Microsoft treibt die Abschaltung veralteter Authentifizierungsverfahren in Microsoft 365 konsequent weiter voran und richtet den Fokus aktuell auf die Basic Authentication für SMTP AUTH in Exchange Online. Nachdem viele Unternehmen noch immer mit Legacy-Strukturen arbeiten, wurde der Zeitplan Anfang 2026 zwar angepasst, doch die Richtung ist eindeutig: Basic Auth steht vor dem endgültigen Aus.
Konkret bedeutet das, dass Microsoft Ende Dezember 2026 die Basic Authentication für SMTP AUTH in bestehenden Tenants standardmäßig deaktivieren wird. Administratoren können diese Funktion zwar vorübergehend noch manuell reaktivieren, doch das ist klar als Übergangslösung gedacht. Für neue Tenants wird Basic Authentication ab diesem Zeitpunkt bereits gar nicht mehr zur Verfügung stehen. Spätestens in der zweiten Hälfte 2027 wird Microsoft dann das finale Datum für die vollständige und unumkehrbare Abschaltung bekannt geben.
Der Hintergrund dieser Entscheidung ist rein sicherheitstechnisch begründet. Basic Authentication arbeitet lediglich mit Benutzername und Passwort – ein Ansatz, der in der heutigen Bedrohungslage nicht mehr ausreichend ist. Angriffe wie Password Spraying, Brute-Force-Versuche oder Credential Stuffing lassen sich mit dieser Methode vergleichsweise leicht durchführen. Moderne Verfahren wie OAuth 2.0 setzen dagegen auf tokenbasierte Authentifizierung und bieten damit ein deutlich höheres Sicherheitsniveau. Für Microsoft ist die Ablösung daher kein optionales Upgrade, sondern eine zwingende Notwendigkeit.
In der Praxis betrifft diese Umstellung vor allem Systeme, die über Jahre hinweg unverändert im Einsatz geblieben sind. Dazu zählen insbesondere Multifunktionsgeräte wie Drucker oder Scanner, die klassische „Scan-to-Mail“-Funktionen nutzen und häufig keine Unterstützung für moderne Authentifizierung bieten. Ebenso betroffen sind Legacy-Anwendungen oder Skripte, die E-Mails automatisiert über SMTP AUTH versenden, sowie ältere E-Mail-Clients, die technisch nicht in der Lage sind, OAuth zu verwenden. Genau diese Systeme werden in vielen Unternehmen zum Problem, da sie oft tief in bestehende Prozesse integriert sind und nicht ohne Weiteres ersetzt werden können.
Die Auswirkungen einer unterlassenen Umstellung sind erheblich. Wenn Basic Authentication endgültig deaktiviert wird, funktionieren betroffene Systeme schlicht nicht mehr wie gewohnt. E-Mails aus Anwendungen oder Geräten werden nicht mehr zugestellt, automatisierte Prozesse brechen ab, und im schlimmsten Fall entstehen operative Störungen, die nicht sofort erkannt werden. Was auf den ersten Blick wie ein technisches Detail wirkt, kann sich schnell zu einem geschäftskritischen Problem entwickeln.
Unternehmen sollten daher jetzt aktiv werden. Der erste Schritt besteht darin, Transparenz zu schaffen und zu identifizieren, welche Geräte, Anwendungen oder Prozesse noch auf Basic Authentication für SMTP AUTH angewiesen sind. Diese Analyse lässt sich im Admin Center von Microsoft 365 durchführen und bildet die Grundlage für alle weiteren Maßnahmen. Anschließend sollte, wo immer möglich, auf moderne Authentifizierungsverfahren wie OAuth 2.0 umgestellt werden. Für Systeme, die sich nicht direkt migrieren lassen, stehen Alternativen wie die Microsoft Graph API, SMTP-Relay-Lösungen oder High Volume Email zur Verfügung.
In der Realität scheitert die Umsetzung häufig nicht an der technischen Machbarkeit, sondern an gewachsenen Strukturen, fehlender Transparenz und einer gewissen Trägheit im Umgang mit funktionierenden Altsystemen. Genau aus diesem Grund hat Microsoft den Zeitrahmen verlängert. Diese Verlängerung sollte jedoch nicht als Entwarnung verstanden werden, sondern als letzte Gelegenheit, die eigene Infrastruktur zukunftssicher aufzustellen.
Strategisch sinnvoll ist es, die Umstellung nicht nur als Pflichtaufgabe zu betrachten, sondern als Chance zur Modernisierung. Wer E-Mail-Versandprozesse zentralisiert, APIs nutzt und veraltete Systeme konsequent ersetzt, reduziert nicht nur Sicherheitsrisiken, sondern gewinnt auch an Flexibilität und Kontrolle. Unternehmen, die hingegen lediglich versuchen, bestehende Lösungen so lange wie möglich weiterzubetreiben, verschieben das Problem – und erhöhen den späteren Aufwand erheblich.
Die Abschaltung der SMTP AUTH Basic Authentication ist damit kein isoliertes Ereignis, sondern Teil einer klaren Entwicklung hin zu mehr Sicherheit und moderner Infrastruktur. Wer jetzt handelt, schafft Stabilität und vermeidet spätere Ausfälle. Wer abwartet, wird früher oder später unter Zeitdruck reagieren müssen – mit entsprechend höheren Risiken und Kosten.