Ab dem 1. Oktober 2022 wird die Standardauthentifizierung (Basic/Legacy Authentication) für EWS-, RPS-, POP-, IMAP-, MAPI-, RPC, OAB, SMTP AUTH und EAS-Protokolle in Exchange Online deaktiviert. Die Standardauthentifizierung gilt heute als eine Sicherheitslücke, reicht doch bereits ein Benutzername und Passwort für die Anmeldung aus, das zusätzlich meistens noch in den Geräten hinterlegt werden muss. Nach Deaktivierung der Standardauthentifizierung wird Modern Authentication (basierend auf OAuth 2.0) aktiv. Modern Authentication benötigt einen zweiten Faktor (Multi-Faktor Authentifizierung).

Das Protokoll SMTP AUTH wird oft für die Authentifzierung durch Scanner oder Scripten verwendet und eine Multi-Faktor Authentifizierung ist nicht möglich. Um diese Dienste weiterhin verwenden zu können, kann ein Microsoft 365 SMTP Relay in Exchange Online eingerichtet werden.

Voraussetzungen und Lizenzierung

Für das Senden von Email mit einem Microsoft 365 SMTP Relay müssen folgende Voraussetzungen erfüllt sein:

  • Exchange Online ist lizenziert und für den Mailverkehr konfiguriert
  • Statische WAN-IP Adresse
  • Port 25 (TCP) wird von der Firewall und dem ISP (Internet Service Provider) nicht blockiert

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

M365 SMTP Relay Connector einrichten

Ein neuer Exchange Online Connector wird im Exchange Admin Center (https://admin.exchange.microsoft.com/) erstellt.

Exchange admin center > Mail flow > Connectors > Add a connector

Ein Wizzard für die Konfiguration wird geöffnet.
Der Nachrichtenfluss wird im Szenario Your organization’s email server abgewickelt.
Dieses Szenario setzt nicht zwingend einen Emailserver im lokalen Netzwerk voraus. Geräte und Scripte können nach Abschluss der Konfiguration direkt mit diesem Connector kommunizieren.

Ein Name für den Connector vergeben, z.B. M365 SMTP Relay und die Optionen den eigenen Bedürfnissen anpassen.

Die Authentifizierung an diesem Connector erfolgt über die WAN-IP Adresse des ISP. Dadurch müssen später die Geräte und Scripte keine zusätzliche Authentifizierung durchführen.

Zum Abschluss können die Einstellungen nochmals geprüft werden und mit Create connector bestätigt werden.

Nach kurzer Zeit ist der Connector bereitgestellt.

Sponsored Links

Clienteinstellungen für den SMTP Relay

Der Client kann mit den nachfolgenden Angaben auf den Microsoft 365 SMTP Relay zugreifen. Für die Authentifizierung wird kein Benutzername oder Passwort benötigt. Die Authentifizierung erfolgt über die WAN-IP des ISP.

SmarthostMX-Endpunkt
z.B. cloudkaffee-ch.mail.protection.outlook.com
Port25 (TCP)
TLS/StartTLSAktiviert
EmailadresseEine gültige Emailadresse aus der Senderdomain
Die Adresse benötigt kein eigenes Postfach

Fehlersuche und Fehlerbehebung

SMTP Relay mit PowerShell prüfen

Voraussetzungen

  • Das Script wird über die WAN-IP versendet, die bei der Erstellung des Connectors angegeben wurde
  • Port 25 (TCP) muss für den Client aktiv sein

Das nachfolgende Script sendet eine Email über den Microsoft 365 SMTP Relay Connector. Folgendes muss im Script angepasst werden:

(1) SMTP Server entspricht dem MX Eintrag der Senderdomain, z.B. «cloudkaffee-ch.mail.protection.outlook.com»
(2) eine gültige Emailadresse aus der Senderdomain
(3) eine gültige Emailadresse des Empfängers

Es wird nun folgende Email an den Empfänger gesendet:

Clients mit Standardauthentifizierung erkennen

Im Anmeldeprotokoll von Azure AD können die Client Apps mit Standardauthentifizierung erkannt werden.
Das Vorgehen ist im Blogeintrag Blockieren der Legacyauthentifizierung mit Azure AD Conditional Access – cloudkaffee.ch beschrieben.


Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.

Sponsored Links