Dass die Outlook New-App Zugangsdaten von Mail-Konten an Microsoft überträgt, ist längst bekannt. Nun gibt es einen Bericht, dass auch neuere Versionen von Outlook Classic (also wohl Outlook 365) ihre kompletten Zugangsdaten für Konten an Microsoft übertragen.
Rückblick: Der Outlook-New-Fall
Seit September 2023 stellt Microsoft die sogenannte "Neue Outlook-App" für Windows bereit, die bis 2029 auch Microsoft Classic ersetzen soll. Kurz nach Freigabe der App wurde dann bekannt, dass diese alle Zugangsdaten für konfigurierte Mail- und Kalenderkonten an Microsoft überträgt. Die Microsoft-Server speichern die Zugangsdaten, ziehen sich die Konteninhalte und stellen diese der Outlook New-App zum Abruf bereit.
Das Verhalten ist von Microsoft-Anwendungen bekannt. Bereits im Februar 2015 hatte ich im Blog-Beitrag Outlook-App: Im EU-Parlament wegen IT-Sicherheit blockiert eine sicherheitstechnische Bombe beschrieben. Die IT des EU-Parlaments hatte die Outlook-App aus Sicherheitsgründen für eine Verwendung durch Mitglieder und Mitarbeiter des EU-Parlaments gesperrt. Hintergrund war, dass die App alle Anmeldedaten sowie dann auch die Inhalte gegenüber Microsoft offen legt.
Ebenfalls bekannt war, dass die Outlook-Apps für Android und iOS die Passwörter der Benutzerkonten in der Microsoft Cloud speichern und Inhalte analysiert werden. Microsoft kann diese Daten dann für KI-Auswertungen oder weitere Zwecke nutzen.
Und es war seit 2023 bekannt, dass die Outlook New-App für Windows die Inhalte von Mail- und Kalenderkonten über Microsoft-Server synchronisiert, dort also die Zugangsdaten für die Konten hinterlegt. Der Sachverhalt wurde von mir im Beitrag Neue Outlook-App überträgt Zugangsdaten an Microsoft näher erläutert, wobei ich dort auch darauf hinwies, dass diese Praxis bereits bei den Microsoft Apps für Android und iOS seit Jahren der Fall ist.
Microsoft hatte sich gegenüber heise dann zu diesem letztgenannten Thema erklärt (siehe Neue Outlook-App: Microsoft äußert sich zu übertragenen Zugangsdaten) und einige Aussagen getroffen. Fazit war: Wer die neue Outlook-App verwendet, für den lassen wir alle Mails und Termine von den konfigurierten Konten über die Microsoft-Server wandern.
Zeigt auch Outlook Classic (neuerdings) dieses Verhalten?
Bisher war die Hoffnung der Outlook-Protagonisten, dass Outlook Classic die Zugangsdaten lokal speichert und die Inhalte von externen Mail-und Kalenderkonten selbst abholt. Nur Konten bei Microsoft selbst (Microsoft 365, Exchange Online) werden eh auf deren Servern geführt, da ist es nicht so tragisch, wenn die Zugangsdaten auch noch dort liegen.
Kritische Geister zeigten sich von der Möglichkeit, dass Inhalte im Outlook Client durch CoPilot & Co. ausgewertet werden beunruhigt. Aber so schlimm wird es nicht werden, scheint die Hoffnung zu sein. Gestern hat mich ein ungenannt bleiben wollender Leser per E-Mail unter dem Betreff "Interessante Beobachtung zu MS Exchange" auf eine neue Fundstelle im Web hingewiesen.
Ein YouTuber, der unter dem Kanal IT an der Bar Inhalte veröffentlicht, hat sich Outlook und die übertragenen Daten näher angesehen. Hintergrund ist, dass der Mann eine IT-Firma betreibt und bei einem seiner E-Mail-Server fehlerhafte Anmeldedaten erhielt, die von Microsoft kamen. Also hat er das Ganze analysiert und aufgedröselt.
Die Erkenntnisse zeigt er in geraffter Form in seinem YouTube-Video. Dazu hat er einen frischen Mail-Server bei Hetzner eingerichtet, dann unter Outlook New für Windows die Zugangsdaten für dieses Konto eingetragen. Gleichzeitig hat er den Datenverkehr unter Outlook aufgebrochen und analysiert, was passiert.
Die Erkenntnis, die sich aus dem Video ergibt: Er zeigt, dass die Zugangsdaten von Outlook New unter Windows diese an Microsoft weiter reicht. Das ist aber nicht neu, ich hatte oben bereits darauf hingewiesen. Die klare Aussage des Youtubers im Video lautet aber: Er hat das Ganze auch unter Outlook Classic und der Outlook-App für Android getestet und die Zugangsdaten für dieses Testkonto dort eingetragen. Die Analyse, so die Aussage, zeigte, dass der Datenverkehr unter Outlook über Microsoft-Server läuft. Die Aussage im Video (ab 7:40) lautet: Outlook New, bestimmte Versionen von Outlook Classic für Windows sowie die Outlook-App für Android übertragen die Zugangsdaten für das Konto an Microsoft. Bei Outlook New für Windows sowie bei der Outlook-App für Android war das längst bekannt. iOS konnte der YouTuber mangels Apple-Gerät nicht testen.
Neu für mich ist die Aussage, wenn ich es richtig verstanden habe, dass auch bestimmte Builds (imho neue Fassungen) von Outlook Classic (mutmaßlich also Outlook 365) die Kontendaten an Microsoft Server übertragen. Schaut euch dazu das Video auf YouTube an.
Das Fazit
So ganz überraschend war dieser "Move Microsofts" für mich nicht. Es ist naheliegend, dass der Code, der für Outlook New für Windows verwendet wird, irgendwann auch in aktuelle Versionen von Outlook Classic für Windows (und macOS) einfließt. Die Überschrift des Themas lautet ja langfristig: "Outlook ist der Client für Exchange Online" .
Wer in Firmenumgebungen oder im Privatbereich ausschließlich auf Exchange Online und/oder Outlook.com als Dienst setzt, hat seine Inhalte und Zugangsdaten längst Microsoft übereignet. Kollateralschaden sind dann die Fälle, in denen externe E-Mail- und Kalender-Konten über Microsoft Outlook eingebunden werden.
Unabhängig von der Frage, ob der oben skizzierte Sachverhalt immer stimmt – beim "querschauen des Videos" habe ich nicht vernommen, dass der YouTuber eine konkrete Outlook-Build für Windows angibt, ab der die Zugangsdaten an Microsoft überträgt: Es ist in meinen Augen an der Zeit, endlich auf alternative E-Mail-Clients zu wechseln und das Outlook-Zeugs links liegen zu lassen. Hier mache ich jedenfalls drei Kreuze, 2009, nach einem Test, den Verzicht auf Microsoft Outlook getroffen und auf den Thunderbird als Client gesetzt zu haben.
Ähnliche Artikel:
Outlook-App: Im EU-Parlament wegen IT-Sicherheit blockiert
Firmen: Finger weg von Microsofts Outlook-App
Outlook App speichert Passwörter in der Cloud und analysiert Mails
Neue Outlook-App überträgt Zugangsdaten an Microsoft
Neue Outlook-App: Microsoft äußert sich zu übertragenen Zugangsdaten
Neue Outlook-App als Problem: Der Ansatz schneidet alle COM-/VBA-Lösungen ab
Neues Outlook: Microsoft wird COM-Add-Ins definitiv nicht unterstützen
Neues Outlook für Windows 11: Einbindung von Business-Konten wegen Lizenzierung verweigert
Neuer Outlook-Client verlangt mindestens Lizenz mit Microsoft 365 Standard
Datenkrake neue Outlook-App: "Überwachungsinstrument für gezielte Werbung"
MVP: 2013 – 2016
Erst Outlook New ausprobiert, dann Classic? Wie will er dann noch unterscheiden, durch New sind die Zugangsdaten ja schon bei MS.
Und wenn er eh einen eigenen Mailserver für den Test nutzt, dann könnte er ja auf dem Mailserver nachsehen, von wo die POP/IMAP Anfragen kommen.
Video gesehen? Ich denke nicht bei den Aussagen.
…das was Forschkönig aufwirft, ist eine Unklarheit in diesem Bericht (ich habe das ursprüngliche Video nicht gesehen, vielleicht ist es dort klar). Ich hätte jetzt erwartet, dass man für jede App es mit einem separaten Konto probiert.
Gleichwohl ist es ein Unterschied, ob eine App Zugangsdaten abgreift (und vielleicht erst einmal speichert, ggf. sogar erst bis eine dreibuchstabige Behörde Interesse zeigt), oder ob sie es sofort aktiv zum Data Mining ausnutzt. Ersteres würde man nicht (sofort) mitbekommen, ist aber gleichwohl ein (sicherheits)relevantes Problem.
Für mich ein weiteres No-Go von einer Firma, die bei mir sowieso auf der dunkelorangen Liste steht (nicht ganz rot, weil sie leider an einigen Stellen immer noch unumgänglich ist: Spezialsoftware und tatsächlich der einfache Zugriff via Remote Desktop, vor allem bei virtuellen Maschinen).
Ceterum Censeo: wie schaffen die das immer wieder, Behörden und Firmen von ihrer scheinbaren Alternativlosigkeit zu überzeugen???
"Und wenn er eh einen eigenen Mailserver für den Test nutzt, dann könnte er ja auf dem Mailserver nachsehen, von wo die POP/IMAP Anfragen kommen."
Hat er ja gemacht, sie kommen aus Dublin.
Der Kommentar ist Nonsense.
Leider ist der Beweis für Outlook Classic nicht Im Video enthalten.
Er hat aber deutliche Beweise für eine Speicherung der Zugänge bei Microsoft und Durchleitung sämtlichen Verkehrs aufgezeigt. Und das auch, obwohl der Client selbst offline ist.
Wenn das bei Outlook Classic nun auch so sein sollte: **** you MS
Ich habe das Video auch nur die Nacht quer geschaut – es gab die explizite Aussage (habe ich im Nachgang nochmals in obigem Text herausgestellt), dass "bestimmte Versionen von Outlook Classic" inzwischen ebenfalls das Verhalten zeigen. Da der YouTuber keine Builds nennt, ist das Problem, dass Du dir im Zweifelsfall die Finger mit einer Build von Outlook 365 wund testen kannst, ohne dass dies nachweisbar wäre – aber eine andere Build des Clients dann das Verhalten zeigt. Sollte es ein gestuftes Rollout sein, welches das Verhalten dynamisch durch Microsoft im Code gesteuert vornimmt, kannst Du im Zweifelsfall ebenfalls testen, bis Du schwarz wirst. Ich hinterlasse dem YouTuber Michael Angermaier von Drensec Solutions GmbH aber mal einen Kommentar – vielleicht äußert er sich noch dazu.
In der Minute 8:00 steht auf dem Bildschirm, dass bei der Classic- und Android-Version das Phänomen nicht mehr reproduzierbar ist.
Auch ist die Aussage komisch. Denn es gibt ja auch die Classic-Version in den "normalen" Office-2024-Paketen.
Im Video ist aber nur die neue Outlookversion zu sehen. Unabhängig sollte es im Video erst einmal etwas mehr differenziert und geordnet werden. So ist das Video anstrengend, wirr und teilweise wenig aussagekräftig in der Behauptung. Das Einzige, was übrig bleibt, ist die Microsoft-IP und die Verbindungen, was aber nicht neu ist. Ich sehe da jetzt noch keinen Aufreißer, wie es die Überschrift darstellt. Auch nimmst du keinen Bezug auf die Nicht‑365-Version und differenzierst es.
Das ist dann eine gegensätzliche Behauptung – im Sprachkanal sagt der YouTuber ab ca. 7:40 explizit, dass er diesen Effekt auch bei manchen Outlook Classic-Versionen dieses Verhalten auch zeige – habe das jedenfalls zwei Mal beim Querschauen vernommen. Ist halt die Krux, dass ein Video extrem aufwändig bei der Analyse ist – beim Text kannst Du die Stellen suchen, im Video hängst Du immer an "wo hast Du das denn nun gehört/gesehen".
Naja kann ich für die "Gekauften Office Versionen mit Outlook" jedenfalls so nicht nachvollziehen.
Ich habe in der Hardwarefirewall inkl.DPI jeglich Kommunikation mit MS unterbunden und ich habe auch keine MS Mail Konten in Outlook eingebunden… eine Verbindung zu MS wird da nicht versucht aufzubauen wenn ich meine Mails abrufe (T-Online; web.de; Posteo; freemail)
Müsste wen dem so wäre also eine Fehlermeldung kommen, oder zumindest ein Verbindungsversuch in den logs auftauchen, was nicht der Fall ist.
Für die Cloud Scheiße (Office 365) kann ich keine Aussage treffen da ich sowas nicht nutze!
Das oben genannte Video ist sehr wirr und die Aussagen widersprechen sich teilweise, weis ehrlich nicht wie ich das einschätzen soll. Aufmerksamkeitshascherei, Fake News oder einfach nur Unfähigkeit? (also den Videoersteller nicht Born)
Ich habe dem YouTuber den Ball ins Feld gespielt – möglicherweise hat es sich beim Testen ins Boxhorn jagen lassen, wenn er keine saubere Testabdeckung hatte und die Outlook New-Credential noch in den MS-Servern steckten. Warten wir es ab – zumindest ist das "Aufmerksamkeitsbit" mal wieder gesetzt, da genauer auf Outlook Classic zu schauen, was dort passiert.
Und Outlook 2021 / 2024 mit Perpetual Lizenz ist imho etwas anderes als Outlook 365 in den monatlichen oder halbjährlichen Kanälen – und wer keinen Outlook-Client verwendet, ist sowieso raus.
Ja, es wurde im Video genant, habe auch schon einen Kommentar gesehen, dass ein Beweis-Video für die Classic-Variante super wäre.
Es erschüttert mich so oder so, dass Microsoft auch im Hintergrund, ohne lokale App, versucht die Konten zu kontaktieren. Allein das ist schon übel
Dann sei aber auch so ehrlich und verabschiede dich von Windows und anderen Microsoft-Produkten.
Nur jammern hilft ja auch keinen weiter. Dass Microsoft alles in die Cloud ziehen will, ist ja auch kein Geheimnis incl. Windows bzw. OS.
wenns immer so einfach ginge! Nicht jeder kann einfach auf Linux umschwenken, den nicht jeder macht nur 08/15!
Auch wenn die Linux Jehovas das nicht einsehen wollen, vieles gibt es halt unter Linux einfach nicht oder ist nur rudimentär im Vergleich zur Windowsversion! iOS nicht anders.
Ja wer nur etwas surft mail streamt und mal nen Brief schreibt, sogar spielen klappt zumindest ansatzweise mittlerweilen, kann problemlos wechseln, wer aber ernsthaft arbeitet eben nicht!
Und beim Zocken darfs auch nicht competive sein, sobalt AntiCheat drinn ist, ist es auch vorbei.
Bleibt bei eurem Linux wenns für euch reicht. Keiner will euch das wegnehmen, aber hört auf andere ständig bekehren zu wollen! Es gibt eben Leute die mehr brauchen, als Linux lieferrn kann.
Ich habe weder etwas von Linux geschrieben, noch vom Apfel. Meine Aussage war: Wem die Machenschaften und Schnüffeleien von Microsoft nicht passen, muss sich etwas anderes suchen. Diese Schnüffelei aber nur an Outlook festzumachen, ist wohl sehr einfach gedacht. Ich bin mal gespannt, was du machst, wenn 2029 keine neuen Offline-Versionen für Office erscheinen, sofern M$ nicht zurückrudert.
Oben schreibst du selbst, dass du die "Cloud Scheiße (Office 365)" nicht nutzt. Irgendeine Kröte wirst auch du in knapp 3 Jahren schlucken müssen! Ich bin gespannt …
Was die Anwendungen angeht, verlagere ich immer mehr ins eigene Hosting. Für viele Sachen ist dann nur noch ein Browser notwendig. Native Anwendungen werden auf meinen Systemen immer weniger, was gut ist. Die Aktualisierung funktioniert nachts automatisch und ich habe kaum (Wartungs-)Arbeit damit. Bei vielen Usern ist das eher die Bequemlichkeit. Dann darf man sich auch nicht beschweren. Ich finde schon, dass es immer eine Lösung gibt, und im Zweifel lasse ich die Anwendung in einer VM ohne Internetzugang laufen. Wege gibt es viele – man muss es nur wollen!
**************************************
Oben schreibst du selbst, dass du die "Cloud Scheiße (Office 365)" nicht nutzt. Irgendeine Kröte wirst auch du in knapp 3 Jahren schlucken müssen! Ich bin gespannt …
**************************************
Also 10 hat noch bis 3032 Support… Office/Outlook lässt sich problemlos ersetzen… und was dann 2032 ist werden wir tatsächlich dann sehen… wer weis vielleicht wird ja Win12/Win13 wieder ein großer Wurf… wenn MS sich beim Top/Flop treu bleibt…bezweifel ich zwar.
VM ist ne Überlegung, aber nicht alles bietet ausreichend Performance in ner VM!
Über ungelegte Eier mach ich mir jedenfalls keinen Kopp
;-P
Es ist auf die Sache gekommen, weil in seinen Server Logs nicht nachvollziehbare Anfragen von MS IPs auf ein Mail-Konto erfolgen, das schon seit über ein Jahr überhaupt nicht mehr existiert. Auch nicht mehr im Mail Client. Das war wohl damals Outlook Classic.
Getestet hatte er es danach vor dem Video mit dem gleichen Ergebnis auch schon mit Outlook in M365 / O365.
Um auszuschließen, dass nur etwas durch die MS Cloud getunnelt wird und nachzuweisen, dass die Zugangsdaten von Konten von wildfremden anderen Hostern und alle Mails von dort rotzfrech ohne Wissen des Benutzers in die MS cloud abgegriffen und kopiert werden hat er dann den im Video detailiert beschriebenen Testaufbau gemacht.
Auf der dafür niegelnagelneu aufgesetzten VM mit Windows lief dabei zufällig das vorinstallierte Outlook New. Und auf dem ebenfalls niegelnagelneu aufgesetzten SMAP/IMAP Server irgendein Linux, was auch für den nachvollziehbar dargestellten eigentlichen Sachverhalt unerheblich ist.
Microsoft greift auf alle SMTP/IMAP Postfächer bei Drittanbieter nicht vom Client aus zu, sondern speichert alle Zugangsdaten plus e-Mails ohne Kenntnis des Benutzers in der MS Cloud offensichtlich unbefristet zwischen. Eine mehr als eigenwillige Interpretation eines "proxy".
Und das nicht nur aus Outlook New sondern mittlerweile wohl auch aus den erfolgten Rückportierungen nach Outlook Classic und aus Outlook M365/O365.
Ohne den Nutzer anders als bei Outlook New zumindest irgendwie darauf hinzuweisen.
Also aus den gekauften Outlook 2021/2024 definitiv nicht (siehe mein Beitrage weiter oben)! Dass verstehe ich unter Outlook Classik! M365/O365 läuft bei mir unter Cloud… vielleicht Definitionssache, wenn mit Classic die Cloud Versionen gemeint sind.
Wäre dan aber keine Neuheit/Überraschung, das die Cloud klaut ist doch bekannt!
Also bei OnPrem hab ich definitv keine Verbindung zu MS Servern, wenn ich meine Mails abrufe und MS somit auch keine PW/Mails!
Müsste man dann nicht auch im Mail Header sehen das die mails über MS laufen?
Nein. Das läuft ja nicht über SMTP, wo dann "Received: from … by …" Zeilen in den Mail Header eingetragen werden sondern über IMAP/POP.
Selbst wenn es über SMTP laufen würde, hätte Microsoft die Macht, diese Zeilen eben nicht in den Header einzutragen, was aber eine noch größere Unverschämtheit wäre.
Eigentlich müssten alle Mailanbieter != Microsoft den Zugang über ihre IMAP- und POP-Ports aus dem kompletten Microsoft Netzwerk blockieren.
> Erst Outlook New ausprobiert, dann Classic? Wie will er dann noch unterscheiden, durch New sind die Zugangsdaten ja schon bei MS.
Selbst dann würde das ja bedeuten, dass Classic erstmal bei MS nachschaut "haben wir schon Zugangsdaten irgendwann auf unseren Servern gespeichert für das Konto?" und dann diese Verbindung so benutzt.
Sprich: Eine EINMALIGE Nutzung von Outlook New sorgt dafür, dass weiterhin dieser Weg gegangen wird.
Nein, da ist ein Denkfehler bei dir. Wenn "New" die Zugangsdaten schon auf einen MS-Server übertragen hat, kann der JEDERZEIT die Mails beim eigentlichen Mailserver abrufen, auch wenn man "New" gerade nicht geöffnet hat. Warum sollte MS das tun? Erstens, weil sie es können, zweitens weil der "New" Benutzer beim Öffnen der App nicht erst auf das Eintrudeln der Mails warten soll, sie sind sofort da.
Ich habe das Video gerade so nebenbei gesehen. Ich weiß nicht ob ich es übersehen habe, aber er nutzt dort doch nur Outlook new oder nicht? Da war es ja bekannt dass Microsoft die Zugangsdaten speichert.
Worüber er sich aufregt, ist, dass Microsoft anscheinend auch die Emails vom Fremdserver auf Microsoft Server herunterlädt. Dass das stattfindet ist eigentlich klar, weil die Mails vom Fremdserver sonst ja gar nicht in Outlook im Web angezeigt werden können.
Nein, es ist völlig unnötig die Zugangsdaten bei Microsoft zu speichern und auch den gesamten Verkehr über Microsoft zu leiten. Es ist immer noch eine lokale Applikation mit lokaler Speicherung.
Ich glaube zumindest ein Sinn der Sache ist, das "Outlook Erlebnis" ins Web zu erweitern, also optisch sowie funktionell an Outlook auf dem PC anzugleichen. Optisch ist das ja schon gelungen. Man kann ja argumentieren dass es dann auch Sinn macht dass man seine Fremdmails dort auch bearbeiten kann. Das ist ja zweifellos für manche ein Komfortvorteil wenn sie sich von überall an Outlook anmelden können und dort gebündelt ihre 3 Fremdkonten eingebunden haben. Ist halt die Frage ob man das will.
Ich persönlich würde lieber die 3 Fremdkonten in Thunderbird verwalten.
Die Konten werden nicht eingebunden. Sie werden komplett inklusive der Zugangsdaten ohne Kenntnis des Nutzers kopiert.
Und nicht nur aus Performancegründen für ein paar Sekunden/Minuten, sondern offensichtlich dauerhaft.
Das ist ein Riesenunterschied.
Wohl Millionen Zugangsdaten unverschlüsselt aufzubewahren ist auch ein gravierendes Sicherheitsrisiko. Sollte sie ein Dritter irgendwann irgendwie abgreifen.
Wir hatten zwei 10.0 Löcher, die MSFT alleine in den letzten paar Monate einräumen und runterspielen musste.
Mann kann auch bei anderen Mailprovidern einrichten, dass Drittkonten kopiert und eingebunden werden. Dazu muss man als Benutzer aber die Zugangsdaten explizit hinterlegen.
Auch das ist ein riesengroßer Unterschied.
Ich möchte hier keine Lanze für MS brechen, auch ich halte diese Vorgehensweise beim Abrufen (und Senden) von Mail über MS-Server, initiiert durch Outlook-New nicht gut, und bleibe deswegen privat bei Thunderbird. Aber halte Microsft immerhin für so Weise, dass sie diese Zugangsdaten nicht unverschlüsselt speichern.
Outlook New ist keine klassische Anwendung, sondern ein Web-Wrapper. Das sieht aus wie ein Programm, ist aber nur ein in Programmoptik gegossener Browser, der eine feste Webseite aufruft. Genauso wie Teams. Daher auch die Sache mit den Zugangsdaten und den Mails, die "muss" Microsoft sich holen, sonst können sie die Mails ja über Ihre Webseite nicht an den User ausliefern.
Das ist auch der Grund, warum bis heute kein On-Prem Exchange unterstützt wird.
Ich wundere mich hier tatsächlich über die Empörung über dieses Vorgehen. Microsoft setzt hier nur die Forderungen der EU um. Stichwort "Chatkontrolle".
Chat ≠ Email
Medienkompetenz ist heute sehr gefragt.
Also wir haben einen on-prem Exchange Server. Wenn ich auf diesen mit Outlook 2024 LTSC zugreife, kommt nur die IP Adresse des Geräts, auf dem Outlook läuft, in den Firewall Logs vor.
Wenn ich den iOS eigenen Mail Client mit ActiveSync nutze, ist das genau so. Wenn ich jedoch die Outlook App auf iOS oder Outlook New auf Windows benutze, kommen die Zugriffe von MS IPs.
Ich denke, die Aussagen bezüglich Outlook Classic stimmen in diesem Video nicht.
Um dies zu verhindern, müsste man die IP Ranges, die MS dafür braucht, für die Email Protokolle sperren. Die Mitarbeiter können dann halt nur noch Outlook Classic, OWA on-prem oder Drittclients benutzen.
gerade outlook classic geöffnet, es kam der Hinweis das ihre Zugangsdaten nun bequem in der cloud gespeichert werden. somit habe ich von überall Zugriff. Dabei handelt es sich um ein imap Konto von strato. leider kein Witz!
Bei welcher Officeversion? 365 oder 2024?
Schau mal nach der Autokonfiguration über Office 365 in den Gruppenrichtlinien. Bei einem Kunden hat es bisher Outlook (Office 2021 HuB, wenn ich das richtig erinnere) auf einem einzelnen Computer getroffen, wo auf einmal Microsoft 365-Zugangsdaten eingegeben werden sollten und ggü. dem On-Prem-Exchange keine E-Mails mehr abgerufen wurden weil "Kennwort erforderlich".
Stichworte sind ExcludeExplicitO365Endpoint und ExcludeHttpsRootDomain
Siehe auch:
https://www.borncity.com/blog/2025/10/27/outlook-exchange-windows-immer-aerger-mit-dem-autodiscover/
https://www.frankysweb.de/outlook-autodiscover-fuer-office-365-deaktivieren/
https://www.borncity.com/blog/2018/12/10/office365-update-ndert-autodiscover-outlook-anmeldung-scheitert/
Wenn ich weiss, dass meine Daten von MS abgegriffen, gelesen und verarbeitet werden für AI, Werbung, Spionage usw., ist das meine Entscheidung, diesem Anbieter zu vertrauen oder nicht. Ich selber glaube mittlerweile eher dem Blogger als Microsoft und hoffe, dass dies von der Fachpresse zum Anlass genommen wird, dies tatsächlich zu prüfen.
Outlook classic ist ein echtes Programm, und auch in neusten Version (aktuell bei mir 2511) ruft der direkt Mails vom Server ab, sehe ich auch an der IP, dass passt.
Und Copilot gibt es auch nicht im Outlook classic, nur im neuen Outlook Müll.
Einzige was geht ist Mails übersetzen lassen was ggf. online verarbeitet wird.
Hatte Video auch gesehen, und dort nichts von Classic gesehen. Man sieht wenn immer nur neue Outlook. Und die Mobile App (Android/iOS) ist eben selbe Müll.
Copilot ist nur in Word und Excel drinnen, dort habe ich es in Einstellungen abgeschaltet. Für Excel würde es eh nur funktionieren wenn Dateien im OneDrive/Sharepoint liegen.
Man hätte den Test auch noch abkürzen können wenn man eine interne IP hinterlegt hätte auf die Domain, dann wäre keine Verbindung zustande gekommen. 😉
Sind wir aktuell etwas auf Click-Bait aus? Zu wenig Umsatz?
Wenn wir schon beim Spekulieren sind, ich hab gehört, dass du zu den aktiven Nutznießern gehörst die durch schlechte Microsoft Software entsteht.
Magst Du dich erklären, wie Du es mit deinem Gewissen vereinbaren kannst, dass du hier Geld verdienst?
Lassen wir die Kirche im Dorf, es gibt eine ganze Industrie, die sehr viel Geld durch schlechte Microsoft-Software verdient, nennt sich Systemhäuser…
Günter schreibt hier das hin, was die ihren Kunden nicht sagen, das finde ich nützlich. Und lieber eine Warnung zu viel als eine zu wenig.
Ich gehe davon aus, dass auch für diesen Artikel Betteridges Gesetz der Überschriften gilt.
Im Video selbst hat der YouTuber bei 8:00 bereits die Ergänzung "Bei späteren Tests war es bei Outlook (classic) und Outlook for Android nicht mehr reproduzierbar!" als Texteinblendung hinzugefügt.
Auf eine Nachfrage in den Video-Kommentare antwortet er "Bei Outlook Klassik tritt das nur auf wenn man den Knopf "outlook new" probieren nutzt…"
Ich habe ich es trotzdem schnell mal ausprobiert: ein neues Postfach auf meinem Mailserver (Postfix/Dovecot) angelegt und sowohl mit Outlook 2024 LTSC (Version 2408 Build 17932.20602) als auch mit Outlook 365 (Version 2510 Build 19328.20244) verbunden. Es werden in beiden Fällen nur Verbindungen von meiner eigenen IP-Adresse aufgebaut.
Wenn man das ausprobieren anklickt wird auch auf neues Outlook umgestellt… da spielt es dann keine Rolle ob man alte Outlook hat oder nicht.
Da müsste man die neue Outlook App deinstallieren und alte Outlook wieder zum Standard setzen.
Es ist gar nicht klar, ob zum Entfernen der Zugangsdaten in der MS Cloud die Deinstallation von Outlook New ausreichend ist.
Gibt es hierzu eigentlich sinnvolle Dokumentation?
Passwort sollte geändert werden, alles was in Azure, OneDrive, Sharepoint, Exchange usw. liegt sollte ohnehin als kompromittiert angesehen werden, ohne Ausnahme.
Mein aktueller Kenntnisstand ist, dass Du die Zugangsdaten, die einmal an die Microsoft Cloud übermittelt wurden, schlicht nicht mehr weg bekommst. Es ist in irgend einem meiner Blog-Beiträge erwähnt, dass es Fälle gibt, wo Mail-Server auch ein Jahr, nachdem Outlook New entfernt wurde, noch Anfragen von Microsoft Servern empfangen haben. Möglicherweise ist das Ganze ja einem Microsoft Konto zugeordnet und lässt sich löschen. Ich kenne es nur von Google, dass Du unter deinem Konto sehr genau siehst, was zugeordnet ist und gelöscht werden kann. Vielleicht weiß ein Leser, der sich in diesem Bereich besser auskennt mehr und kann eine Quelle verlinken. Ich finde es jedenfalls frustrierend, wie uns die einfach auszuführende Kontrolle über solche Sachverhalte entgleitet …
Naja es ist ja für mich zumindest klar, dass bei der Eingabe der Zugangsdaten ein Abhol/Sync Job irgendwo eingerichtet wird . Der natürlich durch eine Änderung am Client nicht verschwindet.
Bislang gab es gerade bei Microsoft eigentlich schon immer die Möglichkeit anzusehen welche Daten es gibt usw.
wer mit Steinzeitprotokollen mailt, der muss generell mit Unbill rechnen. Ist mir immer noch ein Rätsel, wie man mit POP/IMAP arbeiten kann. Gruselig.
Zumindest mit Outlook New als auch den Outlook Apps für Android/IOS. Leider ist dies auch mit Active Sync gegen lokale Exchange Server der Fall. MS behält sich vor, alles über die eigenen Server zu leiten und zwischen zu speichern um eine tolle "Benutzererfahrung" zu liefern. Dazu gehören auch legacy Anmeldedaten.
Außerdem sind diese Apps kostenfrei, in solchen Fällen lohnt also durchaus die Überlegung, warum das so ist.
Bei Outlook Classic scheint es ja Entwarnung zu geben, außer dem Hinweis, das bei Verwendung von Legacy Protokollen das PW in der Cloud gespeichert werden kann. Das würde aber ein aktives M365 Konto erfordern, mit dem z.B. das Office 365 aktiviert wurde, da ist ein Automatismus denkbar.
Exchange Online speichert auch keine Anmeldedaten, hier wird mit OAUTH2 gearbeitet.
Selbst wenn Auth mit oauth2 erfolgt statt plaintext, bleibt es trotzdem bei IMAP/POP3.
Und wenn man selbst ein Mailserver betreibt ist auch IMAP kein Problem.
Wenn einem posteo/mailboxOrg einem nicht zusagen.