Outlook for Android: MitM Microsoft weet je wachtwoord

Had vandaag een klant aan de lijn dat hij op zijn Android telefoon wel e-mail kon ontvangen, maar niet verzenden.
In mijn SMTP logs kwam ik nergens zijn IP adres tegen.
Even in de IMAP kijken dan.... Ja hoor, een IP adres van Microsoft logt in met zijn gegevens.
En toen kwam de app uit de mouw, hij gebruikt Outlook for Android.

Deze app verbind niet met je SMTP/IMAP servers, hij verbind met een Microsoft server.
En de Microsoft server logt in op jouw SMTP/IMAP server. Een MitM dus.
En de Microsoft server probeert in te loggen op poort 25/465 maar heeft geen idee van poort 587 (en alleen poort 587 accepteert inloggen op mijn servers).

Ik begrijp niet dat ik ook niks hierover heb kunnen vinden op het internet.

Nu nog uitvogelen hoe ik microsoft kan verbannen om in te loggen, of is het de gebruiker zijn/haar verantwoordelijkheid om je privacy aan Microsoft te geven of niet?

@Jazzy Dank!
Jouw verwezen artikel zegt inderdaad:

transmitting passwords to Office 365-based architecture might result in your inability to meet the requirements of PCI-DSS or ISO/IEC 27001.

Dat mag wel wat duidelijker naar buiten worden gebracht.
Ik heb klanten die immers login gegevens ontvangen per e-mail zodat ze ergens kunnen inloggen om credit card gegevens te kunnen lezen.

Wikipedia geeft de info onder het kopje "Security"

Outlook Mobile temporarily stores and indexes user data (including email, attachments, calendar information, and contacts), along with login credentials, in a "secure" form on Microsoft Azure servers located in the United States.

Maar de verwijzingen naar de artikelen van microsoft werken niet.

Ik zoek nog even verder.

[ Voor 38% gewijzigd door DJMaze op 07-06-2021 16:13 ]