none
Exchange 365 + IMAP/POP3 přihlášení RRS feed

  • Dotaz

  • Dobrý den, prosím o pomoc s následujícím problémem ...
    Aktuálně testuji na zkušební doméně Exchange Online Plan 1, pokud přihlásím pomocí desktop aplikace Outlook 2019 přes Exchange protokol vše funguje. Bohužel IMAP ani POP3 nefunguje. 

    Problém je v nastavení Azure, podle logu přihlášení (viz přílohy)
    "Access has been blocked by Conditional Access policies. The access policy does not allow token issuance." 
    Bohužel podmínky přihlášení jsou dostupné jen v Premium verzi Azure.

    Jediný způsob jak to zprovoznit byl vypnout výchozí nastavení zabezpečení domény v Azure, pak připojení funguje ...
    Máte někdo jiné řešení ? Když chce člověk použít IMAP ... Je vůbec možné, aby jediný způsob jak zprovoznit IMAP byl tento ?

    Děkuji moc za pomoc !

    čtvrtek 23. prosince 2021 8:06

Všechny reakce

  • Obavam se, ze jiny zpusob nebude, dokud si nekoupis alespon jednu vyssi licenci - asi nejakou E5.

    MS se proste brani pred utoky robotu, kteri hadaji hesla. Spousta organizaci ma synchronizaci password hashe s lokalni AD = MS nezna slozitost hesla. A uhodnuti nekterych hesel tak muze byt velice snadne. Spina pak padne na MS, nikoliv na chybne nastavenou politiku v AD u zakaznika. A protoze IMAP a POP3 neumi MFA, pak je patrne MS uz v nekterych tenenatech zariznul. Hledam clanek, kde to bude jasne napsane.

    Jak s tim pracovat pokud mas Conditional Access licenci je napriklad zde https://techlabs.blog/blog-categories/azure/conditional-access-policy-block-legacy-authentication

    Tj udelas obracenou politiku pro konkretniho uzivatele, kde bude legacy Auth povolena.

    Ale ctu si https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/block-legacy-authentication
    A tam je takovy nepekny ramecek: Effective October 1, 2022, we will begin to permanently disable Basic Authentication for Exchange Online in all Microsoft 365 tenants regardless of usage, except for SMTP Authentication.

    Takze od 1.10.2022 asi IMAP a POP konci bez nahrady.

    čtvrtek 23. prosince 2021 9:24
  • A k tomu me napada ponekud obskurni reseni, pokud na IMAP a POP trvas...

    2 SMTP servery - Ex online a nejaky jiny, kteri si budou mezi sebou predavat postu pro nezname uzivatele. Obcas se to pouziva pri migracich, nebo ve spec pripadech.

    V Exch online si mailovou domenu prepenes na internal relay a specialnim konektorem budes posilat jinemu SMTP serveru - tvemu, placenemu nekde jinde..., ktery i nadale podporuje IMAP/POP.

    Ale budes mit orloj, o ktery se budes muset starat :)

    čtvrtek 23. prosince 2021 10:01
  • Je to tak jak popsal Miroslav. Způsob, jak zajistit fungování těchto legacy protokolů, je zakázat security default.

    Ale je potřeba si uvědomit, že jednak je to značné bezpečnostní riziko (proto to tak MS ve výchozím stavu blokuje), protože dle interních statistik MS 99 % všech útoků směřuje právě na tyto legacy protokoly, které neumí MFA a nemají žádné další pokročilé možnosti detekce útoků, které jsou k dispozici v moderních ověřovacích protokolech (Identity Protection, detekce různých anomálií apod.). No a pak je také potřeba počítat s tím, že životnost všech legacy protokolů (s výjimkou SMTP v tuto chvíli) pro Exchange Online končí 1.10.2022 - a nic s tím nenaděláš. Takže je otázka, jestli má smysl teď tyto protokoly vůbec řešit, když za cca 3/4 roku nadobro zmizí. A to se týká nejen POP3 a IMAP, ale i Exchange ActiveSync běžící na legacy authn - někteří klienti už umí EAS i na modern authn, ale většina jich stále využívá legacy authn a to také v říjnu skončí.

    Otázkou tedy ale je, proč tak trváš na POP3 a IMAP? To jsou extrémně zastaralé protokoly, které už dávno patří do propadliště dějin. Jsou tady moderní protokoly, které toho umí výrazně víc. A Outlook jako poštovní klient samozřejmě používá a plně podporuje tyto protokoly a Outlook je dostupný pro Windows, MacOS, Android i iOS.




    čtvrtek 23. prosince 2021 11:30
  • Bohuzel spousta aplikacnich systemu - ala spisove sluzby a ruzne dalsi automaticke systemy - vetsinou umi jen IMAP a POP. Nekdy malo i EWS. Takze chapu, ze nekdy to jinak nejde, aniz by se nevymenil nejaky system za X desitek tisic k tomu.

    Porad plati, co jsem rekl - neni problem predavat neexistujici uzivatele v 365 (IMAP/POP uzivatele) nejakemu externimu systemu, ktery tyto protokoly podporuje. A treba je to i tom, ze se potom IMAP/POP  vyuziva jen v ramci interni site a neni vystaven ven = z bezpecnosti pohledu rozhodne lepsi.

    Je potreba se pripravit, ze svet se neustale meni a je nutne prijimat stale vetsi a vetsi bezpecnostni opatreni.

    Ja si treba pamatuju dobu v devadestaych letech, kdy byl kazdy SMTP server na internetu ochoten prijmout a dorucit postu od kohokoliv komukoliv. Nez prisel prvni SPAM... Dneska nemyslitelna vec. Je to proste vyvoj.



    čtvrtek 23. prosince 2021 14:25
  • Dobrý den, všem vám moc děkuji za informace. Po pravdě o peníze jde v dnešní době až v první řadě, takže pro nás třeba není jednoduché upgradovat Office 2010 (sic !) na novější verzi, protože nejde jen o licence, ale také o spoustu maker ve VBA a projektů v Accesu ...

    Ale teď ještě pár drobností a otázek ...

    1) Pokud chápu správně od 01.10.2022 přestane IMAP pod Outlookem třeba ve verzi 2021 zcela fungovat ?
    (musí se tedy používat Exchange protokol včetně synchronizace kalendářů, úkolů atd)

    2) Na to aby mě programy typu : Veeam, Cobian, sql agenti, Acronis posílali emaily skrz SMTP mohu zapomenout ?
    (a budu si muset nastavit přesměrování třeba z gmailu)

    3) Pokud NEvypnu "výchozí nastavení zabezpečení" tak mě pod androidem nejde Exchange protokol, když to vypnu vše se mě synchronizuje. Počítám že to je starším telefonem BlackBerry. Je otázka jak staré androidy je třeba mít, aby ten Exchange protokol a možnost využívání emailu a kalendáře od výrobce bylo možné použít. Počítám, že jediné zcela bezproblémové řešení bude Outlook pro Android ?

    4) No a poslední povzdechnutí, myslel jsem, že Business 365 Standard bude částečně pro nás variantou, než přejdeme na produkt Office 2021 (jsem proti pravidelným platbám). Ale bohužel, nainstaluje se všechno nebo nic (já potřebuji jen Outlook 365) :-)

    Přeji všem hezký závěr roku !

    úterý 28. prosince 2021 15:32
  • Ad1 - ano, tak jsem pochopil sdeleni v MS clanku vyse

    Ad2 - Ne, SMTP stale umozni basic auth. Viz clanek a citovana veta - except for SMTP.... Navic pokud se z aplikaci posila jen internim uzivatelum, nemusi se autentikovat vubec.

    Ad3 - ano, stare Active Sync protokoly asi boudou mit problem

    Ad4 - nerozumim. Podpora IMAP a POP se nijak netyka verzi Office. I s O2013 lze pracovat s Exchange online. S Off2010 uz ne. Viz https://docs.microsoft.com/en-us/deployoffice/endofsupport/microsoft-365-services-connectivity  Porad zbyva Outlook online (web rozhrani) nebo mobilni appka, ktera je zdarma.

    A plati, co jsem uz napsal - kup si alespon jednu nejakou advanced E5 licenci a muzes nastavovat conditional access per user. Neni to asi uplne licencne korektni, ale zatim to jde. Do pristiho rijna, pak je asi konec.




    úterý 28. prosince 2021 18:03
  • Ad 3) Ano, to je ten scénář, co jsem popisoval - Exchange ActiveSync je protokol, který obecně umožňuje jak basic authn, tak i modern authn. A je pouze na vývojáři dané aplikace, jestli EAS implementoval s basic authn nebo modern authn. Například Apple Mail klient od iOS 12 pokud se nepletu využívá EAS s modern authn -> bude tedy fungovat i se zapnutým security defaults a i po 1.10.2022. Stejně tak je na tom myslím i Samsung Mail klient na Android 8 nebo 9 a novějším. Ale většina ostatních aplikací bohužel u EAS stále využívá legacy/basic authn a tudíž nefungují se zapnutým security defaults a definitivně přestanou fungovat po 1.10.2022. V případně nejasností kontaktuj vývojáře dané aplikace a ověř možnosti použití modern authn v dané aplikaci. Nebo přejdi na MS Outlook, který samozřejmě běží na modern authn již léta.

    ad 4) Pokud máš na mysli Microsoft 365 Business Standard, tak nemusí instalovat vše. Použij Office Deployment Tool a nainstaluj si jen to, co chceš používat. Na druhou stranu ale nerozumím tomu, proč bys to dělal? Proč bys používal staré Word/Excel/PowerPoint, když máš zaplacenou novou licenci? Nehledě na to, že kombinace různých verzí Office na jednom PC jsou minimálně problematické, často zcela nepodporované, viz Use Office 2013 on a computer that's running another version of Office - Office | Microsoft Docs. A když stejně plánuješ přejít na Office 2021, pak vůbec nerozumím všem těmto taškařicím s různými verzemi, kombinováním, částečnými přechody... Vždyť to bude stát tolik času a starostí (a čas jsou peníze a peníze jsou až na prvním místě...), že se to přece nemůže vyplatit, pokud nejsi korporát o desítkách tisíc uživatelů, kde to takové časové investice ve výsledku mohou dávat smysl...

    Office 2010 jsou již celkově nepodporované, takže by bylo vhodné tak jako tak je nahradit novější podporovanou verzí. Office 365 obecně nepodporuje Office, které nemají oficiální podporu. A naopak Office, které mají oficiální podporu, mají i podporu modern authn a tedy nemají tento řešený problém s basic ověřováním.

    S tím nákupem jedné licence a využívání služby pro všechny to není vůbec licenčně korektní, protože přesněji řečeno je to v rozporu s licenčnímu podmínkami. Dalo by se to přirovnat k tomu, jako bys měl AD a koupil jen 1 CAL, i když máš víc než jednoho uživatele. Není to vůbec v ničem jiné a je to špatně.

    A co je tak špatného na pravidelné platbě? Kolik na tom reálně ušetříš a po jaké době? Office 2021 pro domácnosti a podnikatele stojí 7000, M365 Business Standard je příplatek 7,5 dolaru oproti Business Basic (kterou tak jako tak potřebuješ a kde ten pravidelné poplatek jak jako tak máš, takže se pravidelného poplatku stejně nezbavíš...), takže ten nákup trvalé licence se ti vrátí za 3,5 roku cca. Jenže za 3,5 roku už bude nová verze Office, kterou budeš muset zase koupit za plnou cenu, přitom v pravidelném poplatku máš vždy nejnovější verzi Office, nebo bys s trvalou licencí musel používat starou verzi Office, kde bys dříve či později začal narážet na různá omezení, protože to jsou prostě staré Office (viz ty aktuální problémy...). A to neberu v potaz to, že krabicové Office nemají některé funkce, které ty Office za pravidelný poplatek mají, navíc díky pravidelným aktualizacím se ty "nůžky" stále více otvírají, protože s trvalou licencí nové funkce dostávat nebudeš, ale u Microsoft 365 licence máš pravidelně nové funkce k dispozici. Firmy to začínají chápat a přecházejí na Microsoft 365, protože to má mnoho různých výhod. A podle mě nemá smysl to oddalovat a teď máš příležitost ten model změnit a vyřešit si problémy do budoucna, které s krabicovkou dříve či později přijdou, o čemž není pochyb.


    středa 29. prosince 2021 13:02
  • Všem přeji krásný Nový rok a moc děkuji za fundované odpovědi !

    Jak jsem naznačil, přejít pod Word/Excel 365/2021 je časově náročné z hlediska  komaptibility starších aplikací co máme ve VBA ... Nicméně jsem zjistil, že valná většina funguje (přechod VBA z verze Office 2003 na 2010 byl daleko horší).

    Vyzkouším ten Office Deployment Tool.

    Mám zcela poslední dva dotazy ...

    1) Aktuálně mě pod Outlook 2010 funguje připojení přes Exchange konektor ... Takže tohle přestane fungovat od 1.10.2022 a mám čas na vyřešení upgradu Office ...

    2) Nevíte někdo jak dlouho ještě bude Office 365 fungovat pod Windows 7 ?

    Děkuji !

    neděle 2. ledna 2022 14:36
  • Ad1) Ano. O2010 neumi modernAuth, ktera bude od rijna 2022 jedinou povolenou metodou pro autentikaci outlooku.

    Ad2) snadno lze nalezt tento dokument https://support.microsoft.com/en-us/office/windows-7-end-of-support-and-office-78f20fab-b57b-44d7-8368-06a8493f3cb9

    Takze koncovym datem teto kombinace je leden 2023.

    neděle 2. ledna 2022 16:44