Molti utenti di Outlook 2019/2021 e Outlook Classic (Microsoft 365) non riescono più ad aggiungere o ri‑aggiungere Gmail: compare l’errore “We couldn’t log on to the incoming IMAP server” o non si apre il browser per l’accesso Google. Qui trovi cause, soluzioni passo‑passo e best practice definitive.
Panoramica: perché Outlook Classic non collega più Gmail
Google ha irrigidito le procedure di sicurezza per l’accesso IMAP, imponendo flussi OAuth‑based e bloccando progressivamente l’uso delle vecchie credenziali con “password normali”. In Outlook Classic (e in Outlook 2019/2021) questa transizione ha messo in luce un punto critico: durante la prima configurazione la pagina di consenso Google mostra la casella “Consenti l’accesso a Microsoft apps & services”. Se la casella viene dimenticata o Outlook va in timeout, Google nega l’accesso IMAP e Windows conserva voci OAuth2 inconsistenti nel Credential Manager. Da quel momento ogni nuovo tentativo fallisce: tipicamente “We couldn’t log on to the incoming IMAP server” o nessun reindirizzamento al browser.
Sintomi tipici e messaggi d’errore
- Errore immediato in fase di aggiunta account: “We couldn’t log on to the incoming IMAP server”.
- Outlook non apre il browser per la pagina di login/consenso Google.
- Richiesta ripetuta di password nonostante la password sia corretta.
- Sincronizzazione a tratti: alcune cartelle IMAP si fermano o non si aggiornano.
- In Credential Manager compaiono voci Google_IMAP OAuth2 (e talvolta SMTP) che si riformano dopo ogni tentativo.
La causa principale (in pratica)
- Prima configurazione: Outlook lancia il flusso OAuth nel browser; Google mostra l’elenco dei permessi per Microsoft apps & services.
- Se non selezioni la casella o l’autorizzazione non si completa, Google rifiuta IMAP.
- Windows salva token parziali (voci OAuth2), che bloccano i tentativi successivi finché non vengono ripuliti.
Soluzioni e workaround collaudati (tabella riassuntiva)
| Passo | Cosa fare | Perché funziona |
|---|---|---|
| 1. Aggiorna Outlook | Assicurati di essere su build ≥ 18324.20168 (Current o Monthly Enterprise Channel) che include il nuovo flusso browser sign‑in. | Le build recenti evitano lo “stato guasto” se la casella non viene spuntata. |
| 2. Verifica IMAP in Gmail | Gmail Web → Impostazioni → Inoltro e POP/IMAP → IMAP ⇒ Abilitato. | Senza IMAP abilitato, l’accesso viene sempre negato. |
| 3. Ripulisci le vecchie credenziali | ① Chiudi Outlook. ② Pannello di controllo → Credential Manager → Windows Credentials → elimina tutte le voci GoogleIMAP OAuth2 (ed eventuali GoogleSMTP OAuth2). ③ (Facoltativo) Regedit → HKCU\Software\Microsoft\Office\16.0\Common\Identity\Identities → elimina la sotto‑chiave del tuo indirizzo Gmail. | Rimuove i token corrotti che impediscono un nuovo consenso valido. |
| 4. Crea un nuovo profilo Outlook (temporaneo) | Avvia Outlook tenendo Shift premuto → Nuovo profilo → inserisci l’indirizzo Gmail. | Forza Outlook ad avviare da zero il flusso OAuth nel browser. |
| 5. Concedi il consenso corretto | Nel browser: accedi con l’account Google, spunta “Microsoft apps & services”, quindi Consenti. | Genera un token OAuth valido che Outlook può salvare. |
| 6. Torna al profilo originale | Se il nuovo profilo funziona, riapri quello abituale e aggiungi Gmail: il browser sign‑in ora procede senza errori. | Una volta riconosciuto il consenso valido, Google non blocca più Outlook. |
Nota multi‑dispositivo
Eliminare le voci OAuth2 fa decadere (temporaneamente) il consenso per tutti i PC dove usi Outlook Classic. Finché non completi il flusso su una macchina, gli altri smetteranno di sincronizzare.
Aggiornamenti da Microsoft e canali di rilascio
- Dalla build 18324.20168 in avanti, Outlook riduce il rischio di rimanere “bloccato” anche se la casella non viene selezionata.
- Nei canali Semi‑Annual (ritmo di update più lento) la patch può non essere ancora presente: utilizza il workaround sopra o valuta il passaggio a New Outlook.
- Per verificare versione e canale: Outlook → File → Account di Office → Informazioni su Outlook. Troverai numero di build e canale (Current, Monthly Enterprise, Semi‑Annual, ecc.).
Procedura guidata completa (consigliata)
- Chiudi Outlook e attendi 10–15 secondi per liberare i lock dei profili.
- Apri Credential Manager (Pannello di controllo → Account utente → Gestione credenziali → Credenziali Windows):
- Rimuovi tutte le voci con nome simile a
Google_IMAP OAuth2:tuoaccount@gmail.com. - Se presenti, rimuovi anche
Google_SMTP OAuth2:tuoaccount@gmail.com.
- Rimuovi tutte le voci con nome simile a
- (Opzionale, utenti esperti) Esegui il backup del registro e poi apri regedit:
- Vai a
HKCU\Software\Microsoft\Office\16.0\Common\Identity\Identitiese cancella la sotto‑chiave associata al tuo indirizzo Gmail. - Attenzione: operazione per utenti consapevoli; un backup del registro è raccomandato.
- Vai a
- In Gmail Web → Impostazioni → Inoltro e POP/IMAP:
- Assicurati che IMAP sia Abilitato.
- Verifica eventuali limiti su cartelle o dimensioni (opzioni avanzate IMAP).
- Avvia Outlook tenendo premuto Shift:
- Scegli Nuovo profilo, assegna un nome breve (es. Gmail‑Test).
- Inserisci l’indirizzo Gmail; quando Outlook mostra la finestra del browser, completa il login e spuntare “Microsoft apps & services”.
- Attendi la sincronizzazione completa della Posta in arrivo per confermare che IMAP funzioni.
- Riapri il profilo originale e aggiungi l’account Gmail (ora il consenso è memorizzato correttamente e viene riusato).
- Se vuoi, elimina il profilo temporaneo Gmail‑Test da Pannello di controllo → Posta (Microsoft Outlook).
Parametri server Gmail (solo per verifica)
In Outlook Classic i parametri server vengono negoziati automaticamente durante il flusso OAuth. Tuttavia, in ambienti bloccati o per diagnosi è utile conoscere i valori standard:
| Servizio | Host | Porta | Crittografia | Note |
|---|---|---|---|---|
| IMAP (in ingresso) | imap.gmail.com | 993 | SSL/TLS | Autenticazione OAuth 2.0 per Outlook Classic moderno. |
| SMTP (in uscita) | smtp.gmail.com | 465 o 587 | SSL/TLS (465) o STARTTLS (587) | Autenticazione OAuth 2.0 o App Password (ripiego). |
Opzioni alternative
- New Outlook / Outlook Mobile: integrano già il flusso OAuth corretto; l’aggiunta di Gmail è immediata.
- App Password (Google): utilizzabile solo se attiva la verifica in due passaggi; funziona ma non risolve i problemi di cartelle e rimane una soluzione di ripiego.
- Client terzi (eM Client, Thunderbird, Mail su iOS/macOS): usano OAuth e non soffrono del problema di consenso specifico di Outlook Classic.
Vantaggi e svantaggi di Gmail su Outlook Classic
| Vantaggi | Svantaggi / Attenzioni |
|---|---|
| Gestione unificata di PST, regole, AutoArchive e funzioni avanzate non presenti in New Outlook. | Configurazione più fragile finché non si aggiorna al nuovo flusso OAuth; possibile manutenzione di profili/credenziali quando cambia la password Google o si revoca l’accesso. |
Checklist veloce per helpdesk
- ✔️ Outlook aggiornato a build ≥ 18324.20168 (Current/Monthly Enterprise).
- ✔️ IMAP abilitato in Gmail.
- ✔️ Pulizia completa delle voci Google_IMAP/SMTP OAuth2 in Credential Manager.
- ✔️ (Avanzato) Pulizia chiave
Identitiesin registro utente. - ✔️ Creazione profilo “vergine” per forzare il browser sign‑in.
- ✔️ Consenso Google con spunta a Microsoft apps & services.
- ✔️ Test di sincronizzazione cartelle e invio SMTP.
Domande frequenti (FAQ)
Perché la casella “Microsoft apps & services” è così importante?
È il consenso che autorizza il client Outlook (app Microsoft) a richiedere e rinnovare i token OAuth per accedere a Mail, IMAP, SMTP e ai relativi ambiti. Senza la spunta, Google rifiuta l’accesso IMAP/SMPP anche se l’utente ha eseguito il login.
Ho più account Gmail: devo rifare la procedura per ciascuno?
Sì. Ripeti i passi 3–5 per ogni casella. In Credential Manager compariranno tipicamente due voci OAuth2 per account (una IMAP, una SMTP).
La mia azienda è su canale Semi‑Annual e non posso aggiornare. Che faccio?
Applica il workaround manuale (pulizia credenziali → profilo nuovo → consenso corretto), oppure usa temporaneamente New Outlook/Mobile o un client compatibile con OAuth fino all’arrivo della patch nel tuo canale.
Ha senso usare un’App Password?
Solo come ripiego. Le App Password funzionano su IMAP/SMTP ma non risolvono cartelle IMAP incoerenti o problemi di consenso. Inoltre non sono consigliate a lungo termine rispetto a OAuth 2.0.
Non vedo il browser: Outlook chiede la password in un popup interno.
È un segno che il “browser sign‑in” non è attivo o il profilo è corrotto. Aggiorna Outlook, ri‑crea un profilo pulito e verifica criteri di sicurezza (es. software di sicurezza o proxy che bloccano il WebView).
Quali elementi possono bloccare il flusso OAuth?
Proxy/SSL inspection, antivirus con filtro HTTPS, policy che bloccano WebView/WAM, clock di sistema fuori sincronia, cookie bloccati in browser predefinito. Verifica ora e fuso orario, prova un browser diverso come predefinito, disattiva temporaneamente l’ispezione TLS per i domini Google.
Diagnostica rapida: come capire se è un problema di token
- Dopo la pulizia del Credential Manager, il tentativo di aggiunta account deve aprire il browser: se non accade, il profilo è danneggiato o la build è obsoleta.
- Se il browser si apre ma non compare la casella Microsoft apps & services, scorri fino in fondo alla pagina dei permessi: a volte è collassata dietro una freccia Mostra altri.
- Concesso il consenso, le voci OAuth2 ricompaiono in Credential Manager: è un buon segno (token salvato).
Mappe cartelle Gmail e best practice IMAP in Outlook
Gmail utilizza etichette che si mappano su cartelle IMAP. Per ridurre traffico e conflitti:
- Valuta in Gmail Web (Impostazioni → Etichette) quali etichette esporre via IMAP.
- Imposta in Outlook la cartella corretta per Posta inviata, Bozze, Cestino (cartelle speciali di Gmail).
- Evita regole che spostano messaggi tra molte cartelle simultaneamente: su Gmail corrisponde a molteplici etichette e può rallentare.
Quando preferire New Outlook
Se non hai bisogno di PST, AutoArchive, Regole locali avanzate o componenti COM, New Outlook offre il percorso più lineare per Gmail: il flusso OAuth è nativo e robusto. Microsoft ha annunciato l’intenzione di portare in New Outlook alcune funzioni oggi esclusive del Classic (AutoArchive, PST locali, ecc.); quando disponibili, l’integrazione con Gmail sarà ancora più semplice.
Manutenzione preventiva (evitare di tornare allo “stato guasto”)
- Non interrompere il flusso di consenso nel browser: attendi il reindirizzamento alla fine.
- Evita cambi password Google a raffica: ogni cambio invalida i refresh token e può richiedere un nuovo consenso.
- Se revochi l’accesso a “Microsoft apps & services” dalla console Google, prevedi di ripetere i passi di pulizia/consenso.
- Mantieni Outlook aggiornato; su canali lenti, pianifica finestre di aggiornamento dedicate.
Script e strumenti utili (opzionale, per tecnici)
Elenco credenziali salvate (prompt elevato consigliato):
cmdkey /list
Avviso: le voci OAuth2 di tipo “Generiche” potrebbero non essere gestibili con cmdkey. La via maestra resta Credential Manager via Pannello di controllo.
Avvio selezione profili:
outlook.exe /profiles
Consente di forzare il prompt di scelta profilo per creare o testare un profilo pulito.
Note operative per ambienti aziendali
- Proxy/SSL inspection: includi i domini Google (autenticazione e IMAP/SMTP) nelle eccezioni TLS durante la fase di collegamento.
- Policy applicative: verifica che il WebView di Office sia consentito (necessario per browser sign‑in).
- Rollout controllato: predisponi un profilo di test per utente pilota prima di ripulire in massa i token.
Informazioni aggiuntive utili
- Verifica del canale Office: Outlook → File → Account di Office → Informazioni su Outlook – qui trovi canale e build.
- Articolo ufficiale Microsoft: “Unable to add a Gmail account to classic Outlook” – contiene il workaround completo passo‑passo (consulta la documentazione Microsoft più recente).
- Impatto su profili multipli: con più account Gmail, ripeti i passi 3–5 per ciascun account; appaiono due voci OAuth2 in Credential Manager per ogni account (IMAP e SMTP).
- Migrazione futura: Microsoft prevede di portare AutoArchive, file PST locali e altre funzioni su New Outlook; quando disponibili, New Outlook sarà la via più semplice di integrazione con Gmail.
Risoluzione dei casi particolari
Il consenso Google compare ma la spunta non si salva
Prova a:
- Aprire il flusso in una finestra di browser “normale” (non InPrivate) e assicurarti che i cookie siano consentiti per i domini Google.
- Impostare un browser predefinito aggiornato (Edge/Chrome) prima di avviare Outlook.
- Sincronizzare orologio e fuso orario del PC (un clock fuori sync invalida i token).
Outlook continua a chiedere password, nonostante OAuth
- Rimuovi tutte le voci Google_IMAP/SMTP OAuth2 ancora una volta, chiudi Outlook e riavvia il PC.
- Crea un profilo “di prova” e verifica se lì funziona: se sì, il profilo principale è corrotto e va ricreato.
Non ho diritti amministrativi
La rimozione delle credenziali nel profilo utente non richiede diritti elevati. Per modificare il registro, se non hai permessi, limita la procedura alla sola pulizia del Credential Manager e al nuovo profilo: spesso è sufficiente.
Uso anche Mac
Il problema descritto coinvolge soprattutto Windows e il suo Credential Manager. Su macOS, le credenziali sono nel Portachiavi: elimina eventuali token IMAP/SMTP di Gmail e rilancia l’aggiunta in Outlook per Mac (che usa anch’esso OAuth, ma con un flusso diverso).
Riepilogo esecutivo
Il blocco nasce da un consenso Google non spuntato e da token OAuth inconsistenti. La soluzione pratica è: pulire le credenziali, forzare il nuovo flusso browser‑based e spuntare la casella giusta. Con le build più recenti o dopo aver eseguito correttamente il consenso, Outlook Classic torna a gestire Gmail in modo affidabile.
Checklist stampabile
- Aggiorna Outlook (≥ 18324.20168, Current/Monthly Enterprise)
- Gmail: IMAP Abilitato
- Windows: rimuovi Google_IMAP/SMTP OAuth2 in Credential Manager
- Regedit (opz.):
...Identity\Identities→ rimuovi sotto‑chiave account - Nuovo profilo → aggiungi Gmail → spunta Microsoft apps & services
- Test sincronizzazione → ritorna al profilo originale
Nota finale per amministratori: mantieni documentata la procedura interna e pre‑comunica agli utenti il passaggio al flusso OAuth, riducendo ticket e tempi di fermo. Considera un piano di migrazione a New Outlook quando le funzionalità critiche (PST/AutoArchive) saranno parità.
In una frase: aggiorna Outlook, abilita IMAP, pulisci i token, rifai il consenso Google con la spunta su Microsoft apps & services, quindi aggiungi di nuovo l’account: l’errore “We couldn’t log on to the incoming IMAP server” scompare.