Exchange Online: SMTP AUTH (Basic Authentication) bleibt länger aktiv – das Ende ist aber beschlossen.
Viele Unternehmen nutzen beispielsweise für Scan-to-Mail, Multifunktionsdrucker, Legacy-Anwendungen oder Skripte die SMTP AUTH. Ein früherer Fahrplan ging davon aus, dass Microsoft diese Methode bereits im März/April 2026 weitgehend abschaltet – entsprechend hoch war der Umstellungsdruck.
Während die „Basic Authentication“ u. a. bei MAPI/RPC, OAB, EWS sowie POP/IMAP und Remote PowerShell bereits deaktiviert wurde, blieb SMTP AUTH bislang als Ausnahme bestehen – das soll sich ändern, aber später als ursprünglich angekündigt. Demnach hat Microsoft den Zeitplan nun aktualisiert und nach hinten verschoben, um mehr Übergangszeit zu schaffen.
Das Simple Mail Transfer Protocol (SMTP) ist ein Standardprotokoll, das seit Jahrzehnten zur E-Mail-Übertragung genutzt wird.
Viele Unternehmen betreiben darüber E-Mail-Workflows, die über eine einfache SMTP-Verbindung mit Basic Authentication laufen, die heute ein fundamentales Sicherheitsrisiko darstellt. Denn Benutzername und Passwort werden bei jeder Verbindung lediglich Base64-kodiert übertragen und bieten somit ein offenes Einfallstor für Cyberangriffe.
Darum gilt SMTP AUTH als eine der letzten verbliebenen Schwachstellen im Umfeld von Microsofts Cloud-Maildiensten und soll daher langfristig in Microsoft 365 vollständig deaktiviert werden.
Microsoft hat klare Meilensteine gesetzt:
Bis Dezember 2026: Keine Änderung – SMTP AUTH funktioniert weiterhin wie bisher.
Ende Dezember 2026: Für bestehende Tenants wird SMTP AUTH standardmäßig deaktiviert. Administratoren können es bei Bedarf wieder aktivieren.
Neue Tenants nach Dezember 2026: SMTP AUTH ist standardmäßig nicht verfügbar, OAuth ist die unterstützte Methode.
Zweite Hälfte 2027: Microsoft kündigt das finale Datum für die vollständige Entfernung von SMTP AUTH an.
Wichtig: Die Verschiebung bedeutet mehr Zeit – aber keine Entwarnung.
Der Weg führt eindeutig weg von SMTP AUTH Basic hin zu moderner Authentifizierung.
Erfahrungsgemäß sind alle Workflows betroffen, die aktuell auf die SMTP-Authentifizierung setzen. Sobald SMTP AUTH nicht mehr akzeptiert wird, können solche Workflows ohne Vorwarnung ausfallen.
Beispiele für betroffene Systeme und Prozesse:
Drucker, Scanner und Multifunktionsgeräte
(Scan-to-Mail)
Anwendungen, die „einfach per SMTP“ versenden
(Monitoring, Web-/Kontaktformulare, ERP/CRM-Exports, Skripte)
Monitoring- & Alarmierungstools
(bei denen Systemstatus oder Warnungen per E-Mail versandt werden)
Veraltete Software/Legacy-Anwendungen
(ohne moderne API-Anbindung)
1. Tenant-Einstellung prüfen
Im Microsoft-365-Adminbereich unter Einstellungen → Organisationseinstellungen → Moderne Authentifizierung sehen Sie, ob SMTP AUTH grundsätzlich aktiviert ist.
2. Exchange Admin Center prüfen
Im Exchange Admin Center (EAC) unter Einstellungen → Mailflow kontrollieren Sie, ob SMTP AUTH für die Organisation deaktiviert wurde.
3. Tatsächliche Nutzung nachweisen (Sign-in Logs)
Prüfen Sie in den Anmeldeprotokollen, welche Konten/Clients über SMTP AUTH tatsächlich authentifizieren. So bekommen Sie eine Liste von betroffenen Geräten und Applikationen.
1. Bevorzugt: OAuth2 aktiv nutzen
Wenn Ihre Geräte/Anwendungen OAuth2 für SMTP unterstützen (oft per Firmware/Update), ist das der stabilste und zukunftssichere Weg.
2. Wenn OAuth2 nicht möglich ist: Alternative Versandwege/Authentifizierungsmethoden einplanen
Für sehr alte Geräte gibt es in der Praxis häufig zwei Ansätze:
Mail-Relay-Konzept (internes Relay, das das Gerät noch bedienen kann, während Richtung Cloud ein moderner, abgesicherter Weg genutzt wird)
Connector/IP-basierte Freigaben (je nach Sicherheitsvorgaben und Standort-Setup)
3. Zeitpuffer sinnvoll nutzen
Auch wenn der harte Cut nicht mehr im Frühjahr 2026 liegt: Je früher Sie sich auf die Umstellung vorbereiten, desto geringer ist das Risiko von Ausfällen und hektischen Notfallmaßnahmen.
Auch wenn Microsoft den Abschaltplan für SMTP AUTH in Exchange Online bis Ende Dezember 2026 verlängert hat, ist der Umstieg auf moderne Authentifizierungsmethoden weiterhin zwingend notwendig und es wird empfohlen sich rechtzeitig darauf vorzubereiten. Wer jetzt inventarisiert, Updates prüft und Alternativen plant, reduziert Ausfallrisiken und vermeidet Zeitdruck, wenn SMTP AUTH Ende 2026 standardmäßig deaktiviert wird.
Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.