Microsoft ha annunciato che disattiverà definitivamente l’autenticazione di base di Exchange Online a partire dall’inizio di gennaio 2023 per migliorare la sicurezza. “Subito dopo che l’autenticazione di base è stata disabilitata in modo permanente, tutti i client o le app che si connettono utilizzando l’autenticazione di base a uno dei protocolli interessati riceveranno un errore HTTP 401”, si legge nel post ufficiale di Microsoft.

L’annuncio arriva dopo diversi avvertimenti comunicati da Microsoft negli ultimi tre anni, il primo dei quali risale a settembre 2019 ed era stato seguito da altri due a settembre 2021 e maggio 2022, dopo che molti clienti continuavano a ritardare il passaggio a metodi di autenticazione più moderni e sicuri.

L’obsoleto metodo di accesso di autenticazione di base di Exchange Online sarà disattivato per Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell (RPS), Exchange Web Services (EWS), Offline Address Book (OAB), Autodiscover e Outlook (per Windows e Mac).

exchange online

Il protocollo SMTP AUTH utilizzato per l’invio di posta elettronica client verrà disabilitato anche in tutti i tenant in cui non viene utilizzato. Questi protocolli saranno disabilitati in modo permanente nella prima settimana di gennaio 2023, senza alcuna possibilità di riattivarli. Microsoft ha già disabilitato l’autenticazione di base in milioni di tenant che non la utilizzavano e disattivato i protocolli inutilizzati all’interno dei tenant che ancora la utilizzavano, con lo scopo di proteggerli dagli attacchi che sfruttano questo schema di accesso non sicuro.

“La nostra ricerca ha rilevato che oltre il 99% degli attacchi Password Spray sfrutta la presenza dell’autenticazione di base” ha dichiarato Seth Patton, General Manager di Microsoft 365. “Lo stesso studio ha rilevato che anche il 97% degli attacchi di credential stuffing sfrutta la debolezza dell’autenticazione legacy. I clienti che hanno disabilitato l’autenticazione di base hanno sperimentato il 67% in meno di compromissioni rispetto a quelli che la utilizzano ancora”.

Dopo la disattivazione dell’autenticazione di base, i clienti potrebbero riscontrare vari problemi, tra cui l’impossibilità di accedere a Exchange Online. Il team di Exchange ha inoltre condiviso informazioni dettagliate su come interrompere l’utilizzo dell’autenticazione di base per evitare che le applicazioni di posta elettronica di Exchange Online non accedano più o continuino a richiedere la password.

“Stiamo apportando questa modifica per proteggere i vostri dati dai crescenti rischi associati all’autenticazione di base”, ha aggiunto il team di Exchange. “Rivolgersi al nostro supporto non aiuterà, in quanto non sarà possibile in alcun modo riattivare l’autenticazione di base.”