As announced in MC786329, Exchange Online will permanently remove support for Basic authentication with Client Submission (SMTP AUTH).

You are receiving this post because we observed approximately 1080 messages sent using Basic Auth SMTP AUTH in your tenant between June 16 and June 20, 2025.

Please review the SMTP AUTH Clients Report and filter on Basic Auth to determine your mailboxes that are using basic auth and ensure you have migrated to an alternative solution following the deprecation timeline.

We will gradually begin rejecting a small percentage of Basic Auth submissions for all tenants on March 1st 2026 increasing to 100% rejections on April 30th 2026 , (previously September 2025). After this time, applications and devices will no longer be able to use Basic auth as an authentication method and must use OAuth when using SMTP AUTH to send email.

Basic auth is a legacy authentication method that sends usernames and passwords in plain text over the network. This makes it vulnerable to credential theft, phishing, and brute force attacks. To improve the protection of our customers and their data, we are retiring Basic auth from Client Submission (SMTP AUTH) and encouraging customers to use modern authentication methods that are more secure.

[When this will happen:]

We will be making this change beginning March 1, 2026, and completing April 30, 2026, previously September 2025.

[How this will affect your organization:]

The Client Submission (SMTP AUTH) endpoints in scope for this change are:

• smtp.office365.com
• smtp-legacy.office365.com

Once Basic auth is permanently disabled, any clients or apps connecting using Basic auth with Client Submission (SMTP AUTH) will receive this response:

• 550 5.7.30 Basic authentication is not supported for Client Submission.

[What you need to do to prepare:]

If your client supports OAuth, follow these steps: Authenticate an IMAP, POP or SMTP connection using OAuth

If your client doesn’t support OAuth and you must use Basic Auth with Client Submission (SMTP AUTH), you will need to switch to one of the following alternatives before April 2026, previously September 2025:

• If you are using basic authentication with Client Submission (SMTP AUTH) to send emails to recipients internal to your tenant, you can use Microsoft 365 High Volume Email. Please visit this site to learn more: Manage high volume emails for Microsoft 365 Public preview
• If you are using basic authentication with Client Submission (SMTP AUTH) to send emails to recipients internal and external to your tenant, you can use Azure Communication Services Email. Please visit this site to learn more: Overview of Azure Communication Services email
• If you have an Exchange Server on-premises in a hybrid configuration, you can use Basic auth to authenticate with the Exchange Server on-premises or configure the Exchange Server on-premises with a Receive connector that allows anonymous relay on Exchange servers. Please visit this site to learn more: Allow anonymous relay on Exchange servers

Regardless of the volume of email, if you must use Basic auth to send email with Exchange Online, then you must use one of the alternatives or a 3P solution.

We understand that this change requires some adjustments, but we believe that this is a necessary step to enhance the security and reliability of our email service and your data.

MC786329 で発表したように、Exchange Online は、クライアント送信 (SMTP AUTH) による基本認証のサポートを完全に削除します。

この投稿は、2025 年 6 月 16 日から 6 月 20 日の間にテナントで基本認証 SMTP AUTH を使用して送信された約 1080 件のメッセージを観測したためです。

SMTP AUTH クライアント レポートを確認し、基本認証でフィルター処理して、基本認証を使用しているメールボックスを特定し、非推奨のタイムラインに従って代替ソリューションに移行したことを確認してください。

2026年3月1日より、すべてのテナントに対するBasic認証の提出物のごく一部を段階的に拒否し始め、2026年4月30日(以前は2025年9月)に100%の拒否に増やします。この期間を過ぎると、アプリケーションやデバイスは認証方法として基本認証を使用できなくなり、SMTP AUTH を使用してメールを送信する場合は OAuth を使用する必要があります。

基本認証は、ネットワーク経由でユーザー名とパスワードをプレーンテキストで送信する従来の認証方法です。これにより、資格情報の盗難、フィッシング、ブルートフォース攻撃に対して脆弱になります。お客様とそのデータの保護を強化するために、クライアント送信 (SMTP AUTH) から基本認証を廃止し、より安全な最新の認証方法を使用することをお客様に奨励します。

[これがいつ起こるか:]

この変更は、2026 年 3 月 1 日から 2026 年 4 月 30 日 (以前は 2025 年 9 月) に開始されます。

[これがあなたの組織にどのように影響しますか:]

この変更の対象となるクライアント送信 (SMTP AUTH) エンドポイントは次のとおりです。

• smtp.office365.com
• smtp-legacy.office365.com

基本認証が完全に無効になると、基本認証とクライアント送信 (SMTP AUTH) を使用して接続するクライアントまたはアプリは、次の応答を受け取ります。

• 550 5.7.30 基本認証は、クライアント提出ではサポートされていません。

【準備に必要なこと】

クライアントが OAuth をサポートしている場合は、次の手順に従ってください: OAuth を使用して IMAP、POP、または SMTP 接続を認証する

クライアントが OAuth をサポートしておらず、クライアント送信 (SMTP AUTH) で基本認証を使用する必要がある場合は、2026 年 4 月 (以前は 2025 年 9 月) までに次のいずれかの代替手段に切り替える必要があります。

• クライアント送信 (SMTP AUTH) で基本認証を使用してテナント内部の受信者にメールを送信している場合は、Microsoft 365 大容量メールを使用できます。詳細については、このサイトをご覧ください: Microsoft 365 パブリック プレビューの大量のメールを管理する
• クライアント送信 (SMTP AUTH) による基本認証を使用して、テナントの内部および外部の受信者に電子メールを送信している場合は、Azure Communication Services の電子メールを使用できます。詳細については、このサイトを参照してください: Azure Communication Services メールの概要
• ハイブリッド構成の Exchange Server オンプレミスがある場合は、基本認証を使用してオンプレミスの Exchange Server で認証するか、Exchange サーバーでの匿名リレーを許可する受信コネクタを使用してオンプレミスの Exchange Server を構成できます。詳細については、このサイトを参照してください: Exchange サーバーで匿名のリレーを許可する

メールの量に関係なく、Exchange Onlineでメールを送信するために基本認証を使用する必要がある場合は、代替手段または3Pソリューションのいずれかを使用する必要があります。

この変更にはいくつかの調整が必要であることを理解していますが、これは当社の電子メールサービスとお客様のデータのセキュリティと信頼性を強化するために必要なステップであると考えています。