Microsoft hat gerade angekündigt, dass veraltete TLS-Versionen und Endpunkte für POP und IMAP in Exchange Online ab Juli 2026 nicht mehr unterstützt werden. Denn Microsoft plant die Unterstützung für veraltete TLS-Versionen (TLS 1.0 und TLS 1.1) bei POP3- und IMAP4-Verbindungen zu Exchange Online vollständig einzustellen. Administratoren von Exchange Online-Tenants müssen handeln und sicherstellen, dass Clients mindestens TLS 1.2 unterstützen.
TLS 1.0/1.1 gelten als veraltet
Mir ist die Ankündigung die Nacht über nachfolgenden Tweet untergekommen, ein Leser hat aber auch im Diskussionsbereich auf das Thema hingewiesen. Microsoft hat zum 27. April 2026 den Techcommunity-Beitrag Deprecating Legacy TLS and Endpoints for POP and IMAP in Exchange Online mit weiteren Informationen veröffentlicht.
Das Problem bei der Absicherung von Internetverbindungen besteht darin, dass ältere kryptografische (TLS-)Protokolle nicht mehr den erforderlich Schutz bieten, der angesichts der heutigen Bedrohungslage erforderlich ist. Speziell die älteren TLS 1.0- und 1.1-Protokolle gelten inzwischen als unsicher.
Microsoft hat aus diesem Grund bereits seit Jahren damit begonnen, diese älteren Versionen zu sperren. Ich hatte beispielsweise 2024 im Beitrag Microsoft beendet die Unterstützung für TLS 1.0 und 1.1 in Azure zum 31. Oktober 2024 über einen solchen Ansatz berichtet. Aber es gab bisher die Möglichkeit, TLS 1.0 / 1.1. durch eine aktive Zustimmung weiterhin zu nutzen.
Die obigem Maßnahmen führten dazu, dass aktuelle E-Mail-Clients und Bibliotheken daher bereits seit längerem TLS 1.2 oder höher als Kommunikationsprotokoll unterstützen. Der Großteil des POP- und IMAP-Datenverkehrs zu Exchange Online nutzt heute diese neueren Protokolle.
TLS 1.0 / 1.1 wird ab Juli 2026 blockiert
Microsoft plant daher, die Unterstützung für veraltete TLS-Versionen (TLS 1.0 und TLS 1.1) bei POP3- und IMAP4-Verbindungen zu Exchange Online vollständig einzustellen. Das dürfte nur noch wenige Kunden betreffen, die Clients verwenden, die kein TLS 1.2 unterstützen. Ab diesem Monat werden ältere Clients, die E-Mails per POP oder IMAP von Exchange Online-Postfächern abholen möchten, und kein TLS 1.2 unterstützen, schlicht nicht mehr funktionieren.
Hier fallen mir nur sehr alte Betriebssysteme wie Android 4.4, iOS 4, Windows XP/Vista, macOS 10.10 oder Uralt-Linux-Varianten ein, die wegen fehlendem Support eh keinen Internetzugriff mehr bekommen sollten. Ähnliches gilt für uralte E-Mail-Clients wie Outlook 2010, 2013 etc., die längst aus dem Support gefallen sind. Anbieter wie IONOS, Web.de etc. haben bereits seit 2022/2023 TLS 1.2 für die E-Mail-Kommunikation zur Pflicht gemacht.
Administratoren von Exchange Online-Tenants empfiehlt Microsoft, falls POP und IMAP-Zugriffe erfolgen, sicherzustellen, dass E-Mail-Clients, Anwendungen und Bibliotheken TLS 1.2 oder höher unterstützen und keine veralteten Endpunkte für die Verbindung verwenden. Frage: Ist irgend jemand in der Leserschaft von dieser Abschaltung betroffen, weil noch Endpunkt mit TLS 1.0/1.1 kommunizieren müssen und nicht umgestellt werden können?
MVP: 2013 – 2016
@GBorn: In der Überschrift fehlt ein >nicht<
Hmm…
Da ist M$ aber ganz schön spät dran – da sind ja dsbzgl. alle anderen E-Mail-Anbieter wesentlich früher aktiv gewesen. 🙄
"Several years ago we started the move to block these older versions, but we did allow you to use them by opting-in, we're now removing support for them entirely. Our expectation is that only customers who have explicitly opted into using those legacy endpoints are impacted by the deprecation we are announcing today."
Es fällt nun nur Final der OPT-IN weg
Abwärtskompatibilität wird der Grund gewesen sein, warum sie das nicht schon früher komplett abgeschaltet haben. Der Default ist ja TLS1.2, wenn man das ältere nutzen wollte musste man das explizit einschalten.
Wobei ich sagen muss, für POP und IMAP fällt mir kein sinnvolles Szenario für alte Clients ein, Scanner bzw. Multifunktionsgeräte mit "Scan to Mail" sind zwar durchaus Kandidaten, aber die benutzen meist nur SMTP.
ja. Mehr oder weniger alte Geräte die Senden über SMTP hab ich auch. MuFu, Firewall, USV, Logfiles von Software
Aber all das landet sowieso nicht direkt beim Exchange Online. Die Geräte kommen gar nicht selbst raus.
Sollte standardmässig doch eh keiner mehr verwenden und wer das explicit doch verwendet sollte eigentlich Bescheid wissen.
Alle Outlook-Versionen nutzen die TLS-Fähigkeiten des Betriebssystems, auf dem sie installiert sind.
Kann das Betriebssystem TLS 1.2, kann sogar ein uraltes Outlook 2003 TLS 1.2.
TLS 1.2 gibt es ab Windows 7 und in Vista lässt es sich mit Tricks nachrüsten, denn für die Serverversion von Vista, Server 2008, gab es ein Update von Microsoft, das ihm die Unterstützung für TLS 1.2 nachrüstet. Das kann man mit Tricks auch bei Vista installieren.
Aber sinnvoll ist das bei so uralten Systemen nun wirklich nicht.
Die sollten nicht mehr ins Internet.
Microsoft ist da mit der Abschaltung von TLS 1.0/1.1 imho ziemlich spät dran.
Kommt aber auch auf die Ciphers an.
Schön das MS das kommuniziert, das Sie aber die Spoofing Mailerkennung hochgeschraubt haben lese ich nirgendwo. Seit Ende letzter Woche landen Mails die über Drittsysteme mit der eigenen Domain versendet werden, rigoros bei M365 Outlook im Junk Ordner.
Dabei spielt es auch keine Rolle ob das Drittsystem im SPF Eintrag der Absendedomain hinterlegt ist oder nicht.
Ich denke das hängt mit der "Direct Send" Problematik zusammen, die letzte Woche hochgekocht ist. Die Problematik das "Direct Send" ein Problem ist, wenn man es nicht sauber konfiguriert, ist ja schon alt. Nur scheinen da letzte Woche eine Menge aktive Ausnutzungen stattgefunden zu haben. (Ein Thema für den Blog!?)
Ich habe den Defender über https://security.microsoft.com/spoofintelligence erstmal trainiert das die für uns relevanten Mails aus Drittsystemen nicht mehr als Junk geflagt werden.