Avete Domande?
Fabian Müller
Managing Director, Schaffhausen Region
La fine dell'autenticazione di base Microsoft
Microsoft continua a migliorare la sicurezza e nei prossimi mesi eliminerà uno degli ultimi metodi di accesso obsoleti rimasti in Exchange Online: l'autenticazione di base per l'invio client SMTP AUTH. Molte aziende utilizzano ancora questo metodo per i processi automatizzati, spesso inconsapevolmente e profondamente integrato nei flussi di lavoro aziendali.
Con la disattivazione dell'autenticazione di base per l'invio client (SMTP AUTH), Microsoft prosegue con coerenza il suo piano pluriennale volto a migliorare la sicurezza del cloud. Il calendario è stato definito: a partire dal 1° marzo 2026, Microsoft inizierà a rifiutare le prime connessioni con autenticazione di base, mentre il 30 aprile 2026 l'autenticazione di base per SMTP AUTH sarà completamente disattivata. Quello che a prima vista sembra un cambiamento tecnico di dettaglio può avere un impatto diretto sui processi aziendali, ad esempio quando fatture, allarmi o messaggi di stato non possono più essere inviati via e-mail. Per le aziende è ora il momento giusto per verificare il proprio ambiente e pianificare la transizione in modo strutturato.
Perché Microsoft ABOLISCE L'AUTENTICAZIONE BASIC
L'autenticazione di base rappresenta oggi un rischio fondamentale per la sicurezza. Il nome utente e la password vengono trasmessi solo con codifica Base64 ad ogni connessione, il che costituisce una porta aperta al phishing, agli attacchi brute force e al credential stuffing.
Ancora più critico: l'autenticazione di base vanifica i moderni concetti di sicurezza, poiché non supporta l'autenticazione a più fattori (MFA). Finché un tenant accetta l'autenticazione di base, rimane aperta una backdoor, anche se in altri punti sono già stati implementati meccanismi di sicurezza avanzati.
Microsoft segue quindi una linea chiara: abbandonare gli accessi basati su password a favore dello Zero Trust e dell'autenticazione moderna basata su token tramite OAuth 2.0. OAuth 2.0 riduce significativamente il rischio di furto delle password, può essere controllato in modo granulare e costituisce la base per controlli di sicurezza stabili. La disattivazione dell'autenticazione di base per altri protocolli è già avvenuta; con SMTP AUTH cade ora una delle ultime eccezioni rimaste.
COS'È IN REALTÀ OAUTH 2.0?
Immaginate di fare il check-in in un hotel. Invece di ricevere la chiave generale dell'edificio (password/autenticazione di base), vi viene consegnata una chiave magnetica (token). Questa chiave apre solo la vostra camera e forse la palestra, e solo per la durata del vostro soggiorno. Se la chiave viene rubata, la camera blindata rimane comunque sicura.
È esattamente così che funziona OAuth 2.0: un'applicazione (ad es. uno scanner) non riceve la vostra password, ma un token di accesso a tempo determinato. Questo token consente solo azioni chiaramente definite (ad es. “inviare e-mail”) e può essere revocato in qualsiasi momento senza dover modificare la password principale. Ciò aumenta notevolmente la sicurezza, il login rimane compatibile con i moderni metodi come l'MFA e il rischio di compromissione dei dati di accesso diminuisce sensibilmente.
IL CALENDARIO FINO ALLA CHIUSURA DEFINITIVA
Affinché il passaggio non avvenga dall'oggi al domani, Microsoft ha deliberatamente suddiviso il processo in più fasi. Da ottobre 2024, nell'Exchange Admin Center è disponibile un report aggiornato per SMTP AUTH Client Submission. Questo report mostra quali dispositivi e applicazioni utilizzano ancora l'autenticazione di base. Per gli amministratori, questo è il punto di partenza per creare trasparenza e compilare un elenco completo di tutti i sistemi interessati.
Il 1° marzo 2026 Microsoft inizierà a rifiutare in modo mirato una piccola parte delle connessioni Basic Auth. Si tratta di una misura intenzionale che funge da test pratico: i sistemi che da quel momento in poi non invieranno più e-mail in modo sporadico dovranno intervenire. Le aziende riceveranno così un chiaro segnale prima che la modifica diventi definitiva.
Il 30 aprile 2026 l'autenticazione di base per SMTP AUTH sarà completamente disattivata. Ogni tentativo di connessione con Basic Auth verrà rifiutato e confermato con il messaggio “550 5.7.30 Basic authentication is not supported for Client Submission”. Non sono previste ulteriori proroghe o deroghe.
LA SFIDA: QUANDO L'HARDWARE NON È ABBASTANZA “INTELLIGENTE”
In teoria, il passaggio a OAuth 2.0 è semplice. Nella pratica, tuttavia, spesso fallisce a causa dell'infrastruttura esistente in background. Mentre laptop e smartphone sono stati modernizzati da tempo, stampanti, scanner, sistemi ERP più vecchi o script continuano a comunicare ostinatamente con nome utente e password.
Esempi tipici sono uno scanner che invia le bolle di consegna a un indirizzo di posta centrale, un sistema ERP che invia automaticamente le conferme d'ordine via e-mail o uno strumento di monitoraggio che invia allarmi al servizio di picchetto in caso di guasti. Per molti di questi dispositivi non esistono più aggiornamenti firmware attuali. Una sostituzione completa dell'hardware o del sistema sarebbe tecnicamente possibile, ma spesso sproporzionata dal punto di vista economico.
Pertanto, un'analisi sistematica delle connessioni esistenti è il primo passo più importante. Chi sa in anticipo dove è ancora in uso l'autenticazione di base può pianificare la conversione, consapevole dei rischi e senza fretta.
RACCOMANDAZIONI CONCRETE PER L'AZIONE
Le aziende dovrebbero procedere in modo strutturato:
- Effettuare un inventario
Il rapporto SMTP AUTH Client Submission Report nell'Exchange Admin Center aiuta a identificare tutti i sistemi che utilizzano ancora l'autenticazione di base, comprese le sedi utilizzate raramente e le soluzioni speciali.
- Categorizzare i sistemi
Quali possono essere convertiti a OAuth 2.0 tramite aggiornamento o configurazione? Quali sono obsoleti e devono essere sostituiti a medio termine? E per quali sistemi la sostituzione è auspicabile, ma non realistica a breve termine?
- Creare un piano di migrazione
Su questa base è possibile creare un piano di migrazione che dia priorità ai sistemi critici per l'azienda e preveda tempo sufficiente per i test. Per i sistemi moderni è spesso sufficiente una semplice modifica della configurazione; Microsoft mette a disposizione una documentazione completa per l'implementazione di OAuth. Per i sistemi più vecchi, vale la pena dare un'occhiata agli aggiornamenti del firmware disponibili o consultare il produttore.
Percorsi di migrazione: da OAuth a SMTP Relay
La strategia dovrebbe essere duplice.
- Modernizzazione (priorità 1)
Ove possibile, i sistemi dovrebbero essere convertiti direttamente a OAuth 2.0, sia tramite aggiornamenti software, aggiornamenti firmware o modifiche alla configurazione. Molte applicazioni e servizi attuali supportano già l'autenticazione moderna. Dopo la conversione, l'accesso è più sicuro, tracciabile e integrabile nelle politiche di sicurezza esistenti.
- Tecnologia ponte (priorità 2)
Nella pratica, tuttavia, non tutti i sistemi sono “compatibili con OAuth”. Per i sistemi che non possono essere modernizzati è necessario un intermediario. Le stampanti multifunzione più vecchie, le soluzioni di settore o le applicazioni sviluppate individualmente spesso non supportano OAuth 2.0 e non ricevono più aggiornamenti, ma continuano a essere indispensabili per il funzionamento. In questi casi è utile un servizio SMTP Relay, che funge da ponte tra i sistemi legacy e la moderna infrastruttura di posta elettronica. I sistemi più vecchi si connettono al relay, che garantisce una comunicazione sicura con Exchange Online e soddisfa i requisiti di Microsoft 365.
Rischi in caso di mancata conversione
È allettante rimandare la questione. Tuttavia, chi ritarda la conversione rischia, a partire da maggio 2026, interruzioni nell'invio automatico delle e-mail: le fatture rimangono bloccate nell'ERP, le funzioni di scansione e invio via e-mail non funzionano più, gli allarmi dei sistemi di monitoraggio non raggiungono più nessuno. I singoli malfunzionamenti si trasformano rapidamente in un rischio economico, con conseguenze per l'efficienza, la soddisfazione dei clienti e, in alcuni casi, anche per la conformità. La conversione non è quindi solo un dettaglio tecnico, ma un progetto critico per l'azienda.
SMTP MAIL RELAY DAL MTF BUSINESS CLOUD
Come tecnologia ponte, MTF offre un servizio SMTP Mail Relay dal MTF Business Cloud. Il servizio è stato progettato appositamente per scenari in cui è necessario continuare a utilizzare sistemi che non supportano l'autenticazione moderna, ma che devono continuare a inviare e-mail in modo affidabile.
Il servizio di inoltro funziona nel nostro ambiente cloud svizzero ad alta disponibilità, è ottimizzato per l'invio da applicazioni e dispositivi e può essere integrato in modo controllato nei requisiti di sicurezza e conformità esistenti. Le aziende mantengono il controllo su mittenti, instradamento e linee guida, mentre la complessità tecnica della connessione a Exchange Online viene ridotta.
I vantaggi di questa soluzione sono evidenti:
- Continuità di funzionamento dei dispositivi esistenti senza sostituzione dell'hardware.
- Archiviazione dei dati in Svizzera nel nostro MTF Business Cloud altamente disponibile.
- Disaccoppiamento dai sistemi legacy senza compromessi in termini di sicurezza del cloud.
MTF: IL VOSTRO PARTNER PER SOLUZIONI DI AUTENTICAZIONE MODERNE
È stata decisa la disattivazione dell'autenticazione di base per SMTP AUTH. Le aziende hanno tempo fino ad aprile 2026 per adeguare il proprio ambiente, ma questo tempo dovrebbe essere sfruttato attivamente. Tra i prossimi passi figurano un inventario strutturato, la valutazione dei sistemi interessati e la decisione di modernizzare o adottare una soluzione di inoltro.
MTF vi supporta nel rendere questa transizione pianificabile e sicura. Analizziamo il vostro ambiente Exchange Online, identifichiamo tutte le connessioni rilevanti e sviluppiamo insieme a voi un piano di migrazione, dal passaggio diretto a OAuth 2.0 all'integrazione del servizio SMTP Mail Relay dal MTF Business Cloud.
Se volete assicurarvi che la vostra comunicazione e-mail continui a funzionare senza intoppi anche dopo aprile 2026, vale la pena discuterne tempestivamente. Contattateci per una consulenza senza impegno: vi accompagneremo passo dopo passo nella transizione.
FAQ
- La disattivazione dell'autenticazione di base riguarda solo SMTP o anche altri protocolli in Exchange Online?
La modifica ora annunciata si riferisce specificatamente all'autenticazione di base per SMTP AUTH Client Submission. Molti altri protocolli come POP, IMAP o Exchange ActiveSync sono già stati convertiti all'autenticazione moderna in precedenti ondate. Tuttavia, per le aziende che utilizzano SMTP per le e-mail automatizzate, quest'ultima modifica è spesso la più evidente, soprattutto nel caso di stampanti, scanner, sistemi ERP e script.
- Come posso scoprire quali sistemi nel mio ambiente utilizzano ancora l'autenticazione di base per SMTP?
Il punto di partenza più importante è il rapporto SMTP AUTH Client Submission Report nell'Exchange Admin Center. Mostra quali dispositivi e applicazioni si connettono ancora con l'autenticazione di base. Inoltre, vale la pena fare un inventario dell'infrastruttura: dove vengono inviate le e-mail automatiche (scan-to-mail, ERP, monitoraggio, soluzioni di settore)? Spesso vengono alla luce sistemi che funzionano da anni senza modifiche e che non sono più al centro dell'attenzione da tempo.
- È obbligatorio convertire tutti i sistemi a OAuth 2.0?
Dal punto di vista della sicurezza, OAuth 2.0 è lo stato finale. Ovunque siano disponibili aggiornamenti, nuove versioni o modifiche alla configurazione, è opportuno effettuare la conversione diretta. In pratica, tuttavia, esistono dispositivi e applicazioni che non supportano OAuth 2.0 e non ricevono più aggiornamenti. Questi sistemi possono continuare a funzionare tramite tecnologie ponte come un servizio SMTP Relay, senza compromettere i requisiti di sicurezza di Exchange Online.
- Cosa succede concretamente se non faccio nulla entro aprile 2026?
A partire dal 1° marzo 2026, le prime connessioni Basic Auth saranno rifiutate in via sperimentale, mentre dal 30 aprile 2026 tutti gli accessi Basic Auth per SMTP saranno definitivamente bloccati. I sistemi che continuano a utilizzare l'autenticazione di base non potranno più inviare e-mail. Ciò riguarda in genere l'invio di fatture, messaggi di stato, allarmi o funzioni di scansione e invio tramite e-mail. Singoli malfunzionamenti tecnici possono quindi trasformarsi rapidamente in un rischio economico.
- Un servizio di inoltro SMTP come MTF SMTP Mail Relay è solo una soluzione temporanea o è utile anche a lungo termine?
Dipende dalla strategia dell'azienda. Per alcuni clienti, il servizio di inoltro è una soluzione temporanea che consente di guadagnare tempo per una modernizzazione graduale. Altri utilizzano consapevolmente il servizio a lungo termine per separare completamente i sistemi legacy da Microsoft 365, applicare le politiche di sicurezza centralizzate e gestire l'invio di e-mail dalle applicazioni tramite un servizio controllato e altamente disponibile in Svizzera.
- Da dove dovrei iniziare la pianificazione e in che modo MTF mi può aiutare?
Il primo passo è sempre la trasparenza: quali sistemi inviano e-mail e in che modo? Su questa base segue la categorizzazione (modernizzabile, sostituibile, dipendente dal relay) e la prioritizzazione delle applicazioni critiche per l'azienda. MTF vi supporta in questo processo con un'analisi del vostro ambiente Exchange Online, la valutazione dei rischi e la creazione di un piano di migrazione, compresa l'implementazione di OAuth 2.0 ove possibile e l'integrazione del servizio MTF SMTP Mail Relay Service laddove è necessaria una tecnologia ponte.