Microsoft предупредила, что с 1 октября 2022 года отключит базовую проверку подлинности Exchange Online для случайных клиентов по всему миру. Данную меру принимают с целью повышения безопасности.
С 1 октября компания будет случайным образом выбирать арендаторов и отключать доступ с базовой проверкой подлинности для следующих служб:
MAPI;
RPC (Remote Procedure Call);
OAB (Offline Address Book);
EWS (Exchange Web Services);
POP и IMAP (параметры серверов входящих сообщений электронной почты);
Exchange ActiveSync (EAS);
Remote PowerShell.
Компания не будет отключать или изменять какие-либо настройки для SMTP AUTH.
Когда базовая проверка подлинности будет отключена, каждый арендатор получит соответствующее уведомление.
При этом клиенты, у которых эта схема аутентификации будет отключена, смогут повторно включить её один раз для каждого протокола с помощью самостоятельной диагностики до конца декабря 2022 года.
Клиенты GCC также смогут повторно включить протокол после 1 октября, но им нужно будет создать заявку в службу поддержки.
Ранее Microsoft отключила базовую аутентификацию у клиентов, которые её не использовали. Также компания отключила неиспользуемые протоколы у арендаторов, которые применяют эту аутентификацию.
Базовая проверка подлинности или проверка подлинности прокси работает на основе протокола HTTP. Приложения используют её для отправки на сервер учётных данных в виде простого текста. Это усложняет включение многофакторной аутентификации и позволяет злоумышленнику украсть учётные данные в MiTM-атаках или методом перебора.
Microsoft не первый год пытается отказаться от базовой аутентификации. Ещё в 2020 году компания была вынуждена отложить этот шаг из-за пандемии. Тогда Microsoft объявила, что начнёт удалять базовую аутентификацию из Exchange Online во второй половине 2021 года.