Microsoft は、Exchange Online における SMTP AUTH の基本認証を廃止するまでのタイムラインを延長しました。この変更は、OAuth などの最新方式へテナントを移行させることでセキュリティを強化することを目的としています。
この更新は、レガシーな メールのワークフロー に関する顧客からのフィードバックを受けたものです。テナントは、2027 年の完全削除までのより明確なマイルストーンを得られます。
当初はより短期間で進む予定でしたが、新しいスケジュールでは移行のための時間が増えました。2026 年 12 月までは、SMTP AUTH の基本認証は従来どおり動作します。この期間中に変更はありません。
2026 年 12 月末に、Microsoft は既存テナントに対して既定で無効化します。必要であれば管理者が有効化することは可能です。これは段階的な強制(ソフトエンフォースメント)のステップとして機能します。
2026 年 12 月以降に作成される新規テナントでは、既定で SMTP AUTH の基本認証を使用できません。初日からサポートされる選択肢は OAuth のみになります。
2027 年後半に、Microsoft は最終的な削除日を発表します。その後、SMTP AUTH の基本認証は Exchange Online から完全に消滅します。
これらの手順は計画のための猶予を提供します。公式発表は Exchange の Tech Community ブログに掲載されています。
SMTP AUTH の基本認証は、資格情報を平文または容易に復元可能な Base64 で送信します。攻撃者は中間者攻撃によってこれらを傍受します。トークンベース認証のような最新の保護がありません。
OAuth は短時間で失効する安全なトークンを使用します。多要素認証(MFA)をサポートし、資格情報の露出を減らします。Microsoft は、クラウド環境における基本認証をレガシーなリスクと見なしています。
多くのアプリ、スキャナー、デバイスは、Exchange Online のクライアント送信ポート 587 経由でメールを送るために SMTP AUTH に依存しています。レガシーシステムは OAuth へのアップグレードに苦戦します。
顧客からのフィードバックでは、移行の難しさが浮き彫りになりました。古いハードウェアや OAuth をサポートしないサードパーティ製ツールが原因で問題に直面するテナントもあります。
既存テナントは 2026 年後半までは影響を受けません。しかし、今のうちに OAuth をテストしておけば、土壇場での問題を防げます。新規テナントは直ちに OAuth を採用する必要があります。
管理者は Microsoft 365 管理センターで利用状況を確認できます。レポートには基本認証を使用しているアプリが表示されます。Entra ID の「サインイン ログ」では SMTP AUTH のアクティビティが明らかになります。
Microsoft は docs.microsoft.com で OAuth 移行ガイドなどのツールを提供しています。まずはパイロット テナントでテストしてください。
この廃止は Microsoft の Secure Future Initiative に沿うものです。資格情報窃取キャンペーンが増加する中で攻撃対象領域を減らします。基本認証は、未パッチの Exchange サーバーを悪用する攻撃などでも利用されてきました。
条件付きアクセス ポリシーとの OAuth 統合により、層状の防御が追加されます。テナントは MFA、デバイス準拠、アプリごとの IP 制限を強制できます。
業界動向もこれに呼応しています。Google は何年も前に Gmail で基本認証を廃止しました。AWS SES は SMTP の基本認証よりも API キーの利用を推奨しています。
今すぐ棚卸しを始めてください。高トラフィックの SMTP アプリを優先し、OAuth 設定についてチームをトレーニングしましょう。Microsoft 365 ロードマップを監視して、2027 年の最終日程を確認してください。
遅延は停止(アウトेज)リスクを招きます。先回りした移行はコンプライアンスとセキュリティを確保します。Exchange Online 管理者は、更新情報についてブログを確認してください。
Microsoft はセキュリティと使いやすさのバランスを取っています。このタイムラインは、弱い認証への依存を終わらせつつ、円滑な移行を支援します。
翻訳元: https://cyberpress.org/exchange-online-deprecates-smtp-auth/