Multifunktionsgeräte mit Exchange Online

Dass sich Anwender mit ihrem Postfach verbinden, ist der Regelfall. Aber wie kann ein automatischer Prozess, ein Scanner oder sonstiges System eine Mail an ein Microsoft 365 Postfach senden. Microsoft schläft drei Optionen vor, die aber alle nicht optimal sind. Diese Seite beschreibt weitere Optionen, die ebenfalls möglich sind.

Microsoft Antwort

Das Thema ist so wichtig, dass Microsoft eine eigen Seite dazu publiziert hat

Demnach schlägt Microsoft eine der drei Optionen vor

Option

Beschreibung

 

SMTPAuth gegen Office 365

Das Multifunktionsgerät soll die Mails per SMTP an den Port 587 senden. Dazu sind natürlich einige Voraussetzungen erforderlich

  • Internet-Zugriff
    Die Gegenstelle steht ja "in der Clou".
  • Verschlüsselung mit STARTTLS
    Hier sollten Sie genau nachschauen, ob ihr Multifunktionsgeräte schon STARTTLS mit SMTP kann.
  • Gültige Benutzernamen und Kennwort eines lizenzierten Exchange Online Postfachs
    Ein eigenes Postfach für das Multifunktionsgerät kostet eine Lizenz (mindesten F3 oder Exchange Plan 1). Ich würde nicht die Anmeldedaten eines Benutzers hinterlegen und mit verwenden. Schon der Wechsel des Kennworts durch den Anwender bedeutet Nachkonfiguration.
  • Unterstützung von MFA/ConditionalsAccess oder AppPassworte oder "Modern Auth"
    Wenn das Benutzerkonto, wie immer empfohlen, per MFA gesichert ist, dann kann sich so ein Gerät nur noch per AppPasswort anmelden.

Vielleicht gibt es ja solche Geräte, die sich per STARTTLS mit den Anmeldenamen eines Benutzers anmelden aber überzeugt bin ich von der Lösung nicht.

 

Anonym gegen Office 365

Natürlich kann das Multifunktionsgerät auch einfach die Mail per SMTP über Port 25 zu Office 365 einliefern. Aber auch hier gibt es Herausforderungen

  • Verschlüsselung nicht erzwungen. Sie müssen also bei ihrem Gerät sicherstellen, dass die Übertragung "sicher" ist
  • Anonym: + Spamfilter: Natürlich unterwirft Microsoft solche Mails einer Spamprüfung.
  • Problemlos beim Client: Diesen Versand sollte nun jeder Scanner u.a. hinbekommen

Das reale Risiko ist einfach die Exchange Online Protection Quarantäne, die solche Mails gerne abfängt.

 

Inbound Connector

Über einen "Inbound Connector" mit der hinterlegten öffentlichen IP-Adresse können Sie ihrem Multifunktionsgerät einen Vertrauensvorschuss geben. Da gibt es nur ein Problem

  • Statische IP-Adresse
    Die haben sie an immer weniger Standorten und insbesondere kleine Firmen arbeiten mit dynamischen Adressen, wenn Sie selbst keine Dienste bereitstellen

Natürlich müssen Sie immer noch sicherstellen, dass die Mails per STARTTLS verschlüsselt sind, ihre lokale Firewall nur "erlaubte" Clients auf den Port 25 zulässt und ihre öffentlichen IP nicht auf einer Blacklist landet. Für größere Standorte sollte dieser Weg aber möglich sein

 

Alle drei Optionen sind sicher machbar aber aus meiner Sicht mit unterschiedlichen Einschränkungen verbunden und überzeugen mich nicht. Zudem hat Microsoft natürlich andere Lösungen nicht beschrieben, die zusätzliche Komponenten benötigen. Das hole ich dann mal nach.

Weitere Optionen

Wenn sie eine statische IP-Adresse haben, dann ist der Weg über den "Inbound Connector" mit der IP-Adresse durchaus gangbar. Aber folgende Alternativen können auch kleine Firmen nutzen

Option

Beschreibung

Postfach beim Zugangsprovider

Die meisten Zugangsprovider verkaufen ihnen nicht nur den Internet-Zugang sondern auch Postfächer zur Nutzung. Sie kennen sicher die "@t-online.de"-Adressen und auch Vodafone, UnityMedia, Deutsche Glasfaser u.a. bieten mit dem Anschluss auch Postfächer. Das ist nicht ganz uneigennützig, da Sie mit der Nutzung eine engere Bindung mit dem "austauschbaren" Zugangsprovider eingehend. Ich nutze aber weder meine T-Online-Adresse noch die DG-Adresse zum Empfang aber mein Multifunktionsgerät kann die Adresse zum Versand nutzen.

Die dynamische IP-Adresse ist dabei kein Problem, weil mein Zugangsprovider diese stellt und kennt und mit so ein ausgehendes Relay anbietet. Da ich den Weg zur zum Versand nutze, sind auch die Zugangsdaten eigentlich unkritisch und von "ModernAuth", Conditional Access etc. haben diese Dienste in der Regel auch keine Ahnung.

Postfach bei FreeMailer oder Domains

Wenn ihnen der Zugangsprovider keine "günstigen" Postfächer anbietet, können Sie natürlich auch ein Postfach eines Freemail-Anbieters, z.B. Outlook.com, GMX etc. nutzen. Wobei ich dann sogar eher eine Internet-Domain bei einem Webhoster mit kleinem Postfachpaket kaufen würde. So ist meine Webseite unter meinem eigenen Namen erreichbar und meine Drucker und Scanner können ein eigenes Postfach mit eigenen Zugangsdaten zum Versand bekommen.

Eigenes MailRelay

Vielleicht haben Sie ja doch einen kleinen Server in ihrem Netzwerk, der als Relay dienen kann. Speziell wenn sie mehrere Systeme haben, ist das der einfachere Weg. Bei mir steht trotz Office 365 ein kleines NAS-System (Synology DS216jNAS Zuhause) im Keller, damit z.B.: die PCs ihre Backup ablegen können, die IoT-Geräte einen MQTT-Server haben und ein einfacher SMB-Dateiserver den Datenaustausch vereinfacht. Auf dem System kann auch ein SMTP-Server betrieben werden, der dann mit einem Konto der Cloud verbunden ist. Die Multifunktionsgeräte senden ihre Nachricht einfach im lokalen Netzwerk an diesen Server zur sicheren Weiterleitung in meinen Tenant. Sie können So einen Server natürlich auch auf einem Raspberry (Linux) betreiben oder auf einem Windows Server (z.B. hMailServer oder Windows SMTP-Server).

Denkbar wäre auch der Betrieb eines  solchen Relays in Azure. In einem anderen Projekt habe ich schon einen Windows SMTP-Server dazu genutzt. Mails anonym von überall anzunehmen und nach "DROP" abzulegen. Ein PowerShell-Script hat dann die angekommen Mails gelesen und nur "formal korrekten" Mails weiter gesendet. Sie könnte z.B. den UserAgent und die Absenderadresse des Multifunktionsgeräts nutzen und zudem nur Mails mit Anlagen berücksichtigen, die an bestimmte Adresse gehen. So ein System hat dann schon eher den Aspekt eines Honeypot. Spammer werden sehr schnell erkennen, dass dies dennoch kein offenes Relay ist.

Einen direkten Versand an andere Firmen sollten sie hinter eine dynamischen IP-Adresse oder SPF u.a. gar nicht versuchen.

Exchange Hybrid

Wer von Exchange OnPremises kommt und groß genug für ADSync ist, wird vermutlich immer noch einen Exchange Server für die Exchange PowerShell betreiben. Der Server kann mit einem sehr reduzierten Hybrid-Mode auch ohne lokale Postfächer einfach nur SMTP-Routing zwischen lokalen Diensten und ihrem Tenant machen. Die Verbindung ist dann verschlüsselt und per MTLS abgesichert, damit kein Scan in der Quarantäne landet.

Keine Mail

Für ganz kleine Büros stelle ich die Frage, ob ein Scanner hier wirklich mit "Scan2Mail" die PDF-Datei mit den gescannten Seiten per SMTP um die Welt zum daneben stehenden Computer senden muss. Die meisten Multifunktionsgeräte haben einen durchaus passablen Client oder werden von Windows als Netzwerkscanner erkannt. Ich nutze hier auch gerne den Weg das Dokument auf dem PC über das Netzwerk einzuscannen und dann weiter zu verarbeiten. Notfalls tut es auch ein USB-Stick zum Transport der Daten.

Es gibt also durchaus noch viele weitere Optionen, wie ein Multifunktionsgerät oder generell ein "anonymer SMTP-Sender" in ihrem LAN seine Meldungen per SMTP an ein Office 365 Postfach einliefert kann.

Weitere Links