizierungsmethode zum Einsatz. In der zweiten Jahreshälfte 2027 will Microsoft dann das endgültige Datum für die Entfernung von SMTP AUTH Basic ankündigen.
Videos by heise
Microsoft will mit der aktualisierten Roadmap Kunden mehr Zeit für die Planung, Überprüfung und Indienststellung moderner Authentifizierungsalternativen verschaffen. Jedoch bewege sich das Unternehmen weiterhin auf einem klaren Weg Richtung stärkerer Standardsicherheit.
Es scheint ein wiederkehrendes Muster zu sein, dass Microsoft die Umsetzung neuer Sicherheitsmaßnahmen ankündigt, diese dann jedoch immer wieder verschieben muss. Einige geplante Schutzmaßnahmen sagt Microsoft sogar ganz ab, etwa Anfang des Monats Beschränkungen, die vor Spam schützen sollten – diese kommen nun doch nicht.
(dmk)
