EXO: POP/IMAP client authenticate fails with Federated access



L’authentification du client POP/IMAP échoue si l’application X-MS-Client-Application dans la règle de réclamation AD FS est définie sur Microsoft.Exchange.PopImap

LE PROBLEME

L’accès en Imap 4 sur une boite aux lettres Exchange online est refusé avec un message d’erreur précisant que les informations d’identification ne sont pas correctes

  • La boite aux lettres est accessible en Outlook Web App avec ces mêmes informations de connexion
  • Le protocole IMAP 4 est activé sur la boite aux lettres
  • Le compte utilisateur est un compte synchronisé
  • L’authentification est gérée par une fédération avec ADFS
  • Le problème est référencé ici par Microsoft : POP/IMAP client authenticate fails if X-MS-Client-Application in the AD FS claim rule is set to Microsoft.Exchange.PopImap
  • Le Compte UPN est égal a la primary smtp address
  • Les stratégies d’accés conditionnels ne bloquent pas les anciens protocoles d’accés

 


Si Microsoft reconnait que le problème existe la solution précisée dans cet article est un peu vague

«in the existing claim rule, change the value of X-MS-Client-Application from Microsoft.Exchange.PopImap to Microsoft.Exchange.Imap and Microsoft.Exchange.Pop. »

Le seul problème c’est que cette règle n’existe pas dans l’ADFS. et que concernant sa création éventuelle Microsoft ne donne aucune indication

 

Après vérification la stratégie d’authentification avait désactivé l’authentification basique sur IMAP et POP

Pour la réactivité créer une stratégie, modifier la pour activer le POP ou l’IMAP, et affecter votre utilisateur

 

SOLUTION

 

  • New-authenticationpolicy -name « Allow PopImap BasicAuth »
  • Set-authenticationpolicy -identity « Allow PopImap BasicAuth » -AllowBasicAuthImap -AllowBasicAuthPop
  • Set-user -identity Username -authenticationpolicy « Allow PopImap BasicAuth »

     

     

     

THE PROBLEM

 

Imap 4 access to an Exchange online mailbox is denied with an error message stating that the identification information is not correct.

 

  • The mailbox can be accessed in Outlook Web App with the same credentials .
  • The IMAP 4 protocol is activated on the mailbox.
  • The user account is a synchronized account
  • Authentication is managed by a federation with ADFS
  • The problem is referenced here by Microsoft: POP/IMAP client authenticate fails if X-MS-Client-Application in the AD FS claim rule is set to Microsoft.Exchange.PopImap
  • The UPN account is equal to the primary smtp address.
  • The Block Legacy Authentication is not set in the conditional access / policies

 


 

If Microsoft acknowledges that the problem exists, the solution specified in this article is a bit vague.

 

« in the existing claim rule, change the value of X-MS-Client-Application from Microsoft.Exchange.PopImap to Microsoft.Exchange.Imap and Microsoft.Exchange.Pop. »

 

The only problem is that this rule does not exist in the ADFS. and that regarding its eventual creation Microsoft does not give any indication

 

If you look at the claim description we can find this claim :
http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application

 


 

When we test the access with IMAP from Remoteconnectivity here is what we get

 

Testing IMAP for user Info.@company.com on host outlook.office365.com:993:SSL.The IMAP test failed.

Test Steps
Attempting to resolve the host name outlook.office365.com in DNS.The host name resolved successfully.

Additional Details
Testing TCP port 993 on host outlook.office365.com to ensure it’s listening and open.The port was opened successfully.
Testing the SSL certificate to make sure it’s valid.The certificate passed all validation requirements.
Test Steps

The IMAP service is being tested. There was an error testing the IMAP service

Additional Details

Protocol Log: Secured: CN=outlook.com, O=Microsoft Corporation, L=Redmond, S=Washington, C=US

S: * OK The Microsoft Exchange IMAP4 service is ready. [RABCADYAUABSADEAMAAwADEAQwBBADAAMAAxADkALgBFAFUAUgBQAFIARAAxADAALgBQAFIATwBEAC4ATwBVAFQATABPAE8ASwAuAEMATwBNAA==]

C: 1 CAPABILITY

S: * CAPABILITY IMAP4 IMAP4rev1 AUTH=PLAIN AUTH=XOAUTH2 SASL-IR UIDPLUS ID UNSELECT CHILDREN IDLE NAMESPACE LITERAL+

1 OK CAPABILITY completed.

C: 2 LOGIN Info.@company.com <password>

S: 2 NO LOGIN failed.
C: 3 LIST «  » *
S: 3 BAD Command received in Invalid state.

 

Exception: Microsoft.Exchange.Tools.ExRca.Tests.ImapPop.MailProtocolException: 3 BAD Command received in Invalid state. at Microsoft.Exchange.Tools.ExRca.Tests.ImapPop.ImapProtocolTester.SendCommand(String command, String logString) at Microsoft.Exchange.Tools.ExRca.Tests.ImapPop.ImapProtocolTester.CheckMailboxHealth() at Microsoft.Exchange.Tools.ExRca.Tests.ImapPop.BaseProtocolTest.PerformTestReally()

 

Links : https://hoernersblog.wordpress.com/2019/04/30/imap-and-adfs-claim-rule/

 

 

SOLUTION

After verification the authentication policy had disabled basic authentication on IMAP and POP.

For responsiveness create a strategy, change it to activate POP or IMAP, and assign your user

  • New-authenticationpolicy -name « Allow PopImap BasicAuth »
  • Set-authenticationpolicy -identity « Allow PopImap BasicAuth » -AllowBasicAuthImap -AllowBasicAuthPop
  • Set-user -identity Username -authenticationpolicy « Allow PopImap BasicAuth »

Votre commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s