Roadmap-Update_Exchange_Online_Fokus_auf_Resilienz_und_Performance_20260621_2208

von | Juni 21, 2026 | CB-M365, Consulting Briefing | 0 Kommentare

Roadmap-Update Exchange Online Fokus auf Resilienz und Performance

MICROSOFT 365

 

Roadmap-Update: Exchange Online – Fokus auf Resilienz und Performance

Executive Summary

Microsoft verkauft das aktuelle Exchange-Online-Update gern als gute Nachricht: mehr Resilienz, mehr Performance, stabilere E-Mail. Stimmt auch – nur steht das Kleingedruckte wie immer nicht im Werbeprospekt. Hinter „Resilienz und Performance“ steckt in Wahrheit ein groß angelegter Umbau. Microsoft räumt 2026 und 2027 konsequent die alten, fragilen Bausteine raus – Basic Authentication, Exchange Web Services, unkontrolliertes Postfachwachstum – und ersetzt sie durch moderne, härtere und an einigen Stellen kostenpflichtige Mechanismen.

Die Kurzfassung für die Geschäftsleitung: Der Dienst wird stabiler und schneller, weil Microsoft die Angriffsfläche verkleinert und die Kapazitäten besser steuert. Der Preis dafür liegt bei dir. Wer noch mit alten Skripten, Legacy-Anwendungen und Basic Auth arbeitet, fällt 2026 reihenweise auf die Nase – und zwar nach Kalender, nicht nach Kulanz. Wer jetzt aufräumt, surft entspannt durch. Wer wartet, erklärt im Dezember dem Vorstand, warum der automatische Rechnungsversand plötzlich tot ist.

AUF DEN PUNKT

Resilienz bei Exchange Online heißt 2026 nicht „Microsoft macht alles stabiler und du musst nichts tun“, sondern „Microsoft entfernt das Wackelige – und du musst rechtzeitig nachziehen“. Die Stichtage stehen fest, die Abschaltungen laufen automatisch.

 

Abb. 1: Die scharfen Stichtage 2026/2027 – von der EWS-Sperre für Frontline-Lizenzen bis zum endgültigen Aus für Basic Auth.

Worum geht es im Detail?

Exchange Online ist ein reifer Dienst. Microsoft baut hier keine bunten Features mehr, sondern dreht an den Grundfesten: Sicherheit, Kapazität und Wartbarkeit. Genau diese drei Schrauben sind es, die „Resilienz und Performance“ real machen – und genau hier liegen die harten Stichtage. Schaut man auf die Zeitachse, wird schnell klar, dass 2026 kein Wartungsjährchen ist, sondern ein Umbaujahr.

Schluss mit Basic Auth – die alte Hintertür wird zugemauert

Der größte Brocken ist das endgültige Aus für Basic Authentication bei SMTP AUTH. Microsoft schaltet die simple Anmeldung mit Benutzername und Passwort für bestehende Tenants standardmäßig zum Jahresende 2026 ab; das Client Submission über Basic Auth folgt Anfang 2027. Danach geht nur noch OAuth. Der Hintergrund ist simpel und brutal: Basic Auth ist der Lieblingseingang für Password-Spray- und Phishing-Angriffe, weil das Passwort dabei im Klartext über die Leitung wandert und keine zweite Verteidigungslinie existiert. Jeder geschlossene Basic-Auth-Endpunkt ist gelebte Resilienz – nur halt auf deine Kosten, wenn das Multifunktionsgerät im dritten Stock noch über genau diesen Weg scannt und mailt.

EWS geht in Rente – Graph übernimmt

Die betagten Exchange Web Services werden gestaffelt abgeschaltet. Ab dem 30. Juni 2026 werden EWS für Postfächer ohne entsprechende Nutzungsrechte – Kiosk- und Frontline-Lizenzen wie F1 und F3 – mit HTTP 403 geblockt. Ab dem 1. Oktober 2026 beginnt Microsoft, EWS-Zugriffe von Nicht-Microsoft-Anwendungen grundsätzlich zu blockieren. Die Zukunft heißt Microsoft Graph. Das ist kein Selbstzweck: EWS ist eine in die Jahre gekommene Schnittstelle mit grobem Berechtigungsmodell, Graph erlaubt feingranulare, app-basierte Identitäten und lässt sich sauber überwachen. Performance und Resilienz steigen, weil Microsoft eine alte, breit aufgerissene Tür endlich zumachen kann.

Kapazität wird gesteuert – und sichtbar bezahlt

Der dritte große Hebel ist das Postfachwachstum. Das Auto-Expanding Archive wächst künftig auch über die bisherige 1,5-TB-Grenze hinaus – allerdings ab Juli 2026 verbrauchsbasiert mit rund 0,25 US-Dollar pro Gigabyte und Monat oberhalb dieser Grenze. Parallel wird High Volume Email ab Juni 2026 allgemein verfügbar und metered abgerechnet, in der Größenordnung von 42 US-Dollar pro Million Empfänger. Das ist die unromantische Seite von Resilienz: Wer Kapazität nicht steuert, bekommt irgendwann einen Dienst, der unter seiner eigenen Datenlast ächzt. Microsoft macht das Wachstum sichtbar und bepreist es – das diszipliniert, ob man will oder nicht.

Abb. 2: Drei Säulen tragen die Resilienz – moderne Authentifizierung, Kapazitäts-Management und Graph statt Legacy-Schnittstellen.

Im Hintergrund läuft parallel die Modernisierung von Exchange Server. Mit der ersten kumulativen Aktualisierung von Exchange Server SE in der ersten Jahreshälfte 2026 stellt Microsoft die Server-Authentifizierung von NTLMv2 auf Kerberos um, umgesetzt über MAPI over HTTP. Künftig erscheinen zwei kumulative Updates pro Jahr, jeweils im ersten und zweiten Halbjahr. Der rote Faden bleibt: Die On-Premises-Welt wird so umgebaut, dass sie zur Cloud passt und Migrationen leichter werden – stabilere Authentifizierung inklusive.

Ein Beispiel aus der Praxis, das exemplarisch für die ganze Baustelle steht: Bei einem Maschinenbauer mit rund 600 Postfächern lief der nächtliche Versand der Fertigungsaufträge über ein zehn Jahre altes Perl-Skript, das brav per Basic Auth an Exchange Online übergab. Niemand kannte es mehr, der ursprüngliche Entwickler war längst in Rente. Als wir im Vorprojekt die Sign-in-Logs auswerteten, tauchte genau dieses Konto mit Tausenden Legacy-Anmeldungen pro Nacht auf – ein Volltreffer, der ohne Inventur erst am Abschalttag aufgefallen wäre, vermutlich mitten in der Quartalsproduktion. Die Lehre daraus ist banal und teuer zugleich: Die gefährlichsten Abhängigkeiten sind die, an die sich niemand mehr erinnert.

WARBOX: DIE STILLE SKRIPT-LEICHE

Dein gefährlichster Single Point of Pain ist fast nie der Mensch, sondern das nächtliche Automatisierungsskript mit hartcodiertem Passwort, das seit 2018 niemand mehr angefasst hat. Ab Juli 2026 verschwindet der -Credential-Parameter aus dem Exchange-Online-PowerShell-Modul, und diverse Report-Cmdlets verlangen plötzlich explizite -EventType-Parameter. Übersetzt: Dein Skript läuft eines Morgens einfach nicht mehr – still, leise, ohne Vorwarnung. Microsoft nennt das Modernisierung. Wir nennen es: ein Pager, der um 3 Uhr klingelt.

 

Damit du die Stichtage im Kopf behältst, hier die Mechanik dahinter: Jede dieser Abschaltungen folgt demselben Muster. Eine alte, breit genutzte Methode wird zunächst für die schwächsten Lizenzklassen blockiert, dann für Drittanbieter, dann generell. Wer früh dran ist, migriert in Ruhe; wer spät kommt, migriert im Incident. Die folgende Grafik zeigt, was konkret durch was ersetzt wird – das ist gleichzeitig deine Übersetzungstabelle für jedes Altsystem im Tenant.

Abb. 3: Die Übersetzungstabelle – jedes Legacy-Verfahren hat einen modernen Nachfolger und ein Ablaufdatum.

Was sind Chancen? Was sind Risiken?

Jede Zwangsmodernisierung ist immer beides: ein Lästigkeitsfaktor und ein Geschenk. Microsoft erledigt hier kostenlos einen Teil der Sicherheits- und Aufräumarbeit, die in vielen Tenants seit Jahren auf der Liste „irgendwann mal“ steht. Die Frage ist nur, ob du die Welle reitest oder von ihr überrollt wirst.

Chancen

Die größte Chance ist ein echter Sicherheitsgewinn ohne eigenes Projektbudget. Mit dem Wegfall von Basic Auth und EWS verschwinden zwei der häufigsten Einfallstore praktisch von selbst. Wer ohnehin auf moderne Authentifizierung umstellen wollte, hat jetzt einen unschlagbaren Business Case – nämlich „Microsoft zwingt uns sowieso“. Zweitens schafft die verbrauchsbasierte Kapazität endlich Kostentransparenz: Du siehst, welche Postfächer und Archive wirklich wachsen, und kannst Aufbewahrung und Lifecycle datengetrieben statt aus dem Bauch heraus steuern. Drittens wird die ganze Umgebung wartbarer, weil saubere App-Identitäten über Graph nachvollziehbar sind – Schluss mit dem ominösen Servicekonto, das seit 2017 „irgendwas mit Mail“ macht und das niemand mehr anzufassen wagt.

Risiken

Das Hauptrisiko ist nicht technisch, sondern organisatorisch: übersehene Abhängigkeiten. Multifunktionsdrucker, Monitoring-Werkzeuge, ERP- und CRM-Systeme, alte Branchensoftware und selbstgebaute Skripte mailen häufig noch über Basic Auth oder EWS – und niemand hat eine vollständige Liste. Fällt einer dieser Stichtage, steht im schlimmsten Fall der automatisierte Rechnungs- oder Mahnversand still, und das fällt erst auf, wenn das Geld nicht kommt. Das zweite Risiko ist finanzieller Natur: Wer das Postfachwachstum ignoriert, erlebt mit der verbrauchsbasierten Archivierung eine schleichend steigende Rechnung. Und das dritte Risiko ist hausgemachte Hektik – wer erst im November 2026 anfängt, OAuth einzuführen, macht das unter Zeitdruck, und Zeitdruck plus Authentifizierung ist eine bewährte Rezeptur für Ausfall.

RISIKO

Das größte Risiko ist nicht die Abschaltung selbst, sondern die Überraschung. Wenn der automatische Versand ohne Vorwarnung schweigt, eskaliert das schneller, als du „Message Center“ sagen kannst. Ungeprüfte Tenants, vergessene Servicekonten und Abteilungen mit eigenen Bastel-Integrationen sind die typischen Brandherde.

 

Unterm Strich ist die Risikolage gut beherrschbar – vorausgesetzt, du agierst proaktiv. Wer wartet, bis die Tickets kommen, zahlt den Preis in Form von Eskalationen, Last-Minute-Lizenzkäufen zu Listenpreisen und einem Vertrauensverlust, der länger nachwirkt als jede technische Störung. Resilienz ist eben nicht nur eine Eigenschaft des Dienstes, sondern auch eine deiner Vorbereitung.

Wie schnell aus einem kleinen Detail ein großer Ärger wird, zeigt der Klassiker mit dem Etagendrucker: Ein Kunde hatte zwei Dutzend Multifunktionsgeräte, die gescannte Dokumente per Mail an Sammelpostfächer schickten – alle über Basic Auth. Die Geräte waren sieben Jahre alt, die Firmware konnte kein OAuth, und der Hersteller bot kein Update mehr an. Statt 24 Drucker im Last-Minute-Stress zu tauschen, haben wir die Geräte über einen internen, modern authentifizierten Relay angebunden. Wer das erst im Dezember merkt, kauft die Hardware zum Listenpreis und unter Zeitdruck – wer es ein halbes Jahr vorher sieht, plant es als normale Beschaffung. Genau dieser Unterschied entscheidet, ob der Umbau ruhig oder als Brandbekämpfung abläuft.

TIPP: MACH AUS DEM ZWANG EIN PROJEKT

Verkaufe die Migration intern nicht als „lästige Microsoft-Pflicht“, sondern als „Härtung der E-Mail-Infrastruktur“. Dasselbe Projekt, doppelt so viel Budget-Akzeptanz. Resilienz klingt im Lenkungskreis nun mal besser als „wir müssen mal die alten Skripte anfassen“.

 

Was müssen wir jetzt schon vorbereiten?

Die gute Nachricht: Es gibt kein Hexenwerk, nur Hausaufgaben. Die schlechte: Die Hausaufgaben haben feste Abgabetermine, und der Lehrer heißt Microsoft und kennt keine Nachfrist. Drei Arbeitspakete gehören ab sofort auf den Tisch.

1. Inventur: Wer authentifiziert sich eigentlich wie?

Zieh dir die Sign-in-Logs aus Entra ID und filtere konsequent nach Legacy-Authentifizierung und EWS-Zugriffen. Jedes Gerät, jede Anwendung und jedes Servicekonto, das noch über Basic Auth oder EWS läuft, gehört auf eine Liste mit Verantwortlichem und Deadline. Das ist die unspektakulärste, aber wichtigste Maßnahme – denn abschalten kann man nur, was man kennt.

Connect-MgGraph -Scopes "AuditLog.Read.All"
Get-MgAuditLogSignIn `
-Filter "clientAppUsed eq 'Other clients' or clientAppUsed eq 'IMAP4'" `
-All |
Group-Object userPrincipalName, clientAppUsed |
Sort Count -Descending |
Select Name, Count

2. Authentifizierung modernisieren

Stelle Anwendungen und Skripte auf OAuth, app-only-Authentifizierung oder Managed Identity um. Für den klassischen „Drucker, der mailen muss“ gibt es saubere Wege über moderne SMTP-Authentifizierung oder dedizierte Versanddienste wie High Volume Email beziehungsweise Azure Communication Services. Wichtig: Skripte, die heute noch mit -Credential und gespeichertem Passwort arbeiten, müssen vor Juli 2026 umgebaut sein, sonst sterben sie kommentarlos. Plane ausreichend Testzeit ein – gerade ältere Geräte-Firmware unterstützt OAuth oft schlicht nicht und muss ersetzt oder umgangen werden.

3. Kapazität und Kosten unter Kontrolle bringen

Verschaffe dir einen Überblick über Postfach- und Archivgrößen und definiere eine Aufbewahrungsstrategie, bevor die verbrauchsbasierte Abrechnung greift. Lege fest, was wirklich dauerhaft vorgehalten werden muss und was über Lifecycle-Richtlinien automatisch verschwinden darf. So wird aus einer schleichenden Kostenfalle ein bewusst gesteuerter Posten. Nimm außerdem mit, dass dieser Umbau kein einmaliges Ereignis ist: Die kumulativen Updates kommen ab jetzt zweimal jährlich, und dein Mailmanagement muss dauerhaft sauber bleiben.

FAKTEN-CHECK: DEINE STICHTAGS-CHECKLISTE

30.06.2026: EWS für Kiosk-/F-Lizenzen geblockt. — Juli 2026: Archiv über 1,5 TB kostenpflichtig, -Credential entfällt. — 01.10.2026: EWS für Dritt-Apps blockiert. — Ende 2026: SMTP AUTH Basic standardmäßig aus. — Anfang 2027: Basic Auth Client Submission endgültig aus. Trag dir diese Termine jetzt in den Projektplan ein – rückwirkend verhandeln geht nicht.

 

Häufig gestellte Fragen

Wird unsere E-Mail durch das Resilienz-Update tatsächlich schneller und stabiler?

In der Tendenz ja, aber nicht durch einen einzelnen Performance-Schalter. Stabilität entsteht vor allem dadurch, dass Microsoft alte, angreifbare Schnittstellen abschaltet und das Postfachwachstum steuerbar macht; der spürbare Effekt hängt davon ab, wie aufgeräumt dein Tenant schon ist.

Müssen wir wirklich alle Skripte und Geräte umstellen, oder reicht es, die Fristen zu ignorieren?

Ignorieren ist keine Option, weil Microsoft die Abschaltungen nach festem Kalender und nicht nach Kulanz durchzieht. Alles, was nach den Stichtagen noch über Basic Auth oder EWS läuft, hört schlicht auf zu funktionieren – ohne Vorwarnung und ohne Nachfrist.

Was passiert mit unserem Multifunktionsdrucker, der über SMTP Mails verschickt?

Der muss auf moderne SMTP-Authentifizierung umgestellt oder über einen dedizierten Versandweg angebunden werden, sobald Basic Auth für SMTP AUTH abgeschaltet wird. Prüfe rechtzeitig, ob die Firmware des Geräts OAuth überhaupt unterstützt, denn ältere Modelle können das oft nicht.

Kostet uns die neue verbrauchsbasierte Archivierung jetzt automatisch mehr Geld?

Nur, wenn eure Archive die bisherige 1,5-TB-Grenze überschreiten; bis dahin ändert sich an den Kosten nichts. Oberhalb der Grenze wird das zusätzliche Volumen pro Gigabyte und Monat berechnet, weshalb sich eine bewusste Aufbewahrungsstrategie direkt auf der Rechnung bemerkbar macht.

Womit sollten wir anfangen, wenn wir nur begrenzte Zeit haben?

Mit der Inventur der Sign-in-Logs in Entra ID, denn ohne zu wissen, wer noch Legacy-Authentifizierung nutzt, kann man nichts gezielt umstellen. Diese Liste ist die Grundlage für alle weiteren Schritte und verhindert, dass an einem Stichtag ein übersehenes System ausfällt.

Anmelden zum Consulting Briefing per Mail

Wenn Sie kostenlos das tägliche Consulting Briefing von Ulrich Boddenberg per Mail erhalten möchten, melden Sie sich auf dieser Seite an.

Die zehn letzten Consulting Briefings

Claude Fable 5 ist wieder da

Sonder-Consulting Briefing 02.07.2026 · boddenberg.de AI / COPILOT   Claude Fable 5 ist wieder da Executive Summary Kurz für die Eiligen: Anthropics Spitzenmodell Claude Fable 5 ist seit dem 1. Juli 2026 wieder global verfügbar – nach 19 Tagen...

mehr lesen

Claude Sonnet 5 vorgestellt

Consulting Briefing 01.07.2026 · boddenberg.de AI / COPILOT Claude Sonnet 5 vorgestellt Executive Summary Anthropic hat am 30. Juni 2026 Claude Sonnet 5 vorgestellt – und damit still und leise die Rechnung für die halbe Branche neu aufgemacht. Die...

mehr lesen