Multifunktionsgeräte mit Exchange Online
Dass sich Anwender mit ihrem Postfach verbinden, ist der Regelfall. Aber wie kann ein automatischer Prozess, ein Scanner oder sonstiges System eine Mail an ein Microsoft 365 Postfach senden. Microsoft schläft drei Optionen vor, die aber alle nicht optimal sind. Diese Seite beschreibt weitere Optionen, die ebenfalls möglich sind.
Microsoft Antwort
Das Thema ist so wichtig, dass Microsoft eine eigen Seite dazu publiziert hat
- How to set up a multifunction device or
application to send email using Microsoft
365 or Office 365
https://docs.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365
Demnach schlägt Microsoft eine der drei Optionen vor
Option |
Beschreibung |
|
---|---|---|
SMTPAuth gegen Office 365 |
Das Multifunktionsgerät soll die Mails per SMTP an den Port 587 senden. Dazu sind natürlich einige Voraussetzungen erforderlich
Vielleicht gibt es ja solche Geräte, die sich per STARTTLS mit den Anmeldenamen eines Benutzers anmelden aber überzeugt bin ich von der Lösung nicht. |
|
Anonym gegen Office 365 |
Natürlich kann das Multifunktionsgerät auch einfach die Mail per SMTP über Port 25 zu Office 365 einliefern. Aber auch hier gibt es Herausforderungen
Das reale Risiko ist einfach die Exchange Online Protection Quarantäne, die solche Mails gerne abfängt. |
|
Inbound Connector |
Über einen "Inbound Connector" mit der hinterlegten öffentlichen IP-Adresse können Sie ihrem Multifunktionsgerät einen Vertrauensvorschuss geben. Da gibt es nur ein Problem
Natürlich müssen Sie immer noch sicherstellen, dass die Mails per STARTTLS verschlüsselt sind, ihre lokale Firewall nur "erlaubte" Clients auf den Port 25 zulässt und ihre öffentlichen IP nicht auf einer Blocklist landet. Für größere Standorte sollte dieser Weg aber möglich sein |
|
Alle drei Optionen sind sicher machbar aber aus meiner Sicht mit unterschiedlichen Einschränkungen verbunden und überzeugen mich nicht. Zudem hat Microsoft natürlich andere Lösungen nicht beschrieben, die zusätzliche Komponenten benötigen. Das hole ich dann mal nach.
Weitere Optionen
Wenn sie eine statische IP-Adresse haben, dann ist der Weg über den "Inbound Connector" mit der IP-Adresse durchaus gangbar. Aber folgende Alternativen können auch kleine Firmen nutzen
Option |
Beschreibung |
---|---|
Postfach beim Zugangsprovider |
Die meisten Zugangsprovider verkaufen ihnen nicht nur den Internet-Zugang sondern auch Postfächer zur Nutzung. Sie kennen sicher die "@t-online.de"-Adressen und auch Vodafone, UnityMedia, Deutsche Glasfaser u.a. bieten mit dem Anschluss auch Postfächer. Das ist nicht ganz uneigennützig, da Sie mit der Nutzung eine engere Bindung mit dem "austauschbaren" Zugangsprovider eingehend. Ich nutze aber weder meine T-Online-Adresse noch die DG-Adresse zum Empfang aber mein Multifunktionsgerät kann die Adresse zum Versand nutzen. Die dynamische IP-Adresse ist dabei kein Problem, weil mein Zugangsprovider diese stellt und kennt und mit so ein ausgehendes Relay anbietet. Da ich den Weg zur zum Versand nutze, sind auch die Zugangsdaten eigentlich unkritisch und von "ModernAuth", Conditional Access etc. haben diese Dienste in der Regel auch keine Ahnung. |
Postfach bei FreeMailer oder Domains |
Wenn ihnen der Zugangsprovider keine "günstigen" Postfächer anbietet, können Sie natürlich auch ein Postfach eines Freemail-Anbieters, z.B. Outlook.com, GMX etc. nutzen. Wobei ich dann sogar eher eine Internet-Domain bei einem Webhoster mit kleinem Postfachpaket kaufen würde. So ist meine Webseite unter meinem eigenen Namen erreichbar und meine Drucker und Scanner können ein eigenes Postfach mit eigenen Zugangsdaten zum Versand bekommen. |
Eigenes MailRelay |
Vielleicht haben Sie ja doch einen kleinen Server in ihrem Netzwerk, der als Relay dienen kann. Speziell wenn sie mehrere Systeme haben, ist das der einfachere Weg. Bei mir steht trotz Office 365 ein kleines NAS-System (Synology DS216jNAS Zuhause) im Keller, damit z.B.: die PCs ihre Backup ablegen können, die IoT-Geräte einen MQTT-Server haben und ein einfacher SMB-Dateiserver den Datenaustausch vereinfacht. Auf dem System kann auch ein SMTP-Server betrieben werden, der dann mit einem Konto der Cloud verbunden ist. Die Multifunktionsgeräte senden ihre Nachricht einfach im lokalen Netzwerk an diesen Server zur sicheren Weiterleitung in meinen Tenant. Sie können So einen Server natürlich auch auf einem Raspberry (Linux) betreiben oder auf einem Windows Server (z.B. hMailServer oder Windows SMTP-Server oder SMTP Relay ohne Exchange). Denkbar wäre auch der Betrieb eines solchen Relays in Azure. In einem anderen Projekt habe ich schon einen Windows SMTP-Server dazu genutzt. Mails anonym von überall anzunehmen und nach "DROP" abzulegen. Ein PowerShell-Script hat dann die angekommen Mails gelesen und nur "formal korrekten" Mails weiter gesendet. Sie könnte z.B. den UserAgent und die Absenderadresse des Multifunktionsgeräts nutzen und zudem nur Mails mit Anlagen berücksichtigen, die an bestimmte Adresse gehen. So ein System hat dann schon eher den Aspekt eines Honeypot. Spammer werden sehr schnell erkennen, dass dies dennoch kein offenes Relay ist. Einen direkten Versand an andere Firmen sollten sie hinter eine dynamischen IP-Adresse oder SPF u.a. gar nicht versuchen. |
Exchange Hybrid |
Wer von Exchange On-Premises kommt und groß genug für ADSync ist, wird vermutlich immer noch einen Exchange Server für die Exchange PowerShell betreiben. Der Server kann mit einem sehr reduzierten Hybrid-Mode auch ohne lokale Postfächer einfach nur SMTP-Routing zwischen lokalen Diensten und ihrem Tenant machen. Die Verbindung ist dann verschlüsselt und per MTLS abgesichert, damit kein Scan in der Quarantäne landet. |
Keine Mail |
Für ganz kleine Büros stelle ich die Frage, ob ein Scanner hier wirklich mit "Scan2Mail" die PDF-Datei mit den gescannten Seiten per SMTP um die Welt zum daneben stehenden Computer senden muss. Die meisten Multifunktionsgeräte haben einen durchaus passablen Client oder werden von Windows als Netzwerkscanner erkannt. Ich nutze hier auch gerne den Weg das Dokument auf dem PC über das Netzwerk einzuscannen und dann weiter zu verarbeiten. Notfalls tut es auch ein USB-Stick zum Transport der Daten. |
Es gibt also durchaus noch viele weitere Optionen, wie ein Multifunktionsgerät oder generell ein "anonymer SMTP-Sender" in ihrem LAN seine Meldungen per SMTP an ein Office 365 Postfach einliefert kann.
Weitere Links
- Hybrid Connector Server
- NAS Zuhause
- Windows SMTP-Server
- hMailServer
- How to set up a multifunction device or
application to send email using Microsoft
365 or Office 365
https://docs.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365 - Manage app passwords for two-step
verification
https://docs.microsoft.com/de-de/azure/active-directory/user-help/multi-factor-authentication-end-user-app-passwords - What are security defaults?:
Authentication Methods
https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/concept-fundamentals-security-defaults#authentication-methods - Announcing OAuth 2.0 support for IMAP
and SMTP AUTH protocols in Exchange Online
https://techcommunity.microsoft.com/t5/exchange-team-blog/announcing-oauth-2-0-support-for-imap-and-smtp-auth-protocols-in/ba-p/1330432 - Azure Security Defaults, SMTP für
Multifunktionsgeräte
https://www.microsoftpartnercommunity.com/t5/Modern-Workplace/Azure-Security-Defaults-SMTP-f%C3%BCr-Multifunktionsger%C3%A4te/gpm-p/36038