Outlook streikt beim Mail-Versand? Microsoft hat SMTP deaktiviert (Juli 2022)

[English]Ganz kurze Information für Nutzer und Administratoren, die Microsoft 365 oder Microsoft Office 365 mit Exchange Online einsetzen und plötzlich mit dem Problem konfrontiert werden, dass der Versand von E-Mails in Microsoft Outlook oder bei anderen Anwendungen streikt. Microsoft hat den SMTP-Support aus Sicherheitsgründen mit einem Update für Exchange Online deaktiviert. Hier eine kurze Übersicht für Betroffene, Administratoren und Dienstleister.


Anzeige

Hinweis eines Lesers

Ich hatte das Thema selbst nicht auf dem Radar, da ich weder Office 365 noch Outlook verwende. Blog-Leser Robert G. war aber so freundlich, mir heute Vormittag die Information per Mail zu schicken (danke dafür), ich komme aber erst jetzt dazu, das Ganze aufzubereiten. Robert schrieb mir am frühen Morgen des 13. Juli 2022:

eine kleine Schikane von Microsoft. Heute wurde (nachts) die SMTP-Authentifizierung aus Sicherheitsgründen deaktiviert und man muss sie für die gewünschten Konten explizit einschalten. sTunnel meldet:

535 5.7.139 Authentication unsuccessful, SmtpClientAuthentication is disabled for the Tenant. 
Visit https://aka.ms/smtp_auth_disabled for more information. [FR3P281CA0086.DEUP281.PROD.OUTLOOK.COM]
The SMTP server did not accept Auth LOGIN PASSWD value.

Da kamen durchaus Hinweise von MS, aber ich muss zugeben, dass mir die Konsequenzen nicht ganz klar waren.

An mir war das Thema gänzlich vorbei gegangen. Schauen wir, was das bedeutet, was Microsoft dazu mitteilt und wer betroffen ist.

Das Kürzel SMTP steht für Simple Mail Transfer Protocol, ein Protokoll zum Versenden von E-Mails, während zum Abholen POP3 und IMAP verwendet wird. Problem ist, dass das ursprüngliche SMTP-Übermittlungsverfahren 1982 keine Authentifizierung nutzte und seit der Erstimplementierung Hilfslösungen zum gesicherten E-Mail-Versand verwendet werden.

Ergänzung von Robert:

Outlook verwendet für Office365 bzw. Exchange Online ein eigenes Protokoll. Aber alle anderen Email-Programme, die das nicht implementiert haben, müssen sich mit POP3/IMAP und SMTP begnügen und können dann ein Problem kriegen.

sTunnel ist ein Hilfsprogramm auch zum Email-Versand, dass aus einer unverschlüsselten Verbindung transparent eine TLS-Verbindung macht. Es ist nicht trivial das in eigenen Programmen einzubauen.

Der erste Satz deckt sich auch mit dem Kommentar von Stefan Kanthak weiter unten.

SMTP-Authentifizierung in Exchange Online

Mit dem in der sTunnel-Meldung genannten Link gelangt man zum Supportbeitrag Enable or disable authenticated client SMTP submission (SMTP AUTH) in Exchange Online. Dort heißt es von Microsoft:

Die Client-SMTP-E-Mail-Übermittlungen (auch bekannt als authentifizierte SMTP-Übermittlungen) werden in den folgenden Szenarien in Office 365 und Microsoft 365 verwendet:

  • POP3- und IMAP4-Clients. Mit diesen Protokollen können Clients nur E-Mail-Nachrichten empfangen, daher müssen sie authentifiziertes SMTP verwenden, um E-Mail-Nachrichten zu senden.
  • Anwendungen, Berichtsserver und Multifunktionsgeräte, die E-Mail-Nachrichten erzeugen und senden.

Das SMTP AUTH-Protokoll (seit Feb. 2020 verfügbar) wird für die Übermittlung von SMTP-E-Mails an Clients verwendet, in der Regel an TCP-Port 587. SMTP AUTH unterstützt die moderne Authentifizierung (Modern Auth).

Praktisch alle modernen E-Mail-Clients, die eine Verbindung zu Exchange Online-Postfächern in Office 365 oder Microsoft 365 herstellen (z. B. Outlook, Outlook im Web, iOS Mail, Outlook für iOS und Android usw.), verwenden SMTP AUTH nicht zum Senden von E-Mail-Nachrichten.

Daher empfiehlt Microsoft im Supportbeitrag dringend, SMTP AUTH in der Exchange Online-Organisation zu deaktivieren und nur für die Konten (d. h. Postfächer) zu aktivieren, die es noch benötigen. Im Beitrag ist aber auch beschrieben, wie man die Unterstützung wieder aktivieren kann.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Mail, Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

30 Antworten zu Outlook streikt beim Mail-Versand? Microsoft hat SMTP deaktiviert (Juli 2022)

  1. Martin Ramp sagt:

    Seit Gestern Nachmittag fehlten uns Mails. Nun kennen wir den Grund. Danke Herr Born. Mal wieder.

  2. Stefan sagt:

    Hieß es nicht eigentlich es wird nur bei Tenants deaktiviert wo es bis jetzt nicht in Verwendung war?

    Witzig ist auch Microsofts Vorschlag man solle halt modern auth für SMTP nutzen. Kennt jemand auch nur einen einzigen MFP der modern auth unterstützt? Clowns.

    • n8c sagt:

      Moin,

      die Antwort auf dein Problem lautet mailbox.org light Account.

      > kb.mailbox.org/de/privat/e-mail-artikel/wie-viele-e-mails-kann-ich-versenden
      Darunter gibt es natürlich auch Rate Limits auf kleinere Zeitspannen, aber es ist höher als der Unfug bei MS (30/Min)
      > docs.microsoft.com/en-us/office365/servicedescriptions/exchange-online-service-description/exchange-online-limits?redirectedfrom=MSDN#receiving-and-sending-limits
      auch wenn der Support mir keine genauen Zahlen nennen wollte.

      Was sowieso die bessere Wahl ist, weil die Schmocks bei MS nur STARTTLS über 587 erlauben (was auf 25 nonencrypted zurückfallen darf, was ich aber verf*** nochmal ausschließen können will), aber kein ForceSSL über 465.
      Achtung: Mindestens TLS 1.2 erforderlich, darunter antwortet deren Server nicht.
      Da merkt man dann welche seiner Apps noch so alten Schmarn drin hat…

      Macht dann 1€/Monat pro Sendeuser, aber solange es nur ausgehend ist ist es easy vertretbar, schon allein wegen der operativen Kamikazefahrt von MS.
      Wenn auch eingehend ist halt RIP im Oktober wenn Basic Auth wegfliegt.
      Denk bei der Mig dran auch die SPF Records und sowas nachzupflegen!

      • Stefan sagt:

        Hi, ja, wir haben durch unseren Provider noch einen Fallback über den geschickt werden kann. Nicht die schönste Geschichte aber ok. Sie werden wohl basic auth für SMTP ohnehin nicht abdrehen können aber wer weiß wie es in den kommenden Jahren aussieht.

  3. Stefan Kanthak sagt:

    Guenter, Du betreibst DESINFORMATION: die o.g. Clients beherrschen alle seit JAHREN das klassische SMTP AUTH
    Das Problem ist nur die neumodische, auf OAuth aufsetzende SMTP Authentifikation, die Exchange Online zwar beherrscht, aber die Clients nicht.
    Auch Microsofts FAQ desinformiert: während
    "As of February 2020, OAuth authentication is available for POP3, IMAP4, and SMTP AUTH connections to Exchange Online." korrekt ist, ist "Virtually all modern email clients that connect to Exchange Online mailboxes in Office 365 or Microsoft 365 (for example, Outlook, Outlook on the web, iOS Mail, Outlook for iOS and Android, etc.) don't use SMTP AUTH to send email messages." völlig falsch: ich kenne keinen MUA, der SMTP AUTH nicht beherrscht.

    • Thomas sagt:

      Da steht bei MS: "don't use SMTP AUTH", nicht "don't support SMTP AUTH". Das ist ein feiner, aber semantisch bedeutsamer Unterschied. Sie können as also, nutzen es aber in der Standardeinstellung nicht. Zumindest verstehe ich das so.

  4. Michel Py sagt:

    Bei ein Drittel meiner Office365 Kunde wurde SMTP gestern Abend total deaktiviert obwohl jeden Tag mindestens 1 Mail gesendet wurde (Backup Logs).
    SMTP war schnell wieder aktiviert. MS hatte eben schon oft kompliziert gewarnt.
    Bei den anderen Kunden ist noch SMTP in jede Mailbox erlaubt. Da bin ich gespannt.
    Die MS KI ist nicht sehr schlau. Wer zahlt jetzt für die Reparatur ?

  5. Paul sagt:

    Geht es hier nur um Port 587 oder auch 25?

  6. DasOlli sagt:

    Ab es damit zusammenhängt:
    https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-and-exchange-online-september-2021-update/ba-p/2772210
    Zitat:
    IPORTANT: Sometime in second and third quarters of 2022 we will selectively pick tenants and disable Basic Auth for all affected protocols except SMTP AUTH for a period of 12-48 hours. After this time, Basic Auth for these protocols will be re-enabled, if the tenant admin has not already re-enabled them using our self-service tools.

    (Wobei hier ja ausdrücklich geschrieben wird, das es nicht für SMTP AUTH gilt….)

  7. Sten sagt:

    Hi, hat jemand eine Info was genau eingestellt werden muss damit ich das mit einem Multifunktionsgerät nutzen kann? (Außer im User SMTP zu aktivieren)
    Geht das nur bei einem User mit Lizenz?
    Port 587
    smtp.office365.com

    hab Lentzens mal ne Stunde versenkt ohne Lösung, im Office Log kommt immer Authentifizierung nicht möglich oder so.

    Gruß

    • Tino sagt:

      Ja auf User Ebene wird eine Lizenz benötigt die da Einstellung und Verwaltung der Email Apps im M365 Portal eingestellt werden muss. Oder eben tenantweit über Powershell.

    • Stefan sagt:

      Ja, das Konto braucht eine Lizenz. Anschließend kannst du es aktivieren:
      Set-TransportConfig -SmtpClientAuthenticationDisabled $false
      Set-CASMailbox -identity sendepostfach -smtpclientauthenticationDisabled $false

    • Robert Glöckner sagt:

      Ein User mit Lizenz wird benötigt, ja. beim Kunden gibt es ein Info-Postfach, dass bis dahin nur empfangen hat und dessen Daten verwende ich hier für den Versand.

      • Michael sagt:

        wichtig auch, dass TLS 1.2 mit aktuellen Cipher Suites aktiviert ist. Hatte vor einer Woche einen Drucker der plötzlich aufgehört hat zu senden, im Test konnte er sich nicht anmelden obwohl alles auf SMTP eingestellt war…Schuld war dann, dass TLS 1.2 und aktuelle Ciphers gefehlt haben…danach ging's.

  8. Stefan Tjarks | MD sagt:

    Per Powershell an den Exchange Online hängen:
    Connect-Exchangeonline

    Danach einen Befehl absetzen, danach gehts wieder …:
    Set-TransportConfig -SmtpClientAuthenticationDisabled $false

    Hatten wir leider auch bei sehr vielen Kunden.

  9. Bruno sagt:

    Danke Microsoft. Immer wieder..

    Der Mist läuft noch immer nicht.

    Folgendes hab ich gemacht:

    User hat Exchange Online Lizenz
    Unter E-Mail-Apps verwalten "Authentifiziertes SMTP" eingeschalten

    Im Powershell

    Prüfung TransportConfig

    Get-TransportConfig | Format-List SmtpClientAuthenticationDisabled
    SmtpClientAuthenticationDisabled : False

    Prüfung Mailbox
    Get-CASMailbox -identity scanner | select name, SmtpClientAuthenticationDisabled

    Name SmtpClientAuthenticationDisabled
    —- ——————————–
    scanner False

    Testmail über Powershell

    $creds = get-credential

    Send-MailMessage -From scanner@Sendedomain.com -To empfaenger@Meinedomain.ch -subject "Test Email" -Body "Test SMTP Service from Powershell on Port 587" -SmtpServer smtp.office365.com -Credential $creds -UseSsl -Port 587

    Fehler:

    Send-MailMessage : Für den SMTP-Server ist eine sichere Verbindung erforderlich, oder der Client wurde nicht authentifiziert. Die Serverantwort war: 5.7.57 Client not authenticated to send mail. Error: 535 5.7.139
    Authentication unsuccessful, the user credentials were incorrect.

    Das habe ich vor ca. 2 Stunden abgesetzt, bisher noch ohne Erfolg.

    • Anonymous sagt:

      Okay, ich habs geschafft.

      Mit einem neu angelegten User hat es funktioniert (also anderer Benutzername).

      Danach habe ich den User (scanner) gelöscht und wieder neu angelegt mit den selben Credentials. Und siehe da, es funktioniert.

      Echt mühsam…

  10. Frank M. sagt:

    Wir haben seit gestern das Problem festgestellt, dass wir Postfächer mit Exchange Online Plan, die wir mittels IMAP durch eine Drittanwendung abfragen lassen, nicht mehr abfragen können.
    Es erscheint permanent die Fehlermeldung "Server: outlook(dot)office365(dot)com, Username: postfach(at)domain.de. Server login error: aaac NO LOGIN failed".
    Auch wenn es hierbei um das Empfangen von Mails geht, vermute ich einen Zusammenhang. Hat vielleicht jemand eine Idee, wie man das abstellen kann?

    • Frank M. sagt:

      Unser Problem hat sich anscheinend, und vor allem glücklicherweise, wieder von selbst erledigt. Es gab keine Veränderung auf unserer Seite.

  11. Thomas sagt:

    Bei mir melden sich heute auch diverse Kunden, dass das Mailversenden über Webseiten nicht mehr funktioniert – diese haben die diverse Accounts im Cloud CRM System eingebunden.

    Soweit ich es jetzt über https://testconnectivity.microsoft.com/ nachvollziehen konnte funktioniert bei diesen Accounts die Basic Auth nicht mehr, die Modern Auth doch schon. Unter Get-CASMailbox sind die Accounts nach wie vor auf "SmtpClientAuthenticationDisabled : False" und auch unter Get-TransportConfig ist die Einstellung noch auf "SmtpClientAuthenticationDisabled : False".

    Wie kann ich für einzelne Accounts die Basic Auth aktivieren? Die CRM Anbieter unterstützen Modern Auth nicht. Oder muss ich die Basic Auth Tenantweit einschalten? Oder geht das überhaupt noch? :-)

  12. Egalo sagt:

    MS hat hier noch einen Artikel veröffnet:
    https://docs.microsoft.com/de-de/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online

    Da steht drin:

    Im September 2021 haben wir angekündigt, dass ab dem 1. Oktober 2022 die Standardauthentifizierung für Outlook- und EWS-, RPS-, POP-, IMAP- und EAS-Protokolle in Exchange Online deaktiviert wird. SMTP-Authentifizierung wird auch deaktiviert, wenn sie nicht verwendet wird.

    Der letzte Satz verstehe ich so, dass wenn ich es auf der Domäne oder einem User wieder enabled habe, es weiterhin funktionieren wird (nach dem 1. Okt). Oder wird die SMTP-Auth in jedem Fall auch deaktivert ?

    So klar ist's leider nicht.

  13. dasolli sagt:

    wie im oben verlinken MS Beitrag:

    IMPORTANT: Sometime in second and third quarters of 2022 we will selectively pick tenants and disable Basic Auth for all affected protocols except SMTP AUTH for a period of 12-48 hours. After this time, Basic Auth for these protocols will be re-enabled, if the tenant admin has not already re-enabled them using our self-service tools.

    During this time all clients and apps that use Basic Auth in the selected tenants will be affected, and they will be unable to connect. Any client or app using Modern Auth will not be affected. Users can switch to other clients (for example, use Outlook on the Web instead of an older Outlook client that does not support Modern Auth) while they upgrade or reconfigure their client apps.

    Das hatten wir bei uns auch, das Ticketsystem war plötzlich nicht erreichbar (Pop3) und hat nicht gesendet. Wir haben dann entsprechend der MS Hinweise BasicAuth für das betreffende Postfcach wieder aktivert….

  14. Stefan sagt:

    Ich hätte ja kein Problem mit modern auth wenn nicht immer wieder Clients einen "silent Login error" bekommen würden und nach dem Kennwort gefragt werden würden. Klickt ma die Meldung weg und macht das Outlook neu auf geht auch alles ohne Kennworteingabe. Nervig ists das das auch während dem Arbeiten passiert. Grade auf einem Terminalserver kann ich auch nicht "mal eben" die Kiste neu aufsetzen. Profil neu erstellen nützt nichts.

    Hat jemand auch schon das Problem gehabt?

    https://docs.microsoft.com/en-us/office365/troubleshoot/authentication/automatic-authentication-fails

    https://community.spiceworks.com/topic/2205118-office-365-won-t-log-in-without-enableadal-0

    lg stefan

  15. Marcel sagt:

    Offenbar hatte Microsoft SMTP AUTH mit Basic Auth auch zeitweise deaktiviert:

    MC400930 | July 15 – We recently communicated in MC396962 that were going to disable basic authentication for a number of protocols as part of our wider program to secure Exchange Online. Approximately 7 days later, we turned off those specific protocols, but we also unintentionally disabled SMTP AUTH.We have since re-enabled SMTP AUTH, and are sorry for any inconvenience caused.It's important to note that we highly recommend that you disable SMTP AUTH in your Exchange Online organization, and enable it only for…

    Einmal mit Profis…

    Marcel

Schreibe einen Kommentar zu Egalo Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.