Tags: Exchange, Microsoft 365, Verschlüsselung
Bereits vor mehr als zwei Jahren endete die Unterstützung von Exchange Online für TLS 1.0 und 1.1. Diese älteren Versionen des Verschlüsselungsstandards gelten heute als unsicher. Nun will Microsoft diese Versionen auch nicht mehr für POP3- und IMAP4-Clients bereitstellen. Bis April läuft noch eine Übergangsfrist mit einer Opt-in-Lösung.
Da bei vielen Unternehmen nach wie vor noch POP3- und IMAP-Clients im Einsatz sind, die das neuere, sichere TLS 1.2 nicht unterstützen, hat sich Microsoft eine Übergangslösung ausgedacht.
Bis Ende April dieses Jahres stellt das Unternehmen für solche Mail-Programme einen Opt-in-Endpoint bereit, während die Mehrheit der Anwender bereits die erhöhte Sicherheit von TLS 1.2 nutzen kann.
Zwei Konfigurationsänderungen erforderlich
Um den Endpoint nutzen zu können, müssen Administratoren zwei Einstellungen treffen. Zum einen ist es erforderlich, dass sie in PowerShell mit dem Cmdlet Set-TransportConfig den Parameter AllowLegacyTLSClients auf den Wert True setzen:
Set-TransportConfig -AllowLegacyTLSClients $true
Um den aktuellen Status abzufragen, verwendet man den Befehl:
Get-TransportConfig | Format-List AllowLegacyTLSClients
Zum zweiten müssen sie in den betroffenen, älteren POP3- und IMAP4-Clients für den Posteingangs-Server die Adresse pop-legacy.office365.com beziehungsweise imap-legacy.office365.com angeben.
Kunden, die auf die Infrastruktur des chinesischen Dienstleisters 21Vianet zugreifen, verwenden hingegen die Adressen pop-legacy.partner.outlook.cn und imap-legacy.partner.outlook.cn.
Schlussphase beginnt im Februar
Ab Februar 2023 wird Microsoft nach und nach immer mehr POP3- und IMAP4-Verbindungen mit TLS 1.0 ablehnen. Die Clients starten dann einen neuen Verbindungsversuch. In den Wochen darauf will der Konzern die Zahl der abgelehnten Verbindungen ständig erhöhen, bis es zu merklichen Verzögerungen kommt.
Es erscheinen dann Fehlermeldungen wie
TLS 1.0 and 1.1 are not supported. Please upgrade/update your client to support TLS 1.2. Visit https://aka.ms/popimap_tls
Ende April werden die beiden veralteten TLS-Versionen dann endgültig deaktiviert. Das Gleiche geschah bereits mit TLS 1.0 und 1.1 für SMTP-Clients. Einen entsprechenden Artikel dazu findet man hier.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft blockiert Outlook Web App (OWA) Premium in nicht unterstützten Browsern
- Postfächer aus Microsoft 365 in eine PST-Datei exportieren mit PowerShell
- Neue Rückruf-Funktion für E-Mails in Exchange Online
- Exchange Online: Admins können nun mehrere Lizenzen parallel zuweisen
- Exchange 2019 CU13 erst in H1 2023, Aus für Basic Auth for Autodiscover
Weitere Links