Exchange Online’da Basic Authentication Kapanıyor

Microsoft, 1 Ekim 2022’den itibaren Exchange Online’da temel kimlik doğrulamasını (Basic Auth) kademeli olarak kapatıyor. Etkilenen protokoller, geçiş senaryoları ve tenant yöneticilerinin atması gereken adımlar bu makalede açıklamaya çalışacağım.

Önemli:
Parola spreyi, kaba-kuvvet ve “credential stuffing” saldırıları Basic Authentication kullanan hesapların en kolay hedefi. 1 Ekim 2022’den itibaren Microsoft bu güvenlik riskini ortadan kaldırmak için Exchange Online’da temel kimlik doğrulamayı kapatıyor. Modern kimlik doğrulama (OAuth 2.0 + MFA) artık zorunlu hâle geliyor.

Microsoft 365 Servislerinde Neler Oluyor?

• 3 Mayıs 2022 – Microsoft duyuruyu yeniledi: Yıl sonuna kadar Exchange Online’da Basic Auth tamamen kalkacak.
• 1 Ekim 2022 – EWS, Remote PowerShell, POP3, IMAP4, RPC/HTTP (MAPI), Exchange ActiveSync ve OAB için Basic Auth devre dışı bırakılmaya başlanacak.
• SMTP AUTH – Şimdilik tek istisna, ancak modern alternatif (OAuth 2.0 submission) hazır.
• Modern Auth – OAuth 2.0 + MFA + Azure AD Conditional Access.
• Kapsam – Basic Auth’u hiç kullanmayan milyonlarca tenant zaten etkilenmeyecek; kullananlar için bağlantılar kesilecek.

Exchange Online’da Basic Authentication ile Etkilenen Protokoller

Protokol	Durum (1 Ekim 2022 sonrası)	Not
EWS	KAPANIYOR	Outlook for Mac & 3rd-party entegrasyonlar
Remote PowerShell	KAPANIYOR	Yerine “Connect-ExchangeOnline” (Modern Auth)
POP3 / IMAP4	KAPANIYOR	OAuth destekli istemci şart
MAPI over RPC	KAPANIYOR	Outlook Anywhere artık MAPI/HTTP + OAuth
Exchange ActiveSync	KAPANIYOR	Modern işletim sistemleri OAuth kullanabiliyor
Offline Address Book (OAB)	KAPANIYOR	Modern Auth devreye giriyor
SMTP AUTH	Şimdilik açık	OAuth 2.0 submission’a geçiş önerilir

---

Exchange Online Tenant Yöneticileri İçin Yol Haritası

Kullandığınız Basic Auth Protokollerini Tespit Edin

AAD sign-in raporunda Basic Auth çağrılarını çıkar
Get-AaDsignInReport | Where-Object {$_.ClientAppUsed -match "Other clients"}

Microsoft ayrıca Azure Portal üzerinden “Basic Auth Deprecation Report” sunmaktadır.

Azure AD Conditional Access ile Basic Authentication’ı Engelleyin

1. Azure AD → Security → Conditional Access
2. Yeni politika oluşturun → Cloud app: Office 365 Exchange Online
3. Client apps filtresinde “Other legacy clients” kutusunu işaretleyin
4. Grant adımında “Block access” seçin ve politikayı kaydedin

Set-CasMailbox ile POP ve IMAP Erişimini Kapatın

Set-CasMailbox [email protected] -PopEnabled:$false -ImapEnabled:$false

Modern Auth Destekli Uygulamalara Geçin

• Outlook 2016 ve sonrası sürümler OAuth desteğine sahip olduğundan ek işlem gerektirmez.
• Eski iOS cihazları için mail hesabını silip yeniden eklemek yeterlidir; iOS yeni profili otomatik olarak OAuth ile kurar.
• POP/IMAP kullanan betikler veya botlar için Azure AD üzerinde uygulama kaydı yapılmalı ve OAuth 2.0 client credentials (modern submission) yapılandırılmalıdır.

---

Sık Sorulanlar (FAQ)

Sonuç

Temel kimlik doğrulama kapatıldığında Azure AD Conditional Access ve Authentication Policy’lerini önceden uygulamak, saldırganların Basic Auth uç noktalarına erişimini keser ve parola spreyi riskini azaltır.

1. Modern Auth’a geçemeyen tüm istemcileri envanterleyin.
2. Azure Conditional Access ile Basic Auth’u hemen engelleyin.
3. SMTP AUTH dahil tüm eski bağlantıları 2022 sonuna kadar modernize edin.

İlgili yazılar:

• Exchange Server “This mailbox database is associated with one or more active MailboxExport requests” hatası ve çözümü
  Exchange veritabanı silme sırasında karşınıza çıkabilecek bu hatanın nasıl çözüleceğini adım adım anlatıyoruz.
• This mailbox database contains one or more mailboxes, mailbox plans, archive mailboxes, public folder mailboxes or arbitration mailboxes
  Veritabanı silme işlemlerinde karşılaşılan diğer kritik bir hata türünün teknik açıklaması ve çözüm adımları burada yer alıyor.