Abschaltung von SMTP Basic Auth: Handlungsbedarf für Scanner & Drucker

· von Dmitry Ivakin

In fast jedem deutschen Büro steht ein Drucker, über den niemand nachdenkt – bis er nicht mehr funktioniert. Er scannt Dokumente, sendet sie an ein freigegebenes Postfach und tut das seit sieben Jahren klaglos. Wenn Microsoft die Basic-Authentifizierung für SMTP endgültig abschaltet, wird dieser Drucker verstummen – und der Zeitpunkt wird sich wie der denkbar schlechteste anfühlen.

Das ist keine Spekulation. Microsoft kündigt diese Änderung seit 2019 an. Die endgültige Durchsetzung für Tenants, die SMTP AUTH mit Basic-Anmeldedaten verwenden, läuft durch 2025 und bis Anfang 2026. Wenn Sie noch nicht gehandelt haben, erklärt dieser Beitrag genau, was zu prüfen ist, welche Optionen Sie haben und was das Nichtstun kostet. Dies ist auch einer der Punkte, den unsere Microsoft 365-Sicherheitsbewertungen standardmäßig abdecken.

Warum Basic Auth für SMTP ein Sicherheitsproblem ist

Basic Authentication sendet Ihren Benutzernamen und Ihr Passwort mit jeder E-Mail-Anfrage mit, Base64-kodiert. Das ist keine Verschlüsselung – Base64 kann in Sekunden dekodiert werden. Jeder, der die Verbindung abfängt oder dieses Passwort in einer Konfigurationsdatei findet, kann Ihr E-Mail-Konto uneingeschränkt nutzen.

Das tiefere Problem ist, dass Basic Auth keine Mehr-Faktor-Authentifizierung unterstützen kann. Ein gestohlenes Passwort reicht aus. Microsofts eigene Daten zeigen, dass über 99 % der kompromittierten Konten kein MFA verwenden. Legacy-Authentifizierungsprotokolle sind der direkte Ermöglicher der meisten anmeldedatenbasierten Angriffe.

Aus DSGVO-Perspektive ist das direkt relevant. Artikel 32 der DSGVO verlangt von Organisationen, geeignete technische Maßnahmen zum Schutz personenbezogener Daten zu implementieren. Die Verwendung einer Authentifizierungsmethode, die allgemein als ausnutzbar bekannt ist – während moderne Alternativen existieren – ist in einer Datenschutzverletzungsuntersuchung schwer zu rechtfertigen. Die deutschen Datenschutzbehörden werden zunehmend konkreter in ihrer Definition von „Stand der Technik". Basic Auth erfüllt diesen Standard nicht mehr. Das eigentliche Risiko ist dabei nicht, dass der Drucker selbst gehackt wird – sondern dass ein dort gespeichertes Passwort an anderer Stelle wiederverwendet wird. Genau dort beginnt der tatsächliche Sicherheitsvorfall.

Was betroffen ist – eine praktische Checkliste

Nicht alles, was E-Mails über Ihren Microsoft 365-Tenant sendet, verwendet SMTP AUTH. Die Frage ist, ob die sendende Anwendung eine Benutzername-Passwort-Kombination verwendet statt eines Zertifikats oder OAuth-Tokens. Arbeiten Sie diese Liste durch:

  • Multifunktionsdrucker / Kopierer mit Scan-to-Email: Kyocera, Ricoh, Canon, Konica Minolta – praktisch alle verwenden gespeicherte Anmeldedaten. Prüfen Sie die Netzwerkeinstellungen des Geräts auf ein SMTP-Benutzernamefeld.
  • Branchenanwendungen: ERP-Systeme wie SAP Business One, DATEV, Lexware und viele maßgeschneiderte Anwendungen senden Auftragsbestätigungen, Mahnungen und Berichte per SMTP. Jede ist ein potenzieller Ausfallpunkt.
  • Monitoring- und Alarmierungstools: Server-Monitoring-Software, USV-Systeme und NAS-Geräte senden oft Alarm-E-Mails. Diese werden meist vergessen, bis etwas nicht mehr funktioniert.
  • Ältere CRM- und Ticketing-Systeme: On-Premise-Installationen von Tools wie SugarCRM oder Redmine haben oft fest eincodierte SMTP-Anmeldedaten in Konfigurationsdateien.
  • Website-Kontaktformulare: PHP-basierte Websites, die PHPMailer oder ähnliche Bibliotheken verwenden und über SMTP AUTH mit einem Exchange Online-Postfach verbunden sind.

Um alle SMTP AUTH-Verwendungen in Ihrem Tenant zu finden, gehen Sie zu Exchange Admin Center → Berichte → Nachrichtenfluss und filtern nach SMTP AUTH Client-Übermittlungen. Der Bericht zeigt genau, welche Konten in den letzten 30 Tagen per Legacy-SMTP authentifiziert haben.

Ihre drei Migrationspfade

Es gibt keine einheitlich richtige Antwort. Der richtige Weg hängt davon ab, ob das sendende Gerät oder die Anwendung moderne Authentifizierung unterstützen kann.

Option 1: OAuth 2.0 (Empfohlen für Anwendungen)

Moderne Branchenanwendungen und neuere Drucker-Firmware-Versionen unterstützen OAuth 2.0. Die Anwendung registriert sich als App in Entra ID und tauscht ein Client-Secret gegen ein kurzlebiges Token aus, anstatt ein Passwort zu speichern. Das ist die sicherste Option und eliminiert das Risiko gestohlener statischer Anmeldedaten. Die Implementierung erfordert eine App-Registrierung in Azure, die Vergabe von SMTP.Send-Berechtigungen und die Aktualisierung der Mail-Konfiguration der Anwendung.

Option 2: Direct Send über Microsoft 365 (Gut für Drucker)

Wenn das Gerät nur an Empfänger in Ihrer eigenen Domain sendet, können Sie es so konfigurieren, dass es den Microsoft 365 Direct Send-Endpunkt (den MX-Eintrag Ihres Tenants) ohne jegliche Authentifizierung verwendet – sofern Sie die IP-Adresse des Geräts auf die Whitelist setzen. Es werden keine Anmeldedaten auf dem Gerät gespeichert. Das funktioniert gut für Drucker, die Scans an interne Postfächer senden, kann aber nicht für externe Adressen wie Kunden oder Lieferanten verwendet werden.

Option 3: SMTP-Relay über Azure oder einen Drittanbieter

Für Geräte, die extern senden müssen, aber OAuth 2.0 nicht unterstützen, ist die sauberste Lösung die Weiterleitung über einen SMTP-Relay-Dienst. Azure Communication Services, SendGrid oder ein dedizierter On-Premise-Relay-Server akzeptiert die Verbindung vom Gerät mit einem statischen Anmeldedatum, das nur auf dieses Relay beschränkt ist. Das hält Exchange Online-Anmeldedaten vollständig von Legacy-Geräten fern.

Schritt für Schritt: Einen Drucker auf Direct Send umstellen

Das ist das häufigste Szenario und am schnellsten umzusetzen. Hier die Vorgehensweise für ein Ricoh, Kyocera oder ähnliches Multifunktionsgerät, das nur intern sendet:

  1. Melden Sie sich auf der Web-Oberfläche des Geräts an (meist über seine lokale IP-Adresse).
  2. Navigieren Sie zu E-Mail- / SMTP-Einstellungen.
  3. Ändern Sie die SMTP-Serveradresse von smtp.office365.com auf den MX-Endpunkt Ihres Tenants (sichtbar im Microsoft 365 Admin Center → Domänen → Ihre Domain → MX-Eintrag).
  4. Setzen Sie den Port auf 25 und deaktivieren Sie die Authentifizierung vollständig.
  5. Erstellen Sie im Exchange Admin Center unter Nachrichtenfluss → Connectors einen eingehenden Connector, der E-Mails von der IP-Adresse des Druckers akzeptiert.
  6. Senden Sie einen Test-Scan und prüfen Sie die Zustellung im Zielpostfach.

Der gesamte Prozess dauert etwa 20 Minuten pro Gerät, wenn Sie wissen, was zu tun ist. Das Risiko besteht darin, ein Gerät zu vergessen – weshalb der Audit-Schritt so wichtig ist.

Was passiert, wenn Sie nichts tun

Microsoft wird SMTP AUTH auf Tenant-Ebene deaktivieren. Geräte und Anwendungen, die noch SMTP AUTH verwenden, erhalten Authentifizierungsfehler. E-Mail-Flüsse stoppen. In einer Buchhaltungsabteilung bedeutet das, dass Rechnungs-PDFs keine Kunden mehr erreichen. In einem Logistikbetrieb hören Versandbenachrichtigungen auf zu senden. Der Zeitpunkt ist nicht vorhersehbar, da Microsoft die Durchsetzung in Wellen über Tenants ausrollt.

Über die Betriebsunterbrechung hinaus gibt es den Compliance-Aspekt. Wenn eine Sicherheitsverletzung durch ein Legacy-SMTP-Konto eintritt, müssen Sie Ihrer Versicherung und möglicherweise Ihrer Datenschutzbehörde erklären, warum ein bekannt veraltetes Authentifizierungsverfahren noch in Betrieb war. Das ist keine komfortable Position.

SMTP-Migration & Microsoft 365 Support

Wir führen ein vollständiges SMTP AUTH-Audit über Ihren Tenant und jedes sendende Gerät durch, das wir identifizieren können. Für jedes empfehlen wir den richtigen Migrationspfad und übernehmen die technische Umsetzung – ob das die Konfiguration von OAuth 2.0-App-Registrierungen in Entra ID, die Einrichtung von Direct Send-Connectors oder das Deployment eines SMTP-Relays für Legacy-Hardware ist.

Die meisten Projekte sind innerhalb von ein bis zwei Arbeitstagen abgeschlossen. Wir dokumentieren jede Änderung, testen jeden E-Mail-Fluss und hinterlassen Ihnen einen Konfigurationsnachweis, der sowohl Ihr IT-Team als auch eine künftige Compliance-Prüfung zufriedenstellt.

Weitere Artikel