Microsoft hat gerade angekündigt, dass veraltete TLS-Versionen und Endpunkte für POP und IMAP in Exchange Online ab Juli 2026 nicht mehr unterstützt werden. Denn Microsoft plant die Unterstützung für veraltete TLS-Versionen (TLS 1.0 und TLS 1.1) bei POP3- und IMAP4-Verbindungen zu Exchange Online vollständig einzustellen. Administratoren von Exchange Online-Tenants müssen handeln und sicherstellen, dass Clients mindestens TLS 1.2 unterstützen.
TLS 1.0/1.1 gelten als veraltet
Mir ist die Ankündigung die Nacht über nachfolgenden Tweet untergekommen, ein Leser hat aber auch im Diskussionsbereich auf das Thema hingewiesen. Microsoft hat zum 27. April 2026 den Techcommunity-Beitrag Deprecating Legacy TLS and Endpoints for POP and IMAP in Exchange Online mit weiteren Informationen veröffentlicht.
Das Problem bei der Absicherung von Internetverbindungen besteht darin, dass ältere kryptografische (TLS-)Protokolle nicht mehr den erforderlich Schutz bieten, der angesichts der heutigen Bedrohungslage erforderlich ist. Speziell die älteren TLS 1.0- und 1.1-Protokolle gelten inzwischen als unsicher.
Microsoft hat aus diesem Grund bereits seit Jahren damit begonnen, diese älteren Versionen zu sperren. Ich hatte beispielsweise 2024 im Beitrag Microsoft beendet die Unterstützung für TLS 1.0 und 1.1 in Azure zum 31. Oktober 2024 über einen solchen Ansatz berichtet. Aber es gab bisher die Möglichkeit, TLS 1.0 / 1.1. durch eine aktive Zustimmung weiterhin zu nutzen.
Die obigem Maßnahmen führten dazu, dass aktuelle E-Mail-Clients und Bibliotheken daher bereits seit längerem TLS 1.2 oder höher als Kommunikationsprotokoll unterstützen. Der Großteil des POP- und IMAP-Datenverkehrs zu Exchange Online nutzt heute diese neueren Protokolle.
TLS 1.0 / 1.1 wird ab Juli 2026 blockiert
Microsoft plant daher, die Unterstützung für veraltete TLS-Versionen (TLS 1.0 und TLS 1.1) bei POP3- und IMAP4-Verbindungen zu Exchange Online vollständig einzustellen. Das dürfte nur noch wenige Kunden betreffen, die Clients verwenden, die kein TLS 1.2 unterstützen. Ab diesem Monat werden ältere Clients, die E-Mails per POP oder IMAP von Exchange Online-Postfächern abholen möchten, und kein TLS 1.2 unterstützen, schlicht nicht mehr funktionieren.
Hier fallen mir nur sehr alte Betriebssysteme wie Android 4.4, iOS 4, Windows XP/Vista, macOS 10.10 oder Uralt-Linux-Varianten ein, die wegen fehlendem Support eh keinen Internetzugriff mehr bekommen sollten. Ähnliches gilt für uralte E-Mail-Clients wie Outlook 2010, 2013 etc., die längst aus dem Support gefallen sind. Anbieter wie IONOS, Web.de etc. haben bereits seit 2022/2023 TLS 1.2 für die E-Mail-Kommunikation zur Pflicht gemacht.
Administratoren von Exchange Online-Tenants empfiehlt Microsoft, falls POP und IMAP-Zugriffe erfolgen, sicherzustellen, dass E-Mail-Clients, Anwendungen und Bibliotheken TLS 1.2 oder höher unterstützen und keine veralteten Endpunkte für die Verbindung verwenden. Frage: Ist irgend jemand in der Leserschaft von dieser Abschaltung betroffen, weil noch Endpunkt mit TLS 1.0/1.1 kommunizieren müssen und nicht umgestellt werden können?
MVP: 2013 – 2016
@GBorn: In der Überschrift fehlt ein >nicht<
Hmm…
Da ist M$ aber ganz schön spät dran – da sind ja dsbzgl. alle anderen E-Mail-Anbieter wesentlich früher aktiv gewesen. 🙄
"Several years ago we started the move to block these older versions, but we did allow you to use them by opting-in, we're now removing support for them entirely. Our expectation is that only customers who have explicitly opted into using those legacy endpoints are impacted by the deprecation we are announcing today."
Es fällt nun nur Final der OPT-IN weg
Abwärtskompatibilität wird der Grund gewesen sein, warum sie das nicht schon früher komplett abgeschaltet haben. Der Default ist ja TLS1.2, wenn man das ältere nutzen wollte musste man das explizit einschalten.
Wobei ich sagen muss, für POP und IMAP fällt mir kein sinnvolles Szenario für alte Clients ein, Scanner bzw. Multifunktionsgeräte mit "Scan to Mail" sind zwar durchaus Kandidaten, aber die benutzen meist nur SMTP.