<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;}
span.EmailStyle20
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-AU" link="blue" vlink="purple" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoNormal"><span style="mso-fareast-language:EN-US">I know that the Gmail app on Android works fine for MFA, but that’s just trading which big organisation you’re sharing your details with, I guess…<o:p></o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> AusNOG <ausnog-bounces@lists.ausnog.net>
<b>On Behalf Of </b>David Rawling<br>
<b>Sent:</b> Saturday, 18 December 2021 12:16 AM<br>
<b>To:</b> <ausnog@lists.ausnog.net> <ausnog@lists.ausnog.net><br>
<b>Subject:</b> Re: [AusNOG] Outlook Mobile (OT)<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">Hi DaZZa<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I didn't wish to mention it earlier and unprompted in case it felt like spam to people (yes, I'm from the old pre-eternal-September Internet), but Scott was on the money - Nine is the client I use personally (com.ninefolders.hd3 if you
 need the package name to find it). <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Dave.<o:p></o:p></p>
</div>
<div>
<pre><span style="font-size:13.5pt;color:#1F497D">--</span><o:p></o:p></pre>
<div>
<div>
<p class="MsoNormal"><span style="font-size:13.5pt;color:#1F497D">David Rawling - Principal Consultant<br>
<br>
t: +61 41 213 5513  |  e: <a href="mailto:djr@pdconsec.net" title="Click to mail djr@pdconsec.net"><span style="color:#1F497D">djr@pdconsec.net</span></a><br>
</span><span style="font-size:10.0pt;color:#1F497D"><br>
Please note that whilst we take all care, neither PD Consulting and Security nor the sender accepts any responsibility for viruses and it is your responsibility to scan for viruses. The contents are intended only for use by the addressee and may contain confidential
 and/or privileged material. If you received this in error, we request that you please inform the sender and/or addressee immediately and delete the material.</span><o:p></o:p></p>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">On Fri, 2021-12-17 at 20:39 +1100, DaZZa wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #729FCF 1.5pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<p class="MsoNormal">Hi Dave<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Be good fella and elucidate us as to the name of this non-Microsoft android client that supports MFA, please?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">The only reason I started using the streaming pile of putrid dog crap that is Outlook is because corporate decided to enforce MFA - and the Samsung/Android client didn't support that <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I'd love to know a client that I can use that supports MFA and isn't Outlook.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Thanks<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">DaZZa<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<div>
<p class="MsoNormal">On Fri, 17 Dec 2021, 7:42 pm David Rawling, <<a href="mailto:djr@pdconsec.net">djr@pdconsec.net</a>> wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #729FCF 1.5pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<div>
<p class="MsoNormal">Hi Graham<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I am highly cynical about this, I realise, but I find it saves time. With that in mind ...<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">This was discussed fairly extensively a few years ago when Outlook Mobile became the "Microsoft-offered/preferred" mobile client. I suspect that for most organisations who knew about it and actively considered it, the risk analysis included
 "Well, we already bent over ... er ... I mean, 'offloaded authentication to Azure' for Office 365, my corporate credentials and email are already stored by a company beholden to the PATRIOT Act etc, so what's one more case of credentials stored blindly in
 the cloud - MS swear it's the only/best way to do it and they must know what they're talking about".<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I decided back then I would let my employer decide that was OK for their stuff, but for my own use I have a different Android client (which supports all the Office 365 functionality anyway including MFA, so Microsoft's justifications are
 hollow). Most of these "decisions" on clients seem to be made by people on the basis of "ooh shiny", at least within SMEs. I'm sure the ADF wouldn't be using Mobile Outlook on this basis, right?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Anyway, for organisations, there's also some value in being able to use Azure functionality to lock down mail to their own choice of client and managed device, so when it's lost or the employee leaves, company IP can be wiped (and they
 "know" it works). Those who know about the credential caching/storage have their concerns dismissed, and their successors have a harder time arguing for an alternative, too, since Outlook is already in place. And since MS hasn't enabled on-premises platforms
 for modern needs like MFA and modern authentication, and is actively trying to make rentals the only available option, I doubt the situation will improve.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Dave.<o:p></o:p></p>
</div>
<div>
<pre><span style="font-size:13.5pt;color:#1F497D">--</span><o:p></o:p></pre>
<div>
<div>
<p class="MsoNormal"><span style="font-size:13.5pt;color:#1F497D">David Rawling - Principal Consultant<br>
<br>
t: +61 41 213 5513  |  e: <a href="mailto:djr@pdconsec.net" target="_blank" title="Click to mail djr@pdconsec.net"><span style="color:#1F497D">djr@pdconsec.net</span></a><br>
</span><span style="font-size:10.0pt;color:#1F497D"><br>
Please note that whilst we take all care, neither PD Consulting and Security nor the sender accepts any responsibility for viruses and it is your responsibility to scan for viruses. The contents are intended only for use by the addressee and may contain confidential
 and/or privileged material. If you received this in error, we request that you please inform the sender and/or addressee immediately and delete the material.</span><o:p></o:p></p>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">On Fri, 2021-12-17 at 15:42 +1000, Graham Maltby wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #729FCF 1.5pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<p class="MsoNormal">Thanks everyone for the confirmation.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">The process does not appear to have changed at all from what has been
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">described; still storing credentials and all the mail they can slurp. I
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">have never liked or used Outlook in any of it's various incarnations so
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">I've had little exposure to this.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I am somewhat surprised that this is not more well reported in
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">mainstream media. If any other app so blatantly stole your data and
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">shipped it off overseas, it would be all over the press as this should
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">be. But Microsoft, like a number of others, are big enough to get away
<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">with this.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Cheers,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Graham<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">On 17/12/21 14:01, Philip Loenneker wrote:<o:p></o:p></p>
</div>
<blockquote style="border:none;border-left:solid #729FCF 1.5pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<div>
<p class="MsoNormal">Hi Graham,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I don't know if this is still the case, but the original "Outlook" app for mobiles saved your credentials on a server and downloaded to there, then synced it down to your device. I think they did that so they could do things like push notifications
 when you get an email, which doesn't work if it runs locally and the app isn't allowed to run in the background. That was before Microsoft bought the app, but I haven't looked at it at all since then.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Where I was working at the time, we were justifiably concerned by this "feature", advised everybody to not use it, and blocked it from working on the corporate Internet service.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">It is possible that it operates differently now, but from what you described, it sounds like they still do the same thing.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">This rather old blog post discusses some of the security concerns, but it's from 2015 and may be completely irrelevant now.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="https://aus01.safelinks.protection.outlook.com/?url=https%3A%2F%2F4sysops.com%2Farchives%2Fis-microsofts-outlook-app-for-ios-and-android-insecure%2F&data=04%7C01%7Cphilip.loenneker%40tasmanet.com.au%7Ca0b0bc3b36974d7191b808d9c168a85a%7Cb53dc580ab7847208b30536f36d398ac%7C0%7C0%7C637753477802353102%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=EJGdRALn%2BSnO8ODfLPrm%2BJlB2HFs11BfoY5EzcGKls0%3D&reserved=0" target="_blank">https://4sysops.com/archives/is-microsofts-outlook-app-for-ios-and-android-insecure/</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Regards,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Philip Loenneker| Senior Network Engineer<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">TasmaNet | Vastnet | Netmode<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">-----Original Message-----<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">From: AusNOG <<a href="mailto:ausnog-bounces@lists.ausnog.net" target="_blank">ausnog-bounces@lists.ausnog.net</a>> On Behalf Of Graham Maltby<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Sent: Friday, 17 December 2021 2:35 PM<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">To: <a href="mailto:ausnog@lists.ausnog.net" target="_blank">
ausnog@lists.ausnog.net</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Subject: [AusNOG] Outlook Mobile (OT)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Importance: Low<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Afternoon all,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">While attempting to sort out some autodiscover / activesync processes last night, I installed Outlook on my mobile (current Android version from the Play Store). Setup and an account and logged in.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">To my dismay, I find my phone is not connecting over the LAN to the server 4m away but instead a server in Seoul, South Korea is connecting and downloading my mail instead. Aside from the woeful performance, it raises a lot of concerns
 with privacy, security and data sovereignty.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">The most annoying part (if that was not sufficient), is that 14 hours after deleting the account from "all devices" and uninstalling the app, the server is still logging in and collecting mail now (or was until I changed the password).<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Is this common knowledge I have just missed all these years?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Is there a reason the media are not making noise about this?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Does nobody care because it's pretty?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I have very low expectations when it comes to Microsoft but this poor by any measure.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Graham<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">_______________________________________________<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">AusNOG mailing list<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="https://aus01.safelinks.protection.outlook.com/?url=http%3A%2F%2Flists.ausnog.net%2Fmailman%2Flistinfo%2Fausnog&data=04%7C01%7Cphilip.loenneker%40tasmanet.com.au%7Ca0b0bc3b36974d7191b808d9c168a85a%7Cb53dc580ab7847208b30536f36d398ac%7C0%7C0%7C637753477802353102%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=sliO9NDEgobTLMQtsf49Wm46RfI3zOIiqR%2FORJAd0Gg%3D&reserved=0" target="_blank">https://aus01.safelinks.protection.outlook.com/?url=http%3A%2F%2Flists.ausnog.net%2Fmailman%2Flistinfo%2Fausnog&amp;data=04%7C01%7Cphilip.loenneker%40tasmanet.com.au%7Cc78698f33b944aa750c408d9c10e5b4c%7Cb53dc580ab7847208b30536f36d398ac%7C0%7C0%7C637753089685219848%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C2000&amp;sdata=4mr8ny9ODSiKpYpshRZ0eVceTabA95bJbmfw7qhk0KI%3D&amp;reserved=0</a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">_______________________________________________<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">AusNOG mailing list<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="https://aus01.safelinks.protection.outlook.com/?url=http%3A%2F%2Flists.ausnog.net%2Fmailman%2Flistinfo%2Fausnog&data=04%7C01%7Cphilip.loenneker%40tasmanet.com.au%7Ca0b0bc3b36974d7191b808d9c168a85a%7Cb53dc580ab7847208b30536f36d398ac%7C0%7C0%7C637753477802363062%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=WYAMcKHObHzvDgq3EVvvfJ3vgDVcVKy0Zi80oCdjCZM%3D&reserved=0" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><o:p></o:p></p>
</div>
</blockquote>
</div>
<div>
<p class="MsoNormal">_______________________________________________<br>
AusNOG mailing list<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="https://aus01.safelinks.protection.outlook.com/?url=http%3A%2F%2Flists.ausnog.net%2Fmailman%2Flistinfo%2Fausnog&data=04%7C01%7Cphilip.loenneker%40tasmanet.com.au%7Ca0b0bc3b36974d7191b808d9c168a85a%7Cb53dc580ab7847208b30536f36d398ac%7C0%7C0%7C637753477802363062%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=WYAMcKHObHzvDgq3EVvvfJ3vgDVcVKy0Zi80oCdjCZM%3D&reserved=0" target="_blank">http://lists.ausnog.net/mailman/listinfo/ausnog</a><o:p></o:p></p>
</div>
</blockquote>
</div>
</blockquote>
</div>
</body>
</html>