Se o Outlook (Mac ou Windows) parou de enviar mensagens com o Gmail e mostra Failure code: 4af4 — muitas vezes acompanhado de “Expected 235, got 334” — este guia explica a causa (OAuth/TLS) e traz um passo a passo prático para corrigir com segurança.
Visão geral do problema: Outlook + Gmail + erro 4af4
Após anos funcionando, o envio de emails no Outlook pode falhar de repente ao usar uma conta Gmail. Os sinais típicos incluem:
Server 'smtp.gmail.com' Port '587'(ou 465) e falha ao enviar.- Mensagem técnica do tipo: “Expected 235, got 334” com um blob que, ao decodificar, mostra
status: 400e esquemaBearer(OAuth 2.0). - Em alguns cenários, aparece
535 Incorrect authentication data(comum quando a conta foi configurada como IMAP/SMTP manual com senha).
O caso real confirmado que inspirou este artigo foi resolvido imediatamente ao atualizar o macOS Sonoma para a versão mais recente, sem mexer em portas ou senha. Isso é um indicativo forte de que o problema estava no stack do sistema (certificados/TLS/Keychain) afetando o fluxo de OAuth do Gmail usado pelo Outlook.
Resumo rápido (para agir já)
- Atualize o sistema (macOS/Windows) e o Outlook.
- Remova e adicione a conta Gmail como “Google” (não use “IMAP/POP manual”).
- Garanta o IMAP ativado no Gmail (Configurações → Encaminhamento e POP/IMAP → Ativar IMAP).
- Limpe tokens antigos (Keychain no macOS ou Gerenciador de Credenciais no Windows) e faça login de novo.
- Confirme Data/Hora automáticas no sistema (evita falhas de certificados/TLS).
O que significam os códigos e mensagens
| Código/mensagem | Significado técnico | Leitura prática |
|---|---|---|
| 4af4 (Outlook) | Código de falha do Outlook no caminho de envio. | Erro genérico de envio; consulte a resposta SMTP para a causa. |
| 235 (SMTP) | Autenticação concluída com sucesso. | Estado desejado após login OAuth/SMTP. |
334 com Bearer | Desafio/erro no fluxo OAuth 2.0 (por ex., token inválido/expirado, escopo ou fluxo incompleto). Em decodificações, aparece status: 400. | Reautenticar a conta pelo provedor “Google”, renovar tokens e checar o sistema (TLS/Keychain/tempo). |
| 535 Incorrect authentication data | Falha de credenciais — muitas vezes por tentativa de autenticação básica (senha) onde o Gmail exige OAuth. | Evitar IMAP/SMTP manual; recriar a conta como “Google” (OAuth). Senha de app só para clientes sem OAuth. |
Por que isso acontece (raiz do problema)
- Tokens OAuth inválidos ou expirados: o Outlook guarda credenciais do Gmail (OAuth 2.0). Se o token expira, é revogado ou há falha na renovação, o SMTP responde com desafio
334e o envio cai em4af4. - Stack do sistema (certificados/TLS/Keychain/tempo): bugs ou certificados raiz desatualizados podem quebrar a negociação segura com o Google e impedir a troca de tokens.
- Conta configurada como “IMAP genérico + senha”: o Gmail não aceita mais “senha simples” com clientes modernos; isso termina em
535. - Políticas do Google Workspace (se aplicável): restrições de OAuth/IMAP pelo administrador podem bloquear clientes de terceiros.
Configuração correta (e o que evitar)
Para Gmail no Outlook, a regra de ouro é sempre adicionar a conta escolhendo o provedor “Google” para usar OAuth nativo (login no navegador) — não “IMAP/POP manual”.
Portas e segurança recomendadas
| Serviço | Servidor | Porta/Segurança | Observações |
|---|---|---|---|
| IMAP (recebimento) | imap.gmail.com | 993 / SSL | Requer IMAP ativado nas Configurações do Gmail. |
| SMTP (envio) | smtp.gmail.com | 587 / STARTTLS (preferível) | Modelo atual; funciona com OAuth no Outlook. |
| SMTP (alternativo) | smtp.gmail.com | 465 / SSL | Evite com perfis “IMAP + senha”. Propenso a 535 se não houver OAuth. |
Importante: nada de “senha de app” para o Outlook moderno — use o fluxo OAuth (login web). Senha de app só faz sentido para clientes que não suportam OAuth.
Passo a passo recomendado para macOS
- Atualize o macOS (Sonoma) para a versão mais recente disponível. Em um caso confirmado, isso restabeleceu o envio imediatamente.
- Atualize o Outlook (Microsoft 365/Office) para a compilação mais recente.
- Remova e adicione a conta Gmail no Outlook, escolhendo Google (não “IMAP/POP”). Conclua o login no navegador e conceda as permissões solicitadas.
- No Gmail (web), em Configurações → Encaminhamento e POP/IMAP, confirme que o IMAP está ativado.
- Se ainda falhar:
- Abra o Acesso às Chaves (Keychain Access), pesquise por Google, Outlook, smtp.gmail.com e accounts.google.com; remova entradas antigas relacionadas e reabra o Outlook para forçar um novo consentimento OAuth.
- Em Data e Hora, mantenha Definir data e hora automaticamente ativado.
- Se usar soluções de segurança (antivírus/inspeção TLS), exclua o Outlook e domínios do Google de inspeção SSL/TLS.
Passo a passo recomendado para Windows
- Atualize o Windows (inclui certificados raiz/TLS) e o Outlook para a versão mais recente.
- Remova e adicione a conta Gmail como “Google”, concluindo o login web (OAuth).
- Abra o Gerenciador de Credenciais (Painel de Controle) → Credenciais do Windows; remova entradas antigas relacionadas a Google, Outlook, smtp.gmail.com e imap.gmail.com.
- Em ambientes Google Workspace, o administrador deve confirmar:
- IMAP habilitado para os usuários.
- Políticas permitindo clientes de terceiros via OAuth (sem exigir obrigatoriamente SMTP relay).
- Se há proxy/inspeção TLS, liberar tráfego para serviços de autenticação do Google.
Mapeamento rápido de sintomas → ações
| Sintoma | Causa provável | Ação imediata |
|---|---|---|
4af4 + “Expected 235, got 334 … Bearer / 400” | Token OAuth inválido/expirado, fluxo OAuth quebrado por TLS/certificados/Keychain. | Atualize SO e Outlook; remova/adicione conta como “Google”; renove tokens (Keychain/Gerenciador de Credenciais); verifique Data/Hora. |
4af4 + 535 Incorrect authentication data (muitas vezes porta 465) | Autenticação básica (senha) em vez de OAuth ou credenciais erradas. | Recrie a conta como “Google” (OAuth). Evite IMAP/SMTP manual. Cliente sem OAuth? Ative 2FA e use senha de app. |
| Recebe IMAP, mas não envia SMTP | Escopos/token do SMTP não válidos; problema de TLS ou credenciais SMTP. | Refaça o login OAuth; limpe tokens antigos; confira portas e STARTTLS. |
| Loop de login no navegador | Bloqueio por extensão de navegador, proxy/inspeção TLS ou cookies restritos. | Tente outro navegador padrão; desative bloqueadores temporariamente; libere domínios do Google. |
Checklist essencial antes de abrir um chamado
- ✅ SO e Outlook atualizados.
- ✅ Conta adicionada como Google (OAuth), não como IMAP/POP manual.
- ✅ IMAP ativado no Gmail (web).
- ✅ Tokens antigos limpos (Keychain/Gerenciador de Credenciais) e login refeitos.
- ✅ Data/Hora automáticas e sem inspeção TLS em trânsito para o Google.
Guia detalhado de correção (Mac)
1) Atualizar macOS e Outlook
Abra Ajustes do Sistema → Atualização de Software e aplique todas as atualizações do Sonoma. Em seguida, atualize o Outlook pelo Microsoft AutoUpdate. Teste um envio simples para você mesmo.
2) Recriar a conta como “Google”
No Outlook, remova a conta Gmail. Ao adicionar novamente, selecione Google como provedor, finalize o login no navegador e aceite as permissões.
3) Limpar credenciais no Keychain
- Abra Acesso às Chaves e selecione o chaveiro “Início de sessão”.
- Pesquise por Google, smtp.gmail.com, imap.gmail.com, accounts.google.com, Outlook.
- Apague entradas antigas relacionadas. Feche e reabra o Outlook para forçar novo consentimento OAuth.
4) Conferir IMAP e horário
No Gmail (web), habilite o IMAP. Em Data e Hora do macOS, mantenha o ajuste automático ligado. Teste envio/recebimento.
Guia detalhado de correção (Windows)
1) Atualizar Windows e Outlook
Instale as atualizações do Windows (certificados/TLS) e atualize o Outlook (Microsoft 365 ou Outlook novo). Reinicie e teste.
2) Recriar a conta como “Google”
No Outlook, remova a conta Gmail. Adicione novamente escolhendo Google e complete o login OAuth no navegador padrão.
3) Limpar o Gerenciador de Credenciais
- Abra Painel de Controle → Contas de Usuário → Gerenciador de Credenciais.
- Em Credenciais do Windows, remova itens relacionados a Google, Outlook, smtp.gmail.com, imap.gmail.com.
- Reabra o Outlook e repita o login OAuth quando solicitado.
4) Ambiente corporativo (Workspace)
- IMAP habilitado para usuários.
- Políticas de App Access Control permitindo o Outlook como cliente OAuth.
- Proxy/firewall liberando tráfego seguro para domínios do Google, sem quebra de inspeção TLS.
Boas práticas que evitam a volta do 4af4
- Prefira 587/STARTTLS ao configurar SMTP; é o caminho mais testado com OAuth no Outlook.
- Evite “perfis híbridos” (IMAP manual + senha). Se o cliente não suportar OAuth, ative 2FA na conta Google e use senha de app — mas esse não deve ser o caso do Outlook moderno.
- Mantenha o sistema e o Outlook sempre atualizados para receber correções de certificados e de integração com OAuth.
- Minimize extensões de navegador que interfiram em pop‑ups/cookies durante o login OAuth.
FAQ — perguntas frequentes
Preciso de “senha de app” no Outlook?
Não para o Outlook atual. Ele usa OAuth (login web). Senha de app só é necessária para clientes que não suportam OAuth.
Ativar “Acesso a apps menos seguros” resolve?
Não — e esse mecanismo foi descontinuado pelo Google. Use OAuth oficial.
Consigo receber, mas não enviar. Por quê?
Recebimento (IMAP) e envio (SMTP) usam caminhos de autenticação diferentes. É comum o IMAP seguir funcionando enquanto o SMTP falha por token/scope vencido ou por validação TLS.
Qual a diferença entre 587/STARTTLS e 465/SSL?
Ambos são seguros. Na prática, 587/STARTTLS é a rota mais compatível com o Outlook moderno em conjunto com OAuth. Perfis “IMAP + senha” na porta 465 frequentemente geram 535.
Diagnóstico avançado (opcional)
- Outro cliente: adicione a mesma conta Gmail no Apple Mail (Mac) ou no aplicativo Gmail móvel. Se o login OAuth falhar nesses clientes, a causa é ambiental (rede/TLS/conta).
- Novo perfil de usuário: crie um novo perfil do Outlook ou um novo usuário no sistema para descartar corrupção de perfil.
- Seguro contra proxies: se houver inspeção TLS, o handshake com
smtp.gmail.com/accounts.google.compode quebrar. Peça exceção/preferencialmente bypass para os domínios do Google.
Roteiro de decisão em 5 passos
- Atualize macOS/Windows e Outlook.
- Recrie a conta como Google (OAuth) e teste envio.
- Limpe tokens (Keychain/Gerenciador de Credenciais) e refaça o login.
- Confirme IMAP ativo e hora automática.
- Revise proxy/firewall/Workspace (se corporativo). Persistindo, teste em outro perfil/cliente para isolar ambiente.
Resumo em uma linha
Não era porta nem IMAP: foi a autenticação OAuth do Gmail afetada pelo sistema; atualizar o SO e recriar a conta como “Google” no Outlook resolve a maioria dos erros 4af4/334/535 ao enviar usando Gmail.