文章总结： 微软将于2026年底弃用ExchangeOnline的SMTPAUTH基本身份验证，因其明文传输凭证且缺乏MFA支持，常被攻击者用于暴力破解及发送钓鱼邮件，构成严重安全风险。此举旨在强制迁移至OAuth等现代认证，建议组织及时评估并更新依赖旧协议的打印机及业务系统，以防止账户被劫持。 综合评分： 81 文章分类： 云安全,漏洞预警,网络安全

微软 Exchange Online 将弃用租户的 SMTP AUTH 基本身份验证

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月30日 09:02 北京

随着 Exchange Online 逐步弃用所有租户的 SMTP AUTH 基本身份验证，微软正准备对云电子邮件客户进行重大的安全调整。

此次更改针对的是电子邮件系统登录中最古老、最薄弱的方式之一，在这种方式中，用户名和密码以明文形式发送，如果流量被拦截或凭据被重复使用，攻击者可以很容易地窃取这些信息。

多年来，威胁行为者滥用 SMTP AUTH 和基本身份验证来暴力破解密码、开展密码喷洒活动以及劫持帐户以大规模发送网络钓鱼和垃圾邮件。

针对这种持续存在的滥用行为，微软研究人员发现，SMTP 的基本身份验证是许多租户中一个持续存在的弱点，尤其是在传统应用程序、设备和脚本仍然依赖于不支持现代安全控制的旧协议的情况下。

一旦攻击者获得 SMTP AUTH 的有效凭证，他们就可以以受信任用户的身份发送电子邮件，绕过许多安全过滤器，损害组织的声誉和电子邮件送达率。

这使得弃用基本身份验证不仅仅是协议清理，更是强化云电子邮件安全的关键一步。

微软分析师进一步指出，SMTP AUTH 基本登录通常缺乏强大的安全措施，例如多因素身份验证 (MFA) 和条件访问，即使环境的其他部分已锁定，组织仍然会面临风险。

由于 SMTP AUTH 基本身份验证经常被启用，只是为了“保证打印机、业务线系统和第三方工具的正常运行”，因此它已成为攻击者寻找最薄弱环节的首选目标。

微软希望通过强制用户放弃基本身份验证，来弥补这一长期存在的安全漏洞，以免更多租户遭受账户被盗用和后续安全漏洞的侵害。

根据更新后的时间表，SMTP AUTH 基本身份验证将保持不变，直至 2026 年 12 月，以便各组织有时间发现并更新所有仍然依赖于它的工作流程。

到 2026 年 12 月底，该功能将默认对现有租户禁用，但管理员仍可在迁移完成期间临时重新启用它。

对于 2026 年 12 月之后创建的新租户，默认情况下将不支持 SMTP AUTH 基本身份验证，而支持基于OAuth的现代身份验证方法。

感染机制：攻击者如何滥用 SMTP 基本身份验证

实际上，攻击者将 SMTP AUTH 基本身份验证视为一个简单的入口点，而不是传统的恶意软件感染途径。

他们通常使用自动化工具对 SMTP 端点执行密码喷洒和凭证填充攻击，尝试在多个帐户中使用大量弱密码或重复使用的密码，直到成功为止。

一旦找到有效的凭证，他们就会通过 SMTP 使用基本身份验证进行身份验证，并开始发送大量看似来自受害者组织内部的网络钓鱼或商业电子邮件入侵 (BEC) 邮件。

恶意邮件由此可以携带指向有效载荷的链接，窃取更多凭证，或诱骗用户进行欺诈性支付，从而将一个脆弱的协议变成一个广泛的入侵通道。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《微软 Exchange Online 将弃用租户的 SMTP AUTH 基本身份验证》