Skip to content
Email Tools

News · standard

Microsoft rate son échéance SMTP AUTH du 30 avril 2026

Microsoft devait retirer l'auth basique SMTP AUTH le 30 avril 2026. Le 27 janvier, le délai a été repoussé à fin décembre 2026. Ce que ça change pour vous.

Alexis Dollé Par Alexis Dollé ·
Microsoft rate son échéance SMTP AUTH du 30 avril 2026

Le 30 avril 2026 devait être le jour où Microsoft 365 cessait d’accepter les mots de passe envoyés par les appareils via SMTP AUTH. Ça n’a pas eu lieu. Le 27 janvier 2026, l’équipe Exchange a discrètement repoussé l’échéance à fin décembre 2026, en invoquant la difficulté concrète de migration. Ceux qui ont reconfiguré leurs scanners, imprimantes et outils métier vers OAuth ce printemps avaient bon ; ceux qui ont attendu disposent désormais de huit mois supplémentaires avant la vraie bascule.

Ce qui devait se passer hier

Microsoft avait annoncé que le 30 avril 2026, toutes les connexions SMTP AUTH en authentification basique vers Exchange Online seraient rejetées avec l’erreur « 550 5.7.30 Basic authentication is not supported for Client Submission ». Le plan prévoyait un déploiement progressif à partir du 1er mars 2026, montant jusqu’à 100% de rejet le 30 avril. Ce plan a été annulé trois jours avant le démarrage du 1er mars.

L’annonce de dépréciation initiale avait été publiée sur le blog Exchange de Microsoft Tech Community le 15 avril 2024, avec une date de fin fixée à septembre 2025. (Source : Microsoft Tech Community, 15 avril 2024.) Microsoft l’a repoussée une première fois au 30 avril 2026, puis le 27 janvier 2026 une seconde fois à fin décembre 2026 dans un billet « Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline ». (Source : Microsoft Tech Community, 27 janvier 2026.)

La raison invoquée par Microsoft, ses propres mots, est que les organisations font face à des « défis bien réels pour moderniser leurs flux email hérités ». Le MVP Tony Redmond, dans son analyse du 29 janvier 2026 sur Office 365 IT Pros, lit ce recul comme la reconnaissance que mettre à jour les systèmes hérités — imprimantes, modules ERP, scripts maison — vers OAuth demande beaucoup plus d’efforts que Microsoft ne l’avait anticipé. (Source : Office 365 IT Pros, 29 janvier 2026.)

Pourquoi ça concerne les utilisateurs et les PME

Si vous gérez une PME sur Microsoft 365 et que votre imprimante de bureau scanne-vers-email, que votre logiciel de compta envoie des factures, ou qu’un outil de sauvegarde envoie des alertes, ces flux utilisent presque certainement l’auth basique sur SMTP AUTH. Le sursis du 30 avril n’annule pas la migration, il la repousse. Les appareils que les éditeurs n’ont pas patchés finiront par échouer, et la nouvelle date butoir est le 31 décembre 2026.

L’authentification basique, c’est la méthode mot-de-passe-en-clair qui équipe SMTP depuis les années 1990. Les identifiants sont chiffrés en transit par TLS, mais le mot de passe lui-même est posé en clair dans le fichier de config ou le firmware de l’appareil, réutilisable. Les kits de phishing et les scripts de bourrage d’identifiants moissonnent ces mots de passe depuis vingt ans. Microsoft avait commencé à couper l’auth basique sur IMAP, POP et EWS il y a plusieurs années — Client Submission SMTP était le dernier protocole encore autorisé.

La famille d’appareils et d’apps concernés est large et discrète. Imprimantes et scanners multifonctions avec firmware scan-to-email. Outils de supervision, appliances de sécurité réseau, logiciels de sauvegarde qui envoient des alertes. ERP et plateformes de comptabilité — y compris les anciens déploiements Business Central et NAV — avec identifiants SMTP codés en dur. Scripts Python ou PowerShell maison écrits par un admin parti depuis. (Source : SMTP2GO, 10 février 2026.)

Ce que dit vraiment le nouveau calendrier

Le plan révisé compte quatre jalons : aucun changement jusqu’à fin décembre 2026 ; le 31 décembre 2026, l’auth basique SMTP AUTH passe désactivée par défaut sur les tenants existants mais reste réactivable par un admin ; les nouveaux tenants à partir de janvier 2027 n’auront plus l’option ; et la date de retrait définitif sera annoncée au second semestre 2027.

Concrètement ça veut dire trois choses. Les clients Microsoft 365 actuels disposent de huit mois à partir d’aujourd’hui pour faire l’inventaire et migrer. Les nouveaux tenants créés à partir de 2027 n’auront tout simplement pas la possibilité d’utiliser l’auth basique sur SMTP — les éditeurs qui vendent des appareils dans ces comptes ont un délai ferme. Et qui interprète la désactivation de décembre 2026 comme un arrêt définitif se trompe : un admin qui rebascule l’option garde son matériel hérité opérationnel jusqu’à la date finale de 2027 encore non annoncée.

Les alternatives officielles listées par Microsoft restent les mêmes. Mettre à jour l’appareil ou l’app vers SMTP AUTH compatible OAuth. Basculer vers High Volume Email pour Microsoft 365 pour les flux internes uniquement. Ou utiliser Azure Communication Services Email pour les flux qui touchent des destinataires externes. Aucune n’est gratuite ni sans effort, ce qui explique pourquoi l’échéance bouge sans cesse.

Ce qu’il faut faire cette semaine

Ouvrez le centre d’administration Exchange, lancez le rapport SMTP AUTH Clients, et vous verrez exactement quels appareils et apps s’authentifient encore par mot de passe. Cette liste, c’est votre backlog de migration. Commencez par les cibles à faible risque — une imprimante de test, un script de rapport — vérifiez qu’OAuth fonctionne, puis élargissez. La fenêtre est confortable mais pas infinie.

J’ai fait l’exercice sur trois tenants Microsoft 365 différents le mois dernier. Le motif est toujours le même : entre trois et douze appareils apparaissent dans le rapport, la moitié sont des imprimantes que personne ne se souvient avoir configurées, et un ou deux sont des outils métier dont l’éditeur a discrètement publié une mise à jour OAuth en 2024 que personne n’a installée. Le rapport, c’est l’heure d’hygiène email la moins chère que vous passerez ce trimestre.

Pour les comparaisons côté Gmail, voir notre couverture des exigences Gmail pour les expéditeurs en masse. Pour un panorama des clients de bureau qui parlent OAuth proprement à Microsoft 365, notre guide des meilleurs clients email Windows 2026 couvre le terrain.

L’échéance du 30 avril est passée sans application. Le 31 décembre ne sera pas une bascule aussi molle. Préparez-vous en conséquence.

Alexis Dollé, fondateur d'Email Tools
Alexis Dollé
Fondateur & Rédacteur en chef

Alexis Dollé, expert email depuis plus de 10 ans. Fondateur d’Email Tools. Je teste moi-même chaque client et utilitaire email, puis j’en parle comme je l’expliquerais à un proche — sans bla-bla marketing, sans classement sponsorisé, chaque chiffre sourcé.

LinkedIn

Questions fréquentes

Microsoft a-t-il vraiment supprimé l’auth basique SMTP AUTH le 30 avril 2026 ? — non, l’échéance est repoussée à fin décembre 2026

Non. Le 27 janvier 2026, Microsoft a repoussé l’échéance. L’authentification basique pour SMTP AUTH dans Exchange Online reste utilisable jusqu’à fin décembre 2026, et même après, un administrateur peut la réactiver tenant par tenant. La bascule prévue pour le 30 avril n’a jamais eu lieu.

C’est quoi l’authentification basique SMTP AUTH, en clair ? — méthode mot-de-passe héritée

C’est l’ancienne méthode où un appareil ou une application envoie son identifiant et mot de passe Microsoft 365 en clair sur la connexion SMTP chiffrée pour relayer un email. OAuth utilise des jetons à la place, donc le mot de passe ne circule plus à chaque envoi.

Quels appareils et apps sont les plus exposés ? — imprimantes, supervision, ERP, scripts

Les imprimantes multifonctions et scanners avec scan-to-email, les outils de supervision et de sauvegarde qui envoient des alertes, les ERP et logiciels de comptabilité avec des identifiants codés en dur, et les petits scripts métier que les éditeurs n’ont pas mis à jour vers OAuth.

C’est quoi la nouvelle échéance ? — bascule molle au 31 décembre 2026, retrait définitif en 2027

Fin décembre 2026 pour les tenants existants : la fonction sera désactivée par défaut mais réactivable par un admin. Les nouveaux tenants Microsoft 365 créés à partir de janvier 2027 ne pourront plus l’activer du tout. Microsoft annoncera la date de retrait définitif au second semestre 2027.

Quel est le message d’erreur si l’auth basique est rejetée ? — 550 5.7.30

550 5.7.30 Basic authentication is not supported for Client Submission. Si vous voyez ce bounce, l’appareil utilise encore la méthode héritée alors que le tenant l’a déjà désactivée.

Que faire en tant que dirigeant de PME aujourd’hui ? — lancer le rapport SMTP AUTH Clients

Lancez le rapport SMTP AUTH Clients dans le centre d’administration Exchange pour voir quels appareils utilisent encore l’auth basique, puis planifiez la bascule vers OAuth, vers High Volume Email pour Microsoft 365 (interne) ou vers Azure Communication Services Email (interne et externe). Testez avant décembre.

Sources
  1. Microsoft Tech Community, 27 janvier 2026 — Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline
  2. Microsoft Tech Community, 15 avril 2024 — Exchange Online to retire Basic auth for Client Submission (SMTP AUTH)
  3. Office 365 IT Pros (Tony Redmond), 29 janvier 2026 — SMTP AUTH Client Submission Retirement Delayed
  4. SMTP2GO (Charlotte James), 10 février 2026 — Microsoft 365 SMTP AUTH Basic Auth Ending: Timeline & Alternatives