MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

New Outlook und IMAP4

Outlook Express und auch der Nachfolger "Windows Mail and News" sind Geschichte. Wer mit Windows Bordmitteln ein IMAP4-Postfach lesen möchte, muss "New Outlook" nutzen. Ich habe mir die Kommunikation dazu einmal angeschaut.

Umgebung und erster Start

Auf einem Windows 11 Home-Client habe ich dazu "New Outlook" gestartet und ein IMAP4-Postfach eingetragen. Dabei war es ein "Test@msxfaq.net"-Postfach, welches es nicht in einem gleichnamigen Tenant mit der Domain "msxfaq.net" gibt und welches auch kein Microsoft Konto hat. Parallel dazu habe ich Fiddler zur Analyse der http-Request und Wireshark für die Netzwerkverbindungen genutzt. Das Bild zeigt schön, dass es keinerlei Verbindungen zu einem POP3/IMAP4/POP3S/IMAP4S-Server auf den Port 110/143/993/995 gegeben hat.

Stattdessen gibt es jede Menge HTTPS-Verbindungen zu "outlook.office.com", obwohl der Benutzer definitiv kein Postfach hat. Es gibt also eine "Middleware", die von "New Outlook/Win" angesprochen wird und die Daten als Proxy besorgt. Damit ist natürlich meine Neugier geweckt, was das passiert und mit Fiddler lässt sich das Protokoll auch gut analysieren. Insbesondere. Die Authentifizierung und Sicherheit sind ebenso zu hinterfragen wie den Datenschutz und die die Postfach-Provider damit umgehen, wenn Sie nur noch Zugriff aus einem Microsoft Datacenter sehen.

Zuletzt darf natürlich auch nicht die Kostensituation vergessen werden. Der Betrieb der Proxy-Dienste kostet Microsoft Geld und die Nutzer von IMAP4-Postfächer sind Windows 11 Benutzer mit dem eigentlich kostenfreien New Outlook Client. Wer kein Microsoft-Konto verbunden hat, wird heute schon mit Werbung (Siehe New Outlook mit Werbung) bespielt und niemand weiß, welches Geschäftsmodell zukünftig angewendet wird.

Für die POP3/IMAP4-Nutzer ist daher auch immer ein Blick auf Alternativen interessant, z.B. Thunderbird oder emClient.

AutoDiscover mit "/getaccounttype"

Siehe dazu auch die Seite Autodiscover - getaccounttype

Aber schauen wir uns erst einmal an, wie "New Outlook" mit einem POP3/IMAP4-Postfach umgeht. Ich habe mit Fiddler die Anfragen mitgeschnitten und sie sind sehr gut zu erkennen. "New Outlook" startet nicht mit einer klassischen "Autodiscover"-Abfrage, denn Microsoft nutzt immer https://outlook.office.com als Gegenstelle und fragt dort nach der Adresse: Der gekürzte HTTP-Request enthält.

POST https://outlook.office.com/ows/v2.0/accounts/getaccounttype?n=0&cv=xxxxxxxx.0 HTTP/1.1
Host: outlook.office.com
Connection: keep-alive
Content-Length: 45
Accept: */*
Origin: https://outlook.office.com
User-Agent: Mozilla/5.0 .... OneOutlook/1.2026.520.400
content-type: application/json
owaappid: 00000002-0000-0ff1-ce00-000000000000
prefer: exchange.behavior="IncludeThirdPartyOnlineMeetingProviders"
x-anchormailbox: newoutlook@msxfaq.net
x-client-version: 20260529014.11
x-clientid: 5ECCC60C8D5840B4BC5F31CBA3F2FA97
x-ms-appname: owa-reactmail
x-owa-canary: X-OWA-CANARY_cookie_is_null_or_empty
x-owa-sessionid: xxxxxxx
x-routingparameter-sessionkey: SMTP:newoutlook@msxfaq.net
x-native-host: OneOutlook/1.2026.520.400
SAccept-Encoding: gzip, deflate, br, zstd
Accept-Language: de,de-DE;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6

{
   "emailAddress":"newoutlook@msxfaq.net",
   "retries":1'
}

Es ist ein HTTP-Post gegen einen "OWS"-Service. Den Test können Sie auch einfach per PowerShell auslösen und es ist auch keine Authentifizierung erforderlich.

Hinweis:
Die Mailadresse hatte ich nur zum Test angelegt und gibt es nicht mehr. Alle hier sichtbaren Zugangsdaten funktionieren entsprechend auch nicht mehr.

Invoke-RESTMethod `
   -Method POST `
   -Uri "https://outlook.office.com/ows/v2.0/accounts/getaccounttype" `
   -Body '{"emailAddress":"newoutlook@msxfaq.net","retries":1}' -ContentType 'application/json'

Bei der Verarbeitung hat sich Microsoft fast eine Sekunde Zeit gelassen, ehe dann folgende Antwort zurückgekommen ist:

HTTP/1.1 200 OK
Cache-Control: no-store, no-cache
Pragma: no-cache
Content-Type: application/json; charset=utf-8
Vary: Origin,Accept-Encoding
Server: Microsoft-HTTPAPI/2.0
X-NanoProxy: 1,1
X-CalculatedFETarget: BE1P281CU031.internal.outlook.com
X-BackEndHttpStatus: 200,200
X-FEServer: FR2P281CA0128
Access-Control-Allow-Origin: https://outlook.office.com
Access-Control-Allow-Credentials: true
X-CalculatedBETarget: VI0P191MB2868.EURP191.PROD.OUTLOOK.COM
X-Content-Type-Options: nosniff
X-FEEFZInfo: SXF
X-Proxy-BackendServerStatus: 200
X-Proxy-RoutingCorrectness: 1
X-FirstHopCafeEFZ: FRA
Alt-Svc: h3=":443";ma=2592000,h3-29=":443";ma=2592000
Strict-Transport-Security: max-age=31536000; includeSubDomains
WWW-Authenticate: Bearer client_id="ec156f81-f23a-47bd-b16f-9fb2c66420f9",
           token_types="app_asserted_user_v1 service_asserted_app_v1", 
           authorization_uri="https://login.microsoftonline.com/common/oauth2/authorize", 
           error="invalid_token"
Date: Fri, 05 Jun 2026 08:41:14 GMT
Content-Length: 1140

{
  "succeeded": true,
  "accountType": "IMAP",
  "dataSource": "AutoDetect",
  "protocolMetaData": [
    {
      "protocol": "imap",
      "hostname": "imap.1und1.de",
      "port": 993,
      "encryption": "ssl",
      "username": "newoutlook@msxfaq.net",
      "validated": false
    },
    {
      "protocol": "smtp",
      "hostname": "smtp.1und1.de",
      "port": 465,
      "encryption": "ssl",
      "username": "newoutlook@msxfaq.net",
      "validated": false
    },
    {
      "protocol": "pop3",
      "hostname": "pop.1und1.de",
      "port": 995,
      "encryption": "ssl",
      "username": "newoutlook@msxfaq.net",
      "validated": false
    }
  ],
  "isAppPasswordRequired": false,
  "diagnosticData": {
    "AutoDetect.Cache.CurrentEntryCount": "3",
    "AutoDetect.Cache.CurrentEstimatedSize": "3",
    "AutoDetect.Cache.TotalHits": "1",
    "AutoDetect.Cache.TotalMisses": "24",
    "AutoDetect.ProtocolDataCount": "3",
    "AutoDetect.ResponseStatusCodeInRetry.0": "OK",
    "AutoDetect.Succeeded": "True",
    "GetAccountType.DomainName": "msxfaq.net",
    "TopDomains.Succeeded": "False"
  }
}

Microsoft liefert an meinen Client damit die Information, dass die Mailbox per SMTP/IMA4/POP3 erreichbar ist und kein Exchange Online-Postfach ist. Ich muss nun dazu sagen, dass "autodisover.msxfaq.net" auf den Mailserver bei IONOS verweist und Microsoft damit sehr einfach die Daten ermitteln konnte.

Wir wissen alle, dass "outlook.office.com" auf Exchange Online Frontend Server verweist aber wir finden auch die gleichen Header, die auch Zugriffe auf Exchange Online-Postfächer liefern.

X-CalculatedFETarget: BE1P281CU031.internal.outlook.com
X-BackEndHttpStatus: 200,200
X-FEServer: FR2P281CA0128
X-CalculatedBETarget: VI0P191MB2868.EURP191.PROD.OUTLOOK.COM
X-FEEFZInfo: SXF
X-Proxy-BackendServerStatus: 200
X-Proxy-RoutingCorrectness: 1
X-FirstHopCafeEFZ: FRA

Ich werte das als Zeichen, dass der Zugriff von New Outlook auf POP3/IMAP4-Postfächer durch die normale Exchange Online Frontend Server bereitgestellt werden.

Darauf startet NewOutlook die gleiche Anfrage noch mal, aber die JSON-Payload ist nun um IMAP4 erweitert:

{
   "emailAddress":"newoutlook@msxfaq.net",
   "resolveAsType":"imap","retries":1
}

Die Antwort darauf hat sich nur minimal am Ende verändert:

{
....
  "isAppPasswordRequired": false,
  "diagnosticData": {
    "AutoDetect.ProtocolDataCount": "3",
    "AutoDetect.ResponseStatusCodeInRetry.0": "OK",
    "AutoDetect.Succeeded": "True",
    "GetAccountType.DomainName": "msxfaq.net",
    "ValidatedOverrides.Succeeded": "False"
  }
}
  • Autodiscover - getaccounttype
    "New Outlook" nutzt einen anderen Webservice um zu ermitteln, ob es ein Postfach in Exchange Online, über IMAP4 oder bei GMail/Yahoo ist 

Credentials mit getShadowToken

Da es ohne Anmeldedaten nicht weiter geht habe ich in Fiddler nach dem "Kennwort" gesucht und wurde in den nächsten zwei Requests fündig. Der Client sendet die beiden gelb markierten Requests zu Microsoft:

Es ist wieder ein HTTP-POST mit der entsprechenden Payload

POST https://outlook.office.com/ows/beta/ShadowService/getShadowToken?n=2&cv=xxxxxx.2 HTTP/1.1
Host: outlook.office.com
Origin: https://outlook.office.com
content-type: application/json
owaappid: 00000002-0000-0ff1-ce00-000000000000
prefer: exchange.behavior="IncludeThirdPartyOnlineMeetingProviders"
x-anchormailbox: newoutlook@msxfaq.net
x-owa-canary: X-OWA-CANARY_cookie_is_null_or_empty
x-routingparameter-sessionkey: SMTP:newoutlook@msxfaq.net

{
   "emailAddress":"newoutlook@msxfaq.net",
   "providerType":"GenericImap",
   "remoteImapServer":{"hostname":"imap.1und1.de","port":993,"secure_connection_type":"ssl"},
   "remoteSmtpServer":{"hostname":"smtp.1und1.de","port":465,"secure_connection_type":"ssl"},
   "remoteImapCredentials":{
      "UserId":"newoutlook@msxfaq.net",
      "Secret":"newoutlook2you"},
   "remoteSmtpCredentials":{
      "UserId":"newoutlook@msxfaq.net",
      "Secret":"newoutlook2you"},
   "revokePreviousToken":false
}

Hier kam aber noch 200 OK zurück, der aber in der JSON-Payload einen Fehler liefert.

{
  "idpStatusCode": "BadRequest",
  "error": "BadRequest",
  "errorDescription": "Changing the ImapRemoteServerInfo is not allowed. Attempted to changed it from 'imap.ionos.de' to 'imap.1und1.de'",
  "innerError": null
}

Der zweite Request entsprach dem ersten Request, nur dass der IMAP-Server auf "imap.ionos.de" gesetzt wurde. Ich habe keine Idee, woher der Client diese Information hat. Bei der Anfrage nach "/getaccounttype" wurde imap.1und1.de geliefert. Vielleicht lieferte IONOS einen Redirect? Leider kann ich die Kommunikation zwischen dem Microsoft Proxy und IONOS nicht mitschneiden. Mein New Outlook Client hat dann den Request noch einmal mit dem richtige RemoteIMAP-Server gestellt und ein Token bekommen:

{
  "token": {
    "accessToken": "eyJhbGxxxx",
    "expiresIn": "3599.2528634",
    "scope": "Addins.ReadWrite Calendars.ReadWrite Calendars.ReadWrite.All  
       Contacts.ReadWrite Directory.ReadWrite.All Files.ReadWrite Group.ReadWrite.All 
       Mail.ReadWrite Mail.Send MailboxSettings.ReadWrite OutlookService.AccessAsUser.All  
       OWA.AccessAsUser.All People.Read People.Read.All People.ReadWrite  
       RoamingSettings.ReadWrite ShadowMailbox.Remove Signals.Read Signals.ReadWrite  
       Signals-Internal.Read Signals-Internal.ReadWrite  
       SubstrateTeeInferences-Internal.ReadWrite User.Read.All UserActivity.ReadWrite",
    "tokenType": null
  },
  "userAccount": {
    "id": "C8C900000F8D2B79",
    "name": "newoutlook@msxfaq.net",
    "displayName": "newoutlook@msxfaq.net",
    "emailAddress": "newoutlook@msxfaq.net",
    "routingHint": "1880xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@shadow.outlook.com",
    "state": "Active",
    "alternateId": null,
    "accountUniqueId": null,
    "imageUrl": null,
    "profileUrl": null
  },
  "refreshToken": "eyJhbG.....g"
}

Die JSON-Antwort enthält ein accessToken und ein RefreshToken als auch Mailadresse und einen "Routinghint".  Als wenn Microsoft hier on the Fly eine Mailbox in "outlook.com" anlegt. Das Access Token enthält decodiert und gekürzt:

  "sap-version": "19",
  "appid": "5d661950-3475-41cd-a2c3-d671a3162bc1",
  "issring": "WW",
  "appidacr": "2",
  "app_displayname": "",
  "uti": "a4384b65-bd5b-8ba9-a8c2-99d796eb2be2",
  "snikid": "77950D7C515ADF38E645CC0D840A6D6D164419E1",
  "pcsn": "00E2046C25FC45DFC21FEB780CED5524FD",
  "iat": 1780648907,
  "ver": "STI.User.CallbackToken.V1",
  "trustedfordelegation": "false",
  "topology": "{\"Type\":\"Machine\",\"Value\":\"AS8P195MB1799.EURP195.PROD.OUTLOOK.COM\"}",
  "requestor_appid": "eef9ebc6-e178-463c-85f4-9d0d85cdcace",
  "requestor_app_displayname": "Office 365 Exchange Microservice",
  "scp": "Addins.ReadWrite Calendars.ReadWrite Calendars.ReadWrite.All 
   Contacts.ReadWrite Directory.ReadWrite.All Files.ReadWrite Group.ReadWrite.All
   Mail.ReadWrite Mail.Send MailboxSettings.ReadWrite OutlookService.AccessAsUser.All
    OWA.AccessAsUser.All People.Read People.Read.All People.ReadWrite 
   RoamingSettings.ReadWrite ShadowMailbox.Remove Signals.Read Signals.ReadWrite 
   Signals-Internal.Read Signals-Internal.ReadWrite 
   SubstrateTeeInferences-Internal.ReadWrite User.Read.All UserActivity.ReadWrite",
  "oid": "c8c90000-0f8d-2b79-0000-000000000000",
  "puid": "C8C900000F8D2B79",
  "smtp": "1880xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@shadow.outlook.com",
  "external_email": "newoutlook@msxfaq.net",
  "epk": "{\"kty\":\"RSA\",\"n\":\"s65gwToAXE......OqZFpiQ==",
  "nbf": 1780648907,
  "exp": 1780652507,
  "iss": "https://substrate.office.com/sts/",
  "aud": "https://outlook.office.com/"

Das RefreshToken entspricht im wesentlichen dem AccessToken. Es unterscheidet sich im wesentlichen in den folgenden Feldern:

  "appid": "eef9ebc6-e178-463c-85f4-9d0d85cdcace",
  "app_displayname": "Office 365 Exchange Microservice",
  "ver": "Sti.Shadow.Refresh.V1",
  "tokenstoreid": "4a2a242d-1efa-4a19-aeef-e08f62686ba0",
  "clienttype": "OneOutlook",
  "clientappid": "OneOutlook"

Ich habe dann im Fiddler-Trace nach dem AccessToken gesucht und habe es in fast jedem folgenden Request gefunden. "New Outlook" scheint also sich nicht mit dem AccessToken einmal anzumelden und dann einen Session-Cookie für die folgenden Zugriffe zu verwenden, sondern wirklich mit jedem Zugriff immer wieder das komplett AccessToken mit zusenden.

Das AccessToken und RefreshToken wird aber anscheinend nicht lokale gespeichert. Wenn ich "New Outlook" beende und neu starte, dann sehe ich erneut eine Anmeldung mit Username/Kennwort gegen https://outlook.office.com/ows/beta/ShadowService/getShadowToken, um sich ein neues Access-Token zu besorgen. Zur Frage der Kennwortsicherheit habe ich folgende Aussage gefunden:

„The first time the Outlook app for iOS and Android is run in an Exchange on-premises environment, Outlook generates a random AES-128 key. This key is known as the device key and is stored only on the user's device. When a user logs onto Exchange with Basic authentication, the username, password, and a unique AES-128 device key are sent from the user's device to the Outlook cloud service over a TLS connection, where the device key is held in runtime compute memory. After verifying the password with the Exchange server, the Microsoft 365 or Office 365-based architecture uses the device key to encrypt the password, and the encrypted password is then stored in the service. The device key, meanwhile, is wiped from memory and never stored in the Microsoft 365 or Office 365-based architecture (the key is only stored on the user's device). Next, when a user attempts to connect to Exchange to retrieve mailbox data, the device key is again passed from the device to the Microsoft 365 or Office 365-based architecture over a TLS-secured connection, where it is used to decrypt the password in runtime compute memory. Once decrypted, the password is never stored in the service or written to a local storage disk, and the device key is once again wiped from memory.„
Quelle:  https://learn.Microsoft.com/en-us/exchange/clients/outlook-for-ios-and-android/passwords-and-security?view=exchserver-2019

Allerdings müssen wir uns immer bewusst sein, dass die Zugangsdaten des Anwender im "service" gespeichert sind. Dort ist es zwar mit einem DeviceKey verschlüsselt aber genau der Key wird bei der Anmeldung dann wieder zum Service gesendet, damit dieser das Kennwort decodieren kann. Ein Schutz ist es nicht wirklich und schöner wäre es, wenn alle POP3/IMAP4-Server der Welt schon OAUTH unterstützen würden und ich als Anwender mit bei deren OAUTH/SAML-Server ein zeitlich beschränktes Delegate.Token besorgen könnte, welches ich dann an den "ShadowService" aushändigen könnte.

Da aber die wenigsten Anbieter hier schon etwas liefern, werden Anwender von "New Outlook" auch weiterhin ihre Zugangsdaten zum POP3IMAP4-Postfach als REST-POST im JSON-Format übertragen und die TLS-Verschlüsselung ist der einzige Schutz. Leider macht "New Outlook" hier kein Zertifikat-Pinning o.ä., um das Mitlauschen mit Fiddler u.a. zu unterbinden.

Vielleicht sollten Sie POP3/IMAP4-Postfächer bei ihrem Provider nicht mit "New Outlook" sondern Thunderbird oder emClient abfragen.

Mails synchronisieren

Mein New Outlook hat nun ein Access-Token, mit dem es alle weiteren Requests an outlook.office.com authentifiziert und dann holt sich New Outlook erst einmal die Konversationen

und im zweiten Schritt dann die Nachrichten dazu

Gerade die "GetItem" holen sich dann die Mail in den lokalen Cache. Es gibt natürlich noch viele weitere URLs, die das neue Outlook abruft, z.B. hinsichtlich Personendaten, Kalender etc.

https://outlook.office.com/ows/v1/OutlookCloudSettings/settings/?settingname=monarch_inbox_priming_data&n=21
https://outlook.office.com/owa/service.svc?action=GetTimeZone&app=Mail&n=30
https://outlook.office.com/owa/service.svc?action=GetCalendarFoldersV2&app=Mail&n=23  

Wobei ich mich dann schon frage, welcher Kalender hier gemeint ist. Bei IMAP4/POP3 gibt es eigentlich keinen Kalender aber das neue Outlook kann ja auch GMAIL-Konten, und Yahoo-Konten öffnen. ich kann aber einen Termin im Kalender anlegen.

Wobei sie hier schon sehen, dass ach dem "CreateCalendarEvent"  direkt ein "GetReminders" kommt und danach wieder einiges an Telemetrie gesendet wird. Wenn ich einen Kontakt anlege, dann greift Outlook aber auf "delve.office.com" zu

Das IMAP4-Postfach bei IONOS hat natürlich auch einen Kalender und Kontakte. Dort landen die Daten aber nicht.

Auch Termine werden nicht zurückgeschrieben.

Das bedeutet, dass hier ein Schattenpostfach bei Microsoft existiert, auf welches der Anwender nur per "New Outlook" zugreifen kann. Ich hätte mir gewünscht, dass "New Outlook" die Funktionen "Kalender" und "Kontakte" in Verbindung mit IMAP4 gar nicht anzeigt, wenn die Daten nicht im nativen Postfach liegen.

New Outlook hat zwar eine "Export"-Funktion, die aber, sie sehen es selbst, nur mit einem Microsoft 365 Abonnement verfügbar ist.

Sogar der Import ist nur mit Abonnement verfügbar.

Werbung

Ich habe am Anfang schon das "Geschäftsmodell" angesprochen. Früher hat Microsoft das Programm "Outlook Express" kostenfrei mit Windows verteilt. Später wurde daraus das ebenfalls kostenfreie "Windows Mail und News", welches aber im Januar 2025 dann zugunsten zu "New Outlook" deaktiviert wurde. Es ist auf vielen Windows 10/11 PCs sogar noch installiert aber beim Start kommt nur ein Hinweis, dass man nun "New Outlook" nutzen muss. Siehe auch Das "richtige" Outlook. Das neue Outlook ist natürlich der für Microsoft für Exchange Online entwickelte Client, der zukünftig für Microsoft 365 Abonnenten das alte "classic Outlook" ersetzen soll. Aber für private Anwender wird sich Microsoft wohl andere Wege der Monetarisierung überlegen und erste Informationen finden wir schon in den ein oder anderen Requests.

GET /ows/api/beta/BootSettings?n=8&cv=FIklorOtTbHY0wrCVbAcCu.8 HTTP/1.1

{
  "items": [
    {
      "id": "AdsAggregateOptions",
      "value": {
        "options": [
   {
     "nativeAdsSeenRunningSum": 0,
     "nativeAdsClickedRunningSum": 0,
     "nativeCPMRunningSum": 0.0,
     "wasAdSeenInLastSession": false,
     "nativeWinCPMRunningSum": 0.0,
     "nativeAdsDeletedRunningSum": 0.0,
     "miniNativeAdsSeenRunningSum": 0,
     "miniNativeAdsClickedRunningSum": 0,
     "miniNativeCPMRunningSum": 0.0,
     "miniWasAdSeenInLastSession": false,
     "miniNativeWinCPMRunningSum": 0.0,
     "miniNativeAdsDeletedRunningSum": 0.0,
     "startOfAdFreeTrial": null,
     "feature": 31,
     "itemClass": "AdsAggregate",
     "id": "RgAAAADmgQkkaJbgTq-DQwDlTawGBwCQLFV9ktwASaAP0M3iiJQJAABfSz_iAACQLFV9ktwASaAP0M3iiJQJAABfS3p-AAAA0",
     "createdDateTime": "2025-03-08T09:35:19.4096313Z",
     "lastModifiedDateTime": "2025-03-08T09:35:41.2694139Z"
   }
        ]
      }
    },
PATCH /ows/v1.0/OutlookOptions/AdsAggregate

{
  "options": [
    {
      "nativeAdsSeenRunningSum": 0,
      "nativeAdsClickedRunningSum": 0,
      "nativeCPMRunningSum": 0.0,
      "wasAdSeenInLastSession": false,
      "nativeWinCPMRunningSum": 0.0,
      "nativeAdsDeletedRunningSum": 0.0,
      "miniNativeAdsSeenRunningSum": 0,
      "miniNativeAdsClickedRunningSum": 0,
      "miniNativeCPMRunningSum": 0.0,
      "miniWasAdSeenInLastSession": false,
      "miniNativeWinCPMRunningSum": 0.0,
      "miniNativeAdsDeletedRunningSum": 0.0,
      "startOfAdFreeTrial": null,
      "feature": 31,
      "itemClass": "AdsAggregate",
      "id": "RgAAAADmgQkkaJbgTq-DQwDlTawGBwCQLFV9ktwASaAP0M3iiJQJAABfSz_iAACQLFV9ktwASaAP0M3iiJQJAABfS3p-AAAA0",
      "createdDateTime": "2025-03-08T09:35:19.4096313Z",
      "lastModifiedDateTime": "2026-06-05T08:42:08.0868308Z"
    }
  ]
}

In einem anderen Request geht es noch weiter:

POST https://outlook.office.com/owa/startupdata.ashx?bO=4&app=Mail&n=10 HTTP/1.1

   "XandrNativeAds": {
         "placementOther1": "Monarch_OtherInbox1",
         "placementOther2": "Monarch_OtherInbox2",
         "placementPrimary": "Monarch_PrimaryInbox",
         "placementHeader": "Monarch_Header",
         "placementNonInbox": "Monarch_NonInbox",
         "placementFloatingInbox": "Monarch_Float_Primary",
         "placementFloatingOther": "Monarch_Float_Other",
         "placementOther12ndCall": "SECMonarch_OtherInbox1",
         "placementOther22ndCall": "SECMonarch_OtherInbox2",
         "placementPrimary2ndCall": "SECMonarch_PrimaryInbox",
         "placementHeader2ndCall": "SECMonarch_Header",
         "placementNonInbox2ndCall": "SECMonarch_NonInbox",
         "placementFloatingInbox2ndCall": "SECMonarch_Float_Primary",
         "placementFloatingOther2ndCall": "SECMonarch_Float_Other",
         "placementFocusInbox": "Monarch_FocusedInbox",
         "placementFocusInbox2ndCall": "SECMonarch_FocusedInbox"
     },
     "BingNativeAds": {
         "placementOther1": "ARC91CIQQ2hWS1WWiLss2ZBIQ+ffJVsSKf/t5dKFa0wJJoSyrnK3SIqqxlSMhm+bbsvUaIjd5urPFJOb5NCub9GW",
         "placementOther2": "ARBDaWrB4+TbhfzIykmx/I93lDR4REu2PBq0/fHd5vnV2xxTvCuMCHMMIlX4FHWRXcxr8AqEf5FmZCw1GIMwafMo",
         "placementPrimary": "ARBVc12YM0AxN+nBdclzE0sbwvjQHTRjXK/OTLgA+ZviMtEWPgIvgNjcR16hJ5pehCW4tD1617QUTXJsO1I3b//M",
         "placementHeader": "ARCi/KiLZmpVEQncTdaxFCt3RxJq+POs0SJRAP8IIrrk0Sn5TkR7qePtlH2oeQ755aZWIhlKifv7Gv2M/d9jLMM8"
     },
     "TaboolaNativeAds": {
         "apiKey": "69629143827c91b118c7e0dc9f2a4eb0059feae9",
         "publishIdFormat": "msn-outlookforwindows-{0}",
         "placementOther1": "Monarch_OtherInbox1",
         "placementOther2": "Monarch_OtherInbox2",
         "placementPrimary": "Monarch_PrimaryInbox",
         "placementHeader": "Monarch_Header",
         "placementNonInbox": "Monarch_NonInbox",
         "placementFloatingInbox": "PCWeb_Float_Primary",
         "placementFloatingOther": "PCWeb_Float_Other"
     },
     "TripleliftNativeAds": {
         "placementOther1": "Monarch_OtherInbox1",
         "placementOther2": "Monarch_OtherInbox2",
         "placementPrimary": "Monarch_PrimaryInbox",
         "placementHeader": "Monarch_Header",
         "placementNonInbox": "PCWeb_NonInbox",
         "placementFloatingInbox": "PCWeb_Float_Primary",
         "placementFloatingOther": "PCWeb_Float_Other"
     },
     "InboxShopping": {
         "allowedDomainsURL": "https:{0}assets/inboxshopping/v3/allowedDomainsBloom.json"
     },

Die Werbung wird dabei "wie eine neue Mail" im Posteingang mit eingeblendet. Sie ist nur nur ein sehr kleines Banner als solche zu erkennen aber von Farbe, Schrift, Hintergrund mit einer Mail zu verwechseln.

Wer auf den einer Mail zum Verwechseln ähnlichen Eintrag klickt, bekommt dann nicht rechts im Nachrichtenfeld die Details, sondern öffnet direkt ohne weiteren Hinweis oder Warnung einen Browser. Die URL ist vorab nicht sichtbar und aus einem kleinen Link hinterlässt man gleich wieder eine ganze Spur bei all den verschiedenen Diensten.

Ich warte nur darauf, dass ein "Werbepartner" eine Werbung bei Microsoft platziert, bei der die Umleitung von msft-ssp-emea.adnxs.com (Registrant ist Microsoft) auf eine Malwareseite geht. An allen Stellen warnen wir Anwender beim Klick auf externe Links und hier schleichen Sie sich mitten in meine persönlichen Mails.

Einschätzung

All meine Befürchtungen sind eingetreten und lassen mich Abstand davon nehmen, mit "New Outlook" ein IMAP4-Postfach zu nutzen. Ich kann verstehen, dass IMAP, POP3, SMTP und andere "alte Protokolle" in einer modernen REST-API-getriebenen Welt und mit JavaScript und HTML in Form einer "Modern App"  nicht mehr sinnvoll verwendbar sind. Aber wenn ich als Hersteller eines Betriebssystem unbedingt einen MailClient für Privatanwender mitliefern will, dann hätte ein einfacher IMAP4-Client gereicht. Der Umweg über Microsoft 365 als Proxy ist zumindest zu hinterfragen, denn...

  • Kennwort wird bei Microsoft hinterlegt
    Ich vermute, dass die wenigsten Personen überhaupt wissen, wie "New Outlook" funktioniert und dass ihr Kennwort damit bei Microsoft "irgendwo" liegt.
  • Termine und Kontakte
    Ich kann in New Outlook solche Elemente anlegen und nutzen, ohne dass Sie in meinem IMAP4-Postfach sind, Sie liegen "irgendwo" bei Microsoft und sind nicht einfach zu extrahieren. Die meisten Anwender werden das nicht wissen und mit Outlook auf dem Mobilgerät sind sie auch weiter erreichbar. Am Ende wird der Anwender aber so gezwungen , dass Microsoft Ökosystem nicht mehr zu verlassen, denn der ShadowService ist nicht über andere Clients erreichbar.
  • Datenschutz
    Jeder Anwender kann "New Outlook" als Installation von Windows 11 Home und höher einfach nutzen. Der Assistent unterstützt bei der Einrichtung und die Autoermittlung hat zumindest mit IONOS als Beispiel ohne manuelle Angabe von Serveradressen und Ports geklappt. Aber Frage zu Datenschutz, Wie lange die Daten bei Microsoft liegen oder wann Sie nach Inaktivität (inklusive Kennwort) wieder gelöscht werden, ist mit noch unklar.
  • Werbung
    Ohne Microsoft Konto wird Werbung auf eine Art eingeblendet, die ich schon als unverantwortlich bezeichnen würde. Sie müsste viel deutlicher gekennzeichnet werden. Zumal Microsoft über die Postfachdaten noch viel mehr über den Nutzer und seine Vorlieben, z.B. auch Einkäufe aus Bestellbestätigungsmails, Newsletter etc. weiß und diesen "Schatz" eher nicht brach liegen lassen.

Wenn mein Postfachprovider keine eigene App bereitstellt, dann sollte ich besser einen IMAP4-Client nutzen, der direkt mit meinem Provider spricht und nur die Funktionen anbietet, die ich auch nutzen kann. Eigentlich wollte ich nur etwas die Kommunikation zwischen "New Outlook" mit einem IMAP4-System analysieren. Ich werde aber zukünftig bei IMAP4-Postfächern entweder "Classic Outlook" oder Thunderbird einsetzen und dies auch all den Freunden, Nachbarn etc. nahelegen.

Weitere Links