[English]Ab dem 1. Oktober 2022 schaltet Microsoft ja die "Basic Authentifizierung" bei Exchange Online ab. Das kann an verschiedenen Stellen zu Problemen führen. So soll die SMTP-Authentifizierung von dieser Abschaltung eigentlich nicht betroffen sein. Frank Carius zeigt aber auf, dass das nicht immer zutreffen muss.
Anzeige
Ende der Basic Authentication
Es steht ja bereits seit langem fest: Microsoft hat zum 1. Oktober 2022 damit begonnen, die sogenannte Basic Authentication bei Exchange Online zu deaktivieren. Wie ich im Beitrag Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt erwähnte, plant Microsoft Tenants, die das noch nutzen, nach dem Zufallsprinzip auszuwählen. Diese bekommen dann eine 7-tägige Warnung im Message Center (und Hinweise im Service Health Dashboard), dass die Basic Auth im Tenant nach Ablauf der Frist abgeschaltet wird. Microsoft geht davon aus, dass diese Abschaltung bis Ende 2022 komplett bei allen Tenants erfolgt ist.
Microsoft begründet diesen Schritt damit, dass Basic Auth ist immer noch eine der, wenn nicht sogar die häufigste Art und Weise, sei, über die Nutzer von Exchange Online kompromittiert werden. Und diese Art von Angriffen nimmt wohl weiter zu.
Betroffene Protokolle
Konkret gibt Microsoft an, dass man die Basic Auth für die Protokolle MAPI, RPC, Offline Address Book (OAB), Exchange Web Services (EWS), POP, IMAP und Remote PowerShell abschalten werde. Es heißt auch, dass SMTP AUTH dagegen nicht deaktiviert werde, sofern es noch genutzt wird. Auf Millionen Tenants, die das Protokoll SMTP AUTH nicht verwenden, wurde dieses bereits durch Microsoft deaktiviert. Redmond empfiehlt, das Protokoll auf Tenant-Ebene zu deaktivieren und es nur für die Benutzerkonten wieder zu aktivieren, die es noch benötigen.
Es kann Probleme geben
Am Rande hatte ich im Oktober bereits den Thread Outlook und OAuth 2.0 auf administrator.de gesehen, wo ein Administrator sich beklagt, dass mehrere Outlook 2016 (Office Home&Business, Prof.Plus, MS365) Clients unter Windows 10 Pro (21H2) in einer Domäne installiert, seit Abschaltung der Standard-Authentifizierung Probleme bereiten.
Anzeige
Es wird plötzlich ein Passwort angefordert, aber die Abfrage wurde ja abgedreht. Die Folge: Die Clients können sich nicht mehr am Microsoft 365-Konto anmelden. Interessant ist, dass dies nicht bei allen Outlook-Clients auftritt, obwohl der Update-Stand identisch ist. Und es gibt die Beobachtung, dass das komplette Löschen des Benutzerprofils hilft. Meldet sich der Nutzer erneut mit dem gleichen Benutzer an, so dass ein neues Profil erstellt wird, dann klappt die Verbindungsaufnahme. Mit fiel dazu der Blog-Beitrag Workaround für Outlook-Anmeldefehler an outlook.com (Oktober 2022) ein – obwohl ich nicht sicher bin, dass das zutrifft.
Azure Security Defaults und SMTP Auth
Die Tage ist mir nachfolgender Tweet von Frank Carius unter die Augen gekommen, der auf ein weiteres Problem hinweist. Eigentlich sollte es für die Authentifizierung beim SMTP-Mail-Versand über Exchange Online nicht relevant sein, dass die Basic Authentication ab dem 1. Oktober 2022 abgeschaltet wird. Microsoft gibt ja an (siehe den Kommentar hier), dass die SMTP AUTH dagegen nicht deaktiviert werde, sofern es noch genutzt wird.
Frank Carius führt aus, dass die Azure Security Defaults ggf. in Konflikt mit der SMTP Auth bei Exchange Online stehen können. Nur wenn die Azure Active Directory Security Defaults disabled sind, ist SMTP Auth konfigurierbar. Frank arbeitet sich im Beitrag Azure Security Defaults an diesem Thema ab und greift im Abschnitt Security Default und SMTP die Problematik durch die Umstellung der Tenants auf "Modern Auth" auf. Frank weist auf die nachfolgende Passage in diesem Microsoft-Beitrag hin.
Option 1: Authenticate your device or application directly with a Microsoft 365 or Office 365 mailbox, and send mail using SMTP AUTH client submission
Note: This option is not compatible with Microsoft Security Defaults. We recommend using Modern Authentication when connecting with our service. Although SMTP AUTH now supports OAuth, most devices and clients have not been designed to use OAuth with SMTP AUTH. As a result, there are no plans to disable Basic Authentication for SMTP AUTH clients at this time. To find out more about OAuth, see Authenticate an IMAP, POP or SMTP connection using OAuth.
You must also verify that SMTP AUTH is enabled for the mailbox being used. SMTP AUTH is disabled for organizations created after January 2020 but can be enabled per-mailbox. For more information, see Enable or disable authenticated client SMTP submission (SMTP AUTH) in Exchange Online.
Er zeigt in seinem Blog-Beitrag auf, dass es im Office 365 Admin Center gibt es eine eigene Einstellung zu "Modern Authentication" gibt. Ist dort für den Tenant "Security Defaults" aktiviert, werden SMTP AUTH und alle anderen "Basic Auth"-Anmeldungen geblockt. Frank zeigt, dass sich die Security Defaults im Azure Portal abschalten lassen. Dann kann man im Office Portal dann Modern Auth für alle Protokolle außer SMTP AUTH aktivieren. Aber vermutlich kennen Azure-Administratoren diesen Punkt.
Ähnliche Artikel:
Exchange Online: Abschaltung Basic Authentication in 2021
Basic Authentication in Exchange Online wird ab Oktober 2022 eingestellt
Exchange Online: Wechsel zu "Modern Authentication" bis Oktober 2022 erforderlich
Exchange Online: Apple Mail App Clients für Modern Authentication ertüchtigen
Google: Upgrade auf OAuth 2.0 erforderlich, um Calendar Interop ab 1. Oktober 2022 zu nutzen
Anzeige
Da hat Microsoft mal wieder am Alltag vorbeiprogrammiert. Es ist ja immer schön zu sehen wenn "Standardrichtlinien" und "best practices" bei Kontakt mit der Realität auf die Schnauze fliegen.
Die Defaults haben wir wegen der allgegenwärtigen aufdringlichen 2FA-Meldungen überall abgedreht, SMT-Auth wurde aber auch bei Tenants deaktiviert die es nutzten (Dokumentenscanner). Es musste dann wieder über die Powershell eingeschalten werden.
Auch wenn ich die Microsoft-Dokus schon zum 10. mal lese, eines ist mir noch nicht klar: kann eine c# Client App nun noch korrekt SMTP senden, wenn es OAuth statt Basic Auth verwendet?
(annahme: Security Defaults AKTIVIERT)
Nach ein bisschen VStudio-KungFu kann ich es selbst beantworten: c# Client App mit OAuth-anmeldung funktioniert auch mit aktivierten Security Defaults. Grüße