Computer-Unterstützung in Schöneberg und Wilmersdorf

Ein Anruf genügt: 0179 179 55 33.

Einfach Termin vereinbaren mehr Infos
Digitale Souveränität
Themenrubrik:Datensicherheit
07/06/2026

So sieht digitale Souveränität nicht aus: Sicherheitslücke in Outlook: Jahrelang Passwörter im Klartext übertragen

Quelle: golem.de

Der Linux-Experte Marius Schwarz ist nach einem Upgrade auf Fedora 43 auf eine kuriose und für Outlook-Nutzer ärgerliche Entdeckung gestoßen. Wie er in einem Blogbeitrag und im Fedora Magazine berichtet, hat Microsofts Mail-Client offenbar über Jahre hinweg Authentifizierungsdaten unverschlüsselt übertragen – und das, obwohl die Anwender die SSL/TLS-Verschlüsselung in den Einstellungen explizit eingeschaltet hatten.

Aufgefallen ist das Problem erst durch die Aktualisierung der Mailserver-Software Dovecot auf Version 2.4.3 unter Fedora 43. Der Server verweigerte nach dem Update konsequent die Annahme von Zugangsdaten, die ungeschützt im Klartext gesendet wurden.

Falsche Port-Priorisierung blockiert Mail-Abruf

In der Folge häuften sich bei Schwarz die Beschwerden von Outlook-Nutzern. Beim Versuch, Mails via POP3 abzurufen, erhielten sie Fehlermeldungen, da der Mailserver die unverschlüsselte Verbindung blockierte. Das Kuriose: In den Outlook-Einstellungen war die SSL/TLS-Option aktiv.

Die Ursache liegt mutmaßlich an der internen Priorisierung von Outlook:

  • Die betroffenen Anwender hatten trotz aktivierter Verschlüsselung den Standard-Port 110 für POP3 hinterlegt, über den Daten üblicherweise unverschlüsselt fließen.
  • Für eine sichere SSL-Verbindung hätte eigentlich Port 995 (POP3S) gewählt werden müssen.

Anstatt jedoch eine Fehlermeldung oder Warnung wegen dieser widersprüchlichen Einstellungen auszugeben, ignorierte Outlook den Verschlüsselungswunsch und schickte die Daten einfach im Klartext über Port 110.

Ein Bug mit 20 Jahren Geschichte

Ob Microsoft den Fehler in aktuellen Versionen mittlerweile behoben hat, ist unklar, da Schwarz dies mangels eigener Software-Lizenzen nicht prüfen konnte. Die Berichte betroffener Nutzer ziehen sich jedoch durch sämtliche Outlook-Versionen ab dem Jahrgang 2007 aufwärts, inklusive einer älteren Version für macOS.

Damit existiert dieser Bug wohl schon seit gut zwei Jahrzehnten. Laut Schwarz wäre er „nie aufgefallen, wenn Dovecot nicht was dagegen gehabt hätte“.

Brisanz für den Datenschutz: Der Experte sieht hier auch ein massives Problem im Hinblick auf die DSGVO. Viele Unternehmen und Organisationen haben sich blind darauf verlassen, dass ein gesetztes Häkchen bei „SSL/TLS“ auch wirklich verschlüsselt. Die unbemerkt unverschlüsselte Übertragung könnte nun rechtliche Konsequenzen und Datenschutzpannen nach sich ziehen.

Digital Independence Day
No Tag

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2026 Computerbetreuung für alle am Prager Platz | Impressum | Datenschutzerklärung | Erstellt durch Computerbetreuung Prager Platz | Telefon: 0179 179 55 33