Microsoft schaltet SMTP Basic Auth ab – dein Fahrplan zur Umstellung

von Sep. 1, 2025Office 3650 Kommentare

Microsoft stellt die Basic Authentication für SMTP AUTH (Client Submission) in Exchange Online ein. Wer noch Scanner, MFPs oder Anwendungen per Benutzername/Passwort an smtp.office365.com betreibt, sollte jetzt umstellen – sonst drohen ab 2026 Versandfehler.

Warum wird SMTP Basic Auth abgeschaltet?

Basic Auth überträgt Zugangsdaten in Base64 und lässt sich nicht sauber mit MFA oder Conditional Access absichern. OAuth 2.0 (Modern Authentication) arbeitet mit kurzlebigen Tokens, klaren Berechtigungen und besserem Auditing – das reduziert kompromittierte Konten und Spam aus gehackten Postfächern.

Merksatz: Alles, was heute noch mit Benutzername/Passwort an SMTP hängt, ist technischer Schuldenberg – und fällt 2026 als Erstes auf die Füße.

Zeitplan (Stand: 09/2025)

  • ab 1. März 2026: Microsoft beginnt, Basic-Auth-Anfragen für SMTP Client Submission schrittweise abzulehnen.
  • ab 30. April 2026: vollständige Blockierung – Verbindungen werden mit 550 5.7.30 Basic authentication is not supported for Client Submission abgewiesen.

Zeitpläne können sich ändern – Message Center im Blick behalten.

Bin ich betroffen?

Schnell-Check

  • Nutzt ein Gerät/Tool smtp.office365.com mit Benutzername/Passwort?
  • Port 587 + STARTTLS, aber kein OAuth-Flow?
  • Im EAC Report „SMTP AUTH Client Submission“ tauchen Einträge auf?

Wenn ja → umstellen.

Typische Kandidaten

  • MFP/Scanner („Scan-to-Mail“)
  • ERP/CRM-Benachrichtigungen, Ticket-Systeme
  • Skripte, IoT-Gateways, Alarmanlagen

Alternativen im Überblick

Lösung Einsatzfall Pro Kontra
SMTP AUTH mit OAuth 2.0 Moderne Apps/Geräte mit OAuth-Support Sicher, MFA/CA-fähig, auditierbar Firmware/Update & App-Registrierung nötig
SMTP Relay (Exchange Online Connector) Altgeräte ohne OAuth; intern & extern IP-basiert, kein Benutzerkennwort Saubere SPF/DKIM/DMARC-Konfig nötig
Direct Send (MX-Endpoint) Rein interne Zustellung Kein Login erforderlich Extern limitiert/nicht empfohlen
Azure Communication Services – Email Applikationen, transaktionale Mails API-basiert, skalierbar Integration/Entwicklung erforderlich
On-Prem-Relay / Hybrid Bestehende Hybrid-Umgebungen Altgeräte bleiben unverändert Eigener Betrieb & Absicherung

Konkrete Schritte zur Umstellung

1) Bestandsaufnahme

  1. EAC-Report „SMTP AUTH Client Submission“ prüfen.
  2. Geräte/Apps inventarisieren (Modell, Firmware, Absender, Zielgruppen).
  3. Entscheiden: OAuth möglich? Falls nein → Relay/Direct-Send/ACS.

2) Umsetzung – Reihenfolge

  1. Pilot mit wenigen Systemen.
  2. OAuth wo möglich (App-Registrierung, Berechtigungen, Gerätekonfig).
  3. SMTP Relay für Altgeräte (feste IPs, Connector, SPF/DKIM/DMARC).
  4. Direct Send für rein interne Zustellung (MX, Port 25, TLS).
  5. Dokumentation & Schulung.

Kurzanleitung: OAuth 2.0 für SMTP AUTH

  1. App-Registrierung in Entra ID anlegen; passende Berechtigungen; Admin-Consent.
  2. Client-Secret oder Zertifikats-Flow wählen; Secrets sicher speichern.
  3. SMTP-Parameter am Gerät/Tool: Server smtp.office365.com, Port 587 (STARTTLS), Auth OAuth 2.0.
  4. Tests intern & extern; Header auf SPF/DKIM/DMARC prüfen.

Kurzanleitung: SMTP Relay (Exchange Online)

  1. Statische Absender-IP(s) definieren; Firewall Outbound Port 25 (TLS) öffnen.
  2. Connector „From: Organization’s email server → To: Office 365“ erstellen.
  3. Geräte/Apps ohne Login über das Relay senden lassen (Absenderdomäne erlauben).
  4. SPF anpassen, idealerweise DKIM/DMARC aktivieren.

Praxis: MFP/Scanner richtig umstellen

Gerät kann OAuth

  • Neueste Firmware einspielen
  • Tenant-/Client-ID hinterlegen, OAuth aktivieren
  • Dediziertes Absenderpostfach (no-reply) nutzen

Gerät kann kein OAuth

  • SMTP Relay verwenden (IP-basiert)
  • Nur erlaubte Absenderdomänen
  • Logging/Limits aktivieren

Nur interne Zustellung

  • Direct Send via MX
  • Port 25, TLS, ohne Auth
  • Extern separat lösen
Kommunikationsbaustein für Anwender:

„Aufgrund neuer Microsoft-Sicherheitsvorgaben stellen wir den E-Mail-Versand unserer Geräte und Anwendungen um. Kurzzeitig können Absenderadressen abweichen. Bei Fragen bitte den IT-Support kontaktieren.“

FAQ – häufige Fragen

Gilt das nur für alte Protokolle – was ist mit modernen Clients?

Outlook/OWA arbeiten bereits mit Modern Auth. Betroffen ist vor allem Client Submission via SMTP mit Benutzername/Passwort.

Gibt es Ausnahmen für Basic Auth?

Microsoft entfernt die Ausnahme. Plane eine Umstellung; dauerhafte Ausnahmen sind nicht vorgesehen.

Warum scheitert Direct Send an externe Domains?

Direct Send ist im Regelfall für interne Zustellung gedacht. Extern greifen Anti-Spoofing-Mechanismen. Nutze für externen Versand OAuth, SMTP Relay oder ACS.

Stand: September 2025. Microsoft kann Zeitpläne ändern. Wir unterstützen bei App-Registrierung, Connector-Design sowie SPF/DKIM/DMARC.

Jonas Mohr

Related Articles

Cloud-Backups für Microsoft 365 – Shared-Responsibility ist real

EU-Barrierefreiheit (EAA) für Onlineshops & Services – bis wann, was, wie?

Erstellung Automatischer Belege (SevDesk) über Power Automate