Multifunktionsgeräte mit Exchange Online

Dass sich Anwender mit ihrem Postfach verbinden, ist der Regelfall. Aber wie kann ein automatischer Prozess, ein Scanner oder sonstiges System eine Mail an ein Microsoft 365 Postfach senden. Microsoft schläft drei Optionen vor, die aber alle nicht optimal sind. Diese Seite beschreibt weitere Optionen, die ebenfalls möglich sind.

Microsoft Antwort

Das Thema ist so wichtig, dass Microsoft eine eigen Seite dazu publiziert hat

Demnach schlägt Microsoft eine der drei Optionen vor:

Option

Beschreibung

 

SMTPAuth gegen Office 365

Das Multifunktionsgerät soll die Mails per SMTP an den Port 587 senden. Dazu sind natürlich einige Voraussetzungen erforderlich

  • Internet-Zugriff
    Die Gegenstelle steht ja "in der Clou".
  • Verschlüsselung mit STARTTLS
    Hier sollten Sie genau nachschauen, ob ihr Multifunktionsgeräte schon STARTTLS mit SMTP kann.
  • Gültige Benutzernamen und Kennwort eines lizenzierten Exchange Online Postfachs
    Ein eigenes Postfach für das Multifunktionsgerät kostet eine Lizenz (mindesten F3 oder Exchange Plan 1). Ich würde nicht die Anmeldedaten eines Benutzers hinterlegen und mit verwenden. Schon der Wechsel des Kennworts durch den Anwender bedeutet Nachkonfiguration.
  • Unterstützung von MFA/ConditionalsAccess oder AppPassworte oder "Modern Auth"
    Wenn das Benutzerkonto, wie immer empfohlen, per MFA gesichert ist, dann kann sich so ein Gerät nur noch per AppPasswort anmelden.

Vielleicht gibt es ja solche Geräte, die sich per STARTTLS mit den Anmeldenamen eines Benutzers anmelden aber überzeugt bin ich von der Lösung nicht.

 

Anonym gegen Office 365

Natürlich kann das Multifunktionsgerät auch einfach die Mail per SMTP über Port 25 zu Office 365 einliefern. Aber auch hier gibt es Herausforderungen

  • Verschlüsselung nicht erzwungen. Sie müssen also bei ihrem Gerät sicherstellen, dass die Übertragung "sicher" ist
  • Anonym: + Spamfilter: Natürlich unterwirft Microsoft solche Mails einer Spamprüfung.
  • Problemlos beim Client: Diesen Versand sollte nun jeder Scanner u.a. hinbekommen

Das reale Risiko ist einfach die Exchange Online Protection Quarantäne, die solche Mails gerne abfängt.

 

Anonym mit Inbound Partner Connector

Über einen "Inbound Partner Connector" mit der hinterlegten öffentlichen IP-Adresse können Sie ihrem Multifunktionsgerät einen Vertrauensvorschuss geben. Da gibt es nur ein Problem

  • Statische IP-Adresse erforderlich
    Die haben sie an immer weniger Standorten und insbesondere kleine Firmen arbeiten mit dynamischen Adressen, wenn Sie selbst keine Dienste bereitstellen.
  • Lokale Firewall als Schutz.
    Wenn der Partner Connector auf die statische Source-IP ihrer Firewall geht, dann sollten Sie dort per Regeln steuern, welche internen Clients über diese IP-Adresse auf Exchange Online und Port 25 zugreifen dürfen.

Es ist generell eine sinnvolle Konfiguration, wenn eine Firewall nicht nur eingehende Verbindungen steuert, sondern auch ausgehende Verbindungen reglementiert werden.

Natürlich müssen Sie immer noch sicherstellen, dass die Mails per STARTTLS verschlüsselt sind, ihre lokale Firewall nur "erlaubte" Clients auf den Port 25 zulässt und ihre öffentlichen IP nicht auf einer Blocklist landet. Für größere Standorte sollte dieser Weg aber möglich sein.

 

Alle drei Optionen sind sicher machbar aber aus meiner Sicht mit unterschiedlichen Einschränkungen verbunden und überzeugen mich nicht. Zudem hat Microsoft natürlich andere Lösungen nicht beschrieben, die zusätzliche Komponenten benötigen. Das hole ich dann mal nach.

Weitere Optionen

Wenn sie eine statische IP-Adresse haben, dann ist der Weg über den "Inbound Connector" mit der IP-Adresse durchaus gangbar. Aber folgende Alternativen können auch kleine Firmen nutzen.

Option

Beschreibung

Postfach beim Zugangsprovider

Die meisten Zugangsprovider verkaufen ihnen nicht nur den Internet-Zugang sondern auch Postfächer zur Nutzung. Sie kennen sicher die "@t-online.de"-Adressen und auch Vodafone, UnityMedia, Deutsche Glasfaser u.a. bieten mit dem Anschluss auch Postfächer. Das ist nicht ganz uneigennützig, da Sie mit der Nutzung eine engere Bindung mit dem "austauschbaren" Zugangsprovider eingehend. Ich nutze aber weder meine T-Online-Adresse noch die DG-Adresse zum Empfang aber mein Multifunktionsgerät kann die Adresse zum Versand nutzen.

Die dynamische IP-Adresse ist dabei kein Problem, weil ihnen diese vom Zugangsprovider gestellt wird und sie oft schon als "Authentifiziert" gelten und den Server des Providers als ausgehendes Relay nutzen können. Da ich den Weg zum Versand nutze, sind auch die Zugangsdaten eigentlich unkritisch und von "ModernAuth", Conditional Access etc. haben diese Dienste in der Regel auch keine Ahnung.

Postfach bei FreeMailer oder Domains

Wenn ihnen der Zugangsprovider keine "günstigen" Postfächer anbietet, können Sie natürlich auch ein Postfach eines Freemail-Anbieters, z.B. Outlook.com, GMX etc. nutzen. Wobei ich dann eher eine Internet-Domain bei einem Webhoster mit kleinem Postfachpaket kaufen würde. So ist meine Webseite unter meinem eigenen Namen erreichbar und meine Drucker und Scanner können ein eigenes Postfach mit eigenen Zugangsdaten zum Versand bekommen.

Eigenes lokales MailRelay

Eigentlich wollen sie ja keine Server mehr in ihrem lokalen Netzwerk haben. Aber ein kleines NAS oder ein Raspberry ist doch kein "richtiger" Server mit Windows, Active Directory etc. Aber genau diese kleinen Boxen können ihre Lösung sein.

Bei mir steht trotz Office 365 ein kleines NAS-System (Synology DS216j NAS Zuhause) im Keller, damit z.B.: die PCs ihre Backup ablegen können, die IoT-Geräte einen MQTT-Server haben und ein einfacher SMB-Dateiserver den Datenaustausch vereinfacht. Auf dem System kann auch ein SMTP-Server betrieben werden, der dann mit einem Konto der Cloud verbunden ist. Die Multifunktionsgeräte senden ihre Nachricht einfach im lokalen Netzwerk an diesen Server zur sicheren Weiterleitung in meinen Tenant. Sie können So einen Server natürlich auch auf einem Raspberry (Linux) betreiben oder auf einem Windows Server (z.B. hMailServer oder Windows SMTP-Server oder SMTP Relay ohne Exchange).

Denkbar wäre auch der Betrieb eines  solchen Relays in Azure. In einem anderen Projekt habe ich schon einen Windows SMTP-Server dazu genutzt. Mails anonym von überall anzunehmen und nach "DROP" abzulegen. Ein PowerShell-Script hat dann die angekommen Mails gelesen und nur "formal korrekten" Mails weiter gesendet. Sie könnte z.B. den UserAgent und die Absenderadresse des Multifunktionsgeräts nutzen und zudem nur Mails mit Anlagen berücksichtigen, die an bestimmte Adresse gehen. So ein System hat dann schon eher den Aspekt eines Honeypot. Spammer werden sehr schnell erkennen, dass dies dennoch kein offenes Relay ist.

Einen direkten Versand an andere Firmen sollten sie hinter eine dynamischen IP-Adresse oder SPF u.a. gar nicht versuchen.

Exchange Hybrid

Wer von Exchange OnPremises kommt und groß genug für ADSync ist, wird vermutlich immer noch einen Exchange Server für die Exchange PowerShell betreiben. Der Server kann mit einem sehr reduzierten Hybrid-Mode auch ohne lokale Postfächer einfach nur SMTP-Routing zwischen lokalen Diensten und ihrem Tenant machen. Die Verbindung ist dann verschlüsselt und per MTLS abgesichert, damit kein Scan in der Quarantäne landet. Im einfachsten Fall reicht dazu ein Exchange Edge Server, der aber auch eine Lizenz benötigt.

OAUTH Proxy

Theoretisch könnten Sie OnPremises auch eine Software einsetzen, die nach intern wie ein IMAP/POP/SMTP-Server aussieht aber dann mit den übergebenen Anmeldedaten eine Authentifizierung gegen Exchange Online mittels OAUTH/SAML macht und danach die Verbindung "transparent" durchschaltet.

Azure Communication Services

Neben Exchange hat Microsoft noch einen zweiten Service am Start. "Azure Communication Services" erlauben es sehr viele Mails, z.B. für Newsletter etc. an externe Ziele zu senden. Diese Mails laufen komplett an Exchange Online vorbei über eigene Strukturen und werden über eine Azure Subscription abgerechnet. Hier ist auch eine Einlieferung per SMTP-AUTH weiter möglich.

Keine Mail

Für ganz kleine Büros stelle ich die Frage, ob ein Scanner hier wirklich mit "Scan2Mail" die PDF-Datei mit den gescannten Seiten per SMTP um die Welt zum daneben stehenden Computer senden muss. Die meisten Multifunktionsgeräte haben einen durchaus passablen Client oder werden von Windows als Netzwerkscanner erkannt. Ich nutze hier auch gerne den Weg das Dokument auf dem PC über das Netzwerk einzuscannen und dann weiter zu verarbeiten. Notfalls tut es auch ein USB-Stick zum Transport der Daten.

Es gibt also durchaus noch viele weitere Optionen, wie ein Multifunktionsgerät oder generell ein "anonymer SMTP-Sender" in ihrem LAN seine Meldungen per SMTP an ein Office 365 Postfach einliefert kann.

Weitere Links