Exchange Online | Support-Ende für Legacy TLS bei POP3 & IMAP4 ⏱ 3 Min.

Exchange Online | Support-Ende für Legacy TLS bei POP3 & IMAP4

Exchange Online

Ab Juli 2026 zieht Microsoft den Stecker für TLS 1.0 und TLS 1.1 bei POP3 und IMAP4 in Exchange Online. Wer veraltete Mail-Clients oder Hardware-Devices am Postfach hängen hat, sollte jetzt inventarisieren, sonst stehen im Sommer Multifunktionsdrucker, Scan-to-Mail-Geräte und alte Branchenanwendungen ohne Vorwarnung still.

Das Exchange-Team hatte im Januar 2023 einen Opt-in-Endpunkt geschaffen, über den Tenants POP3 und IMAP4 weiter mit Legacy-TLS betreiben durften. Diese Gnadenfrist endet jetzt nach 39 Monaten. Die Begründung ist die übliche und auch nachvollziehbar: TLS 1.0 und 1.1 gelten seit Jahren als unsicher, BSI und NIST raten seit langem zu TLS 1.2 als Mindeststandard. Microsoft zieht damit dieselbe Linie wie schon bei Basic Auth für SMTP AUTH, dessen finales Aus inzwischen auf das zweite Halbjahr 2027 verschoben wurde.

https://techcommunity.microsoft.com/blog/exchange/deprecating-legacy-tls-and-endpoints-for-pop-and-imap-in-exchange-online/4515201?WT.mc_id=M365-MVP-9501
https://techcommunity.microsoft.com/blog/exchange/deprecating-legacy-tls-and-endpoints-for-pop-and-imap-in-exchange-online/4515201?WT.mc_id=M365-MVP-9501

Wo der Schmerz wirklich sitzt

Reine Software-Clients wie ein altes Thunderbird oder Outlook in einer veralteten Version sind das kleinere Problem, weil Updates verfügbar sind. Kritisch wird es bei Hardware mit fest verbauten Mail-Stacks: Multifunktionsdrucker mit Scan-to-Mail über IMAP4-Postfach, Alarmanlagen, ältere Industrie-Steuerungen, PoS-Systeme und Branchensoftware ohne aktiven Support. Genau diese Geräte sprechen oft noch TLS 1.0, weil der Hersteller seit Jahren keine Firmware mehr nachschiebt.

Bei diesen Devices hast du im Wesentlichen drei Optionen: Firmware-Update einspielen (sofern verfügbar), das Gerät auf Microsoft Graph oder einen SMTP-Relay-Server hinter dem Postfach umstellen oder den Hersteller wechseln. Unter Zeitdruck wird Variante zwei am häufigsten gezogen, also ein interner SMTP-Relay (z.B. IIS-SMTP oder Postfix), der TLS 1.2 zu Exchange Online spricht und intern das alte Protokoll terminiert.

Inventur per PowerShell

Bevor du Mails an User schickst, brauchst du Zahlen. Erste Frage: Welche Postfächer haben POP3 oder IMAP4 überhaupt aktiviert? Mit Exchange Online PowerShell:

$Mailboxes = Get-CASMailbox -Filter {PopEnabled -eq $true -or ImapEnabled -eq $true} -ResultSize Unlimited
$Mailboxes | Select-Object DisplayName, PrimarySMTPAddress, PopEnabled, ImapEnabled |
    Export-Csv .\POP-IMAP-enabled.csv -NoTypeInformation -Encoding UTF8

Erfahrungsgemäß tauchen hier viele Shared Mailboxes und Raumpostfächer auf, die historisch von Anwendungen genutzt wurden. Die echten Risikokandidaten sind aber die User-Postfächer in der Liste.

Wer nutzt die Protokolle wirklich

Aktiviert heißt nicht benutzt. Die belastbare Quelle ist der Email-App-Usage-Report im Microsoft 365 Admin Center. Standardmäßig sind dort die Anzeigenamen anonymisiert, das musst du in den Admin-Center-Einstellungen unter „Reports" einmalig ausschalten, sonst bekommst du nur kryptische Hashwerte.

Für die programmatische Auswertung über 180 Tage greifst du auf die Graph-Reports-API zu:

$Uri = "https://graph.microsoft.com/v1.0/reports/getEmailAppUsageUserDetail(period='D180')"
Invoke-MgGraphRequest -Uri $Uri -Method Get -OutputType PsObject -OutputFilePath .\mailapp-usage.csv
$Data = Import-Csv .\mailapp-usage.csv

$Data | Where-Object { $_.'POP3 App'  } | Select-Object 'User Principal Name','POP3 App'
$Data | Where-Object { $_.'IMAP4 App' } | Select-Object 'User Principal Name','IMAP4 App'

Wer in den letzten 180 Tagen weder POP3 noch IMAP4 produziert hat, fällt aus deiner Kommunikationswelle raus. Bei den verbleibenden Treffern lohnt es sich, beim User direkt nachzufragen, welcher Client oder welches Gerät dahintersteht. Drucker und Scanner laufen meist nicht auf User-Postfächern, sondern auf Funktionspostfächern, die fallen also separat in der ersten Abfrage auf.

Fazit

Die TLS-Abschaltung trifft auf den ersten Blick nur einen Nischen-Stack, in der Praxis hängen aber mehr Geräte daran als die meisten Admins erwarten. Drucker, Scanner und alte Branchenapplikationen sind die typischen Stolpersteine, weil dort niemand seit Jahren in die Konfiguration geschaut hat. Wer jetzt zwei Stunden in Get-CASMailbox und den Usage-Report investiert, hat im Sommer keine bösen Tickets vom Vertrieb, dessen Multifunktionsdrucker plötzlich keine Scans mehr verschickt. Der Termin im Juli 2026 ist gesetzt und die Wahrscheinlichkeit einer erneuten Verschiebung ist nach 39 Monaten Vorlauf gering. Parallel solltest du die Roadmap für Basic Auth bei SMTP AUTH (H2/2027) gleich mit auf den Schirm nehmen, denn die Maßnahmen überlappen sich beim selben Geräte-Inventar.

Aktualisiert:
Teilen:
Autor

masterPhin

IT-Administrator, Blogger und PowerShell-Enthusiast. Schreibt über Microsoft 365, Linux und IT-Sicherheit.

0 Kommentare
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.