Updated October 18, 2024: We have updated the SMTP AUTH Clients Submission Report in the Exchange admin center, adding the Authentication Protocol column to show if Basic auth or OAuth is being used to submit email to Exchange Online. The data will build up over the next 90 days. Thank you for your patience.

Today, we are announcing that Exchange Online will permanently remove support for Basic authentication with Client Submission (SMTP AUTH) in September 2025. After this time, applications and devices will no longer be able to use Basic auth as an authentication method and must use OAuth when using SMTP AUTH to send email.

Basic auth is a legacy authentication method that sends usernames and passwords in plain text over the network. This makes it vulnerable to credential theft, phishing, and brute force attacks. To improve the protection of our customers and their data, we are retiring Basic auth from Client Submission (SMTP AUTH) and encouraging customers to use modern authentication methods that are more secure.

[When this will happen:]

We will be making this change in September 2025.

[How this will affect your organization:]

In September 2024, we will update the SMTP AUTH Clients Submission Report in the Exchange admin center to show if Basic auth or OAuth is being used to submit email to Exchange Online. In January 2025, we will send a Message Center post to tenants who are using Basic auth with Client Submission (SMTP AUTH) to alert them to the upcoming change. In August 2025, about 30 days before we disable Basic auth we will send another Message Center post to tenants who are still using Basic auth with Client Submission (SMTP AUTH).

During September 2025, we will remove support for Basic auth with the Client Submission (SMTP AUTH) endpoints:

• smtp.office365.com
• smtp-legacy.office365.com

Once Basic auth is permanently disabled, any clients or apps connecting using Basic auth with Client Submission (SMTP AUTH) will receive this response:

• 550 5.7.30 Basic authentication is not supported for Client Submission.

[What you need to do to prepare:]

If your client supports OAuth, follow these steps: Authenticate an IMAP, POP or SMTP connection using OAuth

If your client doesn’t support OAuth and you must use Basic Auth with Client Submission (SMTP AUTH), you will need to switch to one of the following alternatives before September 2025:

• If you are using basic authentication with Client Submission (SMTP AUTH) to send emails to recipients internal to your tenant, you can use Microsoft 365 High Volume Email. Please visit this site to learn more: Manage high volume emails for Microsoft 365 Public preview
• If you are using basic authentication with Client Submission (SMTP AUTH) to send emails to recipients internal and external to your tenant, you can use Azure Communication Services Email. Please visit this site to learn more: Overview of Azure Communication Services email
• If you have an Exchange Server on-premises in a hybrid configuration, you can use Basic auth to authenticate with the Exchange Server on-premises or configure the Exchange Server on-premises with a Receive connector that allows anonymous relay on Exchange servers. Please visit this site to learn more: Allow anonymous relay on Exchange servers

Regardless of the volume of email, if you must use Basic auth to send email with Exchange Online, then you must use one of the alternatives.

We understand that this change requires some adjustments, but we believe that this is a necessary step to enhance the security and reliability of our email service and your data.

2024 年 10 月 18 日更新: Exchange 管理センターの SMTP AUTH クライアント送信レポートを更新し、Exchange Online への電子メールの送信に基本認証または OAuth が使用されているかどうかを示す [認証プロトコル] 列を追加しました。データは今後 90 日間で蓄積されます。ご理解いただきありがとうございます。

本日、Exchange Online は 2025 年 9 月にクライアント送信による基本認証 (SMTP AUTH) のサポートを完全に削除することをお知らせします。この期間を過ぎると、アプリケーションやデバイスは認証方法として基本認証を使用できなくなり、SMTP AUTH を使用してメールを送信する場合は OAuth を使用する必要があります。

基本認証は、ネットワーク経由でユーザー名とパスワードをプレーンテキストで送信する従来の認証方法です。これにより、資格情報の盗難、フィッシング、ブルートフォース攻撃に対して脆弱になります。お客様とそのデータの保護を強化するために、クライアント送信 (SMTP AUTH) から基本認証を廃止し、より安全な最新の認証方法を使用することをお客様に奨励します。

[これがいつ起こるか:]

この変更は 2025 年 9 月に行われます。

[これがあなたの組織にどのように影響しますか:]

2024 年 9 月に、Exchange 管理センターの SMTP AUTH クライアント送信レポートを更新して、Exchange Online への電子メールの送信に基本認証または OAuth が使用されているかどうかを示します。2025 年 1 月に、クライアント送信 (SMTP AUTH) で基本認証を使用しているテナントにメッセージ センターの投稿を送信して、今後の変更について警告します。基本認証を無効にする約 30 日前の 2025 年 8 月に、クライアント送信 (SMTP AUTH) で基本認証をまだ使用しているテナントに別のメッセージ センターの投稿を送信します。

2025 年 9 月中に、クライアント送信 (SMTP AUTH) エンドポイントでの基本認証のサポートを終了します。

• smtp.office365.com
• smtp-legacy.office365.com

基本認証が完全に無効になると、基本認証とクライアント送信 (SMTP AUTH) を使用して接続するクライアントまたはアプリは、次の応答を受け取ります。

• 550 5.7.30 基本認証は、クライアント提出ではサポートされていません。

【準備に必要なこと】

クライアントが OAuth をサポートしている場合は、次の手順に従ってください: OAuth を使用して IMAP、POP、または SMTP 接続を認証する

クライアントが OAuth をサポートしておらず、クライアント送信 (SMTP AUTH) で基本認証を使用する必要がある場合は、2025 年 9 月までに次のいずれかの代替手段に切り替える必要があります。

• クライアント送信 (SMTP AUTH) で基本認証を使用してテナント内部の受信者にメールを送信している場合は、Microsoft 365 大容量メールを使用できます。詳細については、このサイトをご覧ください: Microsoft 365 パブリック プレビューの大量のメールを管理する
• クライアント送信 (SMTP AUTH) による基本認証を使用して、テナントの内部および外部の受信者に電子メールを送信している場合は、Azure Communication Services の電子メールを使用できます。詳細については、このサイトを参照してください: Azure Communication Services メールの概要
• ハイブリッド構成の Exchange Server オンプレミスがある場合は、基本認証を使用してオンプレミスの Exchange Server で認証するか、Exchange サーバーでの匿名リレーを許可する受信コネクタを使用してオンプレミスの Exchange Server を構成できます。詳細については、このサイトを参照してください: Exchange サーバーで匿名のリレーを許可する

メールの量に関係なく、Exchange Online でメールを送信するために基本認証を使用する必要がある場合は、代替手段のいずれかを使用する必要があります。

この変更にはいくつかの調整が必要であることを理解していますが、これは当社の電子メールサービスとお客様のデータのセキュリティと信頼性を強化するために必要なステップであると考えています。