Konfiguracja SMTP w Microsoft 365 potrafi zaskoczyć nawet doświadczonych administratorów — Microsoft regularnie zmienia domyślne ustawienia zabezpieczeń, wycofuje stare metody uwierzytelniania i wprowadza nowe wymagania bez dużego rozgłosu. Jeśli Twoje e-maile nagle przestały wychodzić, skrzynka aplikacji odmawia połączenia albo szukasz właściwego portu SMTP dla Office 365 — jesteś we właściwym miejscu. Ten poradnik przeprowadzi Cię przez całą konfigurację krok po kroku: od wyboru portu, przez OAuth2, po diagnostykę konkretnych błędów.
Porty SMTP w Microsoft 365 — który wybrać i dlaczego
Microsoft 365 obsługuje kilka kombinacji portów i protokołów szyfrowania. Wybór zależy od tego, co konfigurujesz: aplikację biznesową, klienta pocztowego czy skrypt automatyczny.
| Port | Szyfrowanie | Zastosowanie | Uwagi |
|---|---|---|---|
| 587 | STARTTLS | Klienci pocztowi, aplikacje | Zalecany przez Microsoft dla SMTP AUTH |
| 465 | SSL/TLS (implicit) | Starsze systemy, niektóre aplikacje | Nieoficjalnie obsługiwany przez M365; działa, ale 587 jest preferowany |
| 25 | Brak / STARTTLS | Relay serwer-serwer (MTA) | Niedostępny dla klientów końcowych; tylko dla zaufanych serwerów relay |
Wniosek praktyczny: dla zdecydowanej większości scenariuszy — klient pocztowy Outlook, aplikacja CRM, skrypt wysyłający faktury — używaj portu 587 z STARTTLS. Port 465 działa, ale dokumentacja Microsoft jednoznacznie wskazuje 587 jako standard. Port 25 jest zarezerwowany wyłącznie dla komunikacji między serwerami pocztowymi (MTA-to-MTA) i jest blokowany przez większość dostawców chmury, w tym Azure.
Serwer SMTP Microsoft 365 — podstawowe dane
Niezależnie od tego, czy konfigurujesz Outlook, Thunderbird, czy własną aplikację, parametry połączenia SMTP dla Microsoft 365 są następujące:
- Serwer SMTP (host):
smtp.office365.com - Port: 587
- Szyfrowanie: STARTTLS (wymagane)
- Uwierzytelnianie: wymagane (SMTP AUTH)
- Nazwa użytkownika: pełny adres e-mail (np. jan.kowalski@firma.pl)
- Hasło: hasło do konta Microsoft 365 lub token OAuth2 (zależy od metody)
Jeśli Twoja organizacja korzysta z własnej domeny (np. @firma.pl) podpiętej pod Microsoft 365, serwer wychodzący to nadal smtp.office365.com — nie zmieniaj tego na własny host pocztowy, chyba że masz skonfigurowany dedykowany relay.
OAuth2 w poczcie Microsoft 365 — kiedy i jak to skonfigurować
Od października 2022 roku Microsoft wyłączył domyślnie Basic Authentication (login + hasło) dla protokołów SMTP AUTH, IMAP i POP3 w Microsoft 365. Oznacza to, że wiele aplikacji, które działały latami na prostym loginie i haśle, nagle przestało wysyłać e-maile. Rozwiązaniem jest OAuth2 — nowoczesny standard autoryzacji oparty na tokenach dostępu.
Dlaczego OAuth2 jest lepszy niż hasło?
OAuth2 nie przesyła hasła użytkownika do aplikacji — zamiast tego aplikacja otrzymuje krótkotrwały token dostępu z ograniczonym zakresem uprawnień. Jeśli token wycieknie, atakujący nie zna hasła i nie może się zalogować do panelu Microsoft 365. Token można też w każdej chwili unieważnić bez zmiany hasła. To podejście jest zgodne z zasadą minimalnych uprawnień, którą promuje m.in. RODO w kontekście bezpieczeństwa danych (art. 32 RODO — odpowiednie środki techniczne i organizacyjne).
Konfiguracja OAuth2 dla SMTP M365 — krok po kroku
- Zarejestruj aplikację w Azure Active Directory (Entra ID). Przejdź do portalu Azure → Azure Active Directory → Rejestracje aplikacji → Nowa rejestracja. Nadaj nazwę (np. „Aplikacja SMTP"), wybierz typ konta.
- Dodaj uprawnienia API. W sekcji „Uprawnienia API" dodaj Microsoft Graph → SMTP.Send (delegowane) lub dla pełnej automatyzacji bez użytkownika: Office 365 Exchange Online → SMTP.SendAsApp (aplikacja).
- Utwórz sekret klienta (Client Secret). W sekcji „Certyfikaty i wpisy tajne" dodaj nowy wpis tajny. Zapisz wartość — zobaczysz ją tylko raz.
- Zanotuj Client ID i Tenant ID. Znajdziesz je na stronie głównej rejestracji aplikacji.
- Skonfiguruj aplikację lub klienta pocztowego. Podaj: Tenant ID, Client ID, Client Secret. Endpoint tokenu:
https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token. - Włącz SMTP AUTH na poziomie skrzynki (jeśli wyłączone globalnie). W Exchange Admin Center → Skrzynki pocztowe → wybierz użytkownika → Zarządzanie ustawieniami przepływu poczty → włącz „Uwierzytelniony protokół SMTP".
Uwaga: Jeśli administrator wyłączył SMTP AUTH globalnie w organizacji (co jest możliwe przez PowerShell: Set-TransportConfig -SmtpClientAuthenticationDisabled $true), żadna aplikacja nie wyśle poczty przez SMTP AUTH — nawet z poprawnym OAuth2. Sprawdź to przed diagnozowaniem innych problemów.
Relay SMTP w Microsoft 365 — dla drukarek, skanerów i systemów legacy
Urządzenia wielofunkcyjne (drukarki, skanery), systemy ERP starszej generacji czy aplikacje działające na serwerach bez obsługi OAuth2 nie mogą korzystać ze standardowego SMTP AUTH. Microsoft oferuje dla nich Direct Send oraz SMTP Relay przez łącznik.
Direct Send (bez uwierzytelniania)
Direct Send pozwala wysyłać e-maile bezpośrednio do serwera MX Twojej domeny Microsoft 365 bez logowania — ale tylko na adresy w obrębie Twojej organizacji. Nie nadaje się do wysyłki na zewnętrzne skrzynki. Konfiguracja: serwer SMTP = rekord MX Twojej domeny, port 25, brak uwierzytelniania.
SMTP Relay przez łącznik (Connector)
To rozwiązanie dla urządzeń, które muszą wysyłać e-maile na zewnętrzne adresy. Wymaga skonfigurowania łącznika przychodzącego w Exchange Admin Center i statycznego adresu IP urządzenia lub certyfikatu TLS. Microsoft autoryzuje relay na podstawie IP źródłowego — bez hasła, ale z kontrolą dostępu przez adres IP.
| Metoda | Uwierzytelnianie | Zewnętrzni odbiorcy | Kiedy używać |
|---|---|---|---|
| SMTP AUTH (port 587) | Login + hasło / OAuth2 | Tak | Aplikacje, klienci pocztowi |
| Direct Send | Brak | Nie (tylko wewnętrzni) | Drukarki, skanery — wewnętrzna poczta |
| SMTP Relay (łącznik) | IP / certyfikat TLS | Tak | Urządzenia legacy, systemy ERP |
Najczęstsze błędy wysyłki SMTP w Microsoft 365 i jak je naprawić
Poniżej zebrałem błędy, z którymi administratorzy i użytkownicy spotykają się najczęściej — wraz z konkretnymi przyczynami i sposobami naprawy.
Błąd 535 5.7.139 — Authentication unsuccessful
To jeden z najczęstszych błędów po wyłączeniu Basic Auth przez Microsoft. Oznacza, że klient próbuje zalogować się hasłem, ale SMTP AUTH z Basic Auth jest wyłączony. Rozwiązanie: włącz OAuth2 w aplikacji lub — jeśli to niemożliwe — włącz SMTP AUTH dla konkretnej skrzynki w Exchange Admin Center i upewnij się, że polityka organizacji na to pozwala.
Błąd 530 5.7.57 — Client not authenticated
Aplikacja próbuje wysłać e-mail bez uwierzytelnienia lub z błędnymi danymi. Sprawdź: czy nazwa użytkownika to pełny adres e-mail (nie sama nazwa), czy hasło jest aktualne, czy nie wygasło MFA wymagające ponownego logowania. Jeśli używasz hasła aplikacji (App Password) przy włączonym MFA — upewnij się, że App Passwords są dozwolone w polityce organizacji.
Błąd 550 5.7.64 — TenantAttribution
Błąd pojawia się przy próbie relay przez Microsoft 365 z urządzenia, którego adres IP nie jest skonfigurowany w łączniku. Rozwiązanie: dodaj statyczny IP urządzenia do łącznika przychodzącego w Exchange Admin Center lub skonfiguruj certyfikat TLS jako metodę uwierzytelniania relay.
Błąd 421 4.3.2 — Service not available
Tymczasowy błąd — serwer Microsoft jest przeciążony lub niedostępny. Zazwyczaj mija samoistnie po kilku minutach. Jeśli powtarza się regularnie, sprawdź status usługi na stronie Microsoft 365 Service Health Dashboard w centrum administracyjnym M365.
Błąd 554 5.2.0 — Message rejected due to content restrictions
Wiadomość została odrzucona przez filtr antyspamowy lub politykę DLP (Data Loss Prevention). Może to oznaczać, że treść e-maila zawiera słowa kluczowe zablokowane przez reguły organizacji, załącznik ma niedozwolone rozszerzenie lub wiadomość wygląda jak spam. Sprawdź reguły transportu w Exchange Admin Center i polityki DLP w Microsoft Purview.
Timeout połączenia — aplikacja nie może się połączyć z smtp.office365.com:587
Najczęstsza przyczyna to zapora sieciowa (firewall) blokująca ruch wychodzący na port 587. Sprawdź reguły firewalla i upewnij się, że serwer/urządzenie może nawiązać połączenie TCP z smtp.office365.com na porcie 587. Możesz to zweryfikować poleceniem: telnet smtp.office365.com 587 lub Test-NetConnection -ComputerName smtp.office365.com -Port 587 w PowerShell.
Konfiguracja SMTP w kliencie Outlook — ustawienia krok po kroku
Outlook jako klient pocztowy zazwyczaj konfiguruje się automatycznie przez Autodiscover, ale przy ręcznej konfiguracji lub problemach z synchronizacją warto znać dokładne parametry.
Outlook (wersja desktopowa, Microsoft 365)
- Plik → Dodaj konto → Opcje zaawansowane → „Chcę ręcznie skonfigurować moje konto"
- Wybierz typ konta: IMAP (lub Exchange — zalecane dla M365)
- Serwer poczty przychodzącej (IMAP):
outlook.office365.com, port 993, SSL/TLS - Serwer poczty wychodzącej (SMTP):
smtp.office365.com, port 587, STARTTLS - Metoda logowania: OAuth2 (wybierz z listy, jeśli dostępna) lub hasło
Jeśli Twoja organizacja korzysta z licencji Microsoft 365 Business lub Enterprise, lepszym wyborem jest protokół Exchange (MAPI/EWS), a nie IMAP+SMTP — zapewnia pełną synchronizację kalendarza, kontaktów i folderów bez dodatkowej konfiguracji SMTP.
Aplikacje zewnętrzne i narzędzia do mailingu
Jeśli wysyłasz kampanie e-mailowe lub automatyczne powiadomienia z systemu zewnętrznego, warto rozważyć podłączenie własnej skrzynki Microsoft 365 przez SMTP do dedykowanego narzędzia. Takie podejście — zamiast korzystania z serwerów współdzielonych — daje pełną kontrolę nad reputacją domeny nadawcy. Narzędzia takie jak MailerPRO pozwalają na podłączenie własnego serwera SMTP (w tym smtp.office365.com) i wysyłkę kampanii z zachowaniem autentyczności domeny oraz pełnych nagłówków uwierzytelniania (SPF, DKIM, DMARC).
SPF, DKIM i DMARC — bez tego SMTP nie wystarczy
Poprawna konfiguracja SMTP to dopiero połowa sukcesu. Jeśli rekordy DNS Twojej domeny nie są skonfigurowane, e-maile trafią do spamu lub zostaną odrzucone — nawet jeśli połączenie SMTP działa perfekcyjnie.
SPF (Sender Policy Framework)
Rekord SPF w DNS informuje serwery odbiorcze, które adresy IP mogą wysyłać e-maile w imieniu Twojej domeny. Dla Microsoft 365 dodaj do rekordu TXT domeny: include:spf.protection.outlook.com. Przykład pełnego rekordu: v=spf1 include:spf.protection.outlook.com -all.
DKIM (DomainKeys Identified Mail)
DKIM podpisuje każdą wiadomość cyfrowym podpisem powiązanym z Twoją domeną. W Microsoft 365 włącz DKIM w centrum administracyjnym Exchange (lub Microsoft Defender for Office 365) → Polityki i reguły → Polityki zagrożeń → Ustawienia uwierzytelniania poczty e-mail. Microsoft automatycznie generuje parę kluczy i instruuje, jakie rekordy CNAME dodać do DNS.
DMARC
DMARC łączy SPF i DKIM, definiując politykę dla wiadomości, które nie przejdą weryfikacji. Minimalna konfiguracja: v=DMARC1; p=none; rua=mailto:dmarc@firma.pl. Politykę p=none stosuje się na początku (tryb monitorowania), docelowo przechodząc na p=quarantine lub p=reject.
Konfiguracja SMTP w Microsoft 365 wymaga uwagi na kilku frontach jednocześnie: właściwy port, odpowiednia metoda uwierzytelniania (OAuth2 to dziś standard, nie opcja), poprawne rekordy DNS i świadomość polityk organizacyjnych. Zacznij od weryfikacji, czy SMTP AUTH jest włączony dla Twojej skrzynki, przetestuj połączenie na porcie 587 i przejdź na OAuth2, jeśli jeszcze tego nie zrobiłeś — Microsoft nie cofnie tej decyzji. Jeśli konfigurujesz wysyłkę dla aplikacji lub kampanii mailingowych, upewnij się, że SPF, DKIM i DMARC są wdrożone — bez nich nawet najlepsza konfiguracja SMTP nie ochroni Twojej domeny przed problemami z dostarczalnością.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
