Outlook.com SMTP: solución a «Connection timed out» en Thunderbird (usar outlook.office365.com y OAuth2)

¿Thunderbird te lanza “Connection timed out” con Outlook.com? La causa más frecuente hoy es una combinación de servidor equivocado y método de autenticación obsoleto. En esta guía te explico por qué ocurre, qué valores usar (pista: outlook.office365.com) y cómo dejar todo estable con OAuth2 —incluyendo alternativas para equipos antiguos.

Índice

Resumen rápido (para quien necesita una solución ya)

Servidor recomendado (entrada y salida): outlook.office365.com.
IMAP: puerto 993, SSL/TLS, autenticación OAuth2.
SMTP: puerto 587, STARTTLS, autenticación OAuth2.
Usuario: tu dirección completa de Outlook.com (p. ej., tu_nombre@outlook.com).
Thunderbird: en “Método de autenticación”, selecciona OAuth2 en IMAP y SMTP. Evita “Contraseña normal”.
Si usabas smtp-mail.outlook.com y falla, cambia a outlook.office365.com.

Contexto: ¿qué cambió y por qué aparece “Connection timed out”?

Durante años, muchos tutoriales recomendaron smtp-mail.outlook.com como servidor saliente para Outlook.com. Sin embargo, la plataforma de Microsoft ha ido consolidando la infraestructura y empujando a los clientes de correo a usar autenticación moderna (OAuth2), retirando o bloqueando cada vez más escenarios de autenticación básica (usuario/contraseña en texto protegido por TLS). El resultado es que algunas combinaciones como “STARTTLS + contraseña” pueden fallar con errores confusos: a veces “contraseña incorrecta”, otras veces un “Connection timed out” que parece de red pero se genera al no completar correctamente el flujo esperado por el servidor.

Sumado a lo anterior, ha habido confusión en documentación y asistentes de autoconfiguración. En la práctica, el host que mejor funciona hoy con Outlook.com es outlook.office365.com tanto para IMAP como para SMTP. Cambiar a ese host elimina muchos timeouts en clientes al día como Thunderbird.

Qué servidor usar hoy para Outlook.com (IMAP/SMTP)

Si gestionas una cuenta personal de Outlook.com (dominios @outlook.com, @hotmail.com, @live.com, etc.), esta matriz es la que da menos problemas en 2024–2025:

Protocolo	Servidor	Puerto	Cifrado	Autenticación	Notas
IMAP (entrada)	`outlook.office365.com`	`993`	SSL/TLS	OAuth2	Usuario = dirección completa. Evitar “Contraseña normal”.
SMTP (salida)	`outlook.office365.com`	`587`	STARTTLS	OAuth2	Puerto recomendado para envío autenticado (submission).

¿Y el puerto 465 (SSL/TLS directo)? Aunque algunos clientes lo sugieren, el envío por 587 + STARTTLS sigue siendo el camino recomendado y el que mejor compatibilidad tiene. Si 465 te funciona, bien, pero no es el más robusto para Outlook.com.

Por qué “Contraseña normal” ya no es una buena idea

La autenticación básica (usuario y contraseña) se considera débil frente a las amenazas actuales. La autenticación moderna (OAuth2) delega el inicio de sesión a una ventana segura de Microsoft, permite MFA (doble factor), revocaciones granulares y evita exponer la contraseña al cliente. Muchos servidores ya rechazan el login básico o lo degradan a escenarios muy limitados. De ahí que, aunque tengas la contraseña correcta, el servidor puede terminar la conexión o devolver un error engañoso.

Cómo configurarlo en Thunderbird paso a paso

Crear la cuenta desde cero

Abre Thunderbird y ve a Cuenta > Configuración de cuenta > Acciones de cuenta > Añadir cuenta de correo.
Escribe tu nombre, tu correo de Outlook.com y pulsa Continuar. Si el asistente detecta parámetros antiguos, pulsa Configuración manual.
Introduce:
- IMAP: servidor outlook.office365.com, puerto 993, SSL/TLS, OAuth2.
- SMTP: servidor outlook.office365.com, puerto 587, STARTTLS, OAuth2.
- Usuario: tu correo completo (p. ej., tu_nombre@outlook.com).
Al guardar, Thunderbird abrirá una ventana de inicio de sesión de Microsoft. Completa el proceso (incluye MFA si procede) y concede permisos al cliente.

Corregir una cuenta existente

Ve a Configuración de cuenta y entra en Configuración del servidor (IMAP).
- Cambia Nombre del servidor a outlook.office365.com.
- Pon Puerto 993, Seguridad de la conexión SSL/TLS y Método de autenticación OAuth2.
En la misma vista, verifica que el Nombre de usuario sea tu dirección completa.
Ahora entra en Servidor de salida (SMTP):
- Edita la entrada asociada a tu cuenta y pon Nombre del servidor outlook.office365.com, Puerto 587, Seguridad STARTTLS, Autenticación OAuth2.
Al intentar enviar o sincronizar, se abrirá una ventana de Microsoft. Inicia sesión y confirma.

Solución para dispositivos/firmware antiguos (solo STARTTLS + contraseña)

Si tu impresora, DVR, panel de alarmas o cliente legado no soporta OAuth2, no hay un arreglo directo y estable para Outlook.com usando usuario/contraseña. El problema no es el cifrado (TLS/STARTTLS), sino el método de autenticación. Considera estas alternativas:

Actualiza el firmware/cliente a una versión con soporte OAuth2. Es la opción ideal.
Servidor SMTP intermedio: usa un servicio que admita contraseñas de aplicación (por ejemplo, una cuenta que ofrezca esta opción) para que el equipo antiguo envíe al intermediario, y este reenvíe. Configura remitente/alias y From con cuidado para no disparar filtros antispam.
SMTP del ISP u hosting: si tu proveedor ofrece un SMTP autenticado compatible con tu dispositivo, úsalo para el envío saliente.
Entornos empresariales: en Microsoft 365, pregunta al administrador por métodos alternativos de envío (por ejemplo, conectores de SMTP relay desde IP fija). En muchas organizaciones la autenticación básica está deshabilitada en SMTP.

Nota: en equipos muy antiguos, activar TLS “a la fuerza” con suites modernas también puede fallar por bibliotecas criptográficas obsoletas. Aun así, el bloqueo más habitual hoy es la falta de OAuth2.

Comprobaciones rápidas antes de culpar al servidor

¿Estás usando OAuth2? En Thunderbird, verifica “Método de autenticación = OAuth2” tanto en IMAP como en SMTP.
Nombre de usuario: debe ser la dirección completa (no solo el alias sin dominio).
Firewall/Proxy: confirma que los puertos 587 (salida) y 993 (entrada) estén permitidos y sin inspección TLS invasiva.
Antivirus: desactiva temporalmente el “análisis de conexiones cifradas” para descartar interferencias (luego reactivas).
Reloj del sistema: una desviación grande rompe TLS. Sincroniza fecha y hora.
IPv6: en redes con IPv6 mal configurado, prueba forzando IPv4 o desactivando IPv6 de forma temporal para test.

Guía de diagnóstico: desde red hasta autenticación

Si aún ves “Connection timed out”, sigue este itinerario. Cada paso acota la causa:

Paso	Qué verificar	Cómo hacerlo	Resultado esperado	Si falla…
1. Resolución DNS	El host apunta a direcciones válidas	Resuelve `outlook.office365.com` con tu herramienta de DNS	Obtienes IPs públicas (v4/v6)	Revisa DNS local, usa DNS público de prueba
2. Conectividad TCP	Puertos abiertos en tu red	`telnet outlook.office365.com 587` o `nc -vz outlook.office365.com 587`	Conexión establecida	Firewall o proxy bloquea 587/993; solicita apertura
3. Negociación TLS	Handshake sin inspección	`openssl s_client -starttls smtp -connect outlook.office365.com:587`	Certificado válido, Handshake OK	Desactiva inspección TLS en proxy/AV; ajusta relojes
4. Autenticación	OAuth2 disponible y seleccionado	En Thunderbird, OAuth2 en IMAP/SMTP	Se abre el cuadro de Microsoft	Cambia “Contraseña normal” a OAuth2
5. Envío	EHLO + STARTTLS correctos	Log de SMTP en Thunderbird (modo detallado)	Respuesta 250/235 tras autenticación	Revisa antivirus, complementos de seguridad, proxy

Cómo verificar (y limpiar) la configuración en Thunderbird

IMAP:
- Nombre del servidor: outlook.office365.com
- Puerto: 993
- Seguridad de la conexión: SSL/TLS
- Método de autenticación: OAuth2
SMTP:
- Nombre del servidor: outlook.office365.com
- Puerto: 587
- Seguridad: STARTTLS
- Autenticación: OAuth2
- Nombre de usuario: tu correo completo

Si cambiaste parámetros y el login no aparece, elimina las credenciales guardadas de esa cuenta en el gestor de contraseñas de Thunderbird y vuelve a intentar: el cliente forzará un nuevo flujo OAuth2.

Errores típicos y su significado

Connection timed out: la conexión TCP no se estableció (firewall, proxy, ISP bloqueando) o el servidor remoto cerró por política. Cambiar a outlook.office365.com y verificar puertos suele resolver.
Authentication failed con contraseña correcta: el servidor espera OAuth2; cambia el método de autenticación.
PR_* errors (códigos de NSS): a menudo indican inspección TLS, reloj desincronizado o suites criptográficas incompatibles.

Buenas prácticas para un envío fiable

Preferir 587 + STARTTLS para SMTP submission con autenticación.
Evitar contraseñas en clientes que no soportan OAuth2; usa flujos modernos siempre que puedas.
MFA activado en tu cuenta: refuerza seguridad y casa perfectamente con OAuth2.
Evitar proxys que interceptan TLS para tráfico IMAP/SMTP; si son obligatorios, excluye dominios de Microsoft de la inspección.
Alias y remitentes: configura en el portal de tu cuenta los alias autorizados para que el SPF/DMARC no penalice tus envíos desde Thunderbird.

FAQ: preguntas frecuentes

¿Puedo seguir usando POP3?

Sí, pero IMAP es preferible porque sincroniza estado (leído, carpetas, etc.). Si debes usar POP3, utiliza outlook.office365.com, puerto 995, SSL/TLS y autenticación OAuth2 (cuando el cliente lo soporte).

¿En qué se diferencian `outlook.office365.com` y `smtp-mail.outlook.com`?

Ambos nombres han existido, pero hoy outlook.office365.com es el más coherente entre entrada y salida, y reduce errores de conectividad y autenticación en clientes modernos. Si venías de smtp-mail.outlook.com y sufrías timeouts, cambiar al primero suele normalizar el servicio.

¿Puedo usar “Contraseña normal” si no tengo opción a OAuth2?

Para Outlook.com, la autenticación básica está cada vez más limitada o bloqueada. La recomendación es actualizar a un cliente con OAuth2 o usar un SMTP alternativo (ISP/hosting o un intermediario que acepte contraseñas de aplicación) para dispositivos legados.

¿Por qué 587 y no 25?

El puerto 25 está destinado a relay entre servidores y a menudo está bloqueado en redes residenciales y por proveedores para evitar spam. El 587 es el puerto estándar para submission autenticado desde clientes.

¿Puedo usar 465 (SSL/TLS implícito) para SMTP?

Puede funcionar en ciertos escenarios, pero el camino probado y con mayor compatibilidad para Outlook.com sigue siendo 587 con STARTTLS. Úsalo como primera opción.

¿Thunderbird se queda “pensando” sin pedir login?

Si el flujo OAuth2 no aparece, revisa que en IMAP y SMTP tengas OAuth2, elimina credenciales guardadas de esa cuenta en Thunderbird y reinicia el cliente. Verifica además que no haya un bloqueador de ventanas emergentes a nivel de sistema.

Checklist imprimible

✔ IMAP: outlook.office365.com:993 (SSL/TLS) + OAuth2
✔ SMTP: outlook.office365.com:587 (STARTTLS) + OAuth2
✔ Usuario = correo completo
✔ MFA activado (opcional, recomendado)
✔ Puertos 587/993 abiertos
✔ Sin inspección TLS en proxy/AV
✔ Reloj sincronizado
✔ IPv6 ok (o temporalmente desactivado si falla)

Solución de red: pruebas de consola útiles

Cuando tengas dudas de red, estas pruebas te dan claridad (ejecútalas desde el equipo con problemas):

# Comprobar que el puerto 587 está accesible y STARTTLS responde
openssl s_client -starttls smtp -connect outlook.office365.com:587

Comprobar IMAP con TLS

openssl s\_client -connect outlook.office365.com:993

Probar conectividad cruda (si no tienes openssl)

nc -vz outlook.office365.com 587
nc -vz outlook.office365.com 993

Si estas pruebas funcionan, el problema suele estar en la autenticación del cliente (casi siempre por usar “Contraseña normal” en lugar de OAuth2).

Casos especiales: cuentas corporativas vs. personales

Si usas una cuenta de Microsoft 365 corporativa, los administradores pueden modificar políticas de acceso (por ejemplo, desactivar SMTP AUTH, exigir MFA o condicionar IMAP). En ese caso:

Consulta si SMTP AUTH está habilitado para tu buzón si vas a enviar desde Thunderbird.
Revisa si hay Conditional Access que te exige iniciar en equipos unidos al dominio o aprobados.
Evita contraseñas en texto: configura OAuth2 igualmente en Thunderbird.

Conclusión

El camino práctico para acabar con “Connection timed out” y otros errores al configurar Outlook.com en Thunderbird es unificar el host en outlook.office365.com (entrada y salida) y migrar a OAuth2 en ambos servicios (IMAP/SMTP). Este ajuste alinea tu cliente con las expectativas actuales de la plataforma de Microsoft, mejora la seguridad y reduce la casuística de fallos por autenticación básica. Para equipos o firmware antiguos que no pueden seguir este enfoque, la ruta sostenible es actualizar o usar un SMTP intermedio que sí acepte credenciales clásicas, o el SMTP de tu ISP, hasta que puedas modernizar el dispositivo.

Plantilla de configuración recomendada (para pegar en tu documentación interna):

# Outlook.com — Configuración moderna (Thunderbird u otros)
Entrada
Protocolo: IMAP
Servidor: outlook.office365.com
Puerto: 993
Cifrado: SSL/TLS
Autenticación: OAuth2
Usuario: <tucorreocompleto>

Salida

Protocolo: SMTP (submission)
Servidor: outlook.office365.com
Puerto: 587
Cifrado: STARTTLS
Autenticación: OAuth2
Usuario: \

Con esto deberías poder enviar y recibir sin sorpresas, y decir adiós a los timeouts.