■「メール送信時の認証方式がSMTP AUTHからOAuth2.0へ」どのような話なのか?
マイクロソフト社は、Exchange Online(Microsoft 365のメールサービス)利用中のユーザーのアプリケーション経由のメール送信時の認証方式について、従来の「SMTP AUTH」(基本認証)を段階的に廃止し、より安全な「OAuth2.0」(公開鍵認証)へ移行する方針を発表しています。
①SMTP AUTH:(IDとパスワードのペアを用いる)「基本認証」(Basic Authentication)
②OAuth2.0(OAuth1.0の後継規格):(秘密鍵と公開鍵のペアを用いる)「キーペア(モダン)認証」(Key-pair Authentication)
※SMTP=Simple Mail Transfer Protocol
この変更により、Microsoft 365のメールアドレスを利用しているWebサイトのお問い合わせフォームや予約フォームが将来的にメール送信できなくなる可能性があります。
また、影響を受ける可能性があるのはWebサイトだけではありません。
- 複合機からのスキャンメール送信
- 業務システムからのメール通知
- 社内システムやネットワーク機器からのメール送信
などで、MicrosoftのSMTPサーバー(smtp.office365.com)を利用している場合も確認が必要です。
参考情報:
・Exchange Onlineでの基本認証の廃止
・Basic Authentication Deprecation in Exchange Online – Time’s Up(2022/12/20)
・Exchange Online to retire Basic auth for Client Submission (SMTP AUTH)(2024/04/15)
・Updated Exchange Online SMTP AUTH Basic Authentication Deprecation Timeline(2026/01/27)
■なぜこの変更が行われるのか?
今回の変更は、メールのセキュリティ向上が目的です。
以前公開した「Gmailでメール受信ができなくなるケースがある!?」というコラムでは、メール受信方式の見直しについてご紹介しました。
今回のテーマはメール受信ではなく、メール送信時の認証方式の変更です。従来のSMTP AUTHではメール送信時にIDとパスワードを使用して認証を行います。しかし、パスワードの使い回しや漏洩などが発生すると不正利用されるリスクがあります。そこでMicrosoftは、より安全なOAuth2.0への移行を進めています。OAuth2.0では、従来のようにアプリケーションへID・パスワードを保存して利用するのではなく安全性の高い認証方式(秘密鍵+公開鍵)を利用するため、不正アクセスや情報漏洩のリスクを低減できると言われています。
また、今回はマイクロソフトのサービスに限っていますが、今後追随してくるメールサービスもあるかもしれませんので、引き続きウォッチしていけると良いかと思います。
■自社のWebサイトに影響はあるのか?
まずは、お問い合わせフォームや予約フォームを設置している場合、制作会社または保守会社へ以下を確認してください。
影響を受ける可能性があるケース
- WordPressのお問い合わせフォームを利用している
- Contact Form 7などのフォームプラグインを利用している
- WP Mail SMTPやFluentSMTPなどのSMTPプラグインを利用している
- Microsoft 365(Exchange Online)のメールアドレスを送信元として使用している
影響を受けない可能性が高いケース
- Googleフォームを利用している
- SendGridなどの外部メール配信サービス(メール/SMTPリレーサービス)を利用している
- お問い合わせフォームを設置していない
- Microsoft 365以外のメール送信サービスを利用している
■確認しておきたいポイント
影響を受ける可能性がある場合は、現在利用しているSMTPプラグインがOAuth2.0に対応しているか確認しましょう。
代表的なプラグインとしては以下があります。
- WP Mail SMTP
- FluentSMTP
プラグインによって設定方法や対応状況が異なるため、事前確認をおすすめします。
■設定はどこで行うのか?
OAuth2.0の設定は、Microsoftの「Entra ID(旧Azure AD)」側で行います。
Microsoft 365(Exchange Online)をご利用の場合は、通常Entra ID環境も利用しています。
管理画面:
https://portal.azure.com/
例えば、FluentSMTPを利用している場合は、以下の公式マニュアルが参考になります。
・Configuring FluentSMTP with Outlook or Office365 Emails(邦訳:FluentSMTPをOutlookまたはOffice365メールと連携させる)
設定後は必ず送信テストを行い、お問い合わせメールが正常に送信できることを確認してください。
■まとめ
今回の変更は、すぐに全ての企業へ影響するものではありません。しかし、Microsoft 365のメールアドレスを利用してWebサイトや業務システムからメールを送信している場合は、今後対応が必要になる可能性があります。特にWordPressのお問い合わせフォームを利用している場合は、一度制作会社や保守会社へ確認しておくことをおすすめします。
当社では、Webサイト制作・保守をご利用のお客様向けに、OAuth2.0対応状況の確認や設定代行も承っております。
ご不明な点がございましたら、お気軽にご相談ください。
【執筆者】VIETRY_ベトナム国内事業部
Power to your Website
ベトナム国内事業部は、日本国内で8,000サイト以上を手掛けた親会社のノウハウを活かし、お客様の事業戦略や市場の特性を深く理解したWebサイト制作を提供しています。各業界や市場動向、競合分析を踏まえ、お客様の想いを形にするWebサイトを提案します。 さらに、SEO対策やアクセス解析を通じて制作後の運用をサポートし、企業のブランディング強化と目標達成を支援します。
