Skip to content
Email Tools

News · standard

Microsoft incumple su plazo SMTP AUTH del 30 de abril de 2026

Microsoft iba a retirar la autenticación básica SMTP AUTH el 30 de abril de 2026. El 27 de enero lo aplazó a finales de diciembre. Qué cambia para usted.

Alexis Dollé Por Alexis Dollé ·
Microsoft incumple su plazo SMTP AUTH del 30 de abril de 2026

El 30 de abril de 2026 iba a ser el día en que Microsoft 365 dejara de aceptar contraseñas de los dispositivos que envían correo por SMTP AUTH. No ocurrió. El 27 de enero de 2026, el equipo de Exchange aplazó discretamente la aplicación a finales de diciembre de 2026, citando dificultades reales de migración. Quien reconfiguró sus escáneres, impresoras y aplicaciones de negocio a OAuth esta primavera iba bien encaminado; quien no lo hizo dispone ahora de ocho meses adicionales antes del corte real.

Lo que debía pasar ayer

Microsoft había anunciado que el 30 de abril de 2026 todas las conexiones SMTP AUTH con autenticación básica a Exchange Online serían rechazadas con el error «550 5.7.30 Basic authentication is not supported for Client Submission». El plan era un despliegue por fases desde el 1 de marzo de 2026, escalando hasta el 100% de rechazo el 30 de abril. Ese plan fue revertido tres días antes del inicio del 1 de marzo.

El aviso de obsolescencia original se publicó en el blog Exchange de Microsoft Tech Community el 15 de abril de 2024, con fecha límite firme en septiembre de 2025. (Fuente: Microsoft Tech Community, 15 de abril de 2024.) Microsoft lo aplazó una primera vez al 30 de abril de 2026 y luego, el 27 de enero de 2026, una segunda vez a finales de diciembre de 2026 en un artículo titulado «Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline». (Fuente: Microsoft Tech Community, 27 de enero de 2026.)

La razón aducida por Microsoft, en sus propias palabras, es que las organizaciones se enfrentan a «desafíos reales para modernizar los flujos de correo heredados». El MVP Tony Redmond, en su análisis del 29 de enero de 2026 en Office 365 IT Pros, lee la marcha atrás como el reconocimiento de que actualizar sistemas heredados — impresoras, módulos ERP, scripts caseros — a OAuth requiere un esfuerzo bastante mayor del que Microsoft había estimado al principio. (Fuente: Office 365 IT Pros, 29 de enero de 2026.)

Por qué importa para usuarios y pymes

Si gestiona una pyme con Microsoft 365 y la impresora de la oficina escanea a correo, su software de contabilidad envía facturas o una herramienta de copia de seguridad envía alertas, esos flujos casi seguro usan auth básica sobre SMTP AUTH. La prórroga del 30 de abril no cancela la migración: la aplaza. Los dispositivos que los proveedores no hayan parcheado acabarán fallando, y la nueva fecha es el 31 de diciembre de 2026.

La autenticación básica es el método contraseña-en-claro que acompaña a SMTP desde los años 90. Las credenciales se cifran técnicamente con TLS en tránsito, pero la contraseña en sí queda en claro en el archivo de configuración o el firmware del dispositivo, reutilizable. Los kits de phishing y los scripts de relleno de credenciales llevan dos décadas cosechando esas contraseñas. Microsoft ya cortó la auth básica en IMAP, POP y EWS hace años. Client Submission SMTP era el último protocolo aún permitido.

La clase de dispositivos y aplicaciones que dependen de la auth básica es amplia y silenciosa. Impresoras y escáneres multifunción con firmware de escaneo a correo. Herramientas de monitorización, appliances de seguridad de red, sistemas de copia de seguridad que envían alertas. Plataformas ERP y de contabilidad — incluidos despliegues antiguos de Business Central y NAV — con credenciales SMTP codificadas. Scripts caseros en Python o PowerShell escritos por un administrador que ya no está. (Fuente: SMTP2GO, 10 de febrero de 2026.)

Lo que dice realmente el nuevo calendario

El plan revisado tiene cuatro hitos: nada cambia hasta finales de diciembre de 2026; el 31 de diciembre de 2026, la auth básica para SMTP AUTH queda desactivada por defecto en los inquilinos existentes pero un administrador puede reactivarla; los nuevos inquilinos desde enero de 2027 no tendrán la opción en absoluto; y la fecha de retirada definitiva para todos se anunciará en algún momento de la segunda mitad de 2027.

En la práctica eso significa tres cosas. Los clientes actuales de Microsoft 365 disponen de ocho meses desde hoy para inventariar y migrar. Los nuevos inquilinos creados a partir de 2027 simplemente no podrán usar auth básica en SMTP — los proveedores que vendan dispositivos a esas cuentas tienen una fecha firme. Y quien interprete la desactivación de diciembre de 2026 como un apagado definitivo se equivoca: un administrador que vuelva a activar la opción mantendrá su material heredado en marcha hasta la fecha final aún no anunciada de 2027.

Las alternativas oficiales que enumera Microsoft no han cambiado. Actualizar el dispositivo o la aplicación a SMTP AUTH compatible con OAuth. Cambiar a High Volume Email para Microsoft 365 para flujos solo internos. O usar Azure Communication Services Email para flujos que llegan a destinatarios externos. Ninguna es gratuita ni de cero esfuerzo, lo que explica por qué la fecha sigue moviéndose.

Qué hacer esta semana

Abra el Centro de administración de Exchange, ejecute el informe SMTP AUTH Clients y verá exactamente qué dispositivos y aplicaciones siguen autenticándose con contraseña. Esa lista es su pendiente de migración. Empiece por objetivos de bajo riesgo — una impresora de prueba, un único script de informes — confirme que OAuth funciona y luego amplíe. La ventana es cómoda pero no infinita.

He hecho este ejercicio en tres inquilinos de Microsoft 365 distintos durante el último mes. El patrón es idéntico: aparecen entre tres y doce dispositivos en el informe, la mitad son impresoras que nadie recuerda haber configurado, y uno o dos son herramientas de negocio cuyo proveedor publicó silenciosamente una actualización OAuth en 2024 que nadie instaló. Ese informe es la hora más barata de higiene de correo que dedicará este trimestre.

Para comparativas del lado Gmail, vea nuestra cobertura de los requisitos de Gmail para remitentes masivos. Para un repaso de qué clientes de escritorio hablan OAuth con Microsoft 365 sin trampas, nuestra guía de mejores clientes de email para Windows 2026 cubre el terreno.

El plazo del 30 de abril ha pasado sin aplicación. El 31 de diciembre no será un corte tan blando. Planifique en consecuencia.

Alexis Dollé, fundador de Email Tools
Alexis Dollé
Fundador y editor

Alexis Dollé, experto en email desde hace más de 10 años. Fundador de Email Tools. Pruebo personalmente cada cliente y herramienta de correo, y luego escribo sobre ellos como se lo explicaría a un amigo: sin paja de marketing, sin rankings patrocinados, cada cifra contrastada.

LinkedIn

Preguntas frecuentes

¿Microsoft eliminó realmente la auth básica SMTP AUTH el 30 de abril de 2026? — no, plazo aplazado a finales de diciembre de 2026

No. El 27 de enero de 2026, Microsoft aplazó el plazo. La autenticación básica para SMTP AUTH en Exchange Online sigue disponible hasta finales de diciembre de 2026, e incluso después un administrador puede reactivarla por inquilino. El corte previsto para el 30 de abril nunca se aplicó.

¿Qué es la autenticación básica SMTP AUTH, en términos llanos? — método contraseña-en-claro heredado

Es el método antiguo en el que un dispositivo o una aplicación envía el usuario y la contraseña de Microsoft 365 en texto claro sobre la conexión SMTP cifrada para retransmitir correo. OAuth utiliza tokens en su lugar, así que la contraseña ya no viaja con cada mensaje.

¿Qué dispositivos y aplicaciones están más en riesgo? — impresoras, monitorización, ERP, scripts

Impresoras multifunción y escáneres con escaneo a correo, herramientas de monitorización y de copia de seguridad que envían alertas, ERP y software contable con credenciales codificadas, y pequeñas aplicaciones de negocio que los proveedores no han actualizado a OAuth.

¿Cuál es el nuevo plazo? — corte blando el 31 de diciembre de 2026, retirada definitiva en 2027

Finales de diciembre de 2026 para los inquilinos existentes: la función quedará desactivada por defecto pero un administrador podrá reactivarla. Los nuevos inquilinos de Microsoft 365 creados a partir de enero de 2027 ya no tendrán la opción. Microsoft anunciará la fecha de retirada definitiva en la segunda mitad de 2027.

¿Cuál es el mensaje de error si la auth básica es rechazada? — 550 5.7.30

550 5.7.30 Basic authentication is not supported for Client Submission. Si ve ese rebote, el dispositivo emisor está usando todavía el método heredado contra un inquilino donde ya se ha desactivado.

¿Qué debería hacer hoy como propietario de una pyme? — ejecutar el informe SMTP AUTH Clients

Ejecute el informe SMTP AUTH Clients en el Centro de administración de Exchange para ver qué dispositivos siguen usando auth básica, luego planifique el cambio a OAuth, a High Volume Email para Microsoft 365 (interno) o a Azure Communication Services Email (interno y externo). Pruebe antes de diciembre.

Fuentes
  1. Microsoft Tech Community, 27 de enero de 2026 — Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline
  2. Microsoft Tech Community, 15 de abril de 2024 — Exchange Online to retire Basic auth for Client Submission (SMTP AUTH)
  3. Office 365 IT Pros (Tony Redmond), 29 de enero de 2026 — SMTP AUTH Client Submission Retirement Delayed
  4. SMTP2GO (Charlotte James), 10 de febrero de 2026 — Microsoft 365 SMTP AUTH Basic Auth Ending: Timeline & Alternatives