Outlook “Classic for Windows” può improvvisamente rifiutare l’aggiunta di un account Google Workspace mostrando subito “We couldn’t log on to the incoming (POP/IMAP) server”. Questa guida pratica ti porta alla soluzione ripulendo i token OAuth e completando l’autenticazione dal browser.
Panoramica del problema
Un utente che utilizza Outlook “Classic for Windows” non riesce più a configurare l’indirizzo Google Workspace tramite OAuth. La procedura d’aggiunta dell’account si interrompe all’istante con un messaggio generico di accesso non riuscito sull’“incoming server” senza nemmeno proporre l’inserimento della password. A complicare il quadro, IMAP e POP risultano già abilitati nelle impostazioni di Google e anche un tentativo di configurazione manuale di IMAP/SMTP fallisce. Il comportamento è nuovo: in precedenza la stessa operazione ha funzionato per anni.
- Messaggio all’avvio del flusso: “We couldn’t log on to the incoming (POP/IMAP) server”.
- Stato lato Google: IMAP/POP attivi nell’account e nelle policy del dominio.
- Configurazione manuale: anche inserendo server IMAP/SMTP corretti l’errore persiste.
- Contesto: la stessa postazione e lo stesso account avevano funzionato in passato, spesso per anni, senza modifiche apparenti lato utente.
Cause probabili
La causa più frequente in questo scenario è la presenza di token OAuth obsoleti memorizzati da Outlook/Windows. In sintesi, Outlook tenta di usare un token salvato (o un refresh token non più valido) per autenticarsi tramite XOAUTH2 ai server IMAP/SMTP di Google; Google rifiuta la richiesta, ma Outlook non sempre forza un nuovo consenso e mostra un errore generico sul server in ingresso.
Ciò accade tipicamente dopo modifiche lato Google (rotazione dei token, revoche di sicurezza, nuove policy del dominio, passaggi all’obbligo di OAuth con disattivazione definitiva dei metodi “meno sicuri”). In questi casi l’unico rimedio affidabile è forzare una nuova negoziazione OAuth eliminando ogni credenziale/tokencache residua e ripetendo l’accesso dal browser con consenso esplicito alla voce Microsoft apps and services.
Soluzione rapida
- Revoca dei permessi dell’app “Microsoft Apps and Services” dall’account Google.
- Pulizia delle credenziali OAuth in Gestione credenziali di Windows (voci MicrosoftOffice16Data:OAUTH2 con tpgoogleimapOauth2).
- Riconfigurazione dell’account in Outlook con “Accedi via browser” e spunta al consenso per Microsoft apps and services.
Questi tre passaggi costringono Outlook a creare ex novo i token e a salvare permessi aggiornati, risolvendo l’errore senza toccare le impostazioni IMAP/POP.
Procedura dettagliata
Revoca dei permessi in Google
Prima di intervenire su Windows conviene rimuovere il consenso dell’applicazione Microsoft lato Google, così da invalidare ogni token associato.
- Apri Google Account con l’utente interessato.
- Vai in Sicurezza → App di terze parti con accesso all’account.
- Seleziona Microsoft Apps and Services e scegli Rimuovi accesso.
Il risultato atteso è che, alla successiva autenticazione da Outlook, Google richieda di nuovo il consenso per l’app Microsoft.
Pulizia delle credenziali in Windows
Ora occorre cancellare i token locali che Outlook continua a usare.
- Chiudi completamente Outlook (verifica anche nell’area di notifica che non resti in esecuzione).
- Apri Gestione credenziali di Windows:
- Dal Pannello di controllo: Pannello di controllo → Account utente → Gestione credenziali.
- Oppure da Esegui:
control /name Microsoft.CredentialManager
- Entra in Credenziali Windows.
- Individua ed elimina tutte le voci che iniziano per MicrosoftOffice16Data:OAUTH2 e contengono tpgoogleimapOauth2.
Se gestisci più indirizzi Gmail/Google Workspace sulla stessa postazione, assicurati di cancellare la voce giusta. Per verificare l’associazione tra una credenziale e un account specifico, puoi confrontare l’ID nel Registro di sistema:
HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Identity\Identities
All’interno di Identities troverai una o più sottocartelle con GUID; ogni identità contiene dettagli utili (ad esempio l’indirizzo) per riconoscere l’account. In caso di dubbi o cache molto “inquinata”, è possibile eliminare tutte le credenziali MicrosoftOffice16Data:OAUTH2 con tpgoogleimapOauth2: Outlook rigenererà i token al prossimo accesso.
Attenzione: modifica del Registro e cancellazione credenziali sono operazioni sicure se limitate alle voci indicate. Evita di rimuovere credenziali non correlate per non impattare altri servizi. Prima di procedere su macchine aziendali, valuta una copia immagine o un punto di ripristino.
Riconfigurazione da Outlook
- Avvia Outlook.
- Se l’account era ancora presente ma non funzionante, prova File → Impostazioni account → Ripristina. In alternativa, rimuovi l’account e procedi con File → Aggiungi account.
- Quando viene chiesto il metodo di accesso, scegli Accedi via browser (o equivalente).
- Nella pagina di accesso Google completa l’autenticazione e spuntando la casella per Microsoft apps and services concedi i nuovi permessi.
- Al termine, attendi la creazione del profilo e l’avvio della sincronizzazione iniziale IMAP.
Se i passaggi sono stati eseguiti correttamente, l’account viene aggiunto senza errori e le cartelle iniziano a sincronizzarsi.
Verifiche dopo la correzione
- Apri Invia/Ricevi e verifica che non compaiano errori per l’account interessato.
- In File → Impostazioni account → Impostazioni esegui Prova impostazioni account per confermare l’accesso IMAP e l’invio SMTP.
- Torna sul tuo Google Account e verifica che in App di terze parti con accesso all’account sia nuovamente presente Microsoft Apps and Services.
- Controlla in Gmail → Impostazioni → Inoltro e POP/IMAP che IMAP sia abilitato (POP opzionale).
Tavola di riferimento rapido
| Elemento | Dove si trova | Cosa fare | Note |
|---|---|---|---|
| Microsoft Apps and Services | Google Account → Sicurezza → App di terze parti | Rimuovi accesso | Forza nuova richiesta di consenso alla successiva configurazione |
| Voci OAUTH2 per Gmail | Gestione credenziali → Credenziali Windows | Elimina MicrosoftOffice16Data:OAUTH2 con tpgoogleimapOauth2 | Rigenera token puliti con il nuovo flusso OAuth |
| Identità di Outlook | Registro: ...Identity\Identities | Usa per riconoscere l’account corretto | Non eliminare chiavi sconosciute se non necessario |
Domande frequenti
Differenze tra edizione classica e nuova
La guida si applica a Outlook Classic for Windows (l’app desktop storica). La versione nuova di Outlook per Windows basa gran parte dell’autenticazione su componenti differenti e offre percorsi d’impostazione diversi; i sintomi e i rimedi non coincidono sempre. Se stai usando l’edizione nuova, verifica prima quale app è effettivamente installata.
Serve abilitare POP oltre a IMAP
No. Per usare Outlook con Gmail/Google Workspace è sufficiente IMAP abilitato. POP è opzionale e disabilitato per impostazione predefinita nella maggior parte degli ambienti moderni.
Le password per app sono necessarie
No, non in questo scenario. Le password per app sono legate al vecchio Basic Auth e spesso non sono più disponibili o consigliate. Con OAuth, Outlook non dovrebbe richiederle.
Ho attivo l’accesso in due passaggi
È compatibile e raccomandato. Durante il flusso di accesso Google ti verrà chiesto il secondo fattore come di consueto; è normale.
Uso più account Gmail nella stessa sessione
Questo aumenta la probabilità di collisioni nella cache dei token. In caso di dubbi, ripeti la pulizia e accedi dal browser con una sessione in incognito dedicata quando Outlook ti reindirizza all’autenticazione. In Gestione credenziali, elimina tutte le voci che contengono tpgoogleimapOauth2 e ricrea i token per ciascun account, uno alla volta.
Vedo ancora lo stesso errore
Se dopo la procedura completa l’errore persiste:
- Crea un nuovo profilo di Outlook con Posta nel Pannello di controllo e prova l’aggiunta partendo da zero.
- Accertati che nessun proxy o filtro HTTPS stia intercettando la pagina di login Google.
- Verifica che l’antivirus non ispezioni il traffico IMAP/SMTP in modo invasivo.
- Assicurati che l’utente disponga del permesso di usare IMAP a livello di dominio Google Workspace (policy amministratore).
Approfondimento tecnico
Outlook stabilisce la connessione IMAP/SMTP verso Gmail usando il meccanismo SASL XOAUTH2. Per farlo, ha bisogno di un access token OAuth valido; quando questo scade, utilizza un refresh token salvato localmente per ottenerne uno nuovo. Le informazioni sono conservate sia nel profilo di Outlook sia nel Gestore credenziali di Windows come voci MicrosoftOffice16Data:OAUTH2 riferite al provider tpgoogleimapOauth2.
Se Google invalida il refresh token (per rotazione policy, revoca dell’app, modifiche ai consensi), alla successiva negoziazione Outlook prova a riutilizzare comunque la cache e può non forzare automaticamente il consenso nel browser. Il risultato è un rifiuto immediato lato server, che Outlook espone con l’errore generico sull’“incoming server”. Eliminando la cache e revocando i permessi si obbliga Outlook a ripercorrere il flusso standard: richiesta al browser, login, consenso aggiornato, emissione di refresh token nuovo e successiva memorizzazione pulita.
Ambiente e prerequisiti
- Sistema operativo: Windows supportato dalle versioni attuali di Outlook classico.
- Applicazione: Outlook “Classic for Windows” aggiornato.
- Browser predefinito funzionante per la fase di autenticazione.
- Google Workspace con IMAP abilitato a livello di account e di dominio.
Varianti e scenari speciali
- Account gestiti da SSO: se il dominio Google Workspace reindirizza a un IdP SAML, il consenso a Microsoft apps and services resta necessario. Assicurati che l’IdP non blocchi l’azione.
- Postazioni condivise: su PC multiutente le credenziali sono per profilo. Esegui la procedura nell’account Windows corretto.
- Cache del browser: in rari casi cookie/sessioni del browser possono interferire. Usa una finestra in incognito quando Outlook ti reindirizza all’accesso Google.
Best practice operative
- Non rimuovere o cambiare server IMAP/SMTP: con OAuth correttamente rigenerato non serve toccare i parametri.
- Evita soluzioni di ripiego come l’attivazione del POP o delle password per app: non risolvono il problema di fondo e spesso non sono permesse.
- Documenta la procedura interna: la ripetibilità è fondamentale in team di supporto.
Errori correlati e suggerimenti
Oltre al messaggio sul server in ingresso, possono comparire notifiche generiche di invio/ricezione. Finché l’accesso XOAUTH2 non è stabilito, è normale che Outlook segnali errori sia in ricezione sia in invio. Non inseguire falsi positivi: completa la rigenerazione dei token prima di ulteriori test.
Esito
Dopo i passaggi indicati (revoca dei permessi, pulizia credenziali, nuova autenticazione via browser con consenso a Microsoft apps and services) l’account Google Workspace viene aggiunto con successo e la sincronizzazione IMAP ricomincia senza errori.
Informazioni supplementari
- Il problema emerge spesso dopo interventi lato Google: rotazioni/refresh dei token, inserimento di nuove policy di sicurezza, rimozione definitiva delle “app meno sicure”.
- La procedura non modifica le impostazioni IMAP/POP; si limita a forzare Outlook a generare e salvare token OAuth aggiornati, eliminando la causa dell’errore di autenticazione.
Checklist finale
- ☑ Revocato l’accesso a Microsoft Apps and Services nell’account Google.
- ☑ Eliminati in Gestione credenziali i record MicrosoftOffice16Data:OAUTH2 con tpgoogleimapOauth2.
- ☑ Avviata l’aggiunta account in Outlook e completato il login dal browser.
- ☑ Spuntato il consenso per Microsoft apps and services durante l’autenticazione.
- ☑ Verificata la sincronizzazione IMAP e il test di invio SMTP.
Riepilogo operativo essenziale
- Google Account → Sicurezza → App di terze parti → Microsoft Apps and Services → Rimuovi accesso.
- Windows → Gestione credenziali → Credenziali Windows → Elimina MicrosoftOffice16Data:OAUTH2 con tpgoogleimapOauth2. Se necessario, usa il Registro per riconoscere l’account:
HKEYCURRENTUSER\Software\Microsoft\Office\16.0\Common\Identity\Identities - Outlook → File → Aggiungi account → Accedi via browser → Consenso a Microsoft apps and services → Fine.
Seguendo questa sequenza l’errore “We couldn’t log on to the incoming (POP/IMAP) server” viene superato senza dover toccare i parametri dei server o ricorrere a soluzioni non supportate.