[LUG] Re: Keinen Imap-Server mehr nach 30. September 2022

Hoi Uri Ich habe direkt im entsprechenden Feature kommentiert und mich bei dir bedankt für die technisch saubere Klarstellung. Ich hoffe, das ist OK so 😁 Beste Grüsse Mike From: Uri Liebeskind (ZHAW) <luri(a)zhaw.ch&gt; Date: Friday, 27 May 2022 at 07:42 To: lug(a)lists.zhaw.ch <lug(a)lists.zhaw.ch&gt; Subject: [LUG] Re: Keinen Imap-Server mehr nach 30. September 2022 Hallo mitenand, ich habe innerhalb der ICT um Klärung gebeten. Untenstehenden Text habe ich im Confluence publiziert. Herzliche Grüsse, Uri Leider sind die Infos, die zu diesem Thema von der ZHAW-ICT in Umlauf gebracht wurden ungenau und teilweise sogar falsch und daher für die User auch sehr verwirrend. Dies betrifft diese Story, Mails an User, KI-Artikel und Betriebsnews. Links zu solchen Informationen: * Veraltete E-Mail Anwendungen und Protokolle per 30.09.2022<https://servicedesk.zhaw.ch/tas/public/ssp/content/detail/knowledgeitem?unid=f33c3c31d4194952ad02177abe53d816> * Wichtige Informationen zum E-Mail-Zugriff per 30.09.2022<https://servicedesk.zhaw.ch/tas/public/ssp/content/detail/knowledgeitem?unid=842b02bb-bc9c-4ea2-a5f6-1d8899a879d4> * Anpassung E-Mail-Infrastruktur zur Erhöhung der Sicherheit seitens Microsoft<https://intra.zhaw.ch/finanzen-services/information-communication-technology/ict-betriebsnews-detail/anpassung-e-mail-infrastruktur-zur-erhoehung-der-sicherheit-seitens-microsoft> Analogie: Es muss zwischen Protokollen und Authentisierung unterschieden werden. Das Protokoll ist quasi ein Set von "Keywords" mit welchem das Mail-Client-Programm mit dem Mail-Server kommuniziert. Das Mail-Client-Programm kann nicht mit "Chinesisch" daherkommen, wenn der Mailserver nur europäische Sprachen versteht. Die Sprache, bzw. die Keywords selbst, wenn diese nicht verschlüsselt werden, haben nichts mit der Vertraulichkeit der Unterhaltung und des Ortes der Unterhaltung zu tun. Mit der Authentisierung wird vor allem definiert, dass möglichst wenig Informationen über die Teilnehmer einer Unterhaltung bekannt gegeben wird. Was Microsoft macht: Seitens Microsoft werden nicht Protokolle abgeschaltet, sondern die Basic Authentication mit Username/Password am Exchange-Server wird ab September als Default-Einstellung disabled. Der Teufel steckt im Detail: Z.B. die häufig genutzten Protokolle wie SMTP und IMAP werden von Microsoft nicht abgeschaltet, wie in einem ZHAW-KB-Artikel behauptet wurde. Diese können weiterhin genutzt werden, wenn die Authentisierung in der Applikation von Basic Authentication auf OAuth2 umgestellt wird. In diesem KB-Artikel wurde ebenfalls behauptet, dass mit dem Disabeln von Basic Authentication das Mail-Client-Programm Thunderbird nicht mehr genutzt werden kann. Diese Aussage ist ebenfalls falsch, da in der Thunderbird-Konfiguration für IMAP und für SMTP als Authentisierung lediglich auf OAuth2 umgestellt werden muss. Selbst die Authentisierung mit SMTP-Auth (Basic Authentication) kann weiterhin genutzt werden, selbst wenn es als Default "disabled" wird, da Microsoft weiss, dass es Endgeräte (IoT) gibt, die nur SMTP-Auth können. Der Exchange-Admin kann die SMTP-Auth pro Mail-Account enabeln, auch wenn es als Default disabled ist. Für User Klarheit schaffen: Es ist also zu hoffen, dass die Exchange-Admins nicht gleich die Protokolle IMAP / SMTP auf den Exchange-Servern abstellen - es geht nicht um die Protokolle, sondern nur um die unsichere Authentication. * Sicher wäre es hilfreich, wenn die ICT hier die User nochmals genauer informieren würde, was genau gemacht wird und wie dies die User / Geräte tangiert. * Auch nicht falsch wäre es, die ZHAW-Anleitungen für Thunderbird bereits jetzt schon für OAuth2 anzupassen. Zitate von Microsoft: We're removing the ability to use Basic authentication in Exchange Online for Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows, and Mac. We're also disabling SMTP AUTH in all tenants in which it's not being used. ________________________________ SMTP AUTH will still be available when Basic authentication is permanently disabled on October 1, 2022. The reason SMTP will still be available is that many multi-function devices such as printers and scanners can't be updated to use modern authentication. ________________________________ I thought you said you were not going to completely disable SMTP AUTH? You’re right, we did, in blog posts here<https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-a... and here<https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-a...;. We’re going to continue to disable SMTP AUTH for tenants who don’t use it, but we will not be changing the configuration of any tenant who does. We can’t tell though if the usage we see is valid or not, that’s down to you to determine. So you still should move away from using Basic and SMTP AUTH though if you can, as it does leave you exposed. Don’t forget, you can disable it at the tenant level, and re-enable on a per-user/account level as described here<https://techcommunity.microsoft.com/t5/exchange-team-blog/securin... ________________________________ -- ------------------------------------ Zurich University of Applied Sciences Information and Communication Technology Uri Liebeskind System Administrator Gertrudstrasse 15 Postfach 805 CH-8401 Winterthur Tel. +41 58 934 72 63 http://www.zhaw.ch/en/ ------------------------------------- On 5/18/22 16:12, Sedding Helmut (sedd) wrote: Hallo Ja ich finde es auch bedenklich, dass IMAP&SMTP abgeschaltet werden soll. Das Argument ist, es sei «unsicher». Ich frage mich jedoch was daran unsicher sein soll? Schliesslich wird doch mittlerweile schon TLS und OAuth2 (für die Multi-Factor-Authentication) verlangt. Was ist denn dann noch unsicher im Vergleich zum proprietären Exchange-Zugang? Viele Grüsse, Helmut Am 18.05.2022 um 11:50 schrieb Rene Locher <lore@zhaw.ch><mailto:lore@zhaw.ch>: Liebe Kolleginnen und Kollegen Es scheint im Herbst so schlimm zu kommen wie ich im April befürchtet habe (vgl. Mail im Anhang). Die nächsten 3 Wochen habe ich zwar keine Zeit, mich darum zu kümmern, aber ich wollte euch diese News, welche ich von unserem Institutssekretariat erhalten habe, nicht vorenthalten. Trotz allem wünsche ich euch einen schönen Sommer René<Wichtige Informationen zum E-Mail-Zugriff per 30.09.2022.eml>_______________________________________________ ZHAW Linux User Group mailing list -- lug@lists.zhaw.ch<mailto:lug@lists.zhaw.ch> To unsubscribe send an email to lug-leave@lists.zhaw.ch<mailto:lug-leave@lists.zhaw.ch> _______________________________________________ ZHAW Linux User Group mailing list -- lug@lists.zhaw.ch<mailto:lug@lists.zhaw.ch> To unsubscribe send an email to lug-leave@lists.zhaw.ch<mailto:lug-leave@lists.zhaw.ch>