Câmeras de vigilância não enviam alertas por e‑mail via Outlook.com (SMTP 587): entenda o bloqueio de Autenticação Básica e como resolver

Se suas câmeras pararam de enviar alertas por e‑mail via Outlook.com no fim de 2024, não é defeito do equipamento. A Microsoft bloqueou senha “tradicional” no SMTP. Este guia explica o que mudou e traz caminhos práticos de correção, do mais rápido ao mais robusto.

Visão geral do problema

Várias câmeras de vigilância que antes disparavam fotos e notificações por e‑mail usando uma conta Outlook.com/Hotmail via SMTP passaram a falhar de forma repentina. O padrão mais comum nessas instalações era:

• Servidor: smtp.office365.com ou smtp-mail.outlook.com
• Porta: 587 com STARTTLS
• Método de autenticação: LOGIN/PLAIN (usuário + senha)

Apesar de o acesso pelo webmail continuar normal e a conta não estar bloqueada ou lotada, as mensagens deixam de sair. Em paralelo, equipamentos idênticos que usam outro provedor SMTP continuam funcionando.

Causa principal

A mudança não ocorreu na sua rede nem na câmera, mas no comportamento do serviço de e‑mail: a Microsoft desativou a Autenticação Básica para SMTP em contas Outlook.com/Hotmail. A partir daí, o servidor passa a aceitar apenas Autenticação Moderna baseada em OAuth 2.0 (o mecanismo “XOAUTH2”). Dispositivos IoT — câmeras, DVRs e NVRs — em geral não implementam OAuth, então a autenticação falha e o envio é recusado.

Como reconhecer o sintoma na prática

Nos registros (logs) das câmeras ou no servidor, costumam aparecer mensagens como:

• 535 5.7.3 Authentication unsuccessful
• 5.7.0 Authentication required seguido de falha em AUTH LOGIN ou AUTH PLAIN
• 454 4.7.0 Temporary authentication failure (e o envio não se completa)
• Server does not support authentication method quando a câmera só tenta BASIC e o servidor espera OAuth

Em testes manuais, o handshake TLS funciona, o EHLO responde, mas qualquer tentativa de AUTH LOGIN recebe erro.

O que mudou tecnicamente

Antes, bastava enviar usuário e senha codificados em Base64 após o STARTTLS para estabelecer uma sessão autenticada. Com a Autenticação Moderna, o servidor só aceita tokens bearer emitidos por um provedor de identidade (neste caso, da própria Microsoft). O fluxo exige abrir uma sessão de consentimento do usuário, trocar códigos por tokens, renovar refresh tokens e assinar a requisição SMTP com XOAUTH2. Câmeras e DVRs raramente implementam isso.

STARTTLS, SMTPS e portas

• Porta 587 + STARTTLS: começa em texto claro e eleva para TLS; era o padrão em muitas câmeras.
• Porta 465 (SMTPS): inicia a conexão já dentro de TLS; alguns provedores exigem esse modo.
• Porta 25: não use para alertas de câmeras; sofre blocos de saída, throttling e políticas antispam.

Caminhos de solução

Você tem quatro rotas, da mais imediata à estratégica. Abaixo, um comparativo objetivo:

Abordagem	Como funciona	Prós	Contras / Observações
Usar outro provedor SMTP que aceite senha “tradicional”	Criar conta em Yahoo, Gmail (com senha de app) ou SMTP do seu ISP/host, e configurar o equipamento	Rápido; não exige mexer em firmware	Pode exigir 2FA e senha de app; alguns só aceitam 465; política de envio e antispam variam
Serviço‑ponte que traduz Basic → OAuth	Um proxy recebe credenciais “simples” da câmera e autentica na Microsoft com OAuth em seu nome	Mantém o remetente Outlook; não muda o equipamento	É preciso confiar no serviço ou self‑host; envolve configuração adicional
Firmware ou aplicativo com suporte a OAuth	Atualizar para versão que implemente XOAUTH2 ou trocar o equipamento	Solução definitiva e aderente às políticas modernas	Depende do fabricante; pode não existir atualização
E‑mail no domínio próprio	Registrar um domínio e operar SMTP próprio (ex.: cPanel, Synology Mail, servidor gerenciado)	Controle total de políticas e autenticações	Exige administração de DNS e segurança; há custo anual

Passo a passo resumido para resolver agora

Teste rápido com outro provedor

Yahoo

1. Ative a autenticação em dois fatores na conta.
2. Gere uma senha de aplicativo específica para “Mail”.
3. Na câmera:
   • Servidor SMTP: smtp.mail.yahoo.com
   • Porta: 465 (SMTPS) ou 587 (STARTTLS)
   • Usuário: seu e‑mail completo do Yahoo
   • Senha: a senha de app gerada

Gmail

1. Ative a verificação em duas etapas na Conta Google.
2. Crie uma senha de app para “Mail”.
3. Na câmera:
   • Servidor SMTP: smtp.gmail.com
   • Porta: 465 (SSL) ou 587 (STARTTLS)
   • Usuário: seu e‑mail completo @gmail.com
   • Senha: a senha de app gerada

iCloud Mail (opcional)

• Crie uma senha específica de app.
• Use: smtp.mail.me.com na porta 587 (STARTTLS) ou 465.

Preferiu manter o endereço Outlook como remetente

Use um serviço‑ponte hospedado (ex.: sendas.email) ou suba um proxy open‑source em um servidor local ou Raspberry Pi (ex.: gmail-to-outlook-proxy):

1. Cadastre a conta Outlook no serviço/proxy e conceda o consent OAuth.
2. O serviço exibirá um host SMTP, usuário e senha (próprios do proxy) para você configurar na câmera.
3. A câmera fala “BASIC” com o proxy; o proxy fala OAuth com a Microsoft e entrega suas mensagens.

Dica: se for usar a versão hospedada, ative logs mínimos e rotacione a senha do proxy. Se optar por self‑hosting, mantenha o servidor atualizado, proteja as chaves e monitore consumo de CPU/memória.

Solicite firmware compatível

Abra um chamado com o fabricante pedindo suporte a OAuth/XOAUTH2 no SMTP. Quanto mais clientes solicitarem, maior a prioridade nas folhas de rota. Inclua detalhes do modelo, versão de firmware e uma captura do erro.

Planeje opções sem SMTP

Mesmo que resolva agora, pense em alternativas para o futuro: envio por push para nuvem do fabricante, integração com aplicativos móveis, salvamento em NAS via FTP/SFTP, ou envio a um webhook local que faça o roteamento de notificações.

Configurações de exemplo para provedores comuns

Provedor	Servidor SMTP	Portas	Crédito e autenticação	Observações
Gmail	smtp.gmail.com	465 (SSL), 587 (STARTTLS)	2FA obrigatório para senha de app	Senha de app é um código de 16 caracteres; não use a senha normal
Yahoo	smtp.mail.yahoo.com	465 ou 587	2FA + senha de app	Alguns roteadores bloqueiam 465; prefira 587 se houver problema
iCloud	smtp.mail.me.com	587 ou 465	2FA + senha específica de app	Usuário pode ser o alias @icloud.com
ISP/Host próprio	Varia (ex.: smtp.seudominio.com)	465 ou 587	Usuário + senha “tradicional”	Ative SPF/DKIM/DMARC no domínio para reduzir spam

Diagnóstico rápido e checklist

• Data e hora do equipamento: se o relógio estiver atrasado/adiantado, o TLS pode falhar por certificado “inválido”. Ajuste NTP.
• Firewall/NAT: libere saída TCP 465 e 587. Teste de um PC da mesma rede.
• Testes de linha de comando (em um computador):
  • openssl s_client -starttls smtp -connect smtp.gmail.com:587
  • openssl s_client -connect smtp.mail.yahoo.com:465
  Confirme que há resposta e certificado válido. Não tente AUTH LOGIN no Outlook.com: será recusado por política.
• Logs da câmera: procure por 535 5.7.x, AUTH, SSL/TLS. Salve trechos para o suporte.
• Taxa de alertas: eventos constantes (ex.: “aranha na lente”) podem acionar antispam. Ajuste sensibilidade e intervalos.

Detalhes sobre serviços‑ponte

Um proxy Basic→OAuth atua como tradutor. Do lado da câmera, ele aceita o fluxo antigo (usuário/senha). Do lado da Microsoft, ele mantém um token válido e envia as mensagens com XOAUTH2. Há duas formas de uso:

• Hospedado: você cria uma conta, concede acesso à sua caixa e recebe credenciais SMTP do próprio serviço.
• Self‑host: você baixa um projeto open‑source, configura as credenciais OAuth e executa localmente.

Privacidade: se a imagem do alerta contiver informações sensíveis, avalie hospedar o proxy você mesmo. Mesmo serviços sérios coletam metadados mínimos para diagnóstico e rate‑limit. Desative logs verbosos e prefira criptografia ponta a ponta na sua rede.

Limites de envio: os limites seguem a política da Microsoft. Em geral, o teto diário está na ordem de milhares de mensagens por dia (aprox. dez mil). Evite rajadas configurando “tempo mínimo entre alertas”.

Modelo de pedido para o fabricante

Assunto: Solicitação de suporte a SMTP OAuth 2.0 / XOAUTH2

Prezados,

Após setembro/2024, nossas câmeras modelo \ firmware \ deixaram de enviar alertas via Outlook.com.
O servidor passou a exigir XOAUTH2 e a câmera suporta apenas AUTH LOGIN/PLAIN.

Solicitamos roadmap e firmware com suporte a OAuth 2.0 (XOAUTH2) para SMTP.
Podemos participar de programa beta.

Detalhes:

- Servidor: smtp.office365.com, porta 587 STARTTLS
- Erro: 535 5.7.3 Authentication unsuccessful
- Testes: relógio ok, rede ok, outras contas SMTP funcionam

Atenciosamente,
\

Recomendações de segurança e entregabilidade

• SPF/DKIM/DMARC no domínio próprio para melhorar a entrega.
• Senhas de app: armazene com cuidado; cada câmera pode ter a sua, para revogar individualmente.
• Política de envio: limite “n alertas por minuto” e agregue eventos repetidos.
• Criptografia: prefira 465 (SMTPS) quando disponível; em 587 assegure que STARTTLS está obrigatório.
• Segmentação de rede: coloque câmeras em VLAN separada, com saídas apenas para os serviços necessários.

Perguntas frequentes

Isso vai acontecer com outros provedores?

A tendência é de migração para OAuth/Token. Muitos ainda permitem senha de app (Gmail, Yahoo) — um meio‑termo que mantém a segurança com 2FA.

Quantos e‑mails por dia o proxy suporta?

Os serviços costumam herdar os limites de envio da Microsoft. Para cenários com muitos disparos (insetos, chuva, árvores), vale limitar a taxa de alertas ou usar um coletor local que agregue eventos.

É seguro usar um serviço externo?

Se a privacidade for crítica, prefira self‑hosting. Na opção hospedada, revise a política de dados, os logs retidos e habilite alertas de atividade suspeita na conta Microsoft.

Posso continuar usando Outlook.com mudando de porta?

Não. O problema não é a porta, mas o método de autenticação. Sem OAuth, a conexão autenticada será recusada.

Isso afeta contas corporativas do Microsoft 365?

Ambientes corporativos também vêm desativando BASIC e exigindo OAuth. Se o seu cenário for empresarial, avalie enviar via conector/autenticação moderna ou usar um relay autenticado da própria organização.

Trilha de correção recomendada

1. Curto prazo: mude o SMTP da câmera para um provedor que aceite senha de app ou use um proxy Basic→OAuth para manter o remetente Outlook.
2. Médio prazo: pressione o fabricante por firmware com OAuth 2.0/XOAUTH2.
3. Longo prazo: reduza dependência de SMTP em equipamentos de segurança. Prefira push para aplicativos e integrações por APIs.

Matriz de decisão

Cenário	Sugestão	Esforço	Risco
Precisa resolver hoje e não se importa em trocar o remetente	Migrar para Gmail/Yahoo com senha de app	Baixo	Políticas do provedor podem mudar
Precisa manter o e‑mail @outlook.com como remetente	Usar serviço‑ponte ou proxy self‑host	Médio	Confiança no proxy; manutenção
Ambiente com compliance e domínio próprio	Operar SMTP próprio com SPF/DKIM/DMARC	Médio/Alto	Administração contínua
Volume muito alto de alertas	Agregação local + limites de taxa + filtros de movimento	Médio	Perda de granularidade nos eventos

Guia de boas práticas no equipamento

• Atualização: aplique o firmware mais recente, mesmo sem OAuth; correções de TLS e bugs de SMTP são comuns.
• Certificados: ative a verificação de certificados do servidor quando houver opção.
• Conteúdo do alerta: reduza anexos, prefira JPEG comprimido e limite o tamanho. Muitos provedores bloqueiam anexos enormes.
• Intervalo entre eventos: configure “tempo mínimo entre e‑mails” para evitar cascatas de envio.

Conclusão

O fim da Autenticação Básica no Outlook.com pegou muitos sistemas de CFTV de surpresa, mas a solução existe e é estável. Para resolver hoje, use um provedor com senha de app ou um proxy Basic→OAuth. Em paralelo, cobre do fabricante o suporte a OAuth 2.0 e planeje um caminho de notificação que não dependa exclusivamente de SMTP. Assim, seus alertas voltam a funcionar agora — e você fica preparado para as próximas mudanças de segurança na indústria de e‑mail.