Microsoft is al geruime tijd bezig met het testen van de 'Nieuwe Outlook', Deze nieuwe versie van Outlook is bedoeld als vervanging voor de standaard mailapplicatie van Windows en op de langere termijn zelfs voor de klassieke Outlook-versie.

Opmerkelijk is dat deze nieuwe Outlook-versie een synchronisatiefunctie heeft die diverse gegevens naar Microsoft verzendt. Hierbij lijken niet alleen e-mails betrokken te zijn, maar ook IMAP- en SMTP-inloggegevens worden naar de servers van Microsoft gestuurd. Dit zou het bedrijf mogelijk volledige toegang geven tot de e-mailaccounts van gebruikers.

Volgens Heise Online worden naast e-mails ook IMAP- en SMTP-inloggegevens naar de servers van Microsoft verzonden. Dit betekent dat het bedrijf potentieel volledige toegang heeft tot de e-mailaccounts van gebruikers. Hoewel Microsoft niet expliciet vermeldt dat deze gegevens naar hun servers worden gestuurd, wordt wel aangegeven dat alles wat in Outlook wordt aangemaakt, wordt opgeslagen in de Microsoft-cloud. Bestaande gegevens blijven lokaal opgeslagen, maar nieuwe contacten en evenementen worden in de cloud opgeslagen.

Bij nader onderzoek door Heise Online bleek dat inloggegevens zoals gebruikersnamen en wachtwoorden naar Microsoft worden verzonden. Hoewel deze gegevens versleuteld worden verstuurd, wordt de gebruiker hier niet duidelijk over geïnformeerd. Microsoft beweert dat de gegevens naar de cloud worden gestuurd van niet-Microsoft-accounts, waaronder e-mails, contactpersonen en gebeurtenissen, om de Outlook 365-ervaring te verbeteren. Deze functionaliteit is van toepassing op Gmail, Yahoo, iCloud en IMAP-accounts op Outlook voor Windows, iOS, Android, Mac en Outlook.com op het internet. 

Verder onderzoek door Heise Online onthulde dat toegangsgegevens zoals gebruikersnamen en wachtwoorden worden doorgegeven aan Microsoft. Hoewel deze gegevens versleuteld worden verstuurd, wordt de gebruiker hier niet duidelijk over geïnformeerd. Bij het koppelen van een Google-account is er enige verbeterde beveiliging; Microsoft deelt alleen het OAuth2-token, dat achteraf altijd kan worden ingetrokken. Op het moment van schrijven heeft Microsoft nog niet gereageerd op het verzoek om meer informatie van Heise Online. Hoewel de kans klein is dat Microsoft daadwerkelijk misbruik maakt van deze gegevens, is het wellicht verstandig om zorgvuldig na te denken over het delen van IMAP-accounts met de nieuwe Outlook.