Microsoftは、Exchange OnlineにおけるSMTP AUTH 基本認証の廃止スケジュールを改定し、組織がレガシーなメールワークフローを最新化するための猶予期間を延長すると発表しました。
更新されたスケジュールは、顧客からのフィードバックと導入上の課題を反映しており、認証方式が恒久的に廃止される前の2027年まで、より明確なマイルストーンを提示しています。
新しい廃止ロードマップは、企業が直面する現実的な実装障壁に対応しています。2026年12月までは、SMTP AUTH 基本認証は変更なく動作し続け、既存テナントに対して現在の挙動が維持されます。
2026年12月末に、Microsoftは既存のすべてのテナントで既定でこの認証方式を無効化しますが、業務継続上必要な場合には、管理者が一時的に再有効化できる権限は維持されます。
Research noted では、2026年12月以降、SMTP AUTH 基本認証は既定で利用不可となり、OAuthが唯一サポートされる認証方式になるとしています。
Microsoftは2027年後半に最終的な削除日を発表する予定で、smtp.office365.comおよびsmtp-legacy.office365.comを含むクライアント送信エンドポイントにおける基本認証が恒久的に終了することになります。
セキュリティリスクが認証移行を後押し
基本認証は、ユーザー名とパスワードをネットワーク上で平文のまま送信するため、重大なセキュリティ脆弱性を生みます。
このレガシー方式は、認証情報の窃取、フィッシング攻撃、およびブルートフォースの試行に組織をさらします。また、この認証アプローチでは多要素認証(MFA)を強制できず、メールシステムが不正アクセスに対して脆弱なままとなります。
MicrosoftがExchange Onlineから基本認証を排除するために行ってきた複数年にわたる取り組みは2019年に始まり、ほとんどのプロトコルについては2022年後半に完了しました。
SMTP AUTHは、この計画的な廃止まで唯一の例外として残っていました。無効化後、基本認証を試みるアプリケーションは次のエラー応答を受け取ります: 「550 5.7.30 クライアント送信では基本認証はサポートされていません」。
最新の認証への移行経路
OAuthを実装できる組織は、このトークンベースの認可方式への移行を優先すべきです。
OAuth 2.0 のアクセストークンは有効期間が限定され、指定されたアプリケーションとリソースに固有であるため、認証情報の再利用を防ぎます。このプロトコルにより、MFAの強制が容易になり、攻撃対象領域も縮小できます。
基本認証機能の継続が必要な組織向けに、Microsoftは代替手段として、社内メッセージング向けのMicrosoft 365向けHigh Volume Email、社内外の受信者向けAzure Communication Services Email、または匿名リレーコネクタを用いたハイブリッド構成のオンプレミスExchange Serverなどを提供しています。
管理者は、現在のSMTP実装を棚卸しし、OAuth互換クライアントを特定し、2026年12月の既定無効化日までに移行計画を策定すべきです。
Exchange管理センターには現在、SMTP AUTH クライアント送信レポートが含まれており、基本認証とOAuthのどちらが使用されているかを表示して、テナントの認証パターンを可視化します。
延長されたタイムラインは、セキュリティ上の要請と運用上の現実のバランスを取りつつ、顧客が最新の認証代替手段を検証するのに十分な時間を確保しながら、Exchange Online全体でより強固な既定のセキュリティ姿勢を維持するというMicrosoftのコミットメントを示しています。
翻訳元: https://gbhackers.com/microsoft-exchange-online/
