IMAP4 mit Office 365

Alle Postfächer in Office 365 sind nicht nur per Outlook , OWA, ActiveSync und EWS erreichbar. Exchange Online unterstützt natürlich auch weiterhin IMAP4 und POP3-Clients, die auch per SMTP einliefern. Das kann sinnvoll sein, da diverse IMAP4-Client auch als PortableApp auf einem USB-Stick laufen oder auch Linux als Client ernst genommen werden. Hier beschreibe ich die wesentlichen Einstellungen

IMAP4 und POP3 aber bitte mit SSL

Dass der Zugang auch per IMAP4 und POP3 möglich ist, ist so erst mal kein Geheimnis. Microsoft veröffentlicht die Daten:

Folgende Adressen sind in Office 365 zu nutzen:

Protokoll

Server FQDN TCP Port Verschlüsselung

POP3

outlook.office365.com

995

TLS

IMAP4

outlook.office365.com

993

TLS

SMTP

smtp.office365.com

587

TLS

Microsoft nutzt konsequent TLS. So ist sichergestellt, dass jegliche Übertragung von Daten aber auch der Anmeldung immer verschlüsselt ist. Voraussetzung ist natürlich, dass der Anwender auch die Rechte zur Nutzung von POP3/IMAP4 hat. Die sind per Default allerdings eingeschaltet und können abgeschaltet werden.

Thunderbird

Ein gängiger IMAP4 Client auf Windows, Portable App u.a. ist natürlich Mozilla Thunderbird. Hier können Sie einfach über den Assistenten ihre Mailadresse eingeben. Mozilla pflegt selbst eine Datenbank der IMAP4/POP3-Provider und wenn sie hier ihre "onmicrosoft.com"-Adresse angeben, dann findet Thunderbird ganz alleine die richtigen Einstellungen.

Interessanterweise weichen diese Einstellungen von den Microsoft Defaults ab. Da sind in der Mozilla Datenbank wohl andere Werte hinterlegt.

Anders sieht es natürlich aus, wenn Sie eine eigene Domain verwenden. Bei einer Adresse aus "uclabor.de" kommt keine funktionierende Konfiguration zustande.

Thunderbird versucht ähnlich wie Exchange Autodiscover einen "autoconfig"-Eintrag auszuwerten.

GET http://autoconfig.uclabor.de/mail/config-v1.1.xml?emailaddress=admin%40uclabor.de HTTP/1.1
Host: autoconfig.uclabor.de User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.6.0 Lightning/5.4.6
Accept: */*
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive

Hier kommt natürlich nichts zurück. Sie könnten aber für ihre Domäne natürlich diesen DNS-Eintrag anlegen und auf eine Webseite verweisen lassen, die dann die richtigen Daten liefert. Schade eigentlich, dass Office 365 diesen Service mit mit anbietet und autoconfig als DNS-Eintrag vorschlägt. Anscheinend gibt es doch nicht so viele IMAP4-Clients mit Anwendern, die eine automatische Konfiguration benötigen. Thunderbird versucht aber weiterhin noch ein paar Namen zu erraten wie imap.<domain> und smtp.<domain>. Wer es seinen Anwendern leichter machen will, kann im DNS entsprechende CNAME-Einträge hinterlegen:

imap.msxfaq.com  CNAME  outlook.office365.com
pop.msxfaq.com  CNAME  outlook.office365.com
smtp.msxfaq.com  CNAME smtp.outlook365.com

So sollte dann auch zumindest Thunderbird und Programme mit einer ähnlichen Logik dem IMAP und Client-SMTP-Server finden. Wenn dann, wie bei Exchange Online, die Mailadresse zugleich der Anmeldename (UPN) ist, dann ist der Client schon fertig konfiguriert.

Authentifizierung

Bei eine Anmeldung per IMAP4 oder POP3 ist es natürlich nicht vorgesehen, dass ein Fenster geöffnet wird, in dem ein Client einen zweiten Faktor (MFA) angeben kann o.ä. Darauf müssen Sie natürlich achten, wenn Sie mit MFA oder ADFS arbeiten.

  • MFA mit App-Kennwort
    Wenn Sie Multi Faktor Authentifizierung (MFA) für den Client vorschreiben, dann habe ich bislang immer mit einem App Password gearbeitet.
  • ADFS Anmeldung
    Eine Anmeldung per ADFS ist möglich. Da aber die meisten IMAP-Client natürlich ADFS nicht nativ unterstützen, sendet ihr Client die Anmeldedaten an den IMAP-Server, der dann "on behalf" des Anwenders eine ADFS-Anmeldung durchführt. Das ist bei älteren ActiveSync Client aber genau so
  • Pass-Through Authentifizierung (PTA)
    Auch hier sendet der Client das Kennwort zum Backend, welcher dann über den PTA-Agent die Verifikation durchführt. In der Regel unterstützen die Clients kein Kerberos
  • Cloud Kennwort
    Die Anmeldung mit einem AzureAD Konto samt Kennwort geht natürlich auch

Bis auf den Einsatz von MFA sind also alle anderen Wege direkt möglich.

Weitere Links