Microsoft 365

Microsoft 365 High Volume Email (HVE) erreicht bald GA und wird kostenpflichtig

Yannic Röcken

Yannic Röcken

4 Min. Lesezeit
Microsoft 365 High Volume Email (HVE) erreicht bald GA und wird kostenpflichtig
Photo by Le VuUnsplash

Exchange Online setzt eine ganze Reihe technischer Begrenzungen ein, um die mandantenübergreifend geteilte Infrastruktur vor Missbrauch und Überlastung zu schützen. Auf Postfachebene greift das Recipient Rate Limit (RRL), das den Versand auf maximal 10.000 Empfänger pro Postfach innerhalb eines rollierenden 24-Stunden-Fensters beschränkt, unabhängig davon, ob es sich um interne oder externe Empfänger handelt. Ergänzend dazu begrenzt das Recipient Limit die Anzahl der adressierbaren Empfänger pro Einzelnachricht (To, Cc, Bcc) auf 500. Das Message Rate Limit wiederum drosselt die Versandgeschwindigkeit auf 30 Nachrichten pro Minute bei SMTP-Client-Submission.

Seit Frühjahr 2025 kommt mit dem Tenant External Recipient Rate Limit (TERRL) eine mandantenweite Begrenzung für externe Empfänger hinzu. Die Durchsetzung begann im März 2025 gestaffelt bei kleinen Mandanten (≤25 Lizenzen) und wurde bis Mai 2025 auf alle Mandanten ausgeweitet. Das TERRL berechnet sich dynamisch auf Basis der Anzahl vorhandener Exchange-Online-Lizenzen (500 × Lizenzen^0,7 + 9.500) und wird im Exchange Admin Center unter "Berichte" -> "Nachrichtenfluss" -> "Tenant Outbound External Recipients" ausgewiesen. Wird das TERRL überschritten, erhalten Absender Non-Delivery Reports mit dem Fehlercode 550 5.7.233.

Ein ursprünglich geplantes Mailbox External Recipient Rate Limit (MERR), das den Versand an externe Empfänger auf Postfachebene auf 2.000 pro Tag begrenzen sollte, wurde im Januar 2026 nach erheblichem Kundenwiderstand ersatzlos gestrichen.

Für reguläre Postfächer und Shared Mailboxes sind diese Limits in den meisten Szenarien ausreichend. Sobald jedoch Fachanwendungen, Monitoring-Systeme oder interne Massenkommunikation ins Spiel kommen, beispielsweise Statusbenachrichtigungen aus ERP-Systemen, betriebliche Rundmails an mehrere tausend Mitarbeitende oder automatisierte Alerts, stoßen diese Grenzen schnell an ihre Kapazität.

Genau dieses Problem adressiert High Volume Email (HVE). Nach knapp zwei Jahren in der Public Preview erreicht der Dienst diesen Moment (März 2026) die allgemeine Verfügbarkeit (GA) und wird voraussichtlich ab Mai 2026 kostenpflichtig. Für Organisationen, die HVE produktiv einsetzen oder dessen Einsatz evaluieren, entsteht damit konkreter Handlungsbedarf.

Was HVE von regulären Postfächern unterscheidet
HVE operiert innerhalb von Exchange Online, nutzt jedoch einen dedizierten SMTP-Endpunkt (smtp-hve.office365.com) und eigene "Mail-User"-Konten, die im Exchange Admin Center angelegt werden. Diese HVE-Konten unterliegen weder dem Recipient Rate Limit (RRL) noch dem Message Rate Limit oder dem TERRL. Während ein reguläres Exchange-Online-Postfach durch das RRL auf 10.000 Empfänger pro Tag begrenzt ist und das Message Rate Limit bei 30 Nachrichten pro Minute greift, erlaubt HVE in der Preview-Phase bis zu 100.000 Empfänger pro Tag und Mandant, verteilt auf maximal 100 HVE-Konten. Per-Minuten-Ratenlimits für den Nachrichtenversand entfallen vollständig.

HVE ist ausschließlich für den Versand an interne Empfänger vorgesehen. Eine ursprünglich vorhandene, auf 2.000 externe Empfänger pro Tag begrenzte Versandmöglichkeit wurde 2025 entfernt. Microsoft trennt die Zuständigkeiten damit eindeutig:

  • interner Massenversand über HVE
  • externer Massenversand über Azure Email Communication Services (ECS)

HVE-Nachrichten an interne Empfänger werden dabei nicht gegen das TERRL gezählt, da sie den Mandanten nicht verlassen.

Die Nachrichtenübermittlung erfolgt per SMTP-Client-Submission. Der Ablauf entspricht funktional dem Versand über reguläre Postfächer. Das Send-MailMessage-Cmdlet in PowerShell funktioniert mit HVE-Konten analog, lediglich der SMTP-Endpunkt und die Anmeldedaten ändern sich. Für LOB-Applikationen bedeutet das im Idealfall minimale Code-Änderungen.

Ende der Preview und Beginn der PAYG
Die allgemeine Verfügbarkeit von HVE ist für Ende März 2026 vorgesehen (MC1243552, Roadmap-ID 382633). Microsoft gewährt im Anschluss eine kostenlose Übergangsphase bis Mai 2026. Danach greift ein nutzungsbasiertes Abrechnungsmodell (Pay-as-you-go).

Timeline HVE & Basic Auth Deplication

Konkrete Preise für HVE sind bislang nicht veröffentlicht. Als Orientierung dient die Preisstruktur von ECS. Dort fallen für den Versand von einer Million Nachrichten bei durchschnittlich 0,2 MB Nachrichtengröße rund 274 USD an. Ob HVE ein vergleichbares Transaktionsmodell verwendet, wird Microsoft voraussichtlich im Übergangszeitraum kommunizieren.

Azure-Abonnement als Abrechnungsvoraussetzung
Die nutzungsbasierte Abrechnung erfordert ein verknüpftes Azure-Abonnement. Dieses fungiert als Billing-Container. Wichtig dabei, ein Azure-Abonnement an sich erzeugt keine Kosten, erst die tatsächliche Ressourcennutzung löst Abrechnungsvorgänge aus.

HVE reiht sich damit in eine zunehmende Zahl von Microsoft 365-Diensten ein, die über dieses Modell abgerechnet werden: Dokumentverarbeitungsdienste, Dokumentübersetzung, eSignature, Microsoft 365 Archive, Microsoft 365 Backup und perspektivisch auch Copilot-Verbrauchseinheiten.

Organisationen, die bisher kein Azure-Abonnement für nutzungsbasierte Dienste eingerichtet haben, müssen dies vor Mai 2026 nachholen.

SMTP AUTH und Basisauthentifizierung: Verlängerung bis September 2028
HVE unterstützt Basisauthentifizierung für SMTP AUTH (Client Submission Protocol) bis September 2028. Außerhalb von HVE hat Microsoft bereits damit begonnen, Basisauthentifizierung für SMTP-AUTH-Verbindungen zu deaktivieren. Ein endgültiges Abschaltdatum wird für die zweite Jahreshälfte 2027 erwartet.

Die verlängerte Frist adressiert aktuell bestehende Probleme innerhalb von Organisationen. E-Mail-fähige Geräte wie Multifunktionsdrucker, Scanner und IoT-Devices senden typischerweise über SMTP AUTH und die Gerätehersteller liefern OAuth-fähige Firmware-Updates nur schleppend aus. HVE bietet diesen Geräten einen Migrationspfad.

  1. Umstellung auf den HVE-Endpunkt mit Basisauthentifizierung -> jetzt,
  2. Migration auf OAuth bis September 2028.

Alternativ steht für Geräte, die keine Authentifizierung unterstützen, weiterhin Direct Send (Versand direkt an den MX-Endpunkt von Exchange Online) zur Verfügung, allerdings nur für interne Empfänger und ohne HVE-Funktionalität.

Hinweis betreffend Conditional Access
HVE-Konten können von Conditional-Access-Richtlinien in Microsoft Entra ID (ehemals Azure AD) betroffen sein. Insbesondere die von Microsoft verwaltete Richtlinie (Microsoft-managed Conditional Access Policy) zur Blockierung von Legacy Authentication muss so konfiguriert werden, dass HVE-Konten explizit ausgenommen sind. Andernfalls resultiert ein Fehler 535 5.7.139 Authentication unsuccessful mit dem Fehlercode AADSTS53003. Auch eigene Conditional-Access-Policies, die Legacy-Auth-Protokolle blockieren, müssen geprüft und ggf. mit entsprechenden Ausnahmen versehen werden.

Weiterlesen

DNSSEC-Pflicht bei CAA-Abfragen: SwissSign beginnt mit der Umsetzung der Anforderungen des CA/Browser Forums

DNSSEC-Pflicht bei CAA-Abfragen: SwissSign beginnt mit der Umsetzung der Anforderungen des CA/Browser Forums

Im Frühjahr 2026 treten neue Anforderungen des CA/Browser Forums in Kraft, welche die Validierung von CAA-Einträgen deutlich verschärfen. SwissSign setzt diese Vorgaben frühzeitig um und aktiviert am 2. März 2026 die verpflichtende DNSSEC-Validierung bei Anfragen zu CAA- und DCV-Daten. Zertifikatsanträge werden somit nur noch dann erfolgreich verarbeitet, wenn die

Von Yannic Röcken