Se suas câmeras pararam de enviar alertas por e‑mail via Outlook.com no fim de 2024, não é defeito do equipamento. A Microsoft bloqueou senha “tradicional” no SMTP. Este guia explica o que mudou e traz caminhos práticos de correção, do mais rápido ao mais robusto.
Visão geral do problema
Várias câmeras de vigilância que antes disparavam fotos e notificações por e‑mail usando uma conta Outlook.com/Hotmail via SMTP passaram a falhar de forma repentina. O padrão mais comum nessas instalações era:
- Servidor:
smtp.office365.comousmtp-mail.outlook.com - Porta:
587com STARTTLS - Método de autenticação: LOGIN/PLAIN (usuário + senha)
Apesar de o acesso pelo webmail continuar normal e a conta não estar bloqueada ou lotada, as mensagens deixam de sair. Em paralelo, equipamentos idênticos que usam outro provedor SMTP continuam funcionando.
Causa principal
A mudança não ocorreu na sua rede nem na câmera, mas no comportamento do serviço de e‑mail: a Microsoft desativou a Autenticação Básica para SMTP em contas Outlook.com/Hotmail. A partir daí, o servidor passa a aceitar apenas Autenticação Moderna baseada em OAuth 2.0 (o mecanismo “XOAUTH2”). Dispositivos IoT — câmeras, DVRs e NVRs — em geral não implementam OAuth, então a autenticação falha e o envio é recusado.
Como reconhecer o sintoma na prática
Nos registros (logs) das câmeras ou no servidor, costumam aparecer mensagens como:
535 5.7.3 Authentication unsuccessful5.7.0 Authentication requiredseguido de falha emAUTH LOGINouAUTH PLAIN454 4.7.0 Temporary authentication failure(e o envio não se completa)Server does not support authentication methodquando a câmera só tenta BASIC e o servidor espera OAuth
Em testes manuais, o handshake TLS funciona, o EHLO responde, mas qualquer tentativa de AUTH LOGIN recebe erro.
O que mudou tecnicamente
Antes, bastava enviar usuário e senha codificados em Base64 após o STARTTLS para estabelecer uma sessão autenticada. Com a Autenticação Moderna, o servidor só aceita tokens bearer emitidos por um provedor de identidade (neste caso, da própria Microsoft). O fluxo exige abrir uma sessão de consentimento do usuário, trocar códigos por tokens, renovar refresh tokens e assinar a requisição SMTP com XOAUTH2. Câmeras e DVRs raramente implementam isso.
STARTTLS, SMTPS e portas
- Porta 587 + STARTTLS: começa em texto claro e eleva para TLS; era o padrão em muitas câmeras.
- Porta 465 (SMTPS): inicia a conexão já dentro de TLS; alguns provedores exigem esse modo.
- Porta 25: não use para alertas de câmeras; sofre blocos de saída, throttling e políticas antispam.
Caminhos de solução
Você tem quatro rotas, da mais imediata à estratégica. Abaixo, um comparativo objetivo:
| Abordagem | Como funciona | Prós | Contras / Observações |
|---|---|---|---|
| Usar outro provedor SMTP que aceite senha “tradicional” | Criar conta em Yahoo, Gmail (com senha de app) ou SMTP do seu ISP/host, e configurar o equipamento | Rápido; não exige mexer em firmware | Pode exigir 2FA e senha de app; alguns só aceitam 465; política de envio e antispam variam |
| Serviço‑ponte que traduz Basic → OAuth | Um proxy recebe credenciais “simples” da câmera e autentica na Microsoft com OAuth em seu nome | Mantém o remetente Outlook; não muda o equipamento | É preciso confiar no serviço ou self‑host; envolve configuração adicional |
| Firmware ou aplicativo com suporte a OAuth | Atualizar para versão que implemente XOAUTH2 ou trocar o equipamento | Solução definitiva e aderente às políticas modernas | Depende do fabricante; pode não existir atualização |
| E‑mail no domínio próprio | Registrar um domínio e operar SMTP próprio (ex.: cPanel, Synology Mail, servidor gerenciado) | Controle total de políticas e autenticações | Exige administração de DNS e segurança; há custo anual |
Passo a passo resumido para resolver agora
Teste rápido com outro provedor
Yahoo
- Ative a autenticação em dois fatores na conta.
- Gere uma senha de aplicativo específica para “Mail”.
- Na câmera:
- Servidor SMTP:
smtp.mail.yahoo.com - Porta:
465(SMTPS) ou587(STARTTLS) - Usuário: seu e‑mail completo do Yahoo
- Senha: a senha de app gerada
- Servidor SMTP:
Gmail
- Ative a verificação em duas etapas na Conta Google.
- Crie uma senha de app para “Mail”.
- Na câmera:
- Servidor SMTP:
smtp.gmail.com - Porta:
465(SSL) ou587(STARTTLS) - Usuário: seu e‑mail completo @gmail.com
- Senha: a senha de app gerada
- Servidor SMTP:
iCloud Mail (opcional)
- Crie uma senha específica de app.
- Use:
smtp.mail.me.comna porta587(STARTTLS) ou465.
Preferiu manter o endereço Outlook como remetente
Use um serviço‑ponte hospedado (ex.: sendas.email) ou suba um proxy open‑source em um servidor local ou Raspberry Pi (ex.: gmail-to-outlook-proxy):
- Cadastre a conta Outlook no serviço/proxy e conceda o consent OAuth.
- O serviço exibirá um host SMTP, usuário e senha (próprios do proxy) para você configurar na câmera.
- A câmera fala “BASIC” com o proxy; o proxy fala OAuth com a Microsoft e entrega suas mensagens.
Dica: se for usar a versão hospedada, ative logs mínimos e rotacione a senha do proxy. Se optar por self‑hosting, mantenha o servidor atualizado, proteja as chaves e monitore consumo de CPU/memória.
Solicite firmware compatível
Abra um chamado com o fabricante pedindo suporte a OAuth/XOAUTH2 no SMTP. Quanto mais clientes solicitarem, maior a prioridade nas folhas de rota. Inclua detalhes do modelo, versão de firmware e uma captura do erro.
Planeje opções sem SMTP
Mesmo que resolva agora, pense em alternativas para o futuro: envio por push para nuvem do fabricante, integração com aplicativos móveis, salvamento em NAS via FTP/SFTP, ou envio a um webhook local que faça o roteamento de notificações.
Configurações de exemplo para provedores comuns
| Provedor | Servidor SMTP | Portas | Crédito e autenticação | Observações |
|---|---|---|---|---|
| Gmail | smtp.gmail.com | 465 (SSL), 587 (STARTTLS) | 2FA obrigatório para senha de app | Senha de app é um código de 16 caracteres; não use a senha normal |
| Yahoo | smtp.mail.yahoo.com | 465 ou 587 | 2FA + senha de app | Alguns roteadores bloqueiam 465; prefira 587 se houver problema |
| iCloud | smtp.mail.me.com | 587 ou 465 | 2FA + senha específica de app | Usuário pode ser o alias @icloud.com |
| ISP/Host próprio | Varia (ex.: smtp.seudominio.com) | 465 ou 587 | Usuário + senha “tradicional” | Ative SPF/DKIM/DMARC no domínio para reduzir spam |
Diagnóstico rápido e checklist
- Data e hora do equipamento: se o relógio estiver atrasado/adiantado, o TLS pode falhar por certificado “inválido”. Ajuste NTP.
- Firewall/NAT: libere saída TCP 465 e 587. Teste de um PC da mesma rede.
- Testes de linha de comando (em um computador):
openssl s_client -starttls smtp -connect smtp.gmail.com:587openssl s_client -connect smtp.mail.yahoo.com:465
AUTH LOGINno Outlook.com: será recusado por política. - Logs da câmera: procure por
535 5.7.x,AUTH,SSL/TLS. Salve trechos para o suporte. - Taxa de alertas: eventos constantes (ex.: “aranha na lente”) podem acionar antispam. Ajuste sensibilidade e intervalos.
Detalhes sobre serviços‑ponte
Um proxy Basic→OAuth atua como tradutor. Do lado da câmera, ele aceita o fluxo antigo (usuário/senha). Do lado da Microsoft, ele mantém um token válido e envia as mensagens com XOAUTH2. Há duas formas de uso:
- Hospedado: você cria uma conta, concede acesso à sua caixa e recebe credenciais SMTP do próprio serviço.
- Self‑host: você baixa um projeto open‑source, configura as credenciais OAuth e executa localmente.
Privacidade: se a imagem do alerta contiver informações sensíveis, avalie hospedar o proxy você mesmo. Mesmo serviços sérios coletam metadados mínimos para diagnóstico e rate‑limit. Desative logs verbosos e prefira criptografia ponta a ponta na sua rede.
Limites de envio: os limites seguem a política da Microsoft. Em geral, o teto diário está na ordem de milhares de mensagens por dia (aprox. dez mil). Evite rajadas configurando “tempo mínimo entre alertas”.
Modelo de pedido para o fabricante
Assunto: Solicitação de suporte a SMTP OAuth 2.0 / XOAUTH2
Prezados,
Após setembro/2024, nossas câmeras modelo \ firmware \ deixaram de enviar alertas via Outlook.com.
O servidor passou a exigir XOAUTH2 e a câmera suporta apenas AUTH LOGIN/PLAIN.
Solicitamos roadmap e firmware com suporte a OAuth 2.0 (XOAUTH2) para SMTP.
Podemos participar de programa beta.
Detalhes:
- Servidor: smtp.office365.com, porta 587 STARTTLS
- Erro: 535 5.7.3 Authentication unsuccessful
- Testes: relógio ok, rede ok, outras contas SMTP funcionam
Atenciosamente,
\Recomendações de segurança e entregabilidade
- SPF/DKIM/DMARC no domínio próprio para melhorar a entrega.
- Senhas de app: armazene com cuidado; cada câmera pode ter a sua, para revogar individualmente.
- Política de envio: limite “n alertas por minuto” e agregue eventos repetidos.
- Criptografia: prefira 465 (SMTPS) quando disponível; em 587 assegure que
STARTTLSestá obrigatório. - Segmentação de rede: coloque câmeras em VLAN separada, com saídas apenas para os serviços necessários.
Perguntas frequentes
Isso vai acontecer com outros provedores?
A tendência é de migração para OAuth/Token. Muitos ainda permitem senha de app (Gmail, Yahoo) — um meio‑termo que mantém a segurança com 2FA.
Quantos e‑mails por dia o proxy suporta?
Os serviços costumam herdar os limites de envio da Microsoft. Para cenários com muitos disparos (insetos, chuva, árvores), vale limitar a taxa de alertas ou usar um coletor local que agregue eventos.
É seguro usar um serviço externo?
Se a privacidade for crítica, prefira self‑hosting. Na opção hospedada, revise a política de dados, os logs retidos e habilite alertas de atividade suspeita na conta Microsoft.
Posso continuar usando Outlook.com mudando de porta?
Não. O problema não é a porta, mas o método de autenticação. Sem OAuth, a conexão autenticada será recusada.
Isso afeta contas corporativas do Microsoft 365?
Ambientes corporativos também vêm desativando BASIC e exigindo OAuth. Se o seu cenário for empresarial, avalie enviar via conector/autenticação moderna ou usar um relay autenticado da própria organização.
Trilha de correção recomendada
- Curto prazo: mude o SMTP da câmera para um provedor que aceite senha de app ou use um proxy Basic→OAuth para manter o remetente Outlook.
- Médio prazo: pressione o fabricante por firmware com OAuth 2.0/XOAUTH2.
- Longo prazo: reduza dependência de SMTP em equipamentos de segurança. Prefira push para aplicativos e integrações por APIs.
Matriz de decisão
| Cenário | Sugestão | Esforço | Risco |
|---|---|---|---|
| Precisa resolver hoje e não se importa em trocar o remetente | Migrar para Gmail/Yahoo com senha de app | Baixo | Políticas do provedor podem mudar |
| Precisa manter o e‑mail @outlook.com como remetente | Usar serviço‑ponte ou proxy self‑host | Médio | Confiança no proxy; manutenção |
| Ambiente com compliance e domínio próprio | Operar SMTP próprio com SPF/DKIM/DMARC | Médio/Alto | Administração contínua |
| Volume muito alto de alertas | Agregação local + limites de taxa + filtros de movimento | Médio | Perda de granularidade nos eventos |
Guia de boas práticas no equipamento
- Atualização: aplique o firmware mais recente, mesmo sem OAuth; correções de TLS e bugs de SMTP são comuns.
- Certificados: ative a verificação de certificados do servidor quando houver opção.
- Conteúdo do alerta: reduza anexos, prefira JPEG comprimido e limite o tamanho. Muitos provedores bloqueiam anexos enormes.
- Intervalo entre eventos: configure “tempo mínimo entre e‑mails” para evitar cascatas de envio.
Conclusão
O fim da Autenticação Básica no Outlook.com pegou muitos sistemas de CFTV de surpresa, mas a solução existe e é estável. Para resolver hoje, use um provedor com senha de app ou um proxy Basic→OAuth. Em paralelo, cobre do fabricante o suporte a OAuth 2.0 e planeje um caminho de notificação que não dependa exclusivamente de SMTP. Assim, seus alertas voltam a funcionar agora — e você fica preparado para as próximas mudanças de segurança na indústria de e‑mail.