Microsoft stellt Standardauthentifizierung in Exchange Online ein

Ausangslage

Microsoft hat angekündigt, die Standardauthentifizierung (Basic Auth) per März 2026 einzustellen (ursprünglich angesetzter Termin war September 2025). Ab diesem Zeitpunkt wird es nicht mehr möglich sein, mittels dieser einfachen Authentifizierung mit Benutzer und Passwort E-Mails über den SMTP von Microsoft zu versenden.

Neu braucht es dazu einen Benutzer, der sich mittels “Modern Auth” am SMTP anmeldet.

Microsoft erzwingt diesen Schritt für alle Exchange-Online-Kunden. Er kann nicht umgangen werden.

Ablösung durch Modern Auth

Wir haben PerformX und die Business Process Engine mit neuer Funktionalität ausgestattet. Diese erlaubt es uns, E-Mails mittels Modern Auth an den SMTP zu übergeben. PerformX Cloud, sowie das PerformX Portal unterstützen die neue Authentifizierungsmethode seit einiger Zeit.

Handlungsbedarf

Für Sie - Vorbereitung Ihres Azure-Tenants

Die folgenden Schritte sind nötig, um E-Mails via Modern Auth zu versenden:

Bei Einsatz des PerformX Portals (für den Dokumentenversand)

1. Bereitstellung einer Applikation

   1. App Registration erstellen

   2. Berechtigung “SMTP.SendAsApp” zuweisen (eine Berechtigung der API “Office 365 Exchange Online”, zu finden unter “APIs my organization uses”)

   3. Secret erstellen

   4. Admin Consent erteilen

2. E-Mail-Applikation “Authenticated SMTP” für das Absender-Postfach aktivieren

3. Registrieren der Applikation in Exchange

4. Erteilen der Berechtigungen auf das Postfach in Exchange

   1. Vollberechtigung

   2. “Senden-als”-Berechtigung

Microsoft stellt für die Schritte unter 3. und 4. diese Dokumentation zur Verfügung: Authenticate an IMAP, POP or SMTP connection using OAuth | Microsoft Learn. Die Konfiguration beschränkt sich allerdings auf das letzte dort angeführte Beispiel, sowie das Erteilen der Send-As-Berechtigung (Add-RecipientPermission (ExchangePowerShell) | Microsoft Learn).

Bei Einsatz der BPE

1. Bereitstellung einer Applikation

   1. App Registration erstellen

   2. Berechtigung “Graph Mail.Send” zuweisen

   3. Secret erstellen

   4. Admin Consent erteilen

Nachbearbeitung/Betrieb

Beachten Sie, dass Secrets nur für eine gewisse Zeit gültig sind. Bitte stellen Sie uns ungefähr einen Monat vor Ablauf die Angaben eines neu erstellten Secrets zu, damit wir den Wechsel planen und durchführen können. Läuft ein Secret ab, ohne dass ein neues zur Verfügung steht, werden E-Mails nicht mehr ausgeliefert. Aktuell lässt Microsoft Laufzeiten von bis zu zwei Jahren zu.

Für Performa

Damit Ihr PerformX mit den modernen Authentifizierungs-Endpunkten kommunizieren kann, ist ein kleines Funktionsupdate nötig. Wenn Sie die Anpassung bestellen, führen wir auf Ihren Systemen folgende Arbeiten durch:

Bei Einsatz der BPE (Wartungsfenster von einer Stunde pro System benötigt)

1. Update von PerformX TEST und Konvertieren der Datenbank zur Integration der neuen Funktionen

2. Update der Business Process Engine TEST

3. Konfiguration von PerformX TEST mit den neuen, durch Sie zur Verfügung gestellten Zugangsdaten

4. Funktionstests und Abnahme durch Sie

5. Update von PerformX PROD und Konvertieren der Datenbank zur Integration der neuen Funktionen

6. Update der Business Process Engine PROD

7. Konfiguration von PerformX PROD mit den neuen Zugangsdaten

Bei Einsatz des PerformX Portals

1. Konfiguration von PerformX TEST mit den neuen, durch Sie zur Verfügung gestellten Zugangsdaten

2. Funktionstests und Abnahme durch Sie

3. Konfiguration von PerformX PROD mit den neuen Zugangsdaten

Bei Einsatz von PerformX Cloud

1. Konfiguration von PerformX Cloud TEST mit den neuen, durch Sie zur Verfügung gestellten Zugangsdaten

2. Funktionstests und Abnahme durch Sie

3. Konfiguration von PerformX Cloud PROD mit den neuen Zugangsdaten