首先得明确一个关键现状：目前微软官方确实不支持SMTP协议的OAuth2客户端凭据流（非交互式登录），这和你看到的文档注意事项完全一致。你用交互式授权码流能成功，是因为这个流依赖SMTP.Send委托权限（需要用户主动授权），但非交互式的客户端凭据流走不通的核心原因是——SMTP协议没有对应的应用级权限可以配置：在Azure AD应用注册的Office API下，根本找不到SMTP相关的应用权限，这就导致客户端凭据流生成的令牌无法获得SMTP发送权限，最终触发535 5.7.3 Authentication unsuccessful错误。

下面给你两个符合非交互式需求的合规替代方案，比你用的明文密码方案更安全：

方案1：用Microsoft Graph API替代SMTP（推荐） #

这是微软官方推荐的现代邮件发送方案，完全支持客户端凭据流，步骤清晰：

1. 在Azure AD应用注册中添加应用权限：Mail.Send（属于Microsoft Graph类别），记得要让管理员完成权限同意
2. 用客户端凭据流获取Graph API的令牌，请求参数里的scope设为https://graph.microsoft.com/.default
3. 通过Graph API的POST /users/{user-id}/sendMail端点发送邮件

给你一段Java代码参考（用MSAL和Graph SDK实现）：

// 初始化MSAL客户端
ConfidentialClientApplication app = ConfidentialClientApplication.builder(
        "你的客户端ID",
        ClientCredentialFactory.createFromSecret("你的客户端密钥"))
    .authority("https://login.microsoftonline.com/" + "你的租户ID")
    .build();

// 获取客户端凭据流令牌
ClientCredentialParameters params = ClientCredentialParameters.builder(
        Collections.singleton("https://graph.microsoft.com/.default"))
    .build();
IAuthenticationResult result = app.acquireToken(params).join();

// 初始化Graph服务客户端
GraphServiceClient<Request> graphClient = GraphServiceClient.builder()
    .authenticationProvider(new BearerTokenAuthenticationProvider(result.accessToken()))
    .buildClient();

// 构造邮件内容
Message message = new Message();
message.subject = "测试邮件（来自Graph API）";
Recipient toRecipient = new Recipient();
EmailAddress emailAddress = new EmailAddress();
emailAddress.address = "收件人邮箱@xxx.com";
toRecipient.emailAddress = emailAddress;
message.toRecipients = Arrays.asList(toRecipient);
ItemBody body = new ItemBody();
body.contentType = BodyType.TEXT;
body.content = "这是通过Graph API非交互式发送的测试邮件";
message.body = body;

// 发送邮件
graphClient.users("要发送的用户邮箱或ID")
    .sendMail(message, false)
    .buildRequest()
    .post();

这个方案完全满足非交互式需求，不需要用户参与，安全性更高，也是微软未来主推的方向。

方案2：服务主体模拟用户（适配SMTP协议） #

如果业务必须依赖SMTP协议，你可以尝试用服务主体模拟指定用户的方式，步骤如下：

1. 在Azure AD应用注册中添加应用权限：Exchange.ManageAsApp（属于Office 365 Exchange Online类别），并获取管理员同意
2. 通过Exchange Online PowerShell给服务主体分配目标邮箱的SendAs权限：

   # 先连接Exchange Online（用服务主体身份）
   Connect-ExchangeOnline -AppId <你的客户端ID> -CertificateThumbprint <证书指纹> -Organization <你的租户域名>
   # 给服务主体分配发送权限
   Add-RecipientPermission -Identity <目标邮箱地址> -Trustee <服务主体的Object ID> -AccessRights SendAs
   

3. 用客户端凭据流获取Exchange的令牌（scope设为https://outlook.office365.com/.default），再通过JavaMail结合OAuth2发送邮件

不过要注意：这个方案的SMTP兼容性不如Graph API，可能会遇到一些边缘问题，而且配置步骤更繁琐，优先级低于方案1。

关于临时明文密码方案的提醒 #

你提到的禁用安全默认值+启用SMTP客户端认证的方案，虽然能临时解决问题，但安全性很低——即使走TLS加密，明文密码传输仍然存在泄露风险，不符合现代认证的最佳实践，不建议在生产环境长期使用。

内容的提问来源于stack exchange，提问作者Ivan Pedruzzi