Microsoft hat angekündigt, die als unsicher geltende Standardauthentifizierung ("Basic Authentication") seines cloudbasierten E-Mail-Dienstes Exchange Online nun doch erst im kommenden Jahr für einige Übertragungsprotokolle zu deaktivieren.

In einem Eintrag im Exchange Team Blog begründete das Unternehmen seine Entscheidung damit, dass sich für viele Kunden die Prioritäten angesichts Covid-19 verschoben hätten. Daher könne die Basic Authentication bis zur zweiten Hälfte des kommenden Jahres weitergenutzt werden. Ein genaues Datum für die verschobene Deaktivierung werde folgen, wenn die Situation beziehungsweise ihre Auswirkungen besser abschätzbar seien.

Verschiebung mit Einschränkungen

Microsoft nennt allerdings auch Einschränkungen: Für Neukunden sowie für Kunden mit vorhandenen Plänen/Tenants, die die Exchange-Online-Dienste bisher noch nicht genutzt haben, erfolgt die Abschaltung bereits ab Oktober 2020. Dies – genauer: der 13. Oktober – war auch der ursprünglich geplante Zeitpunkt. Konkret betrifft die Deaktivierung laut der ursprünglichen Ankündigung von September 2019 Exchange ActiveSync (EAS), POP, IMAP und Remote PowerShell, nicht jedoch die SMTP-Authentifizierung.

Dem neuen Blogeintrag zufolge will Microsoft die bereits begonnenen Aktualisierungen für den geplanten Support des Authentifizierungsverfahrens OAuth 2.0 für POP, IMAP, SMTP-Auth und Remote PowerShell wie geplant fortsetzen. Das Unternehmen rät seinen Kunden in diesem Zusammenhang erneut zum möglichst zeitnahen Umstieg auf die sicherere tokenbasierte OAuth-Authentifizierung ("Modern Authentication").

Lesen Sie auch Wie man OAuth 2.0 richtig verwendet

DANE und DNSSEC in zwei Phasen

Zur besseren Absicherung des SMTP-Traffics plant Microsoft eine weitere Neuerung: Exchange Online soll um das Sicherheitsprotokoll DANE (DNS-based Authentication of Named Entities) nebst DNSSEC (Domain Name System Security Extensions) und außerdem um TLS-Reporting (TLS-RPT) für Monitoring und Fehlerdiagnose aufgerüstet werden.

Das geht aus einem weiteren aktuellen Blogeintrag des Exchange-Teams hervor, dessen Titel "Support of DANE and DNSSEC in Office 365 Exchange Online" – höchstwahrscheinlich aus Marketinggründen – suggeriert, dass die Neuerungen nur Kunden mit einem Office365- beziehungsweise M365-Plan zugute kämen. Im Text heißt es jedoch eindeutig: "We have decided to (...) add support for DNSSEC and DANE for SMTP to Exchange Online".

Microsoft will die teils recht aufwändigen Umbauten in zwei Phasen realisieren: Bis Ende 2020 sollen DANE/DNSSEC zunächst für ausgehenden, bis Ende 2021 dann auch für eingehenden Traffic verfügbar sein. Auch in der ersten Phase soll TLS-Reporting bereits verfügbar sein.