Hoi Uri
Ich habe direkt im entsprechenden Feature kommentiert und mich bei dir bedankt für die
technisch saubere Klarstellung. Ich hoffe, das ist OK so 😁
Beste Grüsse
Mike
From: Uri Liebeskind (ZHAW) <luri(a)zhaw.ch>
Date: Friday, 27 May 2022 at 07:42
To: lug(a)lists.zhaw.ch <lug(a)lists.zhaw.ch>
Subject: [LUG] Re: Keinen Imap-Server mehr nach 30. September 2022
Hallo mitenand,
ich habe innerhalb der ICT um Klärung gebeten. Untenstehenden Text habe ich im Confluence
publiziert.
Herzliche Grüsse,
Uri
Leider sind die Infos, die zu diesem Thema von der ZHAW-ICT in Umlauf gebracht wurden
ungenau und teilweise sogar falsch und daher für die User auch sehr verwirrend. Dies
betrifft diese Story, Mails an User, KI-Artikel und Betriebsnews.
Links zu solchen Informationen:
* Veraltete E-Mail Anwendungen und Protokolle per
30.09.2022<https://servicedesk.zhaw.ch/tas/public/ssp/content/detail/knowledgeitem?unid=f33c3c31d4194952ad02177abe53d816>
* Wichtige Informationen zum E-Mail-Zugriff per
30.09.2022<https://servicedesk.zhaw.ch/tas/public/ssp/content/detail/knowledgeitem?unid=842b02bb-bc9c-4ea2-a5f6-1d8899a879d4>
* Anpassung E-Mail-Infrastruktur zur Erhöhung der Sicherheit seitens
Microsoft<https://intra.zhaw.ch/finanzen-services/information-communication-technology/ict-betriebsnews-detail/anpassung-e-mail-infrastruktur-zur-erhoehung-der-sicherheit-seitens-microsoft>
Analogie:
Es muss zwischen Protokollen und Authentisierung unterschieden werden. Das Protokoll ist
quasi ein Set von "Keywords" mit welchem das Mail-Client-Programm mit dem
Mail-Server kommuniziert. Das Mail-Client-Programm kann nicht mit "Chinesisch"
daherkommen, wenn der Mailserver nur europäische Sprachen versteht. Die Sprache, bzw. die
Keywords selbst, wenn diese nicht verschlüsselt werden, haben nichts mit der
Vertraulichkeit der Unterhaltung und des Ortes der Unterhaltung zu tun. Mit der
Authentisierung wird vor allem definiert, dass möglichst wenig Informationen über die
Teilnehmer einer Unterhaltung bekannt gegeben wird.
Was Microsoft macht:
Seitens Microsoft werden nicht Protokolle abgeschaltet, sondern die Basic Authentication
mit Username/Password am Exchange-Server wird ab September als Default-Einstellung
disabled.
Der Teufel steckt im Detail:
Z.B. die häufig genutzten Protokolle wie SMTP und IMAP werden von Microsoft nicht
abgeschaltet, wie in einem ZHAW-KB-Artikel behauptet wurde. Diese können weiterhin genutzt
werden, wenn die Authentisierung in der Applikation von Basic Authentication auf OAuth2
umgestellt wird.
In diesem KB-Artikel wurde ebenfalls behauptet, dass mit dem Disabeln von Basic
Authentication das Mail-Client-Programm Thunderbird nicht mehr genutzt werden kann. Diese
Aussage ist ebenfalls falsch, da in der Thunderbird-Konfiguration für IMAP und für SMTP
als Authentisierung lediglich auf OAuth2 umgestellt werden muss.
Selbst die Authentisierung mit SMTP-Auth (Basic Authentication) kann weiterhin genutzt
werden, selbst wenn es als Default "disabled" wird, da Microsoft weiss, dass es
Endgeräte (IoT) gibt, die nur SMTP-Auth können. Der Exchange-Admin kann die SMTP-Auth pro
Mail-Account enabeln, auch wenn es als Default disabled ist.
Für User Klarheit schaffen:
Es ist also zu hoffen, dass die Exchange-Admins nicht gleich die Protokolle IMAP / SMTP
auf den Exchange-Servern abstellen - es geht nicht um die Protokolle, sondern nur um die
unsichere Authentication.
* Sicher wäre es hilfreich, wenn die ICT hier die User nochmals genauer informieren
würde, was genau gemacht wird und wie dies die User / Geräte tangiert.
* Auch nicht falsch wäre es, die ZHAW-Anleitungen für Thunderbird bereits jetzt schon
für OAuth2 anzupassen.
Zitate von Microsoft:
We're removing the ability to use Basic authentication in Exchange Online for Exchange
ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline
Address Book (OAB), Outlook for Windows, and Mac.
We're also disabling SMTP AUTH in all tenants in which it's not being used.
________________________________
SMTP AUTH will still be available when Basic authentication is permanently disabled on
October 1, 2022. The reason SMTP will still be available is that many multi-function
devices such as printers and scanners can't be updated to use modern authentication.
________________________________
I thought you said you were not going to completely disable SMTP AUTH?
You’re right, we did, in blog posts
here<https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-a...
and
here<https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-a...;.
We’re going to continue to disable SMTP AUTH for tenants who don’t use it, but we will not
be changing the configuration of any tenant who does. We can’t tell though if the usage we
see is valid or not, that’s down to you to determine. So you still should move away from
using Basic and SMTP AUTH though if you can, as it does leave you exposed. Don’t forget,
you can disable it at the tenant level, and re-enable on a per-user/account level as
described
here<https://techcommunity.microsoft.com/t5/exchange-team-blog/securin...
________________________________
--
------------------------------------
Zurich University of Applied Sciences
Information and Communication Technology
Uri Liebeskind
System Administrator
Gertrudstrasse 15
Postfach 805
CH-8401 Winterthur
Tel. +41 58 934 72 63
http://www.zhaw.ch/en/
-------------------------------------
On 5/18/22 16:12, Sedding Helmut (sedd) wrote:
Hallo
Ja ich finde es auch bedenklich, dass IMAP&SMTP abgeschaltet werden soll. Das Argument
ist, es sei «unsicher». Ich frage mich jedoch was daran unsicher sein soll? Schliesslich
wird doch mittlerweile schon TLS und OAuth2 (für die Multi-Factor-Authentication)
verlangt. Was ist denn dann noch unsicher im Vergleich zum proprietären Exchange-Zugang?
Viele Grüsse,
Helmut
Am 18.05.2022 um 11:50 schrieb Rene Locher
<lore@zhaw.ch><mailto:lore@zhaw.ch>:
Liebe Kolleginnen und Kollegen
Es scheint im Herbst so schlimm zu kommen wie ich im April befürchtet habe (vgl. Mail im
Anhang). Die nächsten 3 Wochen habe ich zwar keine Zeit, mich darum zu kümmern, aber ich
wollte euch diese News, welche ich von unserem Institutssekretariat erhalten habe, nicht
vorenthalten.
Trotz allem wünsche ich euch einen schönen Sommer
René<Wichtige Informationen zum E-Mail-Zugriff per
30.09.2022.eml>_______________________________________________
ZHAW Linux User Group mailing list -- lug@lists.zhaw.ch<mailto:lug@lists.zhaw.ch>
To unsubscribe send an email to
lug-leave@lists.zhaw.ch<mailto:lug-leave@lists.zhaw.ch>
_______________________________________________
ZHAW Linux User Group mailing list -- lug@lists.zhaw.ch<mailto:lug@lists.zhaw.ch>
To unsubscribe send an email to
lug-leave@lists.zhaw.ch<mailto:lug-leave@lists.zhaw.ch>