Handlungsempfehlung: Exchange Online deaktiviert Basic Authentication

Microsoft hat veröffentlicht, dass die Basic-Authentifizierung ab dem 01.10.2022 abgeschaltet wird.

Dabei werden nicht alle Accounts gleichzeitig abgeschaltet, sondern es werden willkürlich Microsoft Tenants ausgewählt und in 7-Tage Schritten verarbeitet. Um darauf vorbereitet zu sein und um zu wissen, wann der eigene Tenant fällig ist, wird es eine Benachrichtigung 30 Tage vorher im Microsoft Message Center geben.

Die Basic-Authentifizierung wird von Anwendungen verwendet, um eine Verbindung mit Servern, Diensten und API-Endpunkten herzustellen. Bei der Basic-Authentifizierung werden häufig Anmeldeinformationen wie z.B. Benutzername oder Passwort auf einem Endgerät gespeichert. Das erleichtert Angreifern das Erfassen von Benutzeranmeldeinformationen. Zusätzlich handelt es sich dabei um einen veralteten Industriestandard. Bedrohungen, die von ihr ausgehen, sind erst gestiegen, seit von Microsoft angekündigt wurde, dass diese deaktiviert werden. Um den Prozess entgegenzuwirken, wird Microsoft diese Authentifizierung abschalten.

Somit werden zukünftig alle Basic-Authentifizierungen ab dem genannten Termin, die noch zu Exchange Online verwendet werden, nicht mehr zugelassen, was dazu führt, dass z.B. Mobile Clients die Verbindung zum Exchange Online verlieren oder Microsoft die Authentifizierung von Anwendungen verweigert.

Demnach erzwingt Microsoft die Modern Authentication. Bestehende SMTP-Authentifizierungen werden nicht abgeschaltet, es wird aber empfohlen auf Modern Authentication umzustellen.

Folgende Dienste werden für die Basic-Authentifizierung außer Betrieb genommen:

  • Exchange ActiveSync (EAS)
  • POP</li>
  • IMAP
  • Remote PowerShell (RPC)
  • Exchange Webdienste (EWS)
  • OfflineAdressbuch (OAB)
  • SMTP Authentifizierung (nur bei nicht Verwendung

Diese Maßnahmen sollten Sie ergreifen:

Protokolldienst

Betroffene Clients

Empfehlung

Outlook

Alle Versionen von Outlook für Windows und MAC

  • Upgrade auf Outlook 2013 oder höher für Windows und Outlook 2016 oder höher für Mac
  • Wenn Sie Outlook 2013 für Windows verwenden, aktivieren Sie die moderne Authentifizierung über die Registry

 

Exchange ActiveSync (EAS)

Mobile E-Mail Clients von Apple, Samsung usw.

  • Aktualisieren der App-Einstellungen, wenn OAuth ausgeführt werden kann, das Gerät jedoch weiterhin Basic verwendet

 

POP & IMAP

Mobile Clients von Drittanbietern wie Thunderbird-Erstanbieterclients, die für die Verwendung von POP und IMAP konfiguriert sind

  • Entfernen Sie sich von diesen Protokollen, da sie keine vollständigen Features aktivieren.
  • Wechseln sie zu OAuth 2.0 für POP/IMAP, wenn ihre Client-App dies unterstützt.

 

Remote PowerShell (RPC)

  • Exchange Administratoren
  • Delegierte Admin-Berechtigungen
  • Automatisierte Verwaltungstools

 

  • Update auf das Exchange Online Powershell V2-Modul

 

Exchange Webdienste (EWS)

Anwendungen von Drittanbietern, die OAuth nicht unterstützen

  • Ändern Sie die App, um die moderne Authentifizierung zu verwenden
  • Migrieren Sie Ihre App, um Graph-API und moderne Authentifizierung zu verwenden

 

Weiterführende Links:

Einstellung der Standardauthentifizierung in Exchange Online | Microsoft Docs

Microsoft wirft unsichere Anmeldung für Exchange Online raus | heise online

Microsoft Announcement May 2022

Gerne unterstützen wir Sie bei der Analyse, welche Geräte und Anwendungen noch mit der Basic-Authentifizierung unterwegs sind und bei der Umsetzung der Handlungsempfehlung. Melden Sie sich dazu bitte bei unserem Support per Mail (support@systemhaus-vorort.de) oder telefonisch (+49 271 3388460-1) und vereinbaren einen zeitnahen Termin.