La fine dell'autenticazione di base Microsoft

Panoramica

MICROSOFT CHIUDE UNA GRAVE VULNERABILITÀ DI SICUREZZA IN EXCHANGE ONLINE 

Microsoft continua a migliorare la sicurezza e nei prossimi mesi eliminerà uno degli ultimi metodi di accesso obsoleti rimasti in Exchange Online: l'autenticazione di base per l'invio client SMTP AUTH. Molte aziende utilizzano ancora questo metodo per i processi automatizzati, spesso inconsapevolmente e profondamente integrato nei flussi di lavoro aziendali.

Con la disattivazione dell'autenticazione di base per l'invio client (SMTP AUTH), Microsoft prosegue il suo piano pluriennale volto a migliorare la sicurezza del cloud. Il calendario è stato nel frattempo modificato: fino alla fine di dicembre 2026, l'autenticazione di base SMTP AUTH rimarrà utilizzabile senza modifiche per i tenant Exchange Online esistenti. Successivamente, la funzione verrà disattivata per impostazione predefinita; la rimozione completa avverrà in un secondo momento.

Quello che a prima vista sembra un semplice cambiamento tecnico può avere un impatto diretto sui processi aziendali, ad esempio se fatture, avvisi o messaggi di stato non possono più essere inviati via e-mail. Per le aziende è quindi il momento giusto per identificare i sistemi interessati e pianificare la transizione in modo strutturato.

Perché Microsoft ABOLISCE L'AUTENTICAZIONE BASIC

L'autenticazione di base rappresenta oggi un rischio fondamentale per la sicurezza. Il nome utente e la password vengono trasmessi solo con codifica Base64 ad ogni connessione, il che costituisce una porta aperta al phishing, agli attacchi brute force e al credential stuffing.

Ancora più critico: l'autenticazione di base vanifica i moderni concetti di sicurezza, poiché non supporta l'autenticazione a più fattori (MFA). Finché un tenant accetta l'autenticazione di base, rimane aperta una backdoor, anche se in altri punti sono già stati implementati meccanismi di sicurezza avanzati.

Microsoft segue quindi una linea chiara: abbandonare gli accessi basati su password a favore dello Zero Trust e dell'autenticazione moderna basata su token tramite OAuth 2.0. OAuth 2.0 riduce significativamente il rischio di furto delle password, può essere controllato in modo granulare e costituisce la base per controlli di sicurezza stabili. La disattivazione dell'autenticazione di base per altri protocolli è già avvenuta; con SMTP AUTH cade ora una delle ultime eccezioni rimaste.

COS'È IN REALTÀ OAUTH 2.0? 

Immaginate di fare il check-in in un hotel. Invece di ricevere la chiave generale dell'edificio (password/autenticazione di base), vi viene consegnata una chiave magnetica (token). Questa chiave apre solo la vostra camera e forse la palestra, e solo per la durata del vostro soggiorno. Se la chiave viene rubata, la camera blindata rimane comunque sicura.

È esattamente così che funziona OAuth 2.0: un'applicazione (ad es. uno scanner) non riceve la vostra password, ma un token di accesso a tempo determinato. Questo token consente solo azioni chiaramente definite (ad es. “inviare e-mail”) e può essere revocato in qualsiasi momento senza dover modificare la password principale. Ciò aumenta notevolmente la sicurezza, il login rimane compatibile con i moderni metodi come l'MFA e il rischio di compromissione dei dati di accesso diminuisce sensibilmente.

IL CALENDARIO FINO ALLA CHIUSURA DEFINITIVA 

Per evitare che il passaggio avvenga senza un adeguato preparativo, Microsoft mette già oggi a disposizione degli amministratori gli strumenti necessari per identificare i sistemi interessati. Da ottobre 2024 è disponibile nell’Exchange Admin Center un report aggiornato relativo all’invio client SMTP AUTH. Questo report mostra quali dispositivi e applicazioni utilizzano ancora l’autenticazione di base. Per gli amministratori, questo rappresenta il punto di partenza per garantire la trasparenza e creare un elenco completo di tutti i sistemi interessati.

Microsoft ha nel frattempo modificato la data di disattivazione inizialmente comunicata. Fino alla fine di dicembre 2026, il comportamento dell’autenticazione di base SMTP AUTH rimarrà invariato per i tenant Exchange Online esistenti. I sistemi che oggi inviano ancora e-mail tramite Microsoft 365 utilizzando l’autenticazione di base continueranno quindi a funzionare per il momento. Tuttavia, questo periodo di tempo aggiuntivo non deve essere interpretato come un segnale di allarme, ma come un'opportunità per identificare in modo accurato le applicazioni, i dispositivi multifunzione, gli scanner o gli script interessati e pianificare alternative adeguate.

Alla fine di dicembre 2026, l'autenticazione di base SMTP AUTH sarà disattivata per impostazione predefinita per i tenant esistenti. Se necessario, gli amministratori potranno riattivare la funzione per il momento. Per i tenant creati dopo dicembre 2026, l’autenticazione di base non sarà più disponibile di default; OAuth sarà quindi il metodo di autenticazione supportato. Nella seconda metà del 2027, Microsoft intende annunciare la data definitiva per la completa rimozione dell’autenticazione SMTP AUTH Basic.

LA SFIDA: QUANDO L'HARDWARE NON È ABBASTANZA “INTELLIGENTE” 

In teoria, il passaggio a OAuth 2.0 è semplice. Nella pratica, tuttavia, spesso fallisce a causa dell'infrastruttura esistente in background. Mentre laptop e smartphone sono stati modernizzati da tempo, stampanti, scanner, sistemi ERP più vecchi o script continuano a comunicare ostinatamente con nome utente e password.

Esempi tipici sono uno scanner che invia le bolle di consegna a un indirizzo di posta centrale, un sistema ERP che invia automaticamente le conferme d'ordine via e-mail o uno strumento di monitoraggio che invia allarmi al servizio di picchetto in caso di guasti. Per molti di questi dispositivi non esistono più aggiornamenti firmware attuali. Una sostituzione completa dell'hardware o del sistema sarebbe tecnicamente possibile, ma spesso sproporzionata dal punto di vista economico.

Pertanto, un'analisi sistematica delle connessioni esistenti è il primo passo più importante. Chi sa in anticipo dove è ancora in uso l'autenticazione di base può pianificare la conversione, consapevole dei rischi e senza fretta.

RACCOMANDAZIONI CONCRETE PER L'AZIONE 

Le aziende dovrebbero procedere in modo strutturato:

  1. Effettuare un inventario
    Il rapporto SMTP AUTH Client Submission Report nell'Exchange Admin Center aiuta a identificare tutti i sistemi che utilizzano ancora l'autenticazione di base, comprese le sedi utilizzate raramente e le soluzioni speciali.
     
  2. Categorizzare i sistemi
    Quali possono essere convertiti a OAuth 2.0 tramite aggiornamento o configurazione? Quali sono obsoleti e devono essere sostituiti a medio termine? E per quali sistemi la sostituzione è auspicabile, ma non realistica a breve termine?
     
  3. Creare un piano di migrazione
    Su questa base è possibile creare un piano di migrazione che dia priorità ai sistemi critici per l'azienda e preveda tempo sufficiente per i test. Per i sistemi moderni è spesso sufficiente una semplice modifica della configurazione; Microsoft mette a disposizione una documentazione completa per l'implementazione di OAuth. Per i sistemi più vecchi, vale la pena dare un'occhiata agli aggiornamenti del firmware disponibili o consultare il produttore.

Percorsi di migrazione: da OAuth a SMTP Relay

La strategia dovrebbe essere duplice.

  1. Modernizzazione (priorità 1)
    Ove possibile, i sistemi dovrebbero essere convertiti direttamente a OAuth 2.0, sia tramite aggiornamenti software, aggiornamenti firmware o modifiche alla configurazione. Molte applicazioni e servizi attuali supportano già l'autenticazione moderna. Dopo la conversione, l'accesso è più sicuro, tracciabile e integrabile nelle politiche di sicurezza esistenti.
     
  2. Tecnologia ponte (priorità 2)
    Nella pratica, tuttavia, non tutti i sistemi sono “compatibili con OAuth”. Per i sistemi che non possono essere modernizzati è necessario un intermediario. Le stampanti multifunzione più vecchie, le soluzioni di settore o le applicazioni sviluppate individualmente spesso non supportano OAuth 2.0 e non ricevono più aggiornamenti, ma continuano a essere indispensabili per il funzionamento. In questi casi è utile un servizio SMTP Relay, che funge da ponte tra i sistemi legacy e la moderna infrastruttura di posta elettronica. I sistemi più vecchi si connettono al relay, che garantisce una comunicazione sicura con Exchange Online e soddisfa i requisiti di Microsoft 365.

Rischi in caso di mancata conversione

È allettante rimandare la questione. Tuttavia, chi ritarda la conversione rischia, interruzioni nell'invio automatico delle e-mail: le fatture rimangono bloccate nell'ERP, le funzioni di scansione e invio via e-mail non funzionano più, gli allarmi dei sistemi di monitoraggio non raggiungono più nessuno. I singoli malfunzionamenti si trasformano rapidamente in un rischio economico, con conseguenze per l'efficienza, la soddisfazione dei clienti e, in alcuni casi, anche per la conformità. La conversione non è quindi solo un dettaglio tecnico, ma un progetto critico per l'azienda.

SMTP MAIL RELAY DAL MTF BUSINESS CLOUD 

Come tecnologia ponte, MTF offre un servizio SMTP Mail Relay dal MTF Business Cloud. Il servizio è stato progettato appositamente per scenari in cui è necessario continuare a utilizzare sistemi che non supportano l'autenticazione moderna, ma che devono continuare a inviare e-mail in modo affidabile.

Il servizio di inoltro funziona nel nostro ambiente cloud svizzero ad alta disponibilità, è ottimizzato per l'invio da applicazioni e dispositivi e può essere integrato in modo controllato nei requisiti di sicurezza e conformità esistenti. Le aziende mantengono il controllo su mittenti, instradamento e linee guida, mentre la complessità tecnica della connessione a Exchange Online viene ridotta.

I vantaggi di questa soluzione sono evidenti:

  • Continuità di funzionamento dei dispositivi esistenti senza sostituzione dell'hardware.
  • Archiviazione dei dati in Svizzera nel nostro MTF Business Cloud altamente disponibile.
  • Disaccoppiamento dai sistemi legacy senza compromessi in termini di sicurezza del cloud.

MTF: IL VOSTRO PARTNER PER SOLUZIONI DI AUTENTICAZIONE MODERNE 

È stata decisa la disattivazione dell'autenticazione di base per SMTP AUTH. Le aziende hanno tempo fino alla fine del 2026 per adeguare i propri sistemi, ma questo tempo dovrebbe essere sfruttato attivamente. Tra i prossimi passi figurano un inventario strutturato, la valutazione dei sistemi interessati e la decisione di modernizzare o adottare una soluzione di inoltro.

MTF vi supporta nel rendere questa transizione pianificabile e sicura. Analizziamo il vostro ambiente Exchange Online, identifichiamo tutte le connessioni rilevanti e sviluppiamo insieme a voi un piano di migrazione, dal passaggio diretto a OAuth 2.0 all'integrazione del servizio SMTP Mail Relay dal MTF Business Cloud.

Se volete assicurarvi che la vostra comunicazione e-mail continui a funzionare senza intoppi anche dopo aprile 2026, vale la pena discuterne tempestivamente. Contattateci per una consulenza senza impegno: vi accompagneremo passo dopo passo nella transizione.

CONTATTACI ORA

FAQ 

  1. La disattivazione dell'autenticazione di base riguarda solo SMTP o anche altri protocolli in Exchange Online?
    La modifica ora annunciata si riferisce specificatamente all'autenticazione di base per SMTP AUTH Client Submission. Molti altri protocolli come POP, IMAP o Exchange ActiveSync sono già stati convertiti all'autenticazione moderna in precedenti ondate. Tuttavia, per le aziende che utilizzano SMTP per le e-mail automatizzate, quest'ultima modifica è spesso la più evidente, soprattutto nel caso di stampanti, scanner, sistemi ERP e script.
     
  2. Come posso scoprire quali sistemi nel mio ambiente utilizzano ancora l'autenticazione di base per SMTP?
    Il punto di partenza più importante è il rapporto SMTP AUTH Client Submission Report nell'Exchange Admin Center. Mostra quali dispositivi e applicazioni si connettono ancora con l'autenticazione di base. Inoltre, vale la pena fare un inventario dell'infrastruttura: dove vengono inviate le e-mail automatiche (scan-to-mail, ERP, monitoraggio, soluzioni di settore)? Spesso vengono alla luce sistemi che funzionano da anni senza modifiche e che non sono più al centro dell'attenzione da tempo.
     
  3. È obbligatorio convertire tutti i sistemi a OAuth 2.0?
    Dal punto di vista della sicurezza, OAuth 2.0 è lo stato finale. Ovunque siano disponibili aggiornamenti, nuove versioni o modifiche alla configurazione, è opportuno effettuare la conversione diretta. In pratica, tuttavia, esistono dispositivi e applicazioni che non supportano OAuth 2.0 e non ricevono più aggiornamenti. Questi sistemi possono continuare a funzionare tramite tecnologie ponte come un servizio SMTP Relay, senza compromettere i requisiti di sicurezza di Exchange Online.
     
  4. Cosa succede concretamente se non faccio nulla entro aprile 2026?
    Fino alla fine di dicembre 2026, per i tenant Exchange Online esistenti non cambierà nulla, per il momento. Successivamente, l'autenticazione SMTP AUTH Basic verrà disattivata per impostazione predefinita. Gli amministratori potranno riattivare la funzione per il momento, ma Microsoft ha già annunciato che la rimuoverà completamente in un secondo momento. I sistemi che continuano a utilizzare l’autenticazione di base non potranno più inviare e-mail dopo la disattivazione. Ciò riguarda tipicamente l’invio di fatture, messaggi di stato, allarmi o funzioni di scansione verso e-mail. Singoli malfunzionamenti tecnici possono così trasformarsi rapidamente in un rischio aziendale.Fino alla fine di dicembre 2026, per i tenant Exchange Online esistenti non cambierà nulla, per il momento. Successivamente, l'autenticazione SMTP AUTH Basic verrà disattivata per impostazione predefinita. Gli amministratori potranno riattivare la funzione per il momento, ma Microsoft ha già annunciato che la rimuoverà completamente in un secondo momento. I sistemi che continuano a utilizzare l’autenticazione di base non potranno più inviare e-mail dopo la disattivazione. Ciò riguarda tipicamente l’invio di fatture, messaggi di stato, allarmi o funzioni di scansione verso e-mail. Singoli malfunzionamenti tecnici possono così trasformarsi rapidamente in un rischio aziendale.
     
  5. Un servizio di inoltro SMTP come MTF SMTP Mail Relay è solo una soluzione temporanea o è utile anche a lungo termine?
    Dipende dalla strategia dell'azienda. Per alcuni clienti, il servizio di inoltro è una soluzione temporanea che consente di guadagnare tempo per una modernizzazione graduale. Altri utilizzano consapevolmente il servizio a lungo termine per separare completamente i sistemi legacy da Microsoft 365, applicare le politiche di sicurezza centralizzate e gestire l'invio di e-mail dalle applicazioni tramite un servizio controllato e altamente disponibile in Svizzera.
     
  6. Da dove dovrei iniziare la pianificazione e in che modo MTF mi può aiutare?
    Il primo passo è sempre la trasparenza: quali sistemi inviano e-mail e in che modo? Su questa base segue la categorizzazione (modernizzabile, sostituibile, dipendente dal relay) e la prioritizzazione delle applicazioni critiche per l'azienda. MTF vi supporta in questo processo con un'analisi del vostro ambiente Exchange Online, la valutazione dei rischi e la creazione di un piano di migrazione, compresa l'implementazione di OAuth 2.0 ove possibile e l'integrazione del servizio MTF SMTP Mail Relay Service laddove è necessaria una tecnologia ponte.

Anche interessante 

CloudSecurity

Altro

ZeroTrust

Altro
Panoramica

Avete Domande?

Ümit Celebi
Key Account Manager
+41 61 378 94 94
[email protected]