Rechtzeitig umsteuern

von Christian Schulenburg

Für Exchange war die Basis-Authentifizierung lange Zeit ein schneller Weg der Anmeldung. Nachdem für IMAP, POP3 und Co. in Exchange Online das Ende bereits 2022 eingeläutet wurde, folgt nun auch SMTP. Wir zeigen Ihnen in diesem Betrag, bis wann Sie hier tätig werden müssen und welche Workarounds es gibt, um die Basis-Authentifizierung noch weiter zu nutzen.Exchange: Moderne Authentifizierung für SMTP

Microsoft entschied sich bereits 2018 dazu, die Basis-Authentifizierung bei Exchange Online zum Oktober 2020 abzuschalten. 2019 hat Redmond diese Abkündigung auf Exchange ActiveSync, POP3, IMAP und die Remote PowerShell ausgeweitet. Durch die Pandemie hat sich dieser Zeitplan verschoben und die Basis-Authentifizierung wurde erst 2022 deaktiviert. Das SMTP-Protokoll war davon jedoch bisher ausgenommen. Im April hat Microsoft nun mitgeteilt, die Unterstützung für die Basis-Authentifizierung im September 2025 auch für SMTP dauerhaft einzustellen [1].

Der Hintergrund der Abkündigung ist vor allem das größere Angriffspotenzial. Die Basis-Authentifizierung ist eine Legacy-Methode, die Benutzernamen und Kennwörter im Klartext über das Netzwerk sendet. Zusätzliche Sicherheitsmechanismen, etwa die Multifaktor-Authentifizierung, kommen aber noch immer nicht flächendeckend zum Einsatz. Zukünftig soll deshalb die Anmeldung über die moderne Authentifizierung erfolgen. Dabei handelt es sich um eine Sammlung von Authentifizierungs- und Autorisierungsmethoden.

Für die Autorisierung kommt OAuth (Open Authorization) zum Einsatz. OAuth ist ein offenes Sicherheitsprotokoll für die Token-basierte Autorisierung und Authentifizierung. Bei Microsoft 365 authentifiziert sich der Client gegenüber Microsoft Entra ID und erhält einen Token, mit dem sich der Client gegenüber anderen Diensten wie Exchange ausweist. Das Kennwort selbst wird am Client nicht mehr gespeichert, sondern lediglich der Token. Die moderne Authentifizierung ist Voraussetzung für eine mehrstufige Authentifizierung, die kennwortlose Anmeldung über die Authenticator-App oder die Nutzung von Clientzertifikaten.

Schrittweise Abschaltung

Microsoft begleitet den Weg bis zur Abschaltung. Zunächst wird im September 2024 der "SMTP AUTH-Client"-Bericht im Exchange Admin Center (EAC) erweitert. Dieser soll anzeigen, ob "Basic Auth" oder "OAuth" zum Übermitteln von E-Mails an Exchange Online Verwendung findet. Im Januar 2025 wird Redmond dann im Nachrichtencenter einen Beitrag an Mandanten senden, die die Basis-Authentifizierung verwenden. Hierüber sollen die Nutzer über die bevorstehende Änderung aufmerksam gemacht werden.

Im September 2025, etwa 30 Tage vor der Deaktivierung der Basis-Authentifizierung, gehen erneut Nachrichten an Mandanten, die diese weiterhin verwenden. Im September 2025 erfolgt abschließend die Deaktivierung mit den Endpunkten "smtp.office365.com" und "smtp-legacy. office365.com". Clients oder Anwendungen, die eine Verbindung mit der Basis-Authentifizierung herstellen wollen, sehen sich ab dann mit der Antwort "550 5.7.30 Basic authentication is not supported for Client Submission" konfrontiert.

Für ab Oktober 2020 neu gestartete Microsoft-365-Subskriptionen wurde die Basis-Authentifizierung bereits standardmäßig deaktiviert, ebenso bei ungenutzten Abonnements. Das SMTP-Protokoll und lokale Exchange-Umgebungen waren von den Änderungen aber eben nicht betroffen.

Basis-Authentifizierung enttarnen

Zur SMTP-Client-E-Mail-Übermittlung kommt das SMTP-AUTH-Protokoll zum Einsatz. Praktisch alle modernen E-Mail-Clients, die eine Verbindung zu Exchange Online herstellen, nutzen aber nicht mehr SMTP AUTH zum Senden von E-Mail-Nachrichten. Deshalb empfiehlt Microsoft, das Protokoll in der Exchange-Online-Organisation zu deaktivieren - bei Bedarf kann es je Postfach aktiviert werden.

Ob die Basis-Authentifizierung für SMTP in der Organisation überhaupt zur Anwendung kommen kann, hängt davon ab, ob SMTP AUTH noch aktiv ist. Dies lässt sich mit der PowerShell schnell herausfinden. Stellen Sie zunächst mittels Connect-ExchangeOnline eine Verbindung her. Der folgende Befehl prüft im Anschluss, ob die SMTP-Übermittlung mit Basis-Authentifizierung möglich ist:

Ist der Wert auf "True" gesetzt, ist die Übermittlung innerhalb der Organisation deaktiviert. Sie lässt sich aber wieder je Postfach aktivieren. Um den Status der einzelnen Postfächer abzufragen, prüfen Sie das Attribut "SmtpClientAuthenticationDisabled" über Get-CASMailbox bei den Postfächern. Ist der Wert leer, greift die Standardeinstellung der Organisation. Ist der Wert auf "False" gesetzt, kann der Nutzer noch die Basis-Authentifizierung nutzen. Über den folgenden Befehl fragen Sie alle Postfächer ab, die noch über die Basis-Authentifizierung versenden können:

Zugriffe auf dem Prüfstand

Bevor Sie nun aber einfach die Basis-Authentifizierung an dieser Stelle deaktivieren, sollten Sie prüfen, wie umfangreich sie noch genutzt wird. Wie bereits erwähnt, will Microsoft die Berichte im EAC demnächst erweitern. Übergangsweise können Sie aber die Überwachung der Anmeldung in Microsoft Azure nutzen. Melden Sie sich dazu zunächst in Azure an und wechseln Sie in das Microsoft Entra ID. Im rechten Bereich finden Sie bei der Überwachung den Punkt "Anmeldungen".

In der angezeigten Liste sehen Sie zunächst alle Anmeldungen Ihrer Umgebung. Fügen Sie nun den zusätzlichen Filter "Client-App" hinzu und wählen Sie das SMTP-Protokoll in den Legacy-Authentifizierungsclients aus. Sie erhalten nun eine Liste mit den Basis-Anmeldungen. Der Filter lässt sich auch andersherum nutzen, sodass Sie damit Anmeldungen mit der modernen Authentifizierung auf den Screen bringen. Hier sollten Sie feststellen können, ob es etwa noch Kopiergeräte oder Anwendungen gibt, die mit einer Basis-Authentifizierung versenden.

Workaround mit HVE

Um nun auf die Basis-Authentifizierung zu verzichten, ist es das Einfachste, auf OAuth umzusteigen. Sollte aus welchen Gründen auch immer weiterhin die Basis-Authentifizierung nötig sein, zeigt Microsoft einige Alternativen auf. Unterschieden wird dabei, ob es sich um externe oder interne Empfänger handelt. Geht es nur um interne Adressaten, empfiehlt Microsoft die Nutzung von "High Volume Email for Microsoft 365" (HVE). Dabei handelt es sich um einen neuen Dienst, der in erster Linie für Geschäftsanwendungen mit hohem E-Mail-Aufkommen entwickelt wurde. Dieser ermöglicht es, interne Nachrichten an Exchange Online mit der Basis-Authentifizierung zu versenden.

HVE lässt sich im Exchange Admin Center unter dem Punkt "E-Mail-Fluss" und "E-Mail mit hohem Volumen (Vorschau)" einrichten. Hier können Sie aktuell bis zu 20 HVE-Konten anlegen, die für den Versand zum Einsatz kommen. Bei der Einrichtung bedarf es nur einer E-Mail-Adresse und eines Kennworts. Die Benutzerübersicht des EAC führt diese Konten nicht auf. Die Nutzerdaten finden im Anschluss zum Versand über den SMTP-Host "smtp-hve.office365.com" Verwendung.

HVE-Konten können auch E-Mails versenden, wenn "SMTPClientAuthenticationDisabled" innerhalb der Organisation auf "True" gesetzt ist. Wichtig ist, dass die "Security Defaults" nicht aktiv sind, da in diesem Fall die gesamte Basis-Authentifizierung einschließlich SMTP deaktiviert ist, sodass auch HVE nicht mehr funktioniert. Im Bereich "Berichte" und "E-Mail-Fluss" steht ein entsprechender Report zur Verfügung, der das Nutzerverhalten von HVE aufzeigt. Mehr zu HVE beschreibt Microsoft unter [2] ausführlich.

Azure Communication Services für externen Versand

Sofern die E-Mails auch nach extern zu versenden sind, setzt Microsoft auf "Azure Communication Services for Email". Azure Communication Services bietet Unternehmen eine überfangreiche Kommunikationsplattform, die verschiedene Formate wie Sprach- und Videoanrufe, Rich-Text-Chat, SMS, E-Mail und die erweiterte Nachrichtenübermittlung für WhatsApp unterstützt. Die SMTP-Unterstützung in Azure Communication Services lässt sich ebenfalls nutzen, um E-Mails einfach zu versenden.

Um den Dienst zu verwenden, richten Sie in Azure zunächst den "E-Mail-Kommunikationsdienst" ein. Innerhalb dessen können Sie als Absender-Domain eine kostenlose Azure-Subdomain oder die eigene Domain nutzen. Diese Domain wird dann mit der Azure-Communication-Services-Ressource verknüpft. In der zusätzlich eingerichteten Communication-Services-Instanz in Azure versenden Sie zum Testen auch gleich eine E-Mail. Der administrative Rahmen ist damit geschaffen und die Entwickler können sich nun zu den Ressourcen verbinden und an die E-Mail-API Nachrichten versenden. Mehr zu dem Thema [3] finden Sie ebenfalls in den Microsoft-Ressourcen.

Als Letztes sei noch auf lokale Exchange-Umgebungen verwiesen, über die auch weiterhin die Basis-Authentifizierung zur Verfügung steht.

Direktes Versenden an Exchange Online

An dieser Stelle möchten wir noch Möglichkeiten aufzeigen, wie Sie gegebenenfalls komplett auf eine Authentifizierung verzichten können. Solange E-Mails nur in Postfächern in Ihrem Unternehmen ankommen sollen, lassen sich Nachrichten direkt an den mx-Record von Microsoft 365 senden. Dabei sind keine Anmeldeinformationen nötig. Als SMTP-Server tragen Sie am Gerät den mx-Eintrag Ihrer Subskription ein, also etwa "contoso-com.mail.protection.outlook.com".

Herausfinden können Sie den Wortlaut in den DNS-Einstellungen der Domänenkonfiguration in der Microsoft-365-Administration im Punkt "Einstellungen" und "Domänen". Der Eintrag entspricht Ihrer Domain, wobei die Punkte durch Striche ersetzt und um die Syntax ".mail. protection.outlook.com" ergänzt werden. Der Name der Domain "schulenburg.co" lautet somit "schulenburg-co.mail.protection.outlook.com".

Als Port kommt wieder Port 25 zur Anwendung und TLS sollte aktiviert sein. Als Absenderadresse nutzen Sie eine beliebige Adresse einer in Microsoft 365 akzeptierten Domain. Diese muss dabei keinem Benutzer zugeordnet sein. Es empfiehlt sich, eine Adresse wie "do_not_reply@ contoso.com" zu verwenden. Da die Nachricht von extern zugestellt wird, erfolgt in Microsoft 365 eine Absenderprüfung, weshalb Sie die öffentlich IP-Adresse, von der die E-Mail kommt, im SPF-Record ergänzen müssen. Der SPF-Eintrag sollte einfach um den ip4-Eintrag erweitert werden:

Den Standardeintrag des SPF-Records entnehmen Sie ebenfalls den Domaineinstellungen. Das Senden an lokale Empfänger sollte nun möglich sein. Versuchen Sie jedoch, auf diesem Weg E-Mails an unbekannte Personen oder Personen außerhalb Ihrer Umgebung zu senden, werden diese zurückgewiesen.

Beachten Sie, dass jeder, der über die öffentlich IP-Adresse eine E-Mail an Ihren Microsoft-365-Server sendet, E-Mails weiterleiten kann. Es erfolgt keine zusätzliche Autorisierung und Sie sollten an Ihrer Firewall genau definieren, wer Port 25 nutzen darf. Es gilt zu vermeiden, dass ein unbedarfter Client Massen an E-Mails versendet und Sie auf einer Deny-Liste landen. Die Antispam-Einstellungen sollten Sie dabei unbedingt im Blick behalten. Taucht Ihre IP-Adresse hier auf, wird ein Senden zu Microsoft 365 von Ihrer öffentlichen IP-Adresse sehr schnell unterbunden. Ob Sie auf einer Blacklist stehen, prüfen Sie zum Beispiel unter [4].

Schlagen Ihre ersten Sendeversuche Richtung Microsoft 365 mit dem Fehler "550 5.7.606-649 Access denied, banned sending IP" fehl, ist Ihre genutzte IP-Adresse von Microsoft zunächst blockiert. Sie lässt sich aber über "https://sender.office.com" schnell freischalten. Sie geben dort einfach die freizugebene IP-Adresse sowie eine administrative E-Mail-Adresse an, die im Anschluss eine Freischaltungsnachricht erhält.

Relaying über M365

Möchten Sie auf ein Postfach verzichten und auch E-Mails an externe Adressaten senden, ist das Relayen über Microsoft 365 ein Alternative. Hierfür benötigen Sie einen eigenen Empfangs-Connector in Microsoft 365. Dieser nimmt die E-Mails von Ihrem Gerät beziehungsweise der Anwendung entgegen und hat die entsprechenden Rechte, diese auch nach extern weiterzuleiten.

Am Gerät kommen zunächst wieder die vorab beschriebenen Verbindungseinstellungen zur Anwendung, wobei auch der SPF-Eintrag gesetzt werden muss. Nutzen Sie Port 25 und aktivieren Sie nach Möglichkeit TLS/StartTLS. Als Absenderadresse nutzen Sie wieder eine beliebige Adresse Ihrer Subskription.

Wechseln Sie nun in das Exchange Admin Center von Exchange Online zum Punkt "Nachrichtenfluss" und "Connectoren". Hier richten Sie einen Connector für den Empfang von E-Mails von der lokalen Umgebung ein. Starten Sie die Erstellung über das Pluszeichen und wählen Sie im Bereich "Von" den Eintrag "E-Mail-Server Ihrer Orgnisation" und bei "An" den Eintrag "Office 365". Geben Sie dem neuen Connector einen Namen und tragen Sie die externe IP-Adresse der sendenden Geräte ein. Alternativ können Sie auch eine Domain angeben, sodass eine Authentifizierung über das Zertifikat erfolgt.

Ist der neue Connector gespeichert, steht Microsoft 365 auf Empfang und leitet über den Connector eingehende E-Mails nach extern weiter. Damit lassen sich nun auch ohne Authentifizierung E-Mails an externe Empfänger senden. Eine detaillierte Anleitung dazu finden Sie unter [5].

Fazit

Der Artikel hat Ihnen die Änderungen und Handlungsmöglichkeiten im Rahmen der Deaktivierung der Basis-Authentifizierung in Microsoft 365 für SMTP aufgezeigt. Sofern Sie hier noch nicht aktiv geworden sind, ist jetzt der richtige Zeitpunkt, um mit der Umstellung der Basis-Authentifizierung zu beginnen - damit es dann im September 2025 keine bösen Überraschungen gibt.