POP3 Clients

Achtung
Wenn Sie per POP3 an ein Postfach gehen, können sie NUR den Posteingang sehen und lesen.

Achtung
Sehr viele Programme, die per POP3 zugreifen, laden die Mails "herunter" und löschen dann die Mails im Posteingang. Diese Mails können in Exchange nicht über den Papierkorb wieder geholt werden. Wenn kein Exchange 2010 Version Store aktiv ist, bleibt nur ein Restore der Datenbank vom Band über eine Wiederherstellungsgruppe oder Sie finden den Client und migrieren die Daten wieder zurück, z.B. per IMAP4

Als Serveradministrator würde ich POP3 nicht einschalten. Sollte es dennoch Systeme geben, die z.B. ein Spezialpostfach per POP3 abrufen, dann könnte der Connector auf die bestimmte IP des Clients beschränkt werden. Alternativ können Sie POP3 bei allen anderen Postfächern mittels "Set-CASMailbox" abschalten.

Nehmen wir mal an, die können oder wollen warum auch immer, kein Outlook für die Anbindung an Exchange einsetzen. Auch die Anbindungsvarianten per Outlook Webzugriff oder Terminal Server sind für sie keine Alternativen, dann bleibt nur der Weg, die Kompatibilität von Exchange Server mit dem Internet zu nutzen. Sie haben dazu für den Zugriff auf Ihr Postfach das Protokoll POP3 bzw. IMAP4 zur Verfügung. für den Zugriff auf öffentliche Ordner können sie das Protokoll NNTP nutzen.

Nun fehlt ihnen noch das passende Programm und die Netzwerkanbindung. Alle Internet Programme nutzen das Netzwerkprotokoll TCP/IP zur Übertragung von Daten. Diese muss von ihnen zuerst korrekt konfiguriert werden, damit die Datenpakete zwischen ihrem Client und dem Server ausgetauscht werden können. Achten Sie dabei auf die Namensauflösung. Wenn Sie den Zugang von unterwegs oder per Internet planen, dann helfen Ihnen vielleicht auch die Informationen zu RAS und VPN.

Alle Internet Clients sind im Vergleich zu Outlook nur eine sehr schlechte alternative. Sogar wenn Sie im Internet sitzen, können Sie mit Outlook, VPN und der Replikation eine viel höherwertige Nutzung erreichen, die zudem in vieler Sicht sicherer ist.

Fakten zu POP3 bei Standardinstallation

  • Mails werden abgeholt und in der Regel lokal gespeichert.
  • Keine Stellvertreter
  • keine serverbasierten Daten
  • kein zentrales Backup
  • Unsicher ohne SSL (Kennwort in Klarschrift)
  • Keine Ordnerverwaltung auf dem Server
  • keiner serverbasierten Regeln
  • keine servergespeicherten Ansichten
  • ...

Also jede Menge Fakten, die einen Einzelbenutzer bei GMX, Web.de, T-Online und anderen Provider nicht sonderlich stören, aber innerhalb eines Firmennetzwerks hinderlich sind. POP3 intern macht also nur Sinn, wenn auch die nächsten zwei Jahre "Mail only" ohne einen Server mit wünschenswerten und notwendigen Funktionen (Exchange, Notes, GroupWise etc.) eingesetzt wird.

Mit Ausnahme bei IMAP4 landen alle Informationen in der Regel in einer lokalen Datei. Oftmals ist das zudem der einzige Platz. Über Datensicherung und Zugriffschutz sollten Sie sich daher rechtzeitig ihre Gedanken machen. Die Ablage dieser Dateien auf einem Dateiserver im LAN ist meist möglich aber konterkariert die Nutzen. Mails werden zuerst vom Exchange Server über das LAN zum Client übertragen, damit dieser die Nachricht wieder auf einen anderen oder den gleichen Server als Datei speichert. Dieses Vorgehen ist bei Mailservern notwendig, die keinen Speicher anbieten (z.B. reine POP3-Mailserver) aber das ist ja gerade die Stärke von Exchange, dass Nachrichten immer auf dem Server verbleiben können.

POP3 und Sicherheit

Die Verbindung zum Exchange Server per POP3 kann unverschlüsselt (Port 110) oder SSL-verschlüsselt (Port 995) erfolgen. Sie sollten immer die verschlüsselte Variante vorziehen, damit sowohl die Anmeldung (Benutzername/Kennwort) aber auch die Nutzdaten (Ihre Mailinhalte samt Anlagen) verschlüsselt sind. Nur so ist ein Mitlesen (fast) unmöglich. Da es aber immer noch Clients gibt, die vielleicht SSL nicht unterstützen, hat Exchange auch für die Anmeldung eine Sicherheit eingebaut. Per Default ist eine Anmeldung über den unverschlüsselten Zugang nur möglich, wenn Sie ein "sicheres" Anmeldeverfahren nutzen, d.h. NTLM oder Kerberos. Die "PlainText"-Anmeldung ist per Default abgeschaltet und sie sollten diese auch nicht einschalten. Sie können Diese nämlich nur pro Service ein oder abschalten und nicht pro Anwender. Wenn nur ein Anwender einen POP3-Zugang über Port 110 (unverschlüsselt) benötigt und sich nur per "PlainText" anmelden kann, dann kann dies jeder andere für POP3 zugelassene Anwender auch. Die folgende Tabelle soll ihnen noch einmal einen Überblick erleichtern.

POP3 Sicherheitseinstellungen Anmeldeverfahren
PlainText NTLM
Port 110/TCP

Anmeldedaten lesbar
Nutzdaten lesbar

Password geschützt
Nutzdaten lesbar

995 (SSL)

Anmeldedaten verschlüsselt
Nutzdaten verschlüsselt

Anmeldedaten verschlüsselt
Nutzdaten verschlüsselt

Komplette Sicherheit gibt es nur beim Zugriff über Port 993 mit SSL und passendem Zertifikat

POP3 und Anmeldung

Achtung Office 365
Ab Oktober 2020 wird eine Anmeldung per POP/IMAP nur noch über ModernAuth möglich sein:
"End of support for Basic Authentication access to Exchange Online API’s for Office 365 customers "
https://developer.microsoft.com/en-us/office/blogs/end-of-support-for-basic-authentication-access-to-exchange-online-apis-for-office-365-customers/
Exchange Online deprecating Basic Authentication
https://support.microsoft.com/en-us/help/4521831/exchange-online-deprecating-basic-auth

Wenn Sie sich mit POP3 an den Exchange Server anmelden wollen, dann sollten sie eine Eigenheit beachten, denn nicht alle Varianten sind "eingängig und erschließen sich auf den ersten Blick. Vor allem wenn Exchange in einer anderen Domäne als der Benutzer steht, kann es manchmal nicht ausreichend sein, nur eine Kurzform zu wählen:

Anmeldung mit Exchange 2000/2003 Exchange 2007/2010

Exchange Alias (mailnickname)

Nur wenn Alias = SamAccountName

Nur wenn Alias = SamAccountName

NT4Anmeldename (SamAccountName)

Nur wenn Alias = SamAccountName

Nur wenn Alias = SamAccountName

Domain\SamAccountName

Nur wenn Alias = SamAccountName

Nur wenn Alias = SamAccountName

Domain\SamAccountName\alias

OK

Nein

UPN (UserPrincipalName)

OK

OK

Primäre Mailadresse (Mai)

Nein

Nein

sekundäre Adresse (ProxyAddresses)

Nein

Nein

Ich habe nicht gesondert getestet, wenn der Exchange Server und das Benutzerkonto in unterschiedlichen Domains sind.

Meine Empfehlung ist generell, dass der UPN mit der Mailadresse übereinstimmen sollte und dass der Benutzer sich einfach mit diesen Daten überall anmeldet.

Achtung: Kennworte sind Klarschrift, wenn Sie kein SSL verwenden.

Quelle: 937359 POP3 and IMAP4 clients cannot connect to a server that is running Exchange Server 2007

This behavior occurs because POP3 and IMAP4 clients cannot use the DomainName\Username\Alias format to log on to the Exchange Server server. You can configure the POP3 and IMAP4 clients to use the User principal name (UPN) to log on to the Exchange Server 2007 server. You can change the Exchange Server mailbox alias to match the Microsoft Windows User account name
Exchange Server 2007 no longer supports the ability to log on to another User’s mailbox by using POP3 or IMAP4. If you want to log on to another User’s mailbox by using different credentials, you must use Microsoft Outlook or Microsoft Office Outlook Web Access.

Weitere Links