Das Ende der Microsoft Basic Authentication

Übersicht

MICROSOFT SCHLIESST EINE WESENTLICHE SICHERHEITSLÜCKE IN EXCHANGE ONLINE 

Microsoft treibt den Sicherheitsausbau weiter voran und entfernt in den kommenden Monaten eine der letzten verbliebenen veralteten Anmeldemethoden in Exchange Online: Basic Authentication für SMTP AUTH Client Submission. Viele Unternehmen nutzen diese Methode noch für automatisierte Prozesse – oft unbewusst und tief in Geschäftsabläufe integriert.

Mit der Abschaltung von Basic Authentication für Client Submission (SMTP AUTH) setzt Microsoft seinen mehrjährigen Plan zur Verbesserung der Cloud-Sicherheit konsequent fort. Der Zeitplan steht fest: Ab dem 1. März 2026 beginnt Microsoft damit, erste Basic-Auth-Verbindungen abzulehnen, am 30. April 2026 wird Basic Authentication für SMTP AUTH vollständig deaktiviert. Was auf den ersten Blick nach einer technischen Detailänderung klingt, kann sich direkt auf Geschäftsprozesse auswirken – etwa wenn Rechnungen, Alarme oder Statusmeldungen nicht mehr per E-Mail verschickt werden können. Für Unternehmen ist jetzt der richtige Zeitpunkt, die eigene Umgebung zu überprüfen und die Umstellung strukturiert zu planen.

Warum Microsoft BASIC AUTHENTICATION ABSCHAFFT

Basic Authentication ist heute ein fundamentales Sicherheitsrisiko. Benutzername und Passwort werden bei jeder Verbindung lediglich Base64-kodiert übertragen – ein offenes Einfallstor für Phishing, Brute-Force-Angriffe und Credential Stuffing.

Noch kritischer: Basic Auth hebelt moderne Sicherheitskonzepte aus, da es keine Multi-Faktor-Authentifizierung (MFA) unterstützt. Solange ein Tenant Basic Auth akzeptiert, bleibt eine Hintertür offen – selbst dann, wenn an anderen Stellen bereits starke Sicherheitsmechanismen implementiert wurden.

Microsoft folgt deshalb einer klaren Linie: weg von passwortbasierten Logins, hin zu Zero Trust und moderner, tokenbasierter Authentifizierung mittels OAuth 2.0. OAuth 2.0 reduziert das Risiko gestohlener Passwörter deutlich, lässt sich granular steuern und bildet die Grundlage für stabile Sicherheitskontrollen. Die Abschaltung von Basic Authentication für andere Protokolle ist bereits erfolgt; mit SMTP AUTH fällt nun eine der letzten verbleibenden Ausnahmen.

WAS IST EIGENTLICH OAUTH 2.0? 

Stellen Sie sich vor, Sie checken in einem Hotel ein. Anstatt den Generalschlüssel für das Gebäude zu erhalten (Passwort/Basic Auth), bekommen Sie eine Schlüsselkarte (Token). Diese Karte öffnet nur Ihr Zimmer und vielleicht den Fitnessbereich – und das nur für die Dauer Ihres Aufenthalts. Wird die Karte gestohlen, bleibt der Tresorraum weiterhin sicher.

Genau so funktioniert OAuth 2.0: Eine Anwendung (z. B. ein Scanner) erhält nicht Ihr Passwort, sondern einen zeitlich begrenzten Zugriffstoken. Dieser Token erlaubt nur klar definierte Aktionen (z. B. „E-Mail senden“) und kann jederzeit widerrufen werden, ohne dass das Hauptpasswort geändert werden muss. Dadurch steigt die Sicherheit deutlich, die Anmeldung bleibt mit modernen Verfahren wie MFA kompatibel und das Risiko kompromittierter Zugangsdaten sinkt spürbar.

DER FAHRPLAN BIS ZUR ENDGÜLTIGEN ABSCHALTUNG 

Damit die Umstellung nicht über Nacht passiert, hat Microsoft den Prozess bewusst in mehrere Schritte gegliedert. Seit Oktober 2024 steht im Exchange Admin Center ein aktualisierter Report für SMTP AUTH Client Submission zur Verfügung. Dieser Bericht zeigt, welche Geräte und Anwendungen noch Basic Authentication verwenden. Für Administratoren ist das der Ausgangspunkt, um Transparenz zu schaffen und eine vollständige Liste aller betroffenen Systeme zu erstellen.

Am 1. März 2026 beginnt Microsoft damit, einen kleinen Teil der Basic-Auth-Verbindungen gezielt abzuweisen. Das ist gewollt und dient als Praxistest: Systeme, die ab diesem Zeitpunkt sporadisch keine E-Mails mehr versenden, haben Handlungsbedarf. Unternehmen erhalten damit ein klares Signal, bevor die Änderung endgültig greift.

Am 30. April 2026 wird Basic Authentication für SMTP AUTH vollständig deaktiviert. Jeder Verbindungsversuch mit Basic Auth wird abgewiesen und mit der Meldung „550 5.7.30 Basic authentication is not supported for Client Submission“ quittiert. Eine weitere Verlängerung oder Ausnahmeregelung ist nicht vorgesehen.

DIE HERAUSFORDERUNG: WENN HARDWARE NICHT "SMART" GENUG IST 

In der Theorie ist der Wechsel auf OAuth 2.0 einfach. In der Praxis scheitert er jedoch oft an der bestehenden Infrastruktur im Hintergrund. Während Laptops und Smartphones längst modernisiert sind, kommunizieren Drucker, Scanner, ältere ERP-Systeme oder Skripte weiterhin stur mit Benutzername und Passwort.

Typische Beispiele sind ein Scanner, der Lieferscheine an eine zentrale Postfachadresse schickt, ein ERP-System, das automatisch Bestellbestätigungen per E-Mail versendet, oder ein Monitoring-Tool, das bei Störungen Alarme an den Pikettdienst sendet. Für viele dieser Geräte existieren keine aktuellen Firmware-Updates mehr. Ein kompletter Hardware- oder Systemaustausch wäre zwar technisch möglich, wirtschaftlich aber häufig unverhältnismässig.

Darum ist eine systematische Analyse der bestehenden Verbindungen der wichtigste erste Schritt. Wer frühzeitig weiss, wo Basic Authentication noch im Einsatz ist, kann die Umstellung geplant, risikobewusst und ohne Zeitdruck durchführen.

KONKRETE HANDLUNGSEMPFEHLUNGEN 

Unternehmen sollten strukturiert vorgehen:

  1. Bestandsaufnahme durchführen
    Der SMTP AUTH Client Submission Report im Exchange Admin Center hilft dabei, alle Systeme zu identifizieren, die noch Basic Authentication verwenden – inklusive selten genutzter Standorte und Speziallösungen.
     
  2. Systeme kategorisieren
    Welche können per Update oder Konfiguration auf OAuth 2.0 umgestellt werden? Welche sind abgekündigt und müssen mittelfristig ersetzt werden? Und bei welchen Systemen ist eine Ablösung zwar wünschenswert, aber kurzfristig nicht realistisch?
     
  3. Migrationsplan erstellen
    Auf dieser Grundlage lässt sich ein Migrationsplan erstellen, der geschäftskritische Systeme priorisiert und ausreichend Zeit für Tests einplant. Für moderne Systeme ist oft nur eine Konfigurationsanpassung notwendig; Microsoft stellt umfangreiche Dokumentation für die OAuth-Implementierung zur Verfügung. Bei älteren Systemen lohnt sich ein Blick auf verfügbare Firmware-Updates oder Rücksprache mit dem Hersteller.

Migrationswege: von OAuth bis SMTP Relay

Die Strategie sollte zweigleisig gefahren werden.

  1. Modernisierung (Priorität 1)
    Wo immer möglich, sollten Systeme direkt auf OAuth 2.0 umgestellt werden – sei es durch Software-Updates, Firmware-Aktualisierungen oder Konfigurationsanpassungen. Viele aktuelle Anwendungen und Dienste unterstützen moderne Authentifizierung bereits. Nach der Umstellung ist der Zugriff besser abgesichert, nachvollziehbar protokolliert und in bestehende Sicherheitsrichtlinien integrierbar.
     
  2. Brückentechnologie (Priorität 2)
    In der Praxis zeigt sich jedoch, dass nicht jedes System „OAuth-fähig“ ist. Für Systeme, die nicht modernisiert werden können, braucht es einen Vermittler. Ältere Multifunktionsdrucker, Branchenlösungen oder individuell entwickelte Anwendungen unterstützen häufig kein OAuth 2.0 und erhalten keine Updates mehr, sind im Betrieb aber weiterhin unverzichtbar. In diesen Fällen bietet sich ein SMTP Relay Service an, der als Brücke zwischen Legacy-Systemen und der modernen E-Mail-Infrastruktur fungiert. Die älteren Systeme verbinden sich mit dem Relay, während dieses die sichere Kommunikation mit Exchange Online übernimmt und die Anforderungen von Microsoft 365 erfüllt.

Risiken bei Nicht-Umstellung

Es ist verlockend, das Thema aufzuschieben. Wer die Umstellung jedoch hinauszögert, riskiert ab Mai 2026 Ausfälle im automatisierten E-Mail-Versand: Rechnungen bleiben im ERP hängen, Scan-to-Mail-Funktionen fallen aus, Alarme aus Monitoring-Systemen erreichen niemanden mehr. Aus einzelnen Störungen wird schnell ein betriebswirtschaftliches Risiko – mit Folgen für Effizienz, Kundenzufriedenheit und unter Umständen auch für die Compliance. Damit ist die Umstellung nicht nur ein technisches Detail, sondern ein geschäftskritisches Projekt.

SMTP MAIL RELAY AUS DER MTF BUSINESS CLOUD 

Als Brückentechnologie bietet MTF einen SMTP Mail Relay Service aus der MTF Business Cloud an. Der Dienst ist speziell für Szenarien konzipiert, in denen Systeme weiterbetrieben werden müssen, die keine moderne Authentifizierung beherrschen, aber weiterhin zuverlässig E-Mails versenden sollen.

Der Relay-Dienst läuft in unserer hochverfügbaren Schweizer Cloud-Umgebung, ist auf den Versand aus Anwendungen und Geräten optimiert und lässt sich kontrolliert in bestehende Sicherheits- und Compliance-Vorgaben integrieren. Unternehmen behalten die Hoheit über Absender, Routing und Richtlinien, während die technische Komplexität der Anbindung an Exchange Online reduziert wird.

Die Vorteile dieser Lösung liegen auf der Hand:

  • Weiterbetrieb vorhandener Geräte ohne Hardware-Tausch.
  • Schweizer Datenhaltung in unserer hochverfügbaren MTF Business Cloud.
  • Entkopplung von Legacy-Systemen ohne Kompromisse bei der Cloud-Sicherheit.

MTF: IHR PARTNER FÜR MODERNE AUTHENTIFIZIERUNGSLÖSUNGEN 

Die Abschaltung von Basic Authentication für SMTP AUTH ist beschlossen. Unternehmen haben bis April 2026 Zeit, ihre Umgebung anzupassen – diese Zeit sollte jedoch aktiv genutzt werden. Eine strukturierte Bestandsaufnahme, die Bewertung betroffener Systeme und die Entscheidung für Modernisierung oder Relay-Lösung gehören zu den nächsten Schritten.

MTF unterstützt Sie dabei, diese Umstellung planbar und sicher zu gestalten. Wir analysieren Ihre Exchange-Online-Umgebung, identifizieren alle relevanten Verbindungen und erarbeiten gemeinsam mit Ihnen einen Migrationsplan – von der direkten Umstellung auf OAuth 2.0 bis hin zur Integration des SMTP Mail Relay Service aus der MTF Business Cloud.

Wenn Sie sicherstellen möchten, dass Ihre E-Mail-Kommunikation auch nach April 2026 reibungslos funktioniert, lohnt sich ein frühzeitiges Gespräch. Kontaktieren Sie uns für eine unverbindliche Beratung – wir begleiten Sie Schritt für Schritt durch die Umstellung.

JETZT KONTAKTIEREN

FAQ 

  1. Betrifft die Abschaltung von Basic Authentication nur SMTP oder auch andere Protokolle in Exchange Online?
    Die jetzt angekündigte Änderung bezieht sich konkret auf Basic Authentication für SMTP AUTH Client Submission. Viele andere Protokolle wie POP, IMAP oder Exchange ActiveSync wurden bereits in früheren Wellen auf moderne Authentifizierung umgestellt. Für Unternehmen, die SMTP für automatisierte E-Mails nutzen, ist diese letzte Änderung jedoch oft die spürbarste – insbesondere bei Druckern, Scannern, ERP-Systemen und Skripten.
     
  2. Wie finde ich heraus, welche Systeme in meiner Umgebung noch Basic Authentication für SMTP nutzen?
    Der wichtigste Einstiegspunkt ist der SMTP AUTH Client Submission Report im Exchange Admin Center. Er zeigt, welche Geräte und Anwendungen sich noch mit Basic Authentication anmelden. Ergänzend lohnt sich eine Inventarisierung der Infrastruktur: Wo werden automatisierte E-Mails verschickt (Scan-to-Mail, ERP, Monitoring, Branchenlösungen)? Oft kommen dabei Systeme zum Vorschein, die seit Jahren unverändert laufen und längst nicht mehr im Fokus stehen.
     
  3. Müssen alle Systeme zwingend auf OAuth 2.0 umgestellt werden?
    Aus Sicht der Sicherheit ist OAuth 2.0 der Zielzustand. Wo immer Updates, neue Versionen oder Konfigurationsanpassungen verfügbar sind, sollte der direkte Umstieg erfolgen. In der Praxis gibt es jedoch Geräte und Anwendungen, die kein OAuth 2.0 unterstützen und keine Updates mehr erhalten. Diese Systeme können über Brückentechnologien wie einen SMTP Relay Service weiterbetrieben werden, ohne die Sicherheitsanforderungen von Exchange Online zu unterlaufen.
     
  4. Was passiert konkret, wenn ich bis April 2026 nichts unternehme?
    Ab dem 1. März 2026 werden erste Basic-Auth-Verbindungen testweise abgelehnt, ab dem 30. April 2026 sind alle Basic-Auth-Anmeldungen für SMTP endgültig blockiert. Systeme, die weiterhin Basic Authentication verwenden, können dann keine E-Mails mehr versenden. Das betrifft typischerweise Rechnungsversand, Statusmeldungen, Alarme oder Scan-to-Mail-Funktionen. Einzelne technische Störungen können sich so rasch zu einem betriebswirtschaftlichen Risiko entwickeln.
     
  5. Ist ein SMTP Relay Service wie der MTF SMTP Mail Relay nur eine Übergangslösung oder auch langfristig sinnvoll?
    Das hängt von der Strategie des Unternehmens ab. Für manche Kunden ist der Relay Service eine Übergangslösung, um Zeit für eine schrittweise Modernisierung zu gewinnen. Andere setzen den Dienst bewusst langfristig ein, um Legacy-Systeme sauber von Microsoft 365 zu entkoppeln, zentrale Sicherheitsrichtlinien durchzusetzen und den E-Mail-Versand aus Anwendungen über einen kontrollierten, hochverfügbaren Dienst in der Schweiz abzuwickeln.
     
  6. Wo sollte ich mit der Planung beginnen – und wie unterstützt mich MTF dabei?
    Der erste Schritt ist immer die Transparenz: Welche Systeme senden wie E-Mails? Darauf aufbauend folgt die Kategorisierung (modernisierbar, ersetzbar, auf Relay angewiesen) und die Priorisierung geschäftskritischer Anwendungen. MTF unterstützt Sie dabei mit einer Analyse Ihrer Exchange-Online-Umgebung, der Bewertung der Risiken und der Erstellung eines Migrationsplans – inklusive Umsetzung von OAuth 2.0 dort, wo möglich, und der Integration des MTF SMTP Mail Relay Service dort, wo eine Brückentechnologie benötigt wird.

Auch interessant 

Haben Sie Fragen?

Rubén Saiz
Geschäftsleiter Region Liechtenstein, St. Gallen & Chur
+41 81 250 53 00
[email protected]