L1 BIO 09.04.02 ISO A.9.4.2 CIS 1.3.2

SMTP AUTH Uitgeschakeld Tenant-wide

📅 2025-10-30
⏱️ 7 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Het uitschakelen van SMTP AUTH (SMTP Client Authentication) tenant-wide voorkomt dat legacy applicaties en devices Basic Authentication gebruiken voor email verzending, wat een significant security risico vormt omdat het MFA en moderne beveiligingscontroles omzeilt.

Aanbeveling
Implementeer
Risico zonder
High
Risk Score
8/10
Implementatie
24u (tech: 8u)
Van toepassing op:
M365
Exchange Online

SMTP AUTH is een legacy authentication protocol dat ernstige beveiligingsproblemen heeft: gebruikt Basic Authentication waarbij credentials in base64 worden verstuurd (triviaal te decoderen), omzeilt multifactorauthenticatie volledig (alleen password vereist), omzeilt Conditional Access beleidsregels (geen device compliance checks, geen location-based beleidsregels), credentials worden indefinitely gecached in applicaties (permanent exposure bij compromised app), en aanvallers prefereren SMTP AUTH voor persistence na initiële compromise (backdoor access). SMTP AUTH is verantwoordelijk voor een disproportioneel hoog percentage van account compromises in M365 environments. Organisaties die SMTP AUTH uitschakelen zien 70-90% reductie in credential-based attacks tegen email accounts. Microsoft heeft aangekondigd dat SMTP AUTH tenant-wide Schakelt uit de wordt voor nieuwe tenants en strongly deprecated voor bestaande tenants.

PowerShell Modules Vereist
Primary API: Exchange Online PowerShell
Connection: Connect-ExchangeOnline
Required Modules: ExchangeOnlineManagement

Implementatie

Deze control schakelt SMTP Client Authentication uit via de Exchange Online transport configuration met commando Set-TransportConfig -SmtpClientAuthenticationSchakel uitd $true. Dit Blokkeert alle SMTP AUTH attempts tenant-wide. Applicaties die email moeten versturen moeten migreren naar: OAuth 2.0 met client credentials flow (modern, secure, ondersteunt MFA), Microsoft Graph API voor email sending (AANBEVOLEN voor nieuwe applicaties), of per-mailbox SMTP AUTH exceptions voor legacy devices die niet kunnen worden gemigreerd (printers, scanners) - ALLEEN als laatste resort en met extra monitoring. Het script controleert de SmtpClientAuthenticationSchakel uitd property van de transport config en rapporteert compliance status.

Vereisten

Voor het uitschakelen van SMTP AUTH zijn de volgende voorwaarden vereist:

  1. Exchange Online tenant (onderdeel van M365 subscription)
  2. Exchange Administrator of Globale beheerder rechtenistrator rol
  3. PowerShell 5.1+ met ExchangeOnlineManagement module geïnstalleerd
  4. COMPLETE inventarisatie van alle applicaties/devices die SMTP AUTH gebruiken:
  5. - Printers/scanners die scan-to-email gebruiken
  6. - monitoring systemen die alerts versturen via SMTP
  7. - CRM systemen, ERP systemen, backup solutions
  8. - aangepaste applicaties die email verzenden
  9. - IoT devices met email notification
  10. Migratieplan voor elke applicatie naar OAuth 2.0 of Graph API
  11. Testing environment voor validatie van migraties
  12. Rollback plan voor critical business impact scenarios

Implementeeratie

SMTP AUTH uitschakeling vereist zorgvuldige planning in fasen:

FASE 1: Inventarisatie (2-4 weken)

  1. Identificeer SMTP AUTH usage via Exchange Online sign-in logs:
  2. PowerShell: Get-MessageTrace voor SMTP geauthenticeerde sessies
  3. Azure AD sign-in logs: Filter op 'SMTP AUTH' client app
  4. Creëer volledige lijst: Device/app name, Business owner, Criticality, Migration complexity
  5. Voor elke app: Determine modern auth migration path
  6. Prioriteer: Non-critical apps eerst, critical apps laatst

FASE 2: Migratie (4-12 weken, afhankelijk van app complexity)

Gebruik PowerShell-script smtp-auth-disabled.ps1 (functie Invoke-Monitoring) – PowerShell script voor validatie van SMTP AUTH Schakelt uit de status.

  1. Voor moderne applicaties: Migreer naar Microsoft Graph API send mail endpoint
  2. Voor legacy applicaties: Implementeereer OAuth 2.0 client credentials flow
  3. Voor printers/scanners zonder OAuth support:
  4. Optie A: Upgrade firmware naar versie met OAuth support
  5. Optie B: Gebruik shared mailbox met per-mailbox SMTP AUTH exception (laatste resort)
  6. Optie C: Vervang hardware voor modern model
  7. Test elke migratie thoroughly in test environment
  8. valideer email delivery end-to-end

FASE 3: Enforcement

Gebruik PowerShell-script smtp-auth-disabled.ps1 (functie Invoke-Remediation) – PowerShell script voor uitschakeling van SMTP AUTH tenant-wide.

  1. Verifieer 100% van critical apps zijn gemigreerd
  2. Final announcement naar IT teams: SMTP AUTH Schakelt uit de op [datum]
  3. Execute: Set-TransportConfig -SmtpClientAuthenticationSchakel uitd $true
  4. monitor email flow dashboards voor failures
  5. monitor helpdesk tickets voor SMTP AUTH related issues
  6. Ready rollback plan: Set-TransportConfig -SmtpClientAuthenticationSchakel uitd $false (indien critical business impact)
  7. Voor per-mailbox exceptions (ALLEEN indien absoluut noodzakelijk):
  8. Set-CASMailbox -Identity shared-scanner@domain.com -SmtpClientAuthenticationSchakel uitd $false
  9. Document business justification
  10. implementeren extra monitoring voor deze exception mailboxes
  11. Plan deprecation van exceptions

monitoring

Gebruik PowerShell-script smtp-auth-disable.ps1 (functie Invoke-Monitoring) – Controleren.

Continue monitoring na Implementeeration:

  1. Exchange Online sign-in logs: monitoren voor SMTP AUTH attempts (zou moeten zijn 0 of alleen exceptions)
  2. Azure AD sign-in logs: Filter 'SMTP AUTH' protocol → Alert bij unexpected usage
  3. Email flow dashboards: monitoren delivery failures gerelateerd aan auth
  4. Helpdesk tickets: volgen SMTP AUTH related issues
  5. Monthly review: valideer tenant-wide Schakelt uit de status via Get-TransportConfig
  6. Per-mailbox exception audit: Review lijst van mailboxes met SMTP AUTH Schakel ind
  7. Security alerts: Excessive SMTP AUTH Blokkeert kunnen wijzen op compromised credentials

Remediatie

Gebruik PowerShell-script smtp-auth-disable.ps1 (functie Invoke-Remediation) – Herstellen.

Voor SMTP AUTH gerelateerde issues na uitschakeling:

  1. Symptoom: App kan geen email meer versturen
  2. Root cause: App gebruikt nog SMTP AUTH (niet gemigreerd)
  3. Remediation:
  4. 1. Identificeer welke app/device failure heeft
  5. 2. Check of app OAuth 2.0 ondersteunt (firmware update, app update)
  6. 3. Indien OAuth support: Migreer naar OAuth 2.0 client credentials
  7. 4. Indien geen OAuth ondersteunen en kritiek: Temporary per-mailbox exception (MAX 90 dagen)
  8. 5. Binnen 90 dagen: Replace device/app of permanent modern solution
  9. 6. Document exception met sunset date
  10. Preventie: Complete inventory vóór SMTP AUTH Schakel uit critical

Compliance en Auditing

Deze control is essentieel voor modern authentication compliance: CIS Microsoft 365 Foundations Benchmark - control 1.3.2 (zorg ervoor dat SMTP AUTH is Schakel uitd), BIO Thema 09.04.02 (Gebruik van veilige authenticatiemechanismen - Moderne authenticatie vereist), ISO 27001:2022 A.9.4.2 (veilige log-on procedures - MFA ondersteunen VEREIST), NIS2 Artikel 21 (Cybersecurity risicobeheer - Strong authentication mechanisms), en NIST 800-63B (multifactorauthenticatie voor remote access). SMTP AUTH uitschakeling is een CIS Level 1 control en vaak verplicht bij compliance audits.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS SMTP AUTH Disabled .DESCRIPTION Disables SMTP AUTH (Basic Authentication for SMTP) tenant-wide. SMTP AUTH is legacy authentication that doesn't support MFA - security risk. .NOTES Filename: smtp-auth-disable.ps1 Author: Nederlandse Baseline voor Veilige Cloud .EXAMPLE .\smtp-auth-disable.ps1 -Monitoring Check if SMTP AUTH is disabled .EXAMPLE .\smtp-auth-disable.ps1 -Remediation Disable SMTP AUTH tenant-wide #> #Requires -Version 5.1 #Requires -Modules ExchangeOnlineManagement [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [switch]$WhatIf ) $ErrorActionPreference = 'Stop' Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "SMTP AUTH Disabled" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Invoke-Monitoring { <# .SYNOPSIS Checks if SMTP AUTH is disabled tenant-wide #> try { Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Checking SMTP Client Authentication setting..." -ForegroundColor Gray $transportConfig = Get-TransportConfig -ErrorAction Stop $isDisabled = $transportConfig.SmtpClientAuthenticationDisabled -eq $true $result = @{ isCompliant = $isDisabled smtpAuthDisabled = $isDisabled } if ($isDisabled) { Write-Host " [OK] SMTP Client Authentication: DISABLED (Secure)" -ForegroundColor Green Write-Host " Legacy basic auth blocked" -ForegroundColor Cyan } else { Write-Host " [FAIL] SMTP Client Authentication: ENABLED (Security Risk!)" -ForegroundColor Red Write-Host " Basic authentication without MFA possible" -ForegroundColor Red } Write-Host "`n What is SMTP AUTH?" -ForegroundColor Cyan Write-Host " • Legacy authentication method" -ForegroundColor Gray Write-Host " • Doesn't support MFA" -ForegroundColor Gray Write-Host " • Used by old devices/apps" -ForegroundColor Gray Write-Host " • Should be disabled for security" -ForegroundColor Gray if ($result.isCompliant) { Write-Host "`n[OK] COMPLIANT" -ForegroundColor Green exit 0 } else { Write-Host "`n[FAIL] NON-COMPLIANT - Disable SMTP AUTH!" -ForegroundColor Red exit 1 } } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Disables SMTP AUTH tenant-wide #> try { Write-Host "Connecting to Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Write-Host "Checking current configuration..." -ForegroundColor Gray $transportConfig = Get-TransportConfig if ($transportConfig.SmtpClientAuthenticationDisabled -eq $true) { Write-Host " [OK] SMTP AUTH already disabled" -ForegroundColor Green exit 0 } Write-Host "Disabling SMTP Client Authentication..." -ForegroundColor Gray Write-Host "⚠️ This may impact legacy devices/applications!" -ForegroundColor Yellow Set-TransportConfig -SmtpClientAuthenticationDisabled $true -ErrorAction Stop Write-Host "`n[OK] SMTP AUTH disabled successfully" -ForegroundColor Green Write-Host "`nImpact:" -ForegroundColor Cyan Write-Host " • Legacy devices using SMTP AUTH will stop working" -ForegroundColor Yellow Write-Host " • Printers, scanners, apps need to use Modern Auth" -ForegroundColor Yellow Write-Host " • Use OAuth 2.0 or app passwords as alternatives" -ForegroundColor Cyan Write-Host "`nExceptions (if needed):" -ForegroundColor Cyan Write-Host " • Can enable per-mailbox with:" -ForegroundColor Gray Write-Host " Set-CASMailbox -Identity user@domain.com -SmtpClientAuthenticationDisabled `$false" -ForegroundColor Gray exit 0 } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red exit 2 } } function Invoke-Revert { <# .SYNOPSIS Re-enables SMTP AUTH (NOT RECOMMENDED!) #> try { Write-Host "⚠️ WARNING: Enabling SMTP AUTH is a SECURITY RISK!" -ForegroundColor Red Write-Host "SMTP AUTH doesn't support MFA" -ForegroundColor Red Write-Host "`nConnecting to Exchange Online..." -ForegroundColor Gray Connect-ExchangeOnline -ShowBanner:$false -ErrorAction Stop Set-TransportConfig -SmtpClientAuthenticationDisabled $false -ErrorAction Stop Write-Host " ⚠️ SMTP AUTH re-enabled (security reduced!)" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Usage:" -ForegroundColor Yellow Write-Host " -Monitoring Check SMTP AUTH status" -ForegroundColor Gray Write-Host " -Remediation Disable SMTP AUTH (recommended)" -ForegroundColor Gray Write-Host " -Revert Re-enable SMTP AUTH (NOT RECOMMENDED!)" -ForegroundColor Red } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog risico op account compromise: SMTP AUTH omzeilt MFA waardoor password-only authentication mogelijk blijft. Dit is een primary Aanvalsvector voor: credential stuffing attacks met gelekte passwords, password spray attacks tegen alle mailboxes, persistent backdoor access na initiële compromise, en business email compromise (BEC) fraud. 70-90% van email-related account compromises gebruiken SMTP AUTH. Geschatte kosten van BEC fraud: gemiddeld €100.000 per incident. SMTP AUTH uitschakeling is CIS Level 1 requirement en strongly AANBEVOLEN door Microsoft, CISA, en NSA.

Management Samenvatting

Schakel SMTP AUTH uit tenant-wide om legacy authentication te blokkeren. Migreer applicaties naar OAuth 2.0 of Microsoft Graph API. 70-90% reductie in email account compromises. Voldoet aan CIS 1.3.2 (L1), BIO 09.04, ISO 27001 A.9.4.2. Implementeeratietijd: 2-6 weken voor inventory + migratie + enforcement. KRITIEKE beveiligingscontrole.