Nieuwe Outlook-cliënt koppelt ook niet-Microsoft-mail aan Microsoft-cloud

29 november 2023

Microsoft wil Outlook vervangen door een nieuwe en moderne versie van de toepassing, maar die werkt minder lokaal dan de originele cliënt. Gebruikers met een mailaccount dat niet van Microsoft is, koppelen klaarblijkelijk hun account toch aan de Microsoft-cloud en niet gewoon aan de app.

De nieuwe versie van Outlook voor Windows-computers houdt er vreemd gedrag op na. Dat ontdekte de Duitse website Heise.de. De cliënt werkt meer als de extensie van een clouddienst dan als een lokale toepassing, met mogelijk ongewilde gevolgen voor gebruikers. Zeker wie Outlook combineert met een extern mailaccount van een andere provider (zoals Google of iCloud), kan zich eens in de haren krabben.

Sleutel in de Microsoft-cloud

Wanneer je het nieuwe Outlook gebruikt, moet je uiteraard de mailaccounts koppelen die je wil gebruiken. Dat doe je eveneens vanzelfsprekend via een inlogprocedure. Wie inlogt met een extern adres, wordt zoals verwacht naar een webpagina gebracht waar je via Oauth2 kan authentiseren. Ook een mail-account koppelen via IMAP-gegevens is mogelijk. Tot zover loopt het allemaal goed.

Je mag verwachten dat de inloggegevens de mailcliënt toegang geven tot je e-mail-account, maar Microsoft gaat een stuk verder. De gegevens worden rechtstreeks doorgestuurd naar de Microsoft-cloud, waar ze bewaard worden en een permanent geauthentiseerde sessie wordt opgestart. Microsoft eigent zich een toegangs-token toe om via de cloud aan je mail te kunnen. Outlook zelf communiceert vervolgens niet met je mailaccount, maar met de Microsoft-servers. Microsoft positioneert zijn cloudinfrastructuur netjes tussen de cliënt en je mailaccount, haalt eerst alle mail via zijn cloud binnen, en stuurt die dan pas door naar je computer. XDA verifieerde het gedrag.

Microsoft waarschuwt wel

De lokale rol van de cliënt zelf wordt zo erg beperkt. Microsoft zelf geeft wel een waarschuwing wanneer je je account toevoegt. Daarin staat dat je mail effectief met de Microsoft Cloud gesynchroniseerd wordt. Microsoft vermeldt zelfs transparant dat die synchronisatie rechtstreeks gebeurt tussen jouw mailprovider en het Microsoft-datacenter. Wie een beetje technisch aangelegd is, kan hieruit het effectieve gedrag van Microsoft en de cliënt afleiden.

Gebruikers die minder technisch of oplettend zijn, en gewoon hun oude Outlook-versie voor een nieuwe vervangen, staan er misschien niet bij stil dat ze Microsoft volledige toegang tot hun mail-account geven. In principe is een cliënt een stuk software dat connecteert met je account en je mails binnenhaalt, maar in de context van Outlook degradeert Microsoft de software tot een portaal voor z’n eigen cloudfunctionaliteit. Of Outlook aan- of uit staat, heeft via deze aanpak geen impact op de toegang die Microsoft heeft tot je mails.

Voor zakelijke gebruikers kan dit gedrag helemaal problematisch zijn. Wie kiest voor een andere partij als Microsoft om z’n mails te verwerken, geeft door het gebruik van Outlook alsnog al z’n mailverkeer aan Microsoft in de cloud. Het is op dit moment bovendien niet mogelijk om de nieuwe versie van Outlook als echte cliënt te gebruiken. De klassieke versie van Outlook, die mail wel zelf ophaalt bij toegevoegde accounts, is vandaag nog beschikbaar maar wordt de komende jaren uitgefaseerd.