SMTP AUTH 廃止

SMTP AUTH 廃止

マイクロソフト社がセキュリティリスクの懸念から
Exchange OnlineにおけるSMTP AUTH（基本認証/Basic認証）の
廃止を決定しました。

そもそもSMTP AUTH認証とは何なのでしょうか。
どちらかというとBasic(ベーシック認証)と言ったほうが
馴染みがある人が多いかもしれません。

ベーシック認証は一般的にはユーザー名とパスワードで認証する
仕組みです。これは盗まれてしまうと簡単に使えてしまい最近では
この認証方式だけでは非常にリスクがあると言われています。
SMTP AUTHはメール送信時(SMTP利用時)にユーザー名とパスワードで
認証する仕組みです。

以下構成例では、FortiGateが自身のアラートメールをFortiAnalyzer
に送信します。その後、FortiAnalyzerが発報するアラートメールを
Exchange Online に転送し、メール送信を行います。
今回導入している Forti 製品には、単体で外部へ直接メール送信を
完結させる仕組みがないためこのような構成になっています。

◆構成例
Fortigate→FortiAnalyzer→Exchange Online→アラートメールの発砲
(指定したメールあてに送信)

◆FortiAnalyzerの設定情報(Exchange Onlineの認証情報)
SMTPサーバ名：SMTP-AUTH
メールサーバ：smtp.office365.com
SMTPサーバポート：587
認証を有効化：有効
Eメールアカウント：メール発砲する宛先(test@co.jp)
パスワード：Password
セキュアオプション：STARTTLS(SMTPを暗号化するオプション)

ここで記載のあるsmtp.office356.comにベーシック認証できなくなる
わけですね。めんどくさいけどセキュリティレベルを上げるためには
仕方がないことです。

◆対応策
ではどのような対応策があるのか見ていきます。
・OAuth 2.0
・SMTP Relay
・Forti社のメールサーバ利用

[OAuth 2.0]
OAuth 2.0は、ベーシック認証の代わりに推奨されている認証技術です。
従来のように ID やパスワードを相手側へ直接渡すのではなく、
有効期限付きの「トークン」を発行してアクセスさせる仕組みです。
このトークンには有効期限があり、アクセス可能な範囲を限定できます。
また、必要に応じて失効させることも可能なため、セキュリティレベルが
高いのが特徴です。さらに、二要素認証（MFA）にも対応しており、
より安全な認証方式として推奨されています。

[SMTP Relay]
SMTPリレーサーバを利用する。
この場合ベーシック認証ではなくIPアドレスなどでの制限となるため
Exchange OnlineのSMTP AUTHには引っかからない。
自社オンプレで構築する場合は結構な費用が発生するためクラウドの
サービスを利用するのがいい。

[Forti社メールサーバ利用]
Forti社がクラウド上に準備しているメールサーバとなります。
一番簡単だがドメインがfortinet社のものから変更できない。
サーバ名：notification.fortinet.net
用途：アラートメール／ログ通知送信
SMTPポート：通常 465 または 587
認証：不要（SMTP-AUTH 不要）
TLS：有効（暗号化通信）

上記3つのうちだとFortigateやFortiAnalyzerはOAuthに対応していない
ためSMTP RelayやForti社のメールサーバを利用することを
検討しなければならない。

◆対応期限
そこで問題はいつまでにこの対応が必要なのかということ。
2026年1月27日にマイクロソフト社から発表があったのですが、かなり
緩和されたロードマップとなっていました。
もともとは2026年春(3月か4月くらい)に完全終了だったのですが
2026年12月末までは利用できそうです。設定変更を実施することで
2027年後半までは普通に使えそうですね。

Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline
Exchange Team Blog

◆以下マイクロソフトのホームページ参照
ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ
We understand that many customers continue to face real challenges
modernizing legacy email workflows and need sufficient time to
adopt viable, secure alternatives. Based on customer feedback and
visibility into adoption progress, we are refining the Exchange
Online SMTP AUTH Basic Authentication Deprecation timeline to
provide clearer milestones and additional runway.

・Now to December 2026:
→SMTP AUTH Basic Authentication behavior remains unchanged.
・End of December 2026:
→SMTP AUTH Basic Authentication will be disabled by default for
existing tenants. Administrators will still be able to enable it if needed.
・New tenants created after December 2026:
→SMTP AUTH Basic Authentication will be unavailable by default.
OAuth will be the supported authentication method.
・Second half of 2027:
→Microsoft will announce the final removal date for
SMTP AUTH Basic Authentication.

These updates are intended to give customers with tenants in our
service (all cloud environments) more time to plan, validate, and
deploy modern authentication alternatives, while maintaining a
clear path toward stronger default security.

Microsoft 365 Messaging Team
ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ

◆以下マイクロソフトのホームページ日本語訳
ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ
多くのお客様が、レガシーなメールワークフローの近代化において引き続き
現実的な課題に直面しており、安全で実用的な代替手段を導入するために十分な
時間を必要としていることを、私たちは認識しています。
お客様からのフィードバックおよび導入状況の進捗を踏まえ、より明確な
マイルストーンと追加の移行期間を提供するため、Exchange Online
におけるSMTP AUTH Basic認証の廃止スケジュールを見直します。

・現在 〜 2026年12月まで：
→ SMTP AUTH Basic 認証の動作に変更はありません。

・2026年12月末：
→ 既存テナントでは、SMTP AUTH Basic 認証が既定で無効化されます。
　ただし、必要に応じて管理者が有効化することは可能です。

・2026年12月以降に作成される新規テナント：
→ SMTP AUTH Basic 認証は既定で利用できません。
　サポートされる認証方式は OAuth となります。

・2027年後半：
→ Microsoft は、SMTP AUTH Basic 認証の最終的な完全廃止日を発表します。
これらの更新は、当社サービス（すべてのクラウド環境）をご利用中のお客様に対し、
既定のセキュリティをより強固にする明確な方向性を維持しながら、最新の
認証方式への移行を計画・検証・展開するための十分な時間を確保して
いただくことを目的としています。

Microsoft 365 Messaging Team
ｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ

いくらマイクロソフト社とは言え既存のルールをがっつり変更すると
庶民は動揺して反発するということですね。