Microsoft SMTP Basic Auth voor Office 365 verdwijnt: wat je nu echt moet doen met je WordPress-site

Verstuurt je WordPress-site e-mail via een Office 365-mailbox met gebruikersnaam en wachtwoord? Die setup heeft een einddatum. Wat er echt is veranderd in 2026, en wat je moet doen.

Verstuurt je WordPress-site e-mail via een Office 365-mailbox met gebruikersnaam en wachtwoord? Dan heeft die setup een einddatum. Microsoft is al jaren bezig met het uitfaseren van Basic Authentication voor SMTP Client Submission (de smtp.office365.com:587-route die de meeste WordPress SMTP-plugins gebruiken). De oorspronkelijke deadline was 30 april 2026. Daarna heeft Microsoft hem verzet. Het echte verhaal in 2026 is rommeliger dan de krantenkop, en urgenter dan de nieuwe datum doet vermoeden.

TL;DR: Microsoft heeft op 27 januari 2026 de tijdlijn bijgesteld. Basic Auth voor SMTP Client Submission blijft nu werken tot eind december 2026 en staat daarna standaard uit voor bestaande tenants. Nieuwe tenants vanaf 2027 krijgen het niet meer. Maar veel WordPress-sites zijn nu al stuk om een heel andere reden: Microsoft's Security Defaults zetten SMTP AUTH op tenant-niveau uit, en elke tenant die na 2020 is aangemaakt loopt daar tegenaan. De twee foutmeldingen die je moet kennen zijn 550 5.7.30 Basic authentication is not supported for Client Submission en 535 5.7.139 Authentication unsuccessful. Je opties: je SMTP-plugin omzetten naar OAuth, transactionele mail verhuizen naar een echte relay, of gewoon stoppen met zakelijke e-mail en websitemail door elkaar te halen.

Inhoudsopgave

Wat er in januari 2026 echt veranderde

Microsoft's oorspronkelijke aankondiging uit 2024 zei dat Basic Auth voor SMTP Client Submission rond maart en april 2026 definitief zou verdwijnen. Die post staat nog online en is nog steeds het eerste Google-resultaat. Hij klopt niet meer. Op 27 januari heeft het Exchange-team een bijgestelde tijdlijn gepubliceerd:

  • Nu tot eind december 2026 blijft SMTP AUTH Basic Auth werken zoals het vandaag werkt.
  • Eind december 2026 gaat Basic Auth standaard uit voor bestaande tenants. Admins kunnen het tijdelijk weer aanzetten via PowerShell, als ze daar echt een goede reden voor hebben.
  • Vanaf 2027 krijgen nieuwe tenants geen Basic Auth meer, ook niet als opt-in.
  • In de tweede helft van 2027 maakt Microsoft de definitieve verwijderdatum bekend.

De paniekartikelen uit februari en maart hebben dus gewoon de verkeerde deadline. Je hebt tot december. Maar die deadline was sowieso nooit je enige probleem.

Waarom je site nu al stuk kan zijn

Dit is het stuk dat de "30 april"-berichten overslaan. Microsoft zet Security Defaults standaard aan op elke Microsoft 365-tenant die sinds oktober 2019 is aangemaakt, en Security Defaults zetten SMTP AUTH op tenant-niveau uit. Als jij (of iemand anders met admin-rechten) ooit op "Security Defaults inschakelen" heeft geklikt in het Microsoft 365 admin center, dan staat SMTP AUTH al uit. De Basic Auth-uitfasering is op dat punt niet eens relevant meer. De deur is jaren geleden al dichtgegaan.

Dat is de meest voorkomende oorzaak van "mijn contactformulier is opeens opgehouden met mailen" die ik in 2025 en 2026 tegenkom. Je ziet het terug in de supportforums van WP Mail SMTP en op Microsoft Q&A. Heb je je SMTP in 2018 opgezet en er daarna niks meer aan gedaan, dan werkt het nog. Is je tenant nieuwer, of heeft iemand ooit Security Defaults aangezet, dan werkt het waarschijnlijk al niet meer.

De twee foutcodes en wat ze betekenen

Als je logging aan hebt in je SMTP-plugin, zie je een van deze twee foutmeldingen in de transcript:

535 5.7.139 Authentication unsuccessful, SmtpClientAuthentication is disabled for the Tenant. De tenant-admin heeft SMTP AUTH volledig uitgezet. Dat is het Security Defaults-scenario. Om dit te fixen moet je de mailbox uitzonderen via Set-CASMailbox -Identity user@domain -SmtpClientAuthenticationDisabled $false, overschakelen naar OAuth, of de site helemaal loskoppelen van M365 SMTP.

550 5.7.30 Basic authentication is not supported for Client Submission. Dit is de echte Basic Auth-uitfasering aan het woord. Deze ga je zien zodra Microsoft de december-deadline begint af te dwingen op jouw tenant, of als een admin de schakelaar al handmatig heeft omgezet als test.

Voor een site-eigenaar zonder technische achtergrond ziet het symptoom er hetzelfde uit: er gaat geen mail meer uit. De oplossing is in beide gevallen hetzelfde. Weg met die gebruikersnaam-en-wachtwoord SMTP.

Zo check je of dit jou raakt

In vijf minuten weet je waar je staat.

  1. Log in op WordPress en kijk welke SMTP-plugin actief is. De meestgebruikte zijn WP Mail SMTP, FluentSMTP, Easy WP SMTP en Post SMTP.
  2. Open de instellingen. Staat het mailer-type op "Other SMTP" of "Custom SMTP" en is de host smtp.office365.com of smtp-mail.outlook.com? Dan zit je op het risicopad.
  3. Staat het mailer-type al op "Microsoft 365", "Outlook" of iets in die richting? Dan gebruik je OAuth en zit je goed.
  4. Stuur een testmail. Elke plugin heeft daar een knopje voor. Kijk daarna in de logs naar een van die twee foutcodes.
  5. Staat de logging uit? Zet hem nu aan. Zonder logs is de enige melding dat je mail stuk is een boze telefoon van een klant die zijn orderbevestiging nooit heeft gehad.

Pad 1: zet je SMTP-plugin om naar OAuth

Dit is de minst ingrijpende optie. Je houdt de plugin, je houdt de host, je houdt de poort. Alleen de manier waarop je authenticeert verandert: een token in plaats van een wachtwoord.

Daarvoor heb je Azure-admin toegang nodig op de Microsoft 365-tenant (of samenwerking met degene die dat heeft), en de eerste keer zo'n 45 minuten tijd. De plugin-kant is makkelijk. Het App-registratiewerk in Azure is het gedoe, maar elke plugin heeft documentatie:

Eén ding waar niemand je vooraf voor waarschuwt: het Azure client secret verloopt. De standaardlooptijd is een of twee jaar, en als hij verloopt, stopt je mail gewoon met verzenden. Zonder waarschuwing. Zet hem op de maximale looptijd en zet de verloopdatum in een agenda waar je ook echt naar kijkt. Ik heb klanten een jaar later zien terugkomen met de vraag waarom niks meer aankwam, en dit is precies de reden.

Pad 2: verhuis transactionele mail naar een relay

Voor de meeste WordPress-sites is dit eigenlijk de betere lange-termijn optie, niet zomaar een noodoplossing. Microsoft 365-mailboxen zijn nooit ontworpen voor transactioneel volume. Ze hebben een harde limiet van 10.000 ontvangers per dag en 30 berichten per minuut per gebruiker. Prima voor een klein contactformulier, maar een WooCommerce-shop die order-, verzend- en retouremails in bulk verstuurt, loopt daar gewoon op stuk. Een dedicated transactionele relay heeft bovendien veel betere deliverability, omdat de IP-reputatie volledig is opgebouwd rond transactionele mail en niet vermengd wordt met gewone zakelijke correspondentie.

Voor de EU-markt mijn shortlist:

  • Brevo: Parijs, servers volledig in de EU. Gratis tier van 9.000 mails per maand, met een limiet van 300 per dag. Betaalde plannen vanaf ongeveer 7 euro per maand. Mijn standaardkeuze voor Nederlandse en Belgische klanten die geven om EU-residency.
  • SMTP2GO: met een EU-datacenter in Amsterdam. Gratis tier van 1.000 mails per maand. Betaald vanaf 10 dollar per maand.
  • MailerSend: Litouwse oprichters, EU-gebaseerd. De gratis tier is in oktober 2025 verlaagd van 3.000 naar 500 mails per maand, dus check de actuele limiet voordat je aanmeldt.
  • Postmark: alleen US-hosting, geen EU-residency. De deliverability-reputatie is wel verreweg de beste in de transactionele categorie. Als EU-residency geen harde eis is, is Postmark vaak de schoonste keuze.
  • Amazon SES: beschikbaar in Frankfurt en Ierland, 0,10 dollar per 1.000 mails. Goedkoop en betrouwbaar, maar de setup en DNS-verificatie zijn technischer dan de plug-and-play relays.

Ze werken allemaal met elke SMTP-plugin die custom credentials accepteert. Geen Azure-portal meer nodig.

Pad 3: scheid e-mailhosting van WordPress

Dit is het advies dat ik de meeste klanten geef: stop met het door WordPress laten versturen van transactionele mail via een zakelijke mailbox. Je Outlook-inbox is waar antwoorden binnenkomen. Een relay is waar je site vanaf verstuurt. Dat zijn twee verschillende taken en ze hoeven geen infrastructuur te delen.

In de praktijk: houd Microsoft 365 of Google Workspace voor info@jouwdomein.nl en de rest van je menselijke mailboxen. Gebruik een aparte relay (Pad 2) voor alles wat wp_mail() produceert. Autoriseer die relay om namens je domein te verzenden door SPF en DKIM bij te werken. Heb je hulp nodig bij de DNS-kant? Ik heb een volledige handleiding geschreven voor het instellen van SPF, DKIM en DMARC. En wil je begrijpen waarom contactformulier-plugins überhaupt in spam belanden, dan heb ik dat uitgewerkt in waarom je WordPress-contactformulier e-mails in spam belanden.

Wat niet helpt

Een paar dingen die Microsoft-documentatie als alternatief noemt, maar die voor normale WordPress-hosting niet werken:

  • Direct Send (zonder auth, naar het MX-endpoint van je tenant): kan geen externe ontvangers bereiken. WooCommerce-orderbevestigingen gaan naar Gmail- en Outlook-klanten. Direct Send krijgt die niet bezorgd. Microsoft werkt er ook actief aan om het standaard uit te zetten voor nieuwe tenants.
  • SMTP relay via een connector met een vast IP: expliciet geblokkeerd vanaf cloud hosting IP-ranges. De Microsoft-doc zegt het letterlijk: "You can't use SMTP relay to send email from a third-party hosted service (for example, Microsoft Azure) through Microsoft 365 or Office 365." Dat sluit shared hosting, VPS'en, Kinsta, WP Engine, Cloudways en eigenlijk elk managed WordPress-platform uit.
  • Microsoft High Volume Email (HVE): sinds 31 maart 2026 algemeen beschikbaar, maar alleen voor interne ontvangers. De mogelijkheid om naar externe adressen te mailen is er tijdens de preview weer uitgehaald. HVE is dus waardeloos voor WordPress-transactiemail.

Belangrijkste punten

  • Microsoft heeft de SMTP Basic Auth-deadline verschoven van 30 april 2026 naar eind december 2026. De oude artikelen kloppen niet meer, maar je moet nog steeds migreren.
  • Veel WordPress-sites op Microsoft 365 zijn nu al stuk. Niet door de uitfasering, maar door Security Defaults. Zet vandaag nog logging aan in je SMTP-plugin en kijk op 535 5.7.139 of 550 5.7.30.
  • OAuth binnen je bestaande SMTP-plugin is de kleinste verandering. Reken op 45 minuten voor de eerste Azure App-registratie en zet de verloopdatum van je client secret in je agenda.
  • Voor de meeste WordPress-sites is een dedicated transactionele relay gewoon de betere lange-termijn oplossing. Brevo en SMTP2GO zijn de sterkste EU-opties.
  • Behandel zakelijke mail en websitemail als twee losse systemen. Outlook is waar antwoorden binnenkomen. Een relay is waar wp_mail() uitgaat.

WordPress onderhoud zonder omkijken?

Ik regel updates, backups en beveiliging, en houd performance strak—zodat storingen en traagheid niet terugkomen.

Bekijk WordPress onderhoud

Gerelateerde artikelen

  1. Waarom je WordPress-contactformulier e-mails in spam belanden (en hoe je dat oplost)

    Je contactformulier werkt prima, maar de e-mails komen niet aan. Het probleem zit niet in de plugin. Het zit in hoe WordPress e-mail verstuurt.

    2227 woorden
  2. Het einde van goedkope shared hosting: wat de branchecijfers van 2026 betekenen voor je WordPress-site

    Het CloudLinux/WebPros-brancherapport van 2026 ondervroeg 446 hostingproviders. Het beeld: 41% verliest klanten aan SaaS-platforms, stijgende kosten knijpen de marges en de hele branche verschuift weg van goedkope shared-plannen. Dit is wat dat voor jouw WordPress-site betekent.

    1452 woorden
  3. E-mailauthenticatie in 2026: zo stel je SPF, DKIM en DMARC in (voordat je mail niet meer aankomt)

    Google, Microsoft en Yahoo weigeren niet-geauthenticeerde e-mail. Zo stel je SPF, DKIM en DMARC in, met concrete DNS-voorbeelden voor veelgebruikte providers.

    2094 woorden

Begin met typen om te zoeken, of blader door de kennisbank en blog.