近年、メール業界で大きな話題となっているのが「SMTP認証(Basic認証)の廃止」です。
特にMicrosoftはOutlook.comおよびMicrosoft 365でのSMTP AUTH(Basic認証)の廃止を段階的に進めており、既存のメールシステムへの影響が懸念されています。
本記事では、SMTP認証廃止の背景・影響範囲・対応方法・OAuthへの移行手順などを詳しく解説していきます。
SMTP認証廃止とは?廃止の背景と影響を理解する
それではまず、SMTP認証廃止の背景と何が変わるのかという点から解説していきます。
SMTP AUTH(Basic認証)の廃止とは、ユーザー名・パスワードを使った従来のSMTP認証方式が利用できなくなることを指します。
MicrosoftはMicrosoft 365における基本認証(Basic認証)の廃止を推進しています。これにより、ユーザー名とパスワードだけでSMTP接続していたメールクライアントやシステムは、OAuth 2.0などのモダン認証への移行が必要になります。
なぜSMTP認証が廃止されるのか
Basic認証(ユーザー名・パスワードによる認証)が廃止される主な理由は、セキュリティリスクにあります。
Basic認証はパスワードがそのまま使われるため、フィッシング攻撃やパスワードスプレー攻撃に対して脆弱です。
多要素認証(MFA)と組み合わせることも難しく、現代のセキュリティ基準を満たせないという判断から廃止が進んでいます。
廃止の影響を受けるシステム・ツール
| 影響を受ける対象 | 具体例 |
|---|---|
| 旧バージョンのメールクライアント | OAuth非対応のOutlook・Thunderbirdなど |
| Webシステムのメール送信 | SMTPユーザー名・パスワードでメール送信しているWebアプリ |
| 共有機器のスキャン送信 | 複合機・スキャナのメール送信機能 |
| レガシーな業務システム | 独自開発の社内システムからのメール送信 |
GmailのSMTP AUTH対応状況
GmailでもSMTP AUTHの利用にはアプリパスワードの使用が必要となっており、通常のアカウントパスワードでの認証は制限されています。
2段階認証を有効にしたGoogleアカウントでは、アプリパスワードを発行することで引き続きSMTP認証が利用可能です。
ただし、Googleも長期的にはOAuthベースの認証を推奨する方向性を示しています。
廃止への対応方法と代替手段
続いては、SMTP認証廃止への具体的な対応方法を確認していきます。
状況に応じて最適な代替手段を選択することが重要です。
OAuth 2.0への移行
最も推奨される対応方法が、OAuth 2.0(モダン認証)への移行です。
OAuth 2.0はパスワードを直接使わず、アクセストークンを使って認証を行う安全な仕組みです。
Microsoft 365では「Microsoft Graph API」を使ったOAuth認証によるメール送信が可能であり、Azure ADへのアプリ登録と適切な権限設定が必要です。
SMTPサービスの乗り換え
自社システムからのメール送信に外部SMTPリレーサービスを使用することも有効な代替手段です。
SendGrid・Amazon SES・Mailgunなどのサービスは、APIキーによる認証でメール送信が可能であり、Basic認証廃止の影響を受けません。
APIキー認証は管理が容易で、セキュリティインシデント時に個別のキーを失効させることもできるでしょう。
SMTP接続の設定を見直す(Outlook・Microsoft 365)
Microsoft 365でSMTP AUTHを引き続き使用する場合、管理センターでの個別アカウント設定や条件付きアクセスポリシーの調整が必要な場合があります。
Microsoft 365管理センターから「Exchange管理センター」→「受信者」→対象ユーザーのプロパティ→「メールフロー設定」でSMTP AUTHの有効・無効を設定できます。
ただし、これはあくまで暫定対応であり、長期的にはOAuth移行を検討することを推奨します。
OAuth移行の具体的な手順
続いては、OAuthへの移行手順を具体的に確認していきます。
Azureアプリ登録の手順
Microsoft 365でOAuth認証によるメール送信を実現するには、まずAzure Active Directory(Microsoft Entra ID)にアプリを登録します。
Azure PortalでAzure ADにアクセスし、「アプリの登録」→「新規登録」からアプリ情報を入力して登録します。
登録後、「APIのアクセス許可」でMicrosoft Graph APIの「Mail.Send」権限を追加し、管理者の同意を付与します。
アクセストークンの取得方法
クライアント資格情報フロー(Client Credentials Flow)を使用してアクセストークンを取得します。
・エンドポイント:https://login.microsoftonline.com/{tenant-id}/oauth2/v2.0/token
・必要パラメータ:client_id・client_secret・grant_type(client_credentials)・scope(https://graph.microsoft.com/.default)
→ 取得したaccess_tokenを使ってGraph API経由でメールを送信する
メールシステムのOAuth対応状況の確認
使用しているメールクライアントやシステムがOAuthに対応しているか確認することが第一歩です。
Thunderbird・Outlook(最新版)・Apple MailなどはすでにOAuth認証に対応していますが、独自開発システムの場合は修正が必要になるでしょう。
対応の優先度と影響範囲を事前に洗い出し、計画的に移行作業を進めることが重要です。
まとめ
本記事では、SMTP認証廃止の背景・影響範囲・OAuthへの移行方法・代替手段について解説しました。
SMTP Basic認証の廃止はセキュリティ強化の流れであり、OAuth 2.0への移行が長期的な解決策です。
すぐに移行が難しい場合でも、外部SMTPリレーサービスのAPIキー認証に切り替えることで対応できる場合があります。
影響を受けるシステムを早期に洗い出し、計画的な移行作業を進めてみてください。
