Exchange OnlineがSMTP送信時にクライアントの基本認証のサポートを来年9月から辞めるので、基本認証に代わりOAuthを使わないといけなくなるという内容です。メール送信時の認証方法がOAuth一択になるという感じです。
ちなみに文章中には permanently remove support for Basic authentication とあり、サポートが終わるだけで使用は出来るんじゃないか?と思うかもしれませんが、文章を読んでいると恐らくサポート終了=サービス提供終了のような気もします。
理由としては、
Basic auth is a legacy authentication method that sends usernames and passwords in plain text over the network. This makes it vulnerable to credential theft, phishing, and brute force attacks.
ベーシック認証は、ユーザー名とパスワードをプレーンテキストでネットワーク上に送信する、レガシーな認証方法である。そのため、クレデンシャルの盗難、フィッシング、ブルートフォース攻撃に対して脆弱である。
とあり、もう陳腐化している技術なため捨てたい、という内容になります。
ちなみにフィッシング詐欺= Fishingだと思っている人は結構いますが、ここにある通りPhishingです。以前も紹介した、ハッカー用語であるl33t talkが元で、笑ったをワロスといったり、wを草というのと同じようなノリです。
まず、今年の9月からExchange 管理センターの SMTP AUTH クライアント送信レポートでExchange Onlineのメール送信時にどちらの認証が使われているかチェックできるようになります。
次に、来年の1月から基本認証を使用しているテナントに対して、メッセージセンター上で警告が出るようになります。
最後に、8月に最終警告がされて、9月より
- smtp.office365.com
- smtp-legacy.office365.com
のエンドポイントに対しての基本認証のサポートが終了し、550 5.7.30 Basic authentication is not supported for Client Submission. というエラーが表示されるようになります。
What you need to do to prepare:
は各ケース毎に基本認証から切り替えるための解説がされていますが、こちらに関しては各環境によって違うので、要検証という感じです。
上記にもある通り、来年の9月になると速攻で使えなくなるような書き方がされているし、そもそもセキュリティ的に問題のある認証でもあるので、OAuthに至急切り替えることを検討した方が良さそうです。
原文
Today, we are announcing that Exchange Online will permanently remove support for Basic authentication with Client Submission (SMTP AUTH) in September 2025. After this time, applications and devices will no longer be able to use Basic auth as an authentication method and must use OAuth when using SMTP AUTH to send email.
Basic auth is a legacy authentication method that sends usernames and passwords in plain text over the network. This makes it vulnerable to credential theft, phishing, and brute force attacks. To improve the protection of our customers and their data, we are retiring Basic auth from Client Submission (SMTP AUTH) and encouraging customers to use modern authentication methods that are more secure.
When this will happen:
We will be making this change in September 2025.
How this will affect your organization:
In September 2024, we will update the SMTP AUTH Clients Submission Report in the Exchange admin center to show if Basic auth or OAuth is being used to submit email to Exchange Online. In January 2025, we will send a Message Center post to tenants who are using Basic auth with Client Submission (SMTP AUTH) to alert them to the upcoming change. In August 2025, about 30 days before we disable Basic auth we will send another Message Center post to tenants who are still using Basic auth with Client Submission (SMTP AUTH).
During September 2025, we will remove support for Basic auth with the Client Submission (SMTP AUTH) endpoints:
- smtp.office365.com
- smtp-legacy.office365.com
Once Basic auth is permanently disabled, any clients or apps connecting using Basic auth with Client Submission (SMTP AUTH) will receive this response:
- 550 5.7.30 Basic authentication is not supported for Client Submission.
What you need to do to prepare:
If your client supports OAuth, follow these steps: Authenticate an IMAP, POP or SMTP connection using OAuth
If your client doesn’t support OAuth and you must use Basic Auth with Client Submission (SMTP AUTH), you will need to switch to one of the following alternatives before September 2025:
- If you are using basic authentication with Client Submission (SMTP AUTH) to send emails to recipients internal to your tenant, you can use Microsoft 365 High Volume Email. Please visit this site to learn more: Manage high volume emails for Microsoft 365 Public preview
- If you are using basic authentication with Client Submission (SMTP AUTH) to send emails to recipients internal and external to your tenant, you can use Azure Communication Services Email. Please visit this site to learn more: Overview of Azure Communication Services email
- If you have an Exchange Server on-premises in a hybrid configuration, you can use Basic auth to authenticate with the Exchange Server on-premises or configure the Exchange Server on-premises with a Receive connector that allows anonymous relay on Exchange servers. Please visit this site to learn more: Allow anonymous relay on Exchange servers
Regardless of the volume of email, if you must use Basic auth to send email with Exchange Online, then you must use one of the alternatives.
We understand that this change requires some adjustments, but we believe that this is a necessary step to enhance the security and reliability of our email service and your data.
