Exchange Online: cos'è e perché Microsoft sta disattivando l'autenticazione di base

Gli utenti aziendali che sottoscrivono un piano di abbonamento Microsoft 365, la suite che è destinata a sostituire Office, possono accedere anche a Exchange Online.

Exchange Online è una piattaforma di messaggistica basata sul cloud che offre posta elettronica, calendario, contatti e attività. Gli utenti con una licenza di Exchange Online si connettono tramite client di posta elettronica e applicazioni per la gestione del calendario: la versione desktop di Outlook, Outlook sul web, le app Outlook per dispositivi mobili.

Con Exchange Online la gestione delle caselle di posta elettronica passa dall’installazione di software in ambito locale all’utilizzo di una piattaforma online preimpostata da Microsoft e integralmente fruibile tramite cloud.

L’autenticazione di base di Exchange prevede l’invio delle credenziali (nome utente e password) a ogni singola richiesta. Tali dati, inoltre, vengono generalmente memorizzati sui dispositivi client degli utenti. Tradizionalmente, l’autenticazione di base è abilitata per impostazione predefinita sulla maggior parte dei server e sui vari servizi perché è semplice da configurare e di immediato utilizzo: tuttavia, essa non offre sufficienti garanzie in termini di sicurezza rispetto ad esempio a OAuth 2.0.

Con l’autenticazione di base di Exchange, infatti, eventuali aggressori riescono ad acquisire più facilmente le credenziali dell’utente (in particolare se le credenziali non sono protette con il protocollo TLS); l’applicazione dell’autenticazione a più fattori (MFA), inoltre, non è semplice e in certi casi non risulta possibile.

Da ottobre 2022 Microsoft aveva cominciato a disattivare l’autenticazione di base su alcuni tenant Exchange Online ma adesso arriva la conferma che dall’inizio di gennaio 2023 sarà disattivata per tutti gli utenti.

Gli utenti di Exchange Online troveranno l’avviso circa la modifica nel Centro messaggi con 7 giorni di anticipo rispetto alla data di effettiva disattivazione dell’autenticazione di base: lo ha confermato Microsoft con una nota.

Subito dopo la disattivazione permanente dell’autenticazione di base, tutti i client o le app che si connettono utilizzando questo sistema riceveranno un errore di nome utente o password errati (HTTP 401).

Il metodo di accesso con autenticazione di base sarà ritirato in Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell (RPS), Exchange Web Services (EWS), rubrica offline (OAB), Autodiscover e Outlook per Windows e macOS. La modifica interesserà anche SMTP AUTH, protocollo utilizzato per l’invio di posta elettronica, solo sui tenant in cui non viene adoperato.