Thought Leadership
Microsoft setzt auf moderne Verschlüsselung: Im Juli 2026 endet der Support für veraltete TLS-Protokolle in Exchange Online. Wie Sie Ausfälle verhindern.
Die digitale Welt entwickelt sich unaufhörlich weiter, und mit ihr die Anforderungen an die Sicherheit unserer Kommunikation. Microsoft hat offiziell bekannt gegeben, dass ein bedeutendes Kapitel der Internetgeschichte in der Cloud zu Ende geht. Ab Juli 2026 wird das Unternehmen die Unterstützung für die veralteten Verschlüsselungsprotokolle Transport Layer Security (TLS) 1.0 und 1.1 für den Zugriff auf Exchange Online über POP3 und IMAP4 einstellen. Diese Entscheidung ist keine Überraschung, markiert aber den endgültigen Bruch mit Protokollen, die über zwei Jahrzehnte lang den Standard für sichere Verbindungen bildeten.
TLS 1.0 von Microsoft seit 1999 in Betrieb
Um die Tragweite dieser Entscheidung zu verstehen, muss man einen Blick auf das Alter dieser Technologien werfen. TLS 1.0 wurde bereits im Jahr 1999 spezifiziert, während TLS 1.1 im Jahr 2006 folgte. In der schnelllebigen IT-Sicherheitslandschaft gelten diese Versionen heute als Relikte einer vergangenen Zeit. Sie wurden entwickelt, bevor moderne Rechenleistung und ausgefeilte Angriffsmethoden wie BEAST oder POODLE existierten, die Schwachstellen in diesen frühen Versionen ausnutzen können.
Microsoft betont, dass die Sicherheit der Nutzerdaten oberste Priorität hat. TLS 1.0 und 1.1 bieten schlicht nicht mehr den Schutz gegen das Abhören von Datenverkehr (Eavesdropping), Manipulationen oder Fälschungen von Nachrichten, den moderne Unternehmen heute benötigen. Seit 2018 haben Microsoft, Apple, Google und Mozilla gemeinsam darauf hingearbeitet, diese unsicheren Standards aus dem Netz zu tilgen. In Exchange Online war es bisher jedoch möglich, über spezielle Legacy-Endpunkte weiterhin eine Verbindung herzustellen. Damit ist ab dem Sommer 2026 endgültig Schluss.
Nutzer von Legacy-Anwendungen und eingebetteten Systemen betroffen
Für die überwiegende Mehrheit der Anwender wird diese Änderung laut Microsoft keine spürbaren Auswirkungen haben. Moderne E-Mail-Clients wie aktuelle Versionen von Outlook, Apple Mail oder mobile Apps auf Android und iOS nutzen bereits seit Jahren TLS 1.2 oder das noch sicherere TLS 1.3. Diese Protokolle verhandeln die sicherste verfügbare Verbindung automatisch im Hintergrund.
Kritisch wird es jedoch für Nutzer von Legacy-Anwendungen und eingebetteten Systemen. In vielen Firmennetzwerken verrichten noch immer Geräte ihren Dienst, die nach dem Prinzip „Never change a running system“ konfiguriert wurden. Hierzu gehören:
- Alte Netzwerk-Drucker und Multifunktionsgeräte, die Scan-to-Email-Funktionen nutzen.
- Industrielle Steuerungsanlagen und Überwachungssysteme, die Statusberichte via IMAP oder POP versenden.
- Maßgeschneiderte Inhouse-Software, die auf veralteten Bibliotheken basiert und für den automatisierten Datenimport aus Postfächern zuständig ist.
- Ältere E-Mail-Server-Relays, die als Brücke zu Cloud-Diensten fungieren.
| Protokoll-Version | Erscheinungsjahr | Status 2026 | Empfehlung |
| TLS 1.0 | 1999 | Veraltet / Unsicher | Nicht verwenden |
| TLS 1.1 | 2006 | Veraltet / Unsicher | Nicht verwenden |
| TLS 1.2 | 2008 | Standard | Sicher |
| TLS 1.3 | 2018 | Modernster Standard | Optimal |
Datenaustausch kommt nicht mehr zustande
Sobald Microsoft die Blockade im Juli 2026 schrittweise ausrollt, werden Verbindungsversuche über TLS 1.0 und 1.1 ohne Ausnahme scheitern. Clients werden Fehlermeldungen anzeigen, die oft unspezifisch klingen, wie etwa „Verbindung zum Server fehlgeschlagen“ oder „Authentifizierungsfehler“. Da die Verschlüsselung vor der eigentlichen Anmeldung stattfindet, kommt gar kein Datenaustausch mehr zustande.
Microsoft entfernt in diesem Zuge auch den Support für die sogenannten Legacy-Endpunkte (z. B. pop-legacy.office365.com). Kunden, die sich in den vergangenen Jahren explizit für die Nutzung dieser Hintertüren entschieden haben, müssen ihre Konfiguration nun zwingend auf die Standard-Endpunkte und moderne TLS-Versionen umstellen.
Checkliste für IT-Administratoren
Um einen reibungslosen Übergang zu gewährleisten, sollten IT-Verantwortliche nicht bis zum letzten Moment warten. Hier sind die wichtigsten Schritte zur Vorbereitung:
- Bestandsaufnahme durchführen: Nutzen Sie die Telemetriedaten und Berichte im Microsoft 365 Admin Center. Das Mail Flow Dashboard bietet detaillierte Einblicke darüber, welche IP-Adressen und Accounts noch über veraltete Protokolle zugreifen.
- Firmware-Updates prüfen: Viele Hardware-Hersteller bieten Updates für ältere Geräte an, die TLS 1.2-Unterstützung nachrüsten. Prüfen Sie die Support-Seiten Ihrer Drucker- und Scanner-Flotte.
- Anwendungen modernisieren: Entwickler sollten sicherstellen, dass ihre Applikationen die neuesten Versionen von Verschlüsselungsbibliotheken (wie OpenSSL oder .NET-Framework-Updates) nutzen.
- Relay-Lösungen nutzen: Falls ein Gerät hardwareseitig absolut kein TLS 1.2 unterstützt, kann ein lokaler SMTP-Relay-Server helfen. Dieser nimmt die unsichere Verbindung lokal an und leitet sie verschlüsselt nach außen an Microsoft weiter.
Dieser Schritt von Microsoft ist kein isoliertes Ereignis. Er ist eingebettet in eine weltweite Bewegung zur Härtung der IT-Infrastruktur. Sogar die U.S. National Security Agency (NSA) hat Leitfäden veröffentlicht, die Unternehmen dazu auffordern, veraltete TLS-Versionen zu identifizieren und zu ersetzen, um die Angriffsfläche gegen staatliche Akteure und kriminelle Banden zu verringern.
Zudem korrespondiert die TLS-Abschaltung mit dem Ende der Basis-Authentifizierung (Basic Auth), das Microsoft ebenfalls für das Jahr 2026 forciert hat. Ziel ist ein Ökosystem, in dem nur noch moderne Authentifizierung (OAuth 2.0) und starke Verschlüsselung (TLS 1.2+) zum Einsatz kommen.
