Was Unternehmen jetzt wissen sollten
Microsoft treibt die Abschaltung veralteter Authentifizierungsverfahren weiter voran. Ein wichtiger Meilenstein dabei ist das Ende von SMTP Basic Authentication in Exchange Online, das spätestens im April 2026 erreicht wird. Unternehmen, die heute noch auf klassische SMTP-Authentifizierung mit Benutzername und Kennwort setzen, müssen rechtzeitig handeln, um Störungen im E-Mail-Versand zu vermeiden. Dieser Artikel gibt einen Überblick über die Hintergründe, betroffene Szenarien und mögliche Alternativen.
Über den Autor
Nico Gau
Fachinformatiker Systemintegration
Über den Autor
Nico Gau
Fachinformatiker Systemintegration
Was Unternehmen jetzt wissen sollten
Microsoft treibt die Abschaltung veralteter Authentifizierungsverfahren weiter voran. Ein wichtiger Meilenstein dabei ist das Ende von SMTP Basic Authentication in Exchange Online, das spätestens im April 2026 erreicht wird. Unternehmen, die heute noch auf klassische SMTP-Authentifizierung mit Benutzername und Kennwort setzen, müssen rechtzeitig handeln, um Störungen im E-Mail-Versand zu vermeiden. Dieser Artikel gibt einen Überblick über die Hintergründe, betroffene Szenarien und mögliche Alternativen.
Warum wird SMTP Basic Auth abgeschaltet?
SMTP Basic Auth gilt als unsicheres Legacy-Verfahren, weil Benutzername und Kennwort dauerhaft gespeichert werden und weder Token- noch Zertifikatsmechanismen zum Einsatz kommen. Dadurch steigt das Risiko für Angriffe wie Credential-Stuffing und Passwortdiebstahl erheblich. Microsoft verabschiedet sich deshalb konsequent von diesem Ansatz und setzt stattdessen auf moderne Authentifizierungsmethoden wie OAuth, API-basierte Dienste und zertifikatsbasierte Relays, um die Sicherheit von Microsoft-365-Mandanten nachhaltig zu erhöhen.
Warum wird SMTP Basic Auth abgeschaltet?
SMTP Basic Auth gilt als unsicheres Legacy-Verfahren, weil Benutzername und Kennwort dauerhaft gespeichert werden und weder Token- noch Zertifikatsmechanismen zum Einsatz kommen. Dadurch steigt das Risiko für Angriffe wie Credential-Stuffing und Passwortdiebstahl erheblich. Microsoft verabschiedet sich deshalb konsequent von diesem Ansatz und setzt stattdessen auf moderne Authentifizierungsmethoden wie OAuth, API-basierte Dienste und zertifikatsbasierte Relays, um die Sicherheit von Microsoft-365-Mandanten nachhaltig zu erhöhen.
Welche Systeme sind typischerweise betroffen?
Viele dieser Systeme laufen unauffällig im Hintergrund, bis der Mailversand plötzlich nicht mehr funktioniert. In der Praxis betrifft die Abschaltung vor allem:
Multifunktionsdrucker & Scanner
ERP- und Warenwirtschaftssysteme
Monitoring- & Alarmierungstools
Legacy-Applikationen und Skripte
Applikationen von Drittanbietern ohne OAuth-Support
Welche Alternativen gibt es?
Microsoft empfiehlt mehrere Wege, um den E-Mail-Versand künftig sicher und unterstützt umzusetzen. Welche Lösung geeignet ist, hängt stark vom Einsatzzweck ab.
1. High Volume Email (HVE) in Exchange Online
Geeignet für:
Internen Mailversand innerhalb der eigenen Microsoft-365-Organisation (z. B. Systemmeldungen, interne Benachrichtigungen).
Technischer Hintergrund:
HVE nutzt moderne Authentifizierungsmechanismen und ist speziell für automatisierten, volumenstarken Versand innerhalb des Tenants vorgesehen.
Kostenbild:
In vielen Microsoft-365-Plänen enthalten.
Keine zusätzlichen Infrastrukturkosten.
Einschränkungen beim externen Versand.
Einschätzung:
Kostengünstig und unkompliziert, aber funktional begrenzt.
2. Azure Communication Services – E-Mail
Geeignet für:
Applikationen, Cloud-Workloads und externe Benachrichtigungen mit hohem Automatisierungsgrad.
Technischer Hintergrund:
API-basierter E-Mail-Versand über Azure, unabhängig von klassischen Exchange-Postfächern. Hohe Skalierbarkeit und moderne Sicherheitsmechanismen.
Kostenbild:
Nutzungsabhängige Abrechnung (pro versendeter E-Mail).
Zusätzliche Azure-Ressourcen erforderlich.
Kein klassischer SMTP-Zugang für Legacy-Geräte.
Einschätzung:
Sehr flexibel und zukunftssicher, aber eher für moderne Anwendungen als für klassische Geräte.
3. SMTP-Relay über lokalen Exchange SE Server
Geeignet für:
Legacy-Geräte und Anwendungen, die kein OAuth oder keine API-Integration unterstützen.
Technischer Hintergrund:
Ein lokaler Exchange Server fungiert als Relay und übernimmt den sicheren Versand Richtung Exchange Online – ohne Basic Auth in der Cloud.
Kostenbild:
Betrieb und Wartung eines lokalen Servers.
Infrastruktur- und Administrationsaufwand.
Keine nutzungsabhängigen Kosten pro Mail.
Einschätzung:
Bewährte Lösung für Bestandsumgebungen, aber mit laufendem Betriebsaufwand.
Welche Lösung ist die richtige?
Eine Universallösung gibt es nicht. In vielen Umgebungen ist es sinnvoll, mehrere Ansätze zu kombinieren, etwa HVE für interne E-Mails, ein Relay für Scanner und Azure Communication Services für Applikationen. Eine wichtige Grundlage für diese Entscheidung ist Transparenz: Im Exchange Admin Center lässt sich nachvollziehen, ob und welche Anwendungen oder Geräte noch SMTP Basic Auth nutzen.
Welche Lösung letztlich passt, hängt maßgeblich von der Art der Anwendung oder des Geräts, dem internen oder externen Mailziel, den Sicherheitsanforderungen sowie dem jeweiligen Kosten- und Betriebsmodell ab.
Fazit: Jetzt handeln, späteren Druck vermeiden
Auch wenn April 2026 noch entfernt scheint: Die Erfahrung zeigt, dass gerade Legacy-Systeme und externe Drittanbieter frühzeitig geprüft werden sollten. Eine strukturierte Analyse schafft Planungssicherheit und verhindert unerwartete Ausfälle im produktiven Betrieb.
Unser Tipp: Beginnen Sie jetzt mit der Bewertung Ihrer SMTP-Abhängigkeiten. Wir unterstützen Sie gerne bei Analyse, Architekturentscheidung und Umsetzung.