Einleitung
Microsoft plant die Einstellung der sogenannten „Basic authentication“ für Exchange Online, welche Bestandteil der Microsoft 365- und Office 365-Produktsuite ist.
Basic Authentication
Anwendungen verwenden diese Art der Authentifizierung, um sich mit Servern oder Diensten im Internet zu verbinden. Benutzername und Kennwort werden hierbei unverschlüsselt übertragen. Insbesondere ohne verschlüsselte Verbindung stellt dies ein Sicherheitsrisiko dar. Folgende Dienste und Protokolle sind laut Microsoft von der Deaktivierung betroffen:
- Exchange ActiveSync (EAS)
- POP
- IMAP
- Remote PowerShell
- Exchange Web Services (EWS)
- Offline Address Book (OAB)
- Outlook für Windows und Mac
- SMTP AUTH
Modern Authentication
Anstelle der Basic Authentication auf Exchange Online kommt dann ein OAuth 2.0 basiertes Verfahren zum Einsatz. Clients benötigen zur Herstellung der Verbindung einen Zugriffstoken, der von einem Authentifizierungs-Server (bei Microsoft) erstellt wird. Der Token besitzt eine begrenzte Gültigkeitsdauer und ist für die Anwendung spezifisch. Der Token kann somit nicht wiederverwendet werden, was die Sicherheit erhöht.
POP, IMAP und SMTP AUTH
Die Protokolle POP, IMAP und SMTP werden von E-Mail-Clients und Anwendungen verwendet, um E-Mail-Nachrichten zu empfangen (POP und IMAP) bzw. zu senden (SMTP). Damit dies auch in Zukunft weiterhin funktioniert, müssen diese Anwendungen das neue Authentifizierungsverfahren (Modern Authentication) unterstützen.
Da conzept 16 zum einen Befehle für die Versendung von E-Mails über SMTP anbietet und Alert-Mails des Datenbank-Servers ebenfalls über dieses Protokoll laufen, arbeitet vectorsoft gegenwärtig an einer Unterstützung für das neue Verfahren.
Zeitpunkt der geplanten Umstellung
Ursprünglich kündigte Microsoft den 1. Oktober 2022 für die Umstellung seiner Cloud-Dienste an. Mittlerweile gibt es jedoch einen Aufschub bis zum 31. Dezember dieses Jahres. Während dieses Zeitraums erlaubt Microsoft weiterhin die den Zugriff über Basic Authentication. Anfang 2023 soll das Verfahren dann gänzlich eingestellt werden.
Quellen
Deprecation of Basic authentication in Exchange Online
Basic Authentication Deprecation in Exchange Online – September 2022 Update