A Microsoft voltou a atualizar os seus planos para descontinuar a Autenticação Básica no Exchange Online, concedendo um último adiamento para a remoção do suporte a este método mais antigo no envio de emails através de SMTP AUTH. Empresas e administradores de TI têm agora um novo prazo definitivo para se adaptarem à autenticação moderna e mais segura baseada em tokens OAuth 2.0.
Ainda em 2022, a gigante tecnológica anunciou o fim da Autenticação Básica, um sistema que depende apenas de um nome de utilizador e palavra-passe, com o objetivo de reforçar a segurança das contas dos seus utilizadores. Embora a data original para a descontinuação total no SMTP AUTH estivesse marcada para setembro de 2025, a empresa decidiu prolongar o prazo.
Numa nova comunicação publicada no Centro de Administração do Microsoft 365, a empresa estabeleceu um novo calendário.
O novo calendário definitivo para o fim da autenticação básica
De acordo com a mensagem da Microsoft, datada de 12 de junho de 2025, o novo adiamento visa dar mais tempo aos clientes para adotarem as alternativas mais seguras. A empresa foi clara ao afirmar que não deverão existir mais adiamentos para além desta data.
O novo cronograma estabelece que:
- A partir de 1 de março de 2026, o Exchange Online começará a desativar gradualmente a Autenticação Básica para o envio de emails via SMTP AUTH.
- Até 30 de abril de 2026, o método antigo será completamente desativado.
Após esta data, qualquer aplicação ou dispositivo que necessite de enviar emails através dos serviços da Microsoft terá obrigatoriamente de utilizar o protocolo OAuth.
Porquê esta mudança e o que significa?
A transição da Autenticação Básica para o OAuth 2.0 representa um salto significativo em termos de segurança. Enquanto o método antigo se baseia numa simples combinação de utilizador e palavra-passe, que é mais vulnerável a ataques de força bruta e roubo de credenciais, o OAuth utiliza tokens de acesso com tempo de vida limitado, oferecendo uma camada de proteção muito mais robusta contra acessos não autorizados.
Este adiamento surge pouco tempo depois de a Microsoft ter também estendido o suporte à Autenticação Básica para o seu serviço de envio de emails em massa (High Volume Email) até 2028, demonstrando alguma flexibilidade para cenários específicos, mas mantendo o rumo firme em direção a standards mais modernos para a generalidade dos utilizadores.
O que fazer se os seus sistemas não suportam OAuth?
A Microsoft está ciente de que nem todos os sistemas ou dispositivos mais antigos suportam os novos métodos de autenticação. Para estes casos, a empresa recomenda que os administradores de TI comecem a migrar para uma das seguintes alternativas antes do prazo final de abril de 2026:
- Para enviar emails para destinatários internos à sua organização, pode utilizar o Microsoft 365 High Volume Email.
- Para enviar emails para destinatários internos e externos, a solução recomendada é o Azure Communication Services Email.
- Se possui uma configuração híbrida com um servidor Exchange local, pode continuar a usar a Autenticação Básica para autenticar com o servidor local ou configurar um conector de receção que permita o retransmissão anónima (anonymous relay).
A mensagem, identificada como MC786329 no Centro de Administração do M365, sublinha que, independentemente do volume de emails, se for estritamente necessário usar Autenticação Básica com o Exchange Online, a adoção de uma destas alternativas ou de uma solução de terceiros é obrigatória.
Nenhum comentário
Seja o primeiro!