Resumo
Microsoft informou que planeja desativar a autenticação básica (SMTP AUTH Basic) no Exchange Online como medida para reduzir abusos que levam a comprometimento de contas e envio massivo de phishing. A mudança tem cronograma escalonado e visa forçar migração para autenticação moderna baseada em OAuth.
O que a Microsoft está mudando
Segundo o comunicado reproduzido pelo veículo Cyber Security News, o Exchange Online manterá o SMTP AUTH com autenticação básica inalterado até dezembro de 2026. Ao final de dezembro de 2026, o método será desabilitado por padrão para tenants existentes, embora administradores possam reativá‑lo temporariamente enquanto concluem migrações. Para novos tenants criados após dezembro de 2026, o SMTP AUTH básico ficará indisponível por padrão, sendo o OAuth a forma suportada de autenticação.
Por que a alteração é relevante
A publicação destaca que SMTP AUTH usando autenticação básica envia credenciais em um formato frágil e tem sido um vetor persistente para invasões: atores de ameaça exploram endpoints SMTP para brute force, password spraying e credential stuffing. Com credenciais válidas, invasores podem enviar e‑mails a partir de contas legítimas, driblando filtros e causando danos à reputação e à entregabilidade das mensagens.
Vetor de abuso e controles ausentes
Os analistas citados apontam que sign‑ins via SMTP AUTH básico frequentemente não estão protegidos por controles modernos como autenticação multifator (MFA) e políticas condicionais. Além disso, muitos ambientes mantêm o recurso ativo para compatibilidade com aplicações legadas, impressoras, scripts e ferramentas de terceiros que não suportam métodos modernos, criando o que a Microsoft descreve como um "ponto fraco" persistente.
Impacto operacional e passos práticos
Organizações que ainda dependem de SMTP AUTH básico devem mapear todas as integrações com Exchange Online — aplicações, dispositivos e scripts — e planejar migração para fluxos compatíveis com OAuth ou soluções de encaminhamento seguro. O cronograma anunciado dá até dezembro de 2026 para descoberta e modernização; contudo, a desativação por padrão para tenants existentes no final desse mês implica que equipes terão de priorizar substituições e testes.
Mitigações e recomendações técnicas
- Inventariar conexões SMTP e identificar clientes que usam autenticação básica.
- Substituir integrações por mecanismos que suportem OAuth ou utilizar connectors com credenciais gerenciadas e seguras.
- Aplicar MFA e políticas condicionais sempre que possível para reduzir o abuso de credenciais.
- Monitorar logs de autenticação SMTP e detectar padrões de password spraying/credential stuffing.
- Preparar planos de contingência para dispositivos legados (ex.: impressoras) que não suportam modern auth.
O que falta e limites das informações
A matéria original informa o cronograma e as razões gerais da Microsoft, mas não detalha métricas de impacto (número de tenants afetados, volume atual de abusos via SMTP AUTH ou estimativa de esforço médio para migração). Também não há, no texto fonte, um roteiro técnico oficial passo‑a‑passo publicado pela Microsoft além do link para o blog técnico mencionado.
Conclusão
Trata‑se de uma mudança de largo alcance para infraestrutura de e‑mail em nuvem: administrações devem tratar o prazo como uma janela limitada para identificar dependências legadas e adotar autenticação moderna, reduzindo um vetor de acesso frequentemente explorado por criminosos para envio de phishing e BEC.