Outlook non invia più email con Gmail? Messaggi bloccati in Posta in uscita ed errori 4af4/334/535 indicano un problema di autenticazione o di cifratura SMTP. In questa guida trovi cause, soluzioni confermate e una procedura passo‑passo per macOS e Windows.
Sintesi del problema
Diversi utenti su macOS e Windows segnalano che Outlook ha smesso all’improvviso di inviare messaggi con account Gmail. Le email restano nella Posta in uscita e l’app mostra l’errore 4af4 con risposta SMTP atipica, spesso legata all’autenticazione:
Unexpected SMTP server response.
Expected: 235, actual: 334 … oppure 535 Incorrect authentication data
Il codice 235 è la conferma di autenticazione riuscita; quando il server risponde 334 o 535 significa che il flusso di login (OAuth 2.0 o password dell’app) non è stato completato correttamente o è stato rifiutato. Questo accade tipicamente dopo aggiornamenti lato Google (policy di sicurezza) o quando Outlook/OS usa librerie di sicurezza datate.
Cause più comuni individuate
| Fattore | Descrizione |
|---|---|
| Autenticazione Google aggiornata | Google richiede OAuth 2.0 o “Password per l’app” se è attiva la verifica in due passaggi. Se Outlook/macOS usa ancora librerie datate, il server restituisce 334/535 anziché 235. |
| Sistema operativo o Outlook non aggiornati | Librerie di sicurezza obsolete (ad es. in macOS) non negoziano correttamente la sfida OAuth. |
| Porta o tipo di crittografia errati | Gmail accetta SMTP 587 + STARTTLS (consigliato) o, in alternativa, 465 + SSL; combinazioni diverse generano errori di autenticazione. |
| IMAP non abilitato | Se l’IMAP è disabilitato in Gmail, l’aggiunta o la verifica dell’account può fallire in Outlook. |
Altre cause ricorrenti da non trascurare
- Token OAuth scaduti o corrotti in Portachiavi (macOS) o in Gestione credenziali (Windows).
- Firewall/antivirus che intercettano il traffico TLS e riscrivono i certificati (“HTTPS scanning”), interrompendo l’handshake sulla porta 587.
- Orario di sistema impreciso (>5 minuti di scarto): invalida le firme dei token e causa rifiuti 334/535.
- Profili Outlook danneggiati o vecchie cache MAPI/SMTP che forzano tentativi con metodi deprecati.
- Proxy aziendali che obbligano TLS “break-and-inspect” o bloccano STARTTLS.
Soluzioni confermate nel thread
- Aggiornare macOS (o Windows) e Outlook
Nel caso riportato, l’aggiornamento a macOS Sonoma ha ripristinato immediatamente l’invio. Su Windows vale lo stesso principio: installare gli ultimi aggiornamenti di Microsoft 365/Office e di Windows Update. - Verificare le impostazioni in Gmail
In Gmail > Impostazioni > Inoltro e POP/IMAP attiva “Abilita IMAP” e salva. Se stavi usando POP, valuta il passaggio a IMAP per una sincronizzazione moderna e più stabile. - Usare i parametri server ufficiali di Google
- IMAP (in entrata):
imap.gmail.com, porta 993, SSL/TLS. - SMTP (in uscita):
smtp.gmail.com, porta 587, STARTTLS.
- IMAP (in entrata):
- Autenticazione moderna
Nel wizard di Outlook scegli “Google” (non “Altro account”) per usare OAuth 2.0. Se hai la verifica in due passaggi attiva, puoi generare una Password per l’app dalle impostazioni di sicurezza Google e usarla in Outlook quando richiesto.
Procedura consigliata passo‑passo
Segui l’ordine qui sotto: aumenta le probabilità di ripresa immediata dell’invio senza ulteriori interventi.
- Preparazione
- Annota la tua email Gmail e verifica se usi la verifica in due passaggi.
- Chiudi Outlook e, se possibile, riavvia il computer per liberare eventuali lock sui file di profilo.
- Aggiornamento
- macOS: apri Impostazioni di Sistema > Generali > Aggiornamento software e installa gli update disponibili.
- Windows: esegui Windows Update ed Aggiornamenti di Office da Outlook > File > Account Office > Opzioni di aggiornamento.
- Verifica IMAP in Gmail
- Gmail > Impostazioni > Inoltro e POP/IMAP > attiva Abilita IMAP.
- Salva e attendi qualche secondo perché la modifica sia effettiva lato server.
- Controllo parametri server Servizio Server Porta Cifratura Autenticazione IMAP
imap.gmail.com993 SSL/TLS Obbligatoria SMTPsmtp.gmail.com587 STARTTLS Obbligatoria - Rimozione e reinserimento dell’account in Outlook
- macOS: Outlook > Strumenti > Account > seleziona l’account Gmail > − > conferma. Poi + > Google e completa l’accesso OAuth nel browser.
- Windows: Outlook > File > Impostazioni account > Gestisci profili > rimuovi e aggiungi scegliendo Google.
- Ripulitura delle credenziali salvate
- macOS: apri Accesso Portachiavi, cerca e rimuovi voci relative a Google, smtp.gmail.com, imap.gmail.com, Outlook. Riavvia Outlook e reinserisci l’account con il percorso Google.
- Windows: Pannello di controllo > Gestione credenziali > Credenziali Windows > rimuovi le voci imap.gmail.com, smtp.gmail.com o token Google/Outlook. Riavvia.
- Autenticazione
- Preferisci OAuth 2.0: nel wizard scegli sempre Google per aprire la finestra di consenso. Concedi l’accesso a Outlook.
- Se usi la verifica in due passaggi: crea una Password per l’app nelle impostazioni del tuo account Google e usala in Outlook solo se non compare il flusso OAuth.
- Test di invio
- Invia un’email a te stesso con oggetto “Test SMTP 587”.
- Verifica che lasci la Posta in uscita e compaia in Posta inviata e nella casella Gmail > Inviata.
Istruzioni dedicate per macOS
Aggiornare macOS e Outlook
- Installa gli ultimi aggiornamenti di macOS. Numerosi casi si risolvono subito dopo l’upgrade (es. passaggio a Sonoma nel caso riportato).
- Aggiorna Outlook dal Microsoft AutoUpdate o dal Mac App Store.
Rimuovere e aggiungere l’account con OAuth
- Outlook > Strumenti > Account > rimuovi l’account Gmail.
- Se Accesso Portachiavi contiene voci “Google”, “imap.gmail.com”, “smtp.gmail.com” o “Outlook” con token OAuth, eliminale.
- Aggiungi l’account selezionando Google e completa il consenso nel browser.
Se persiste l’errore 4af4/334/535
- Controlla l’orario di sistema: deve essere su “Imposta data e ora automaticamente”.
- Disattiva temporaneamente lo scan HTTPS dell’antivirus/firewall e prova l’invio.
- Cambia porta SMTP su 587 + STARTTLS se usavi 465.
Istruzioni dedicate per Windows
Aggiornare Windows e Outlook
- Esegui Windows Update.
- In Outlook: File > Account Office > Opzioni di aggiornamento > Aggiorna adesso.
Ripulire le credenziali e ricreare il profilo
- Pannello di controllo > Gestione credenziali > elimina credenziali per imap.gmail.com/smtp.gmail.com/Google/Outlook.
- Pannello di controllo > Posta (Microsoft Outlook) > Mostra profili > Aggiungi un nuovo profilo e imposta l’account scegliendo Google.
Parametri consigliati e verifiche
- SMTP: 587 + STARTTLS. IMAP: 993 + SSL/TLS.
- Verifica che le caselle “Il server richiede connessione crittografata” siano abilitate.
- Se l’organizzazione usa proxy, prova da una rete diversa (hotspot) per escludere interferenze.
Suggerimenti operativi aggiuntivi
| Passo | Perché è utile |
|---|---|
| Rimuovere e re‑inserire l’account in Outlook dopo l’aggiornamento | Costringe l’app a negoziare di nuovo OAuth ed evita cache corrotte. |
| Svuotare il Portachiavi (macOS) o le credenziali archiviate (Windows) | Elimina token obsoleti che possono bloccare l’handshake con Gmail. |
| Controllare software di sicurezza di terze parti | Alcuni firewall/antivirus intercettano la porta 587 o riscrivono i certificati, causando errori 4af4. |
| Log di Outlook (Opzioni > Avanzate > Attiva log) | I log mostrano il punto esatto dell’handshake che fallisce, utile per assistenza. |
Interpretazione degli errori SMTP più comuni
| Codice | Significato | Cosa fare |
|---|---|---|
| 235 | Autenticazione riuscita. | Nessuna azione, la sessione è valida. |
| 334 | Richiesta di dati aggiuntivi (challenge). In contesti di errore, indica flusso OAuth interrotto/non compreso dal client. | Aggiorna Outlook/OS, reinserisci l’account usando Google, verifica 587 + STARTTLS. |
| 535 | Credenziali rifiutate. | Controlla password; se 2FA attiva, usa Password per l’app. Pulisci le credenziali salvate. |
| 4af4 | Codice interno in Outlook che riassume un’anomalia di autenticazione/trasporto. | Segui la procedura completa: aggiornamenti, OAuth, porta 587, pulizia token. |
Come abilitare IMAP in Gmail
- Apri Gmail > Impostazioni > Visualizza tutte le impostazioni.
- Vai a Inoltro e POP/IMAP > sezione Accesso IMAP.
- Seleziona Abilita IMAP e salva.
Con IMAP disattivato l’aggiunta dell’account o il test di invio può fallire, perché Outlook verifica entrambe le direzioni (ricezione e invio) nella stessa procedura guidata.
Come usare correttamente l’autenticazione moderna
Flusso consigliato con OAuth 2.0
- In Outlook scegli l’opzione Google.
- Si apre il browser con la pagina di consenso: accedi con l’account corretto, verifica i permessi e conferma.
- Al termine, Outlook riceve il token e conclude la configurazione automaticamente.
Quando usare la Password per l’app
- Se hai attiva la verifica in due passaggi e non vedi il flusso OAuth (ad esempio in scenari offline o in profili restrittivi), genera una password per l’app dalle impostazioni di sicurezza Google, etichettala “Outlook” e usala al posto della password principale.
- Non condividere mai la password per l’app e considera di revocarla e rigenerarla se sospetti uso improprio.
Diagnostica rapida con i log di Outlook
Quando la procedura non basta, attiva i log per individuare dove si ferma l’handshake:
- Windows: File > Opzioni > Avanzate > spunta Abilita registrazione (risoluzione dei problemi). Riavvia Outlook, tenta un invio, quindi disattiva il logging e analizza i file generati.
- macOS: Outlook > Preferenze > Generale > abilita Registrazione. Riproduci l’errore e poi esamina i log.
Nel log, cerca sequenze come EHLO, STARTTLS, AUTH XOAUTH2, 334/535. Se STARTTLS non parte o manca AUTH XOAUTH2, è probabile un blocco di rete o un client non aggiornato.
Verifiche di rete e sicurezza
- Antivirus/Firewall: disattiva temporaneamente l’ispezione HTTPS (“SSL scanning”) e riprova.
- Proxy: prova un invio da una rete alternativa (tethering) per isolare la variabile rete.
- Orario e fuso: imposta la sincronizzazione automatica dell’ora. Scarti temporali ampi invalidano i token OAuth.
- Porte: verifica che 993 (IMAP SSL) e 587 (SMTP STARTTLS) siano aperte.
Controllo avanzato con strumenti di linea di comando
Per utenti esperti, è possibile testare il canale TLS fino al banner del server:
# Test IMAP TLS
openssl s_client -connect imap.gmail.com:993 -crlf -quiet
Test SMTP STARTTLS (negotiation)
openssl s_client -starttls smtp -connect smtp.gmail.com:587 -crlf -quiet Se la stretta TLS fallisce o compaiono certificati non Google, il problema è nella rete locale o in un software che intercetta il traffico.
Domande frequenti
È meglio la porta 587 o 465?
La 587 con STARTTLS è la più compatibile con Outlook e con i filtri antispam moderni. La 465 può funzionare ma in molti casi 587 è risolutiva per gli errori 4af4/334/535.
Posso usare POP al posto di IMAP?
Gmail supporta POP, ma IMAP è consigliato per sincronizzazione cartelle, etichette e stato dei messaggi. POP può creare incongruenze e non risolve gli errori SMTP.
Perché continua a comparire 535 “Incorrect authentication data” anche se la password è giusta?
Perché con 2FA attiva la password “normale” non vale per i client legacy: usa OAuth 2.0 o una password per l’app. In alternativa, token corrotti in Portachiavi/Gestione credenziali possono far rifiutare l’accesso finché non li elimini.
Che cos’è 4af4?
È un codice interno/di superficie che Outlook mostra quando la sessione SMTP fallisce in fase di autenticazione/trasporto. Non è uno standard SMTP; va letto insieme al codice server (334/535).
Serve reinstallare Outlook?
Quasi mai. Di norma basta aggiornare, pulire credenziali/token, reimpostare l’account con il percorso Google e forzare 587 + STARTTLS.
Gli errori compaiono solo fuori sede / in VPN
È un indizio di proxy/VPN che manipola TLS. Prova una rete “pulita”. Se funziona, chiedi al reparto IT l’esclusione di smtp.gmail.com:587 dall’ispezione TLS.
Checklist rapida di risoluzione
- Aggiorna sistema operativo e Outlook.
- Abilita IMAP in Gmail.
- Imposta IMAP 993 SSL/TLS e SMTP 587 STARTTLS.
- Rimuovi e re‑inserisci l’account scegliendo Google (OAuth 2.0).
- Se 2FA attiva e niente OAuth: usa Password per l’app.
- Pulisci Portachiavi (macOS) o Gestione credenziali (Windows).
- Disattiva temporaneamente HTTPS scanning di antivirus/firewall e riprova.
- Verifica l’orologio di sistema e le porte 993/587.
- Se ancora KO: abilita i log di Outlook e identifica il punto in cui fallisce l’handshake.
In sintesi
- Aggiornare il sistema operativo e Outlook è spesso risolutivo (caso confermato dopo l’installazione di macOS Sonoma).
- Abilitare IMAP in Gmail e usare SMTP 587 + STARTTLS.
- Usare OAuth 2.0 o una Password per l’app: Google non accetta più l’autenticazione di base.
Seguendo l’ordine proposto (update → impostazioni Google → porta 587 → OAuth), la maggior parte degli errori 4af4/535 si risolve senza interventi ulteriori.
Nota operativa per amministratori IT: in ambienti gestiti, verifica che le GPO/MDM non forzino protocolli TLS obsoleti o blocchino il processo di acquisizione token tramite browser di sistema. In presenza di SSL inspection, applica eccezioni per smtp.gmail.com:587 e imap.gmail.com:993.
Se questa guida ti ha aiutato, valuta di salvare questa pagina tra i preferiti per una futura diagnosi rapida. Gli step sono pensati per essere eseguiti anche da non addetti ai lavori, con riferimenti puntuali per macOS e Windows.