Multifunktionsgeräte mit Exchange Online

SMTPAuth gegen Office 365

Das Multifunktionsgerät soll die Mails per SMTP an den Port 587 senden. Dazu sind natürlich einige Voraussetzungen erforderlich

• Internet-Zugriff
  Die Gegenstelle steht ja "in der Clou".
• Verschlüsselung mit STARTTLS
  Hier sollten Sie genau nachschauen, ob ihr Multifunktionsgeräte schon STARTTLS mit SMTP kann.
• Gültige Benutzernamen und Kennwort eines lizenzierten Exchange Online Postfachs
  Ein eigenes Postfach für das Multifunktionsgerät kostet eine Lizenz (mindesten F3 oder Exchange Plan 1). Ich würde nicht die Anmeldedaten eines Benutzers hinterlegen und mit verwenden. Schon der Wechsel des Kennworts durch den Anwender bedeutet Nachkonfiguration.
• Unterstützung von MFA/ConditionalsAccess oder AppPassworte oder "Modern Auth"
  Wenn das Benutzerkonto, wie immer empfohlen, per MFA gesichert ist, dann kann sich so ein Gerät nur noch per AppPasswort anmelden.

Vielleicht gibt es ja solche Geräte, die sich per STARTTLS mit den Anmeldenamen eines Benutzers anmelden aber überzeugt bin ich von der Lösung nicht.

Anonym gegen Office 365

Natürlich kann das Multifunktionsgerät auch einfach die Mail per SMTP über Port 25 zu Office 365 einliefern. Aber auch hier gibt es Herausforderungen

• Verschlüsselung nicht erzwungen. Sie müssen also bei ihrem Gerät sicherstellen, dass die Übertragung "sicher" ist
• Anonym: + Spamfilter: Natürlich unterwirft Microsoft solche Mails einer Spamprüfung.
• Problemlos beim Client: Diesen Versand sollte nun jeder Scanner u.a. hinbekommen

Das reale Risiko ist einfach die Exchange Online Protection Quarantäne, die solche Mails gerne abfängt.

Anonym mit Inbound Partner Connector

Über einen "Inbound Partner Connector" mit der hinterlegten öffentlichen IP-Adresse können Sie ihrem Multifunktionsgerät einen Vertrauensvorschuss geben. Da gibt es nur ein Problem

• Statische IP-Adresse erforderlich
  Die haben sie an immer weniger Standorten und insbesondere kleine Firmen arbeiten mit dynamischen Adressen, wenn Sie selbst keine Dienste bereitstellen.
• Lokale Firewall als Schutz.
  Wenn der Partner Connector auf die statische Source-IP ihrer Firewall geht, dann sollten Sie dort per Regeln steuern, welche internen Clients über diese IP-Adresse auf Exchange Online und Port 25 zugreifen dürfen.

Es ist generell eine sinnvolle Konfiguration, wenn eine Firewall nicht nur eingehende Verbindungen steuert, sondern auch ausgehende Verbindungen reglementiert werden.

Natürlich müssen Sie immer noch sicherstellen, dass die Mails per STARTTLS verschlüsselt sind, ihre lokale Firewall nur "erlaubte" Clients auf den Port 25 zulässt und ihre öffentlichen IP nicht auf einer Blocklist landet. Für größere Standorte sollte dieser Weg aber möglich sein.

• Partner Connector
• Exchange Direct Send
• Direct Send: Send mail directly from your device or application to Microsoft 365 or Office 365
  https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365#direct-send-send-mail-directly-from-your-device-or-application-to-microsoft-365-or-office-365
• Introducing more control over Direct Send in Exchange Online
  https://techcommunity.microsoft.com/blog/exchange/introducing-more-control-over-direct-send-in-exchange-online/4408790
  "Direct Send is a method used to send emails directly to an Exchange Online customer’s hosted mailboxes from on-premises devices, applications, or third-party cloud services using the customer’s own accepted domain. This method does not require any form of authentication because, by its nature, it mimics incoming anonymous emails from the internet, apart from the sender domain"

Postfach beim Zugangsprovider

Die meisten Zugangsprovider verkaufen ihnen nicht nur den Internet-Zugang sondern auch Postfächer zur Nutzung. Sie kennen sicher die "@t-online.de"-Adressen und auch Vodafone, UnityMedia, Deutsche Glasfaser u.a. bieten mit dem Anschluss auch Postfächer. Das ist nicht ganz uneigennützig, da Sie mit der Nutzung eine engere Bindung mit dem "austauschbaren" Zugangsprovider eingehend. Ich nutze aber weder meine T-Online-Adresse noch die DG-Adresse zum Empfang aber mein Multifunktionsgerät kann die Adresse zum Versand nutzen.

Die dynamische IP-Adresse ist dabei kein Problem, weil ihnen diese vom Zugangsprovider gestellt wird und sie oft schon als "Authentifiziert" gelten und den Server des Providers als ausgehendes Relay nutzen können. Da ich den Weg zum Versand nutze, sind auch die Zugangsdaten eigentlich unkritisch und von "ModernAuth", Conditional Access etc. haben diese Dienste in der Regel auch keine Ahnung.

Postfach bei FreeMailer oder Domains

Wenn ihnen der Zugangsprovider keine "günstigen" Postfächer anbietet, können Sie natürlich auch ein Postfach eines Freemail-Anbieters, z.B. Outlook.com, GMX etc. nutzen. Wobei ich dann eher eine Internet-Domain bei einem Webhoster mit kleinem Postfachpaket kaufen würde. So ist meine Webseite unter meinem eigenen Namen erreichbar und meine Drucker und Scanner können ein eigenes Postfach mit eigenen Zugangsdaten zum Versand bekommen.

Eigenes lokales MailRelay

Eigentlich wollen sie ja keine Server mehr in ihrem lokalen Netzwerk haben. Aber ein kleines NAS oder ein Raspberry ist doch kein "richtiger" Server mit Windows, Active Directory etc. Aber genau diese kleinen Boxen können ihre Lösung sein.

Bei mir steht trotz Office 365 ein kleines NAS-System (Synology DS216j NAS Zuhause) im Keller, damit z.B.: die PCs ihre Backup ablegen können, die IoT-Geräte einen MQTT-Server haben und ein einfacher SMB-Dateiserver den Datenaustausch vereinfacht. Auf dem System kann auch ein SMTP-Server betrieben werden, der dann mit einem Konto der Cloud verbunden ist. Die Multifunktionsgeräte senden ihre Nachricht einfach im lokalen Netzwerk an diesen Server zur sicheren Weiterleitung in meinen Tenant. Sie können So einen Server natürlich auch auf einem Raspberry (Linux) betreiben oder auf einem Windows Server (z.B. hMailServer oder Windows SMTP-Server oder SMTP Relay ohne Exchange).

Denkbar wäre auch der Betrieb eines  solchen Relays in Azure. In einem anderen Projekt habe ich schon einen Windows SMTP-Server dazu genutzt. Mails anonym von überall anzunehmen und nach "DROP" abzulegen. Ein PowerShell-Script hat dann die angekommen Mails gelesen und nur "formal korrekten" Mails weiter gesendet. Sie könnte z.B. den UserAgent und die Absenderadresse des Multifunktionsgeräts nutzen und zudem nur Mails mit Anlagen berücksichtigen, die an bestimmte Adresse gehen. So ein System hat dann schon eher den Aspekt eines Honeypot. Spammer werden sehr schnell erkennen, dass dies dennoch kein offenes Relay ist.

Einen direkten Versand an andere Firmen sollten sie hinter eine dynamischen IP-Adresse oder SPF u.a. gar nicht versuchen.

Exchange Hybrid

Wer von Exchange OnPremises kommt und groß genug für ADSync ist, wird vermutlich immer noch einen Exchange Server für die Exchange PowerShell betreiben. Der Server kann mit einem sehr reduzierten Hybrid-Mode auch ohne lokale Postfächer einfach nur SMTP-Routing zwischen lokalen Diensten und ihrem Tenant machen. Die Verbindung ist dann verschlüsselt und per MTLS abgesichert, damit kein Scan in der Quarantäne landet. Im einfachsten Fall reicht dazu ein Exchange Edge Server, der aber auch eine Lizenz benötigt.

• Hybrid Connector Server
• Exchange Edge Rolle

OAUTH Proxy

Theoretisch könnten Sie OnPremises auch eine Software einsetzen, die nach intern wie ein IMAP/POP/SMTP-Server aussieht aber dann mit den übergebenen Anmeldedaten eine Authentifizierung gegen Exchange Online mittels OAUTH/SAML macht und danach die Verbindung "transparent" durchschaltet.

• Email OAuth 2.0 Proxy (Kostenfrei, Python zum selbst hosten)
  https://github.com/simonrob/email-oauth2-proxy
• Auth-EMail (Hosted Service, Kommerziell)
  https://auth-email.com/

Azure Communication Services

Neben Exchange hat Microsoft noch einen zweiten Service am Start. "Azure Communication Services" erlauben es sehr viele Mails, z.B. für Newsletter etc. an externe Ziele zu senden. Diese Mails laufen komplett an Exchange Online vorbei über eigene Strukturen und werden über eine Azure Subscription abgerechnet. Hier ist auch eine Einlieferung per SMTP-AUTH weiter möglich.

• Azure SMTP
• Create credentials for Simple Mail Transfer Protocol (SMTP) authentication
  https://learn.microsoft.com/en-us/azure/communication-services/quickstarts/email/send-email-smtp/smtp-authentication

Keine Mail

Für ganz kleine Büros stelle ich die Frage, ob ein Scanner hier wirklich mit "Scan2Mail" die PDF-Datei mit den gescannten Seiten per SMTP um die Welt zum daneben stehenden Computer senden muss. Die meisten Multifunktionsgeräte haben einen durchaus passablen Client oder werden von Windows als Netzwerkscanner erkannt. Ich nutze hier auch gerne den Weg das Dokument auf dem PC über das Netzwerk einzuscannen und dann weiter zu verarbeiten. Notfalls tut es auch ein USB-Stick zum Transport der Daten.