Deprecation of Basic authentication in Exchange Online

Exchange Online: Microsoft vypne Basic authentication pro Client Submission (SMTP AUTH)

autor:

Microsoft provede postupné vypnutí (ukončení podpory) Basic autentizace pro „Client Submission“ (SMTP AUTH) v Exchange Online. Start je 1. března 2026 s postupným odmítáním části požadavků a finální vypnutí proběhne 30. dubna 2026. Po tomto datu musí všechny aplikace a zařízení při odesílání přes SMTP AUTH používat OAuth (Modern Authentication), jinak pokus o odeslání skončí chybou.

Obsah

Co přesně se mění

  • Microsoft ukončí podporu (vypne) Basic autentizace (uživatelské jméno + heslo v prostém textu) pro Client Submission / SMTP AUTH v Exchange Online.
    Po dokončení se pokusy odesílat poštu přes Basic auth vrátí chybu 550 5.7.30 – Basic authentication is not supported for Client Submission. [techcommun…rosoft.com]
  • Zůstává funkční SMTP AUTH s OAuth (XOAUTH2), tedy moderní (tokenová) autentizace s podporou MFA a Conditional Access.

Proč se to děje

No, přece, abychom se my, „ajťáci“ měli čím bavit v prvním kvartále.

Ale teď vážně. Naprosté většině firem a zejména konzervativním ajťákům, se tato změna líbit opravdu nebude. Na druhou stranu – basic autentizace je zastaralá a riziková: přihlašovací údaje se posílají při každém požadavku v textové podobě a tento typ ověření neumožňuje bezpečnostní politiky jako MFA.

Microsoft dlouhodobě migruje své služby na moderní autentizaci; hlavní protokoly (EAS/IMAP/POP/EWS/Autodiscover) byly vypnuty už v roce 2022–2023; Pro SMTP AUTH byla tehdy výjimka, kterou nyní Microsoft definitivně uzavírá. O tomto plánu víme již od roku 2019, ale přiznejme si, kdo z vás to řešil a připravoval se? Chápu.

A víte, že původní plán, vypnutí podpory basic autentizace pro SMTP byl původně plánován na září 2025?

Koho se změny dotknou?

  • Line-of-business aplikace, skripty, tiskárny/MFD, skenery, dohledové systémy, ERP/CRM a další řešení, která dnes posílají poštu přes smtp.office365.com s uživatelským jménem/heslem.
  • Hybridní prostředí s Exchange On‑Prem, která přes cloud relayují poštu základní autentizací.

Jak bude změna probíhat (harmonogram)

  • 1. března 2026: Microsoft provede zahájení – malá část pokusů o autentizaci Basic bude odmítnuta (globálně, napříč tenanty).
  • Do 30. dubna 2026: Microsoft provede plné vypnutí – 100 % pokusů o Basic bude odmítnuto.
  • Po 30. dubnu 2026: Basic už nebude na koncových bodech smtp.office365.com a smtp-legacy.office365.com podporován.

Co udělat teď: praktický plán v 5 krocích

1) Zmapujte používání Basic SMTP v tenantu

V Exchange Admin Center (EAC) je k dispozici SMTP AUTH Clients Submission Report (sloupec Authentication Protocol vám ukáže Basic vs. OAuth).

Report je možné vyžádat i jako detailní export. 

Exchange Online Admin Center > Reports > Mail Flow> SMTP AUTH clients report

Přímý odkaz: https://admin.cloud.microsoft/exchange?#/reports/smtpauthmailflowdetails

SMTP AUTH clients report

Na obrázku je vidět cílový stav, tedy v ideálním neprobíhá žádná SMTP autentizace. Nicméně, realita bude v produkčních tenantech jiná. To, na co se zamřte, je sloupec Authentication Protocol a v něm hodnota Basic Authentication

SMTP AUTH clients report

Alternativně využijte Exchange Online PowerShell Historical Search k rychlé identifikaci zdrojů Basic SMTP:


# Vytvoření historického reportu pro SMTP Client Submission
Start-HistoricalSearch -ReportTitle "SMTPBasicAuth_Audit" -ReportType "SmtpCSReport" `
  -StartDate (Get-Date).AddDays(-7) -EndDate (Get-Date) -NotifyAddress admin@domena.cz

# Kontrola průběhu
Get-HistoricalSearch | Select Identity, SubmitDate, Status, ReportTitle, EstimatedCompletionTime, JobProgress
2) Zvolte adekvátní náhradu
  • Primárně: přejděte na OAuth pro SMTP AUTH (XOAUTH2).
    Postup „Authenticate an IMAP, POP or SMTP connection using OAuth“ popisuje registraci aplikace, přidělení oprávnění a získání tokenu. 
  • Pokud OAuth není k dispozici:
    • Microsoft 365 High Volume Email (HVE) – hromadná interní pošta v tenantu (GA cíl: březen 2026);
      Microsoft prodloužil podporu Basic autentizace v HVE do září 2028 pro vybrané scénáře. 
    • Exchange On‑Prem (hybrid) – vytvořte Receive Connector pro relay; autentizaci Basic ponecháte on‑prem (mimo Exchange Online).
    • Azure Communication Services – Email – pro odesílání na interní i externí adresy.

      Níže video k ACS, podrobnější video bude následovat v nejbližších dnech
3) Upravte nastavení v Exchange Online

Doporučuji na úrovni celého tenantu vypnout podporu Client SMTP AUTH


# Globálně zakázat Basic SMTP AUTH
Set-TransportConfig -SmtpClientAuthenticationDisabled $true

Následně pal Client SMTP Auth povolit jen pro vybrané schránky.

(Pozn.: nastavujte podle aktuálního stavu používání; Basic bude i tak vypnut Microsoftem globálně k 30. 4. 2026.)
(Oficiální kontext k odstavení základní autentizace a dopadům na protokoly viz dokumentace.)

# ZAKÁZAT Basic SMTP AUTH na vybraném mailboxu
Set-CASMailbox user@domena.cz -SmtpClientAuthenticationDisabled $true


# POVOLIT Basic SMTP AUTH na vybraném mailboxu
Set-CASMailbox user@domena.cz -SmtpClientAuthenticationDisabled $false
4) Firmware & kompatibilita zařízení
  • U MFD/tiskáren ověřte podporu OAuth/XOAUTH2; u mnoha výrobců je dostupná přes aktualizaci firmware nebo doplňkové moduly.
  • Pokud zařízení OAuth nepodporuje a není reálný upgrade, zvažte HVE, ACS Email nebo on‑prem relay výše nebo služby třetích stran
5) Testujte a sledujte chyby

Po úpravách sledujte výskyt „550 5.7.30 Basic authentication is not supported for Client Submission“ — je to jasný signál, že klient stále zkouší Basic.

Nejčastější otázky (FAQ)

Bude ještě možné dočasně „zapnout“ Basic?
Ne. Microsoft už neumožní znovu aktivovat Basic v Exchange Online (tato možnost skončila po 31. 12. 2022); na SMTP AUTH teď proběhne definitivní vypnutí v březen/duben 2026.

Co když mám aplikaci, která umí jen Basic a musí posílat externě?
Zvažte Azure Communication ServicesEmail nebo on‑prem relay; případně řešení třetích stran (s ohledem na bezpečnost a compliance).

Jak zjistím, kdo u nás ještě Basic používá?
Využijte EAC report s „Authentication Protocol“ a/nebo Historical Search v PowerShellu (viz výše).

Další kontext a doporučené postupy (navíc k oficiálnímu oznámení)

  • Conditional Access + MFA: přechod na OAuth umožní u SMTP scénářů uplatnit zásady CA a MFA (typicky přes „application permissions“ a tok klientského přístupového tokenu). To výrazně snižuje riziko útoků na uložené heslo v zařízení.
  • Endpointy: po dokončení změny přestanou požadavky na Basic ověření fungovat na smtp.office365.com i na smtp-legacy.office365.com. Plánujte aktualizaci konfigurací, dokumentace a runbooků.
  • HVE roadmapa: pokud posíláte velké objemy interní pošty (notifikace, IoT, tiskárny), HVE dává smysl — pamatujte ale, že je jen pro interní adresáty a Basic v HVE má rozšířenou podporu do 09/2028; přesto doporučuji plánovat přechod na OAuth co nejdříve.
    High Volume Email: Continued support for Basic Authentication & other important updates | Microsoft Community Hub

Další relevantní zdroje

Microsoft Community Hub (Exchange Team):
Exchange Online to retire Basic auth for Client Submission (SMTP AUTH) — harmonogram, EAC report, alternativy (OAuth, ACS, HVE).

Microsoft Community Hub (Exchange Team):
High Volume Email: Continued support for Basic Authentication & other important updates — GA cíl březen 2026, Basic v HVE podporován do 09/2028.

Microsoft Learn:
Deprecation of Basic authentication in Exchange Online — pozadí, dopady, zásady a best practices.

Napsat komentář