Dal 16 settembre 2024 Microsoft ha disattivato la Basic Authentication per Outlook.com/Hotmail/Live. In questa guida pratica scopri come passare a OAuth 2.0, quali client sono già pronti, come abilitare l’accesso passwordless (Authenticator, FIDO2) e come mettere in sicurezza automazioni e dispositivi.

Fine dell’autenticazione “username + password”

La Basic Authentication (in cui il client invia solo nome utente e password al server IMAP/POP/SMTP o a Exchange ActiveSync) non è più accettata dagli account Microsoft Account consumer: Outlook.com, Hotmail e Live. A partire dal 16 settembre 2024 le app che non negoziano Modern Authentication (OAuth 2.0 con pagina‑login Microsoft) non riescono più a connettersi.

Cosa non cambia: la casella di posta, l’indirizzo e il webmail restano invariati. Cosa cambia: il modo in cui il client ottiene l’accesso. Al posto della password “in chiaro”, l’app riceve un token di accesso limitato e revocabile; la password non circola più tra le app.

Per gli utenti: l’impatto tipico è un messaggio del tipo “Nome utente o password non corretti”, “Impossibile autenticare” o una richiesta di reimpostare l’account. La soluzione è aggiornare o re‑creare l’account usando il percorso di login Microsoft (la finestra di Microsoft che chiede l’email e poi l’approvazione via Authenticator, FIDO2 o codice).

Client compatibili (aggiorna o re‑installa)

Di seguito una matrice di compatibilità aggiornata e le azioni consigliate. L’obiettivo è forzare il flusso OAuth 2.0, evitando qualsiasi configurazione “Manuale/IMAP con password”.

Piattaforma	App già pronte	Cosa fare
Windows / Linux	Mozilla Thunderbird v91 o superiore (consigliato v115/128). Nelle impostazioni di account selezionare “OAuth2” per IMAP e SMTP [1].	Rimuovere e ricreare l’account, oppure aprire le impostazioni server e cambiare il metodo di autenticazione in OAuth2 sia per posta in arrivo che in uscita.
macOS / iOS / iPadOS	Apple Mail: su iPhone/iPad aggiungere l’account come Outlook.com; su Mac aggiungerlo come Exchange [2].	Se era stato aggiunto come “Altro/IMAP”, eliminarlo e ri‑aggiungerlo seguendo il percorso corretto, così Mail negozia OAuth con Microsoft e abilita anche Calendario/Contatti.
Windows 10/11	App Posta pre‑installata e Nuovo Outlook per Windows (gratuito) usano già OAuth [3].	Aprire Impostazioni account e verificare che compaia come Outlook.com/Exchange. In caso contrario, rimuovere e reinserire l’account scegliendo Outlook.com.
Altri client	Spark, eM Client, BlueMail, Nine, FairEmail, ecc. (versioni 2024+).	Controllare le note di rilascio: deve essere presente “Sign‑in with Microsoft” o “OAuth2 per Outlook.com/Office 365”. Aggiornare all’ultima versione.

Suggerimento: evita POP3 se possibile; molti client non implementano POP con OAuth. Scegli IMAP e verifica che Metodo di autenticazione sia OAuth2.

Autenticarsi senza password

La dismissione della Basic Auth è anche l’occasione per adottare modalità più sicure e comode di accesso. Ecco le opzioni supportate dai servizi Microsoft.

Metodo	Dove si usa	Note essenziali
Microsoft Authenticator	Android/iOS (il flusso parte comunque in un browser anche su PC)	Consente approvazioni push e codice una‑tantum. Ottimo per account personali; si integra nativamente col login Microsoft.
Chiavi FIDO2 / WebAuthn (YubiKey ecc.)	Browser Edge/Chrome/Firefox; dispositivi NFC/USB‑C	Abilita in account.microsoft.com > Sicurezza > Opzioni avanzate. Le chiavi funzionano anche in modalità passkey ed eliminano la password [4].
Windows Hello (PIN, impronta, volto)	Sblocco locale del PC	Indipendente dalla password cloud: rimuovere la password dall’account online non disattiva né modifica il PIN di Windows.

Nota — Togliere la password dal Microsoft Account non disattiva il PIN di Windows, e non obbliga a cambiarlo.

Servizi speciali e automazioni: cosa tocca aggiornare

• UPS, scanner, NAS, stampanti, software che inviano mail via SMTP: se sono configurati con smtp.office365.com o smtp-mail.outlook.com + password, smetteranno di autenticarsi. Opzioni:
  • Implementare OAuth 2.0 con device code o authorization code (delegated), dove supportato.
  • Oppure inoltrare tramite un SMTP relay aziendale già aggiornato a OAuth e con controlli/quote.
  Nota tecnica: per gli account personali Outlook.com l’uso app‑only (client credentials) non è generalmente applicabile; per scenari “senza utente” valutare un relay dedicato.
• Exchange ActiveSync (EAS): continua a funzionare solo nei client che integrano OAuth. Molti provider (incluso Google) stanno dismettendo Google Sync/EAS proprio per mancanza di OAuth [5].
• App‑password: non vengono più generate per gli account personali. Pianifica metodi moderni.

FAQ emerse dal campo

Domanda	Risposta rapida
Posso continuare a usare Apple Mail e Calendario senza fare nulla?	Sì, a patto di re‑inserire l’account come Outlook.com (iOS) o Exchange (macOS). Se era “Altro/IMAP”, rimuovilo e aggiungilo di nuovo per forzare OAuth.
Non ho uno smartphone: come autorizzo il login?	Il flusso OAuth si apre nel browser: puoi confermare via codice e‑mail/SMS oppure con una chiave FIDO2 collegata al PC.
Il PIN di Windows verrà disattivato?	No. Windows Hello è locale e indipendente dalla password dell’account online.
Accedere al Microsoft Account vale anche per Outlook e OneDrive?	Sì. Dopo l’autenticazione, lo stesso token SSO apre Outlook.com, OneDrive, Office Online e gli altri servizi consumer di Microsoft.
Gmail app su Android con EAS?	Non più. Configura l’account come Outlook/Exchange con OAuth oppure usa Outlook mobile per Android/iOS.

Checklist prima (e dopo) la scadenza

1. Aggiorna il client di posta a una versione che supporti OAuth 2.0.
2. Ricrea l’account scegliendo l’opzione Outlook.com/Exchange per forzare il nuovo flusso.
3. Configura almeno due metodi forti: Microsoft Authenticator + una chiave FIDO2/passkey.
4. Verifica automazioni SMTP/EAS in un ambiente di prova con token OAuth e log attivi.
5. Valuta il “passwordless” per ridurre il rischio phishing e semplificare la gestione futura.

Procedure passo‑passo

Thunderbird (Windows/Linux/macOS)

1. Aggiorna Thunderbird (v91 o superiore consigliata v115/128).
2. Menu → Impostazioni account → Impostazioni server:
   • Server: outlook.office365.com oppure imap-mail.outlook.com
   • Porta: 993 (IMAP/SSL/TLS)
   • Metodo di autenticazione: OAuth2
3. In Server posta in uscita (SMTP):
   • Server: smtp.office365.com oppure smtp-mail.outlook.com
   • Porta: 587 (STARTTLS)
   • Autenticazione: OAuth2
4. Alla prima ricezione/spedizione si aprirà la finestra Microsoft. Completa l’accesso con Authenticator, FIDO2 o codice.
5. Se OAuth2 non compare nei menu a tendina: rimuovi e ricrea l’account, oppure aggiorna all’ultima versione e riprova. In casi ostinati, cancella le credenziali salvate (“Password & Dati…”) e ripeti il login.

Apple Mail su iPhone/iPad (iOS/iPadOS)

1. Impostazioni → Mail → Account → Aggiungi account → Outlook.com.
2. Inserisci l’email Microsoft (Outlook/Hotmail/Live). La procedura passa alla pagina di login Microsoft e chiede l’approvazione.
3. Consenti l’accesso a Mail, Contatti e Calendari.
4. Se l’account era stato aggiunto come “Altro/IMAP”, rimuovilo e ri‑aggiungilo come Outlook.com.

Apple Mail su macOS

1. Mail → Aggiungi account → Exchange → inserisci la tua email Outlook/Hotmail/Live.
2. Verifica che la finestra sia quella ufficiale Microsoft. Completa il flusso OAuth.
3. Se l’account esiste già ma come “Altro/IMAP”: rimuovilo e aggiungilo come Exchange per ottenere anche Calendario/Contatti oltre alla posta.

Nuovo Outlook per Windows / App Posta

1. Apri Nuovo Outlook (gratuito su Windows) o l’app Posta di Windows.
2. Aggiungi account → scegli Outlook.com.
3. Conferma nell’interfaccia Microsoft (Authenticator/FIDO2/codice). Verifica nelle impostazioni che l’account sia classificato come Outlook.com o Exchange, non come “IMAP”.

Android (Gmail o altri client)

1. Preferibile usare Outlook mobile. In alternativa, in Gmail scegli Exchange e Office 365 o Outlook e completa il flusso OAuth.
2. Evita la voce “Personale (IMAP/POP)” con password.

Controlli rapidi: come capire se stai usando OAuth

• Thunderbird: in Impostazioni server e in SMTP, “Metodo di autenticazione” deve essere OAuth2.
• Apple Mail (iOS/macOS): l’account deve comparire come Outlook.com (iOS) o Exchange (macOS), non “Altro/IMAP”.
• Windows: nell’App Posta/Nuovo Outlook l’account è etichettato Outlook.com. L’accesso avviene tramite la finestra Microsoft e non da un prompt password dell’app.

Diagnostica e risoluzione dei problemi

Errori tipici

• “Nome utente o password non corretti” subito dopo l’aggiornamento — Il client sta ancora tentando la Basic Auth. Rimuovi e ri‑aggiungi come Outlook.com/Exchange oppure imposta OAuth2.
• OAuth che si apre ma torna indietro senza completare — Cancella le credenziali memorizzate:
  • Windows: Gestione credenziali → rimuovi voci relative a Outlook/Office/Thunderbird/Live.
  • macOS: Accesso Portachiavi → elimina token associati a Outlook/Office/Microsoft.
  Poi riprova il login.
• Invio SMTP fallito in Thunderbird dopo il successo IMAP — Assicurati che anche in SMTP il metodo sia OAuth2 (non “Password normale”). Verifica STARTTLS sulla porta 587.
• Loop di reindirizzamento nel browser — Svuota cache/cookie o usa una finestra privata. Verifica data/ora del sistema (token e TLS sono sensibili all’orologio).
• POP3 non riceve — Molti client non implementano POP con OAuth. Passa a IMAP o usa un’app che supporti POP+OAuth.

Verifiche lato sicurezza

• Nell’area Sicurezza del tuo account Microsoft controlla gli eventi di accesso recenti e conferma che i client appaiano come “App OAuth” e non come “App legacy”.
• Abilita almeno due metodi di accesso forti (es. Authenticator + chiave FIDO2/passkey). Evita di lasciare solo SMS.
• Attiva la revoca dei token se perdi un dispositivo: rimuovi l’accesso dell’app dalle impostazioni di sicurezza.

Appendice: impostazioni tecniche utili

Con OAuth 2.0, i nomi host “classici” restano validi; è il metodo di autenticazione che cambia. Se il client non ha un profilo “Outlook.com/Exchange” e richiede i server manuali, usa questi riferimenti:

Protocollo	Server	Porta	TLS	Note
IMAP (posta in arrivo)	outlook.office365.com oppure imap-mail.outlook.com	993	SSL/TLS	Autenticazione: OAuth2
SMTP (posta in uscita)	smtp.office365.com oppure smtp-mail.outlook.com	587	STARTTLS	Autenticazione: OAuth2
POP3 (sconsigliato)	pop-mail.outlook.com	995	SSL/TLS	Molti client non supportano POP+OAuth

Calendario e contatti: se aggiungi l’account come Outlook.com/Exchange in iOS/macOS/Outlook, anche calendari e contatti si sincronizzano con OAuth. Se usi IMAP “puro” (es. in Thunderbird), ricevi solo la posta; per Calendario/Contatti serve un’integrazione separata.

Perché Microsoft ha spento la Basic Auth

La Basic Auth è poco difendibile nel 2025: la password viene presentata a ogni accesso e spesso viene memorizzata nei client; è vulnerabile a attacchi phishing, credential stuffing e replay. Con l’adozione di OAuth 2.0 e dei metodi passwordless (passkey/Authenticator/FIDO2), Microsoft riduce superficie d’attacco e consente controlli granulari (scopes), revoca selettiva e SSO tra servizi. La migrazione si allinea anche a tendenze del settore: progressivo abbandono di EAS, rafforzamento di MFA e promozione dei passkey.

Strategie aziendali e per studi professionali

• Inventario: elenca tutti i device‑mailer (scanner, UPS, sistemi di allarme, applicativi legacy). Per ciascuno verifica se supporta OAuth o se può inviare a un relay interno.
• Relay SMTP centralizzato: imposta un server che autentica via OAuth verso Microsoft e accetta connessioni interne autenticando i dispositivi con certificati/IP (e limiti di dominio).
• Policy MFA: imposta l’obbligo di almeno due metodi forti; se disponibili, promuovi passkey/FIDO2 come primo fattore.
• Formazione: spiega agli utenti che non devono più inserire password nelle app; l’accesso avviene sempre nella pagina Microsoft e si approva da Authenticator o chiave.

Domande avanzate

Posso usare “app‑only”/client credentials per inviare mail da script senza utente?

Per gli account personali Outlook.com la modalità app‑only non è generalmente disponibile per SMTP/IMAP; prediligi un relay o processi con device/authorization code associati a un utente di servizio. In ambito Microsoft 365 aziendale, esistono scenari app‑only ma differiscono dagli account consumer.

Devo cambiare indirizzo o migrare la posta?

No. Serve solo aggiornare il client e rifare il login con OAuth. La posta, le cartelle e le regole restano dove sono.

Quanto durano i token?

I token di accesso hanno durata breve e vengono rinnovati automaticamente tramite un refresh token. Se revochi l’accesso dell’app dalle impostazioni di sicurezza, il client chiederà nuovamente di autenticarsi.

In breve

Il cambiamento riguarda solo l’autenticazione, non il servizio email. Chi usa client moderni o metodi forti (Authenticator, FIDO2) non subisce interruzioni; software obsoleti e automazioni devono essere aggiornati o affiancati da un relay moderno. Mettere al centro OAuth 2.0 e passwordless significa meno password, meno rischi e una gestione più semplice.

---

Riferimenti utili (senza link): [1] Documentazione Mozilla su OAuth per Microsoft; [2] Guida Microsoft per configurare gli account Outlook.com in app non Microsoft; [3] Articolo di supporto Microsoft su blocco della Basic Auth; [4] Documentazione Microsoft Entra su opzioni passwordless e passkey; [5] Comunicazioni Google su dismissione Google Sync/EAS.