As announced in MC786329, Exchange Online will permanently remove support for Basic authentication with Client Submission (SMTP AUTH).

You are receiving this post because we observed messages sent using Basic Auth with SMTP AUTH in your tenant between October 20 and October 24, 2025.

Please review the SMTP AUTH Clients Report (learn.microsoft.com/en-us/exchange/monitoring/mail-flow-reports/mfr-smtp-auth-clients-report) and filter on Basic Auth to determine your mailboxes that are using Basic Auth and ensure you have migrated to an alternative solution following the deprecation timeline.

We will gradually begin rejecting a small percentage of Basic Auth submissions for all tenants on March 1st 2026 increasing to 100% rejections on April 30th 2026, (previously September 2025). After this time, applications and devices will no longer be able to use Basic auth as an authentication method and must use OAuth when using SMTP AUTH to send email.

Basic auth is a legacy authentication method that sends usernames and passwords in plain text over the network. This makes it vulnerable to credential theft, phishing, and brute force attacks. To improve the protection of our customers and their data, we are retiring Basic auth from Client Submission (SMTP AUTH) and encouraging customers to use modern authentication methods that are more secure.

[When this will happen:]

We will be making this change beginning March 1st 2026 and completing April 30th 2026, previously September 2025.

[How this will affect your organization:]

The Client Submission (SMTP AUTH) endpoints in scope for this change are:

• smtp.office365.com
• smtp-legacy.office365.com

Once Basic auth is permanently disabled, any clients or apps connecting using Basic auth with Client Submission (SMTP AUTH) will receive this response:

• 550 5.7.30 Basic authentication is not supported for Client Submission.

[What you need to do to prepare:]

If your client supports OAuth, follow these steps: learn.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth

If your client doesn’t support OAuth and you must use Basic Auth with Client Submission (SMTP AUTH), you will need to switch to one of the following alternatives before April 2026, previously September 2025:

• If you are using basic authentication with Client Submission (SMTP AUTH) to send emails to recipients internal to your tenant, you can use Microsoft 365 High Volume Email. Please visit this site to learn more: Manage high volume emails for Microsoft 365 Public preview
• If you have an Exchange Server on-premises in a hybrid configuration, you can use Basic auth to authenticate with the Exchange Server on-premises or configure the Exchange Server on-premises with a Receive connector that allows anonymous relay on Exchange servers. Please visit this site to learn more: Allow anonymous relay on Exchange servers

Regardless of the volume of email, if you must use Basic auth to send email with Exchange Online, then you must use one of the alternatives or a 3P solution.

We understand that this change requires some adjustments, but we believe that this is a necessary step to enhance the security and reliability of our email service and your data.

MC786329 年に発表されたように、Exchange Online は、クライアント送信による基本認証 (SMTP AUTH) のサポートを完全に削除します。

この投稿を受け取っているのは、2025 年 10 月 20 日から 10 月 24 日の間に、テナントで SMTP AUTH を使用した基本認証を使用して送信されたメッセージが確認されたためです。

SMTP AUTH クライアント レポート (learn.microsoft.com/en-us/exchange/monitoring/mail-flow-reports/mfr-smtp-auth-clients-report) を確認し、基本認証でフィルター処理して、基本認証を使用しているメールボックスを特定し、非推奨のタイムラインに従って代替ソリューションに移行したことを確認してください。

2026 年 3 月 1 日にすべてのテナントの Basic Auth 送信のごく一部を段階的に拒否し始め、2026 年 4 月 30 日 (以前は 2025 年 9 月) には 100% の拒否に増加します。この期間を過ぎると、アプリケーションとデバイスは認証方法として基本認証を使用できなくなり、SMTP 認証を使用して電子メールを送信するときに OAuth を使用する必要があります。

基本認証は、ユーザー名とパスワードをネットワーク経由でプレーンテキストで送信する従来の認証方法です。これにより、資格情報の盗難、フィッシング、ブルートフォース攻撃に対して脆弱になります。お客様とそのデータの保護を強化するために、クライアント送信からの基本認証 (SMTP 認証) を廃止し、より安全な最新の認証方法の使用をお客様に推奨します。

[これがいつ起こるか:]

この変更は、2026年3月1日から2026年4月30日まで、以前は2025年9月に行われます。

[これが組織にどのような影響を与えるか:]

この変更の対象となるクライアント送信 (SMTP AUTH) エンドポイントは次のとおりです。

• smtp.office365.com
• smtp-legacy.office365.com

基本認証が完全に無効になると、クライアント送信による基本認証 (SMTP AUTH) を使用して接続するクライアントまたはアプリは、次の応答を受け取ります。

• 550 5.7.30 基本認証は、クライアント送信ではサポートされていません。

[準備に必要なこと:]

クライアントが OAuth をサポートしている場合は、次の手順に従います。https://learn.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth

クライアントが OAuth をサポートしておらず、クライアント送信での基本認証 (SMTP AUTH) を使用する必要がある場合は、2026 年 4 月以前、以前は 2025 年 9 月までに、次のいずれかの代替手段に切り替える必要があります。

• クライアント送信 (SMTP AUTH) で基本認証を使用して、テナント内の受信者に電子メールを送信している場合は、Microsoft 365 大容量電子メールを使用できます。詳細については、このサイトにアクセスしてください: Microsoft 365 パブリック プレビューの大量のメールを管理する
• ハイブリッド構成でオンプレミスの Exchange Server がある場合は、基本認証を使用してオンプレミスの Exchange Server で認証するか、Exchange サーバーでの匿名リレーを許可する受信コネクタを使用してオンプレミスの Exchange Server を構成できます。詳細については、このサイトにアクセスしてください: Exchange サーバーでの匿名リレーの許可

電子メールの量に関係なく、基本認証を使用して Exchange Online で電子メールを送信する必要がある場合は、代替手段または ソリューションのいずれかを使用する必要があります。

この変更には多少の調整が必要であることを理解していますが、これは当社の電子メール サービスとお客様のデータのセキュリティと信頼性を強化するために必要なステップであると考えています。