Exchange OnlineでのSMTP AUTH廃止とは？影響と対策を解説

Microsoftは、Exchange OnlineにおけるSMTP AUTHのサポートを2025年9月に終了すると発表しました。これに伴い、SMTP AUTHを使用したメール送信はできなくなるため、代替手段の検討が必要です。

本記事では、SMTP AUTHが廃止される背景や影響、代替手段までを体系的に解説します。Exchange Onlineを利用している企業の方は、ぜひ早めに切り替えの準備を進めてください。

Exchange OnlineでのSMTP AUTHの廃止

Exchange OnlineにおけるSMTP AUTH廃止の概要について解説します。

SMTP AUTHが廃止される理由

SMTP AUTHは、ユーザ名とパスワードを使って認証する「基本認証」のひとつで、広く普及してきました。しかし、ユーザ名とパスワードという単一の情報に依存しているため、これらが盗まれることで不正利用につながるリスクが高く、セキュリティ上の脆弱性が指摘されています。

実際にMicrosoftは、Exchange Online上での不審なSMTP AUTHの利用増加を報告しています。これを受けてMicrosoftは、セキュリティ強化の方針のもと、基本認証の廃止を段階的に進めており、その最終段階としてSMTP AUTHのサポート終了が発表されました。

Microsoftが推進している新たな認証方式は、トークンベースの「モダン認証」（OAuth2.0）です。OAuth2.0は、ユーザ名やパスワードを直接送信せずに認証を行う仕組みです。必要に応じて多要素認証（MFA）と組み合わせることで、より安全性を高められます。

サポート終了スケジュール

SMTP AUTHのサポートの終了に向けて、Exchange Onlineでは以下のような対応が行われます。

• 2025年1月：SMTP AUTHを使用しているテナントに対し、メッセージセンター経由で警告通知
• 2025年8月：再度の警告通知（リマインド）
• 2025年9月：Exchange OnlineにおけるSMTP AUTHのサポートを正式に終了

サポート終了後にSMTP AUTHでの認証を試みると、「550 5.7.30 Basic authentication is not supported for Client Submission.」というエラーメッセージが表示され、送信できなくなります。

参考：Microsoft Community Hub「Exchange Online to retire Basic auth for Client Submission (SMTP AUTH)」https://techcommunity.microsoft.com/blog/exchange/exchange-online-to-retire-basic-auth-for-client-submission-smtp-auth/4114750（2025/5/22確認）

SMTP AUTH廃止による影響と確認方法

ここではSMTP AUTH廃止の影響を受ける環境と、自社が該当しているか確認する方法について解説します。

対象となる環境

以下のような設定でメールを送信している場合、2025年9月以降メールが送れなくなる可能性があります。特に、業務アプリケーションや複合機からの送信に注意が必要です。

• SMTPサーバー：smtp.office365.com
• ポート番号：587（STARTTLS）
• 認証方式：メールアドレスとパスワード

環境を確認する方法

自社がExchange onlineでSMTP AUTHを使ってメールを送信しているかどうかは、以下のような方法で確認できます。

機器やアプリの設定を確認する方法

1. SMTPサーバーの確認

業務アプリや複合機の「SMTP設定」画面を開き、「SMTPサーバー」や「送信サーバー」の欄を確認します。smtp.office365.comと設定されていたら、Exchange Onlineを経由してSMTP AUTHで送信している可能性があります。

2. ポート番号の確認

(1)と同じSMTP設定画面内にある「ポート番号」の欄を確認します。「587」と設定されていたら、SMTP AUTHを使っている可能性があります。

3. 認証方式の確認

SMTP設定画面の「認証」や「ログイン情報」欄を確認します。以下の両方に当てはまる場合、SMTP AUTHを使用している可能があります。

• ユーザ名としてメールアドレスを入力
• パスワードを直接入力している

Exchange管理センターでの確認

Microsoft 365のExchange管理センターでは、「SMTP認証クライアント送信レポート」が提供されており、SMTP AUTHを使用しているクライアントの有無を確認できます。

メッセージセンターでの通知確認

SMTP AUTHを利用中のテナントには、次のような通知がMicrosoft 365 メッセージセンターに届きます。

• 2025年1月頃：廃止に関する案内
• 2025年8月頃：SMTP AUTHの無効化直前リマインド

次章では、SMTP AUTHで送信できなくなった場合に取りうる現実的な対処法を紹介します。

SMTP AUTH廃止の対処法

SMTP AUTHに代わる手段は以下のとおりです。移行にかかる期間や手間は、選択する代替手段によって大きく異なります。サポート終了までに切り替えを完了させるためには、なるべく早く現状を把握しスケジュールを立てることが重要です。

OAuth2.0に対応する

Microsoftは、Exchange Onlineでの認証方式として、より安全な「OAuth 2.0（モダン認証）」の利用を推奨しています。これは従来のSMTP AUTHとは異なり、ユーザ名やパスワードを直接使わず、アクセストークンを使って安全に認証を行う方式です。

OAuth 2.0に対応する方法は、使用しているシステムの種類によって異なります。本稿では「ベンダー提供の複合機・業務アプリ」と「自社開発のシステム」での移行方法を説明します。

ベンダー提供の複合機や業務アプリ

OAuth 2.0を利用するには、使用している機器やソフトウェアが対応している必要があります。

対応可否や設定方法は機種やバージョンによって異なるため、メーカーのマニュアルや公式サポート情報を確認してください。もし利用中の機器やアプリがOAuth 2.0に対応していない場合は、この後に紹介する代替策を検討する必要があります。

自社開発のシステム

自社開発のアプリケーションでExchange Onlineと連携している場合は、Microsoft Entra ID（旧Azure AD）と連携したOAuth 2.0認証フローの構築が必要です。SMTP AUTHのようにユーザ名とパスワードを使うのではなく、アクセストークンを取得して送信処理を行う構成に変更する必要があります。

また、システムの仕様や要件によっては、SMTPを使わずにメールを送信できるMicrosoft Graph APIやAzure Communication Servicesなどへの切り替えも選択肢になります。既存システムの構造や開発リソースに応じて、最適な方法を検討してください。

OAuth2.0の代替策

もしOAuth2.0に移行できない場合は、以下のような選択肢もあります。ただし、完全な移行にはある程度の技術的対応が必要になるため、段階的な検証とスケジュール管理が重要です。

Microsoft 365 High Volume Emailを利用する

どうしても SMTP AUTH を利用し続ける必要がある場合でも、送信対象が 組織内のユーザに限られるのであれば、「Microsoft 365 High Volume Email」の利用が検討できます。

この機能は、Microsoft 365 テナント内のユーザ宛てに大量の通知メールなどを安定して送信するために提供されている専用機能です。

社外ドメイン宛てのメール送信には対応していないため、あくまで組織内向けの用途に限定されます。具体的には、Gmail や Yahoo!メール、他社の独自ドメイン、別の Microsoft 365 テナントを利用している取引先など、自社の Microsoft 365 テナント外に所属するアドレスには送信できません。

なお、以下のMicrosoftのブログによれば、HVEがSMTP AUTHをサポートするのは2028年9月までとされています。こちらも将来的に移行が必要になる点に注意が必要です。

Today, we are announcing continued support for Basic Authentication in High Volume Email until September 2028.

引用元：Microsoft Community Hub 「High Volume Email: Continued support for Basic Authentication & other important updates」https://techcommunity.microsoft.com/blog/exchange/high-volume-email-continued-support-for-basic-authentication–other-important-up/4411197 （2025/5/29確認）

Microsoft Learn「Manage high volume emails for Microsoft 365 Public preview」https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/high-volume-mails-m365

Azure Communication Serviesを利用する

SMTP AUTH の廃止にともない、今後もアプリケーションから社外宛てにメールを送信する必要がある場合は、Azure Communication Services（ACS）の Email 機能への移行を検討するとよいでしょう。

ACS の Email 機能は、SMTP ではなく REST API を使ってメールを送信します。これにより、認証情報の安全な管理や送信内容の柔軟な制御が可能になります。また、社外ドメイン宛ての送信にも対応しており、SMTP AUTH に代わる実用的な選択肢となります。

ただし、既存のアプリケーションからの利用には、REST API を利用するための開発や実装の改修が必要です。導入前には、技術的な対応可否やコストを含めた検討が求められます。

Microsoft Azure「Azure Communication Services」https://azure.microsoft.com/ja-jp/products/communication-services

通知手段そのものを見直す

業務によっては、メール以外の通知方法に切り替えることでSMTP自体を不要にできる場合もあります。たとえば、社内通知をMicrosoft TeamsやSlackなどのチャットツールに変更する、もしくはSaaSツールの通知機能を活用するといった方法が考えられます。

SMTPリレーサービスを利用する

OAuth 2.0に対応できないシステムや複合機などには、外部のSMTPリレーサービスを活用する方法があります。SMTPリレーサービスは、信頼できる外部の送信サーバーを経由してメールを中継する仕組みで、自社環境の制約を受けにくく、設定も比較的シンプルです。

OAuth 2.0のようにトークン認証の設定や開発対応が不要で、SMTPサーバー情報を設定すればすぐに利用できるサービスが多いです。技術的な対応に時間をかけられない場合や、早急な代替手段が必要な場合に有効でしょう。

まとめ

Exchange Onlineでは、セキュリティ強化のため、SMTP AUTHのサポートが2025年9月に正式に終了します。サポートが終了すると、基本認証を利用したメールの送信ができなくなります。

トラブルを未然に防ぐには、SMTP AUTHを使用しているシステムを早期に洗い出し、代替手段への切り替えを進めておくことが重要です。

既存の仕組みを大きく変えずに、安全なメール送信環境を確保したい場合は、ベアメールが提供するメールリレーサービスの活用も一つの選択肢です。

ベアメール メールリレーサービス

https://baremail.jp/mailrelay/top