Fin de vie de l’authentification basique SMTP : mise à jour août 2025, rapport et PowerShell

Ordonnancement

La fin de l'authentification basique sur SMTP (SMTP Auth) est repoussée de septembre 2025 au 1er mars 2026 (avec une fin prévue 30 avril 2026).

Les nouvelles échéances sont indiquées dans l'image ci-dessous.

Visualisation des rapports SMTP Auth

Via Centre d'administration Exchange

Pour identifier les comptes ou adresses utilisant l’authentification SMTP basique, Microsoft met à disposition des rapports.

Pour cela va dans le Centre d'administration Exchange Online > Reports > Mail Flow> SMTP AUTH clients report (lien direct https://admin.cloud.microsoft/exchange?#/reports/smtpauthmailflowdetails).

Dans le rapport, consulte la colonne Authentication protocol et recherche la valeur Basic Authentication pour identifier les comptes que tu devras "migrer".

Si vous souhaitez plus de détails sur les e-mails en question, vous pouvez demander un rapport complet en cliquant sur Request Report.

Vous devrez saisir un nom, une date de début, de fin, une adresse qui recevra le lien de téléchargement.

Vous recevrez à l’adresse spécifiée un lien pour télécharger le rapport. Selon le volume de vos e‑mails, la génération peut prendre plusieurs heures.

Rapport SMTP Auth via PowerShell

Vous le savez si vous suivez ce blog ou sur LinkedIn, je n'aime pas trop les "clic-clic', je préfère aller à l'essentiel (via PowerShell ou autre).

Comme vu précédemment, il est possible de demander un rapport depuis la page du rapport. Mais si vous souhaitez le faire directement via PowerShell, c'est possible :

 Start-HistoricalSearch -ReportTitle "Custom SMTPBasicAuth" -ReportType "SmtpCSReport" -StartDate (Get-Date).AddDays(-2) -EndDate (Get-Date) -NotifyAddress [email protected]

Pour voir le suivi d'avancement :

Get-HistoricalSearch | Select-Object Identity, SubmitDate, Status, ReportTitle, EstimatedCompletionTime, JobProgress

Vous recevrez, à l’adresse spécifiée dans NotifyAddress, un lien pour télécharger le rapport. Selon le volume de vos e‑mails, la génération peut prendre plusieurs heures.

Fin anticipée de SMTP Basic Auth

Mon tenant est déjà bloqué pour l'envoi SMTP Basic Auth

Si vous n'avez jamais utilisé l'authentification de base, il est probable que Microsoft ait déjà désactivé SMTP Basic Auth. En effet dans leur article sur la fin de basic Auth sur les autres protocoles fin 2022 :

What we are changing
We removed the ability to use Basic authentication in Exchange Online for Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Autodiscover, Outlook for Windows, and Outlook for Mac.

We also disabled SMTP AUTH in all tenants where it wasn't being used.

Vous pouvez le vérifier avec la commande :

Get-TransportConfig | Select SmtpClientAuthenticationDisabled

Si c'est True alors c'est déjà désactivé sur ton tenant.

Bien que je déconseille de le réactiver, on peut le réactiver en utilisant :

Set-TransportConfig -SmtpClientAuthenticationDisabled $false

Je veux désactiver SMTP Basic Auth globalement dès maintenant

Si vous ne souhaitez pas attendre la désactivation par Microsoft, tu peux désactiver le SMTP Basic Auth pour toute ton organisation dès maintenant :

Set-TransportConfig | Select SmtpClientAuthenticationDisabled

Je veux désactiver SMTP Basic Auth sur quelques boites aux lettres uniquement dès maintenant

Vous pouvez aussi bloquer le SMTP Basic Auth sur la plupart de tes boîtes tout en en conservant quelques-unes le temps de les migrer. Pour bloquer le SMTP Basic Auth sur une boîte :

Set-CASMailbox -Identity <MailboxIdentity> -SmtpClientAuthenticationDisabled $false

Solutions de remplacement de SMTP Basic Auth

Vous avez plusieurs solutions :

• Solution tierce : je vous recommande Postmark qu j'utilise depuis des années :
  • pas de modification de SPF nécessaire (dans certains cas c'est un gros plus),
  • gestion de modèles
  • accès via API en plus du SMTP classique
  • envoi depuis une adresse ou un domaine spécifique, etc.
  • Idéal pour vos applications mais aussi pour vos développeurs et pour les solutions d'automatisations (des modules existent dans Make, n8n et Zapier)
• Azure ACS
• Microsoft High Volume EMAIL (HVE) : Actuellement encore en Preview, cette solution s’adresse principalement aux destinataires internes. Le compte utilisé doit être exclu des stratégies d’accès conditionnel, notamment celles imposant la MFA. Un article dédié sera publié dans les prochains jours.
• Relai SMTP avec connecteur dans Exchange Online
• Compte Exchange Online avec SMTP OAuth
• N'importe quelle autre solution qui gère l'envoi d'e-mail (Postfix, etc.).

Quelques recommandations quelque soit ton choix :

• utilise une solution actuellement supportée pour éviter de devoir tout recommencer dans quelques mois. C’est la raison pour laquelle je n’ai pas inclus IIS SMTP (qui repose sur IIS 6, non supporté depuis de très nombreuses années et même supprimé à partir de Windows Server 2025), ni hMail, qui ont été des solutions largement utilisées mais ne sont plus prises en charge.
• n'utilise pas la fonctionnalité Direct Send d'Exchange Online comme solution de remplacement (envoi de messages de manière anonyme sans passer par un connecteur), il est même recommandé de la bloquer : https://itpro-tips.com/bloquer-direct-send-dans-exchange-online/
• sécurise l’accès à ta plateforme d’envoi : un accès non autorisé peut être très problématique, d'autant plus si tu gères des domaines clients (marketing, mass mailing, etc.)
• utilise un sous-domaine dédié comme app.domain.com pour la messagerie applicative.
• Plus d'informations

Je t'invite à lire l'annonce officielle : https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-online-to-retire-basic-auth-for-client-submission-smtp/ba-p/4114750