HowTo: SwyxWare-Voicemails an Microsoft 365 senden

Einführung

SwyxWare verwendet SMTP, um Voicemail und andere E-Mails wie Willkommens-E-Mails an einen Mailserver zu senden.

Die Verbindung wird mit TLS gesichert und mit einem Benutzernamen und Passwort authentifiziert. Dies wird SMTP-Basisauthentifizierung (SMTP Basic Auth) genannt.

Microsoft hat kürzlich angekündigt, dass bei neuen Microsoft 365 Kunden SMTP Basic AUTH standardmäßig deaktiviert wird.

Für nicht-interaktive Server-Anwendungen und -Geräte ist SMTP Basic Auth jedoch weiterhin verfügbar, da die so genannte "Moderne Authentifizierung" auf der Basis von OAuth 2.0 nur auf Microsoft 365 für Client-Anwendungen verfügbar ist.

In diesem How-To wird beschrieben, wie Sie Ihren Microsoft 365-Mieter so konfigurieren, dass er ein Microsoft 365-Postfach für den Versand von E-Mails von SwyxWare mit SMTP Basic Auth verwendet, während dieser Authentifizierungsmechanismus für alle anderen Postfächer deaktiviert bleibt. Dies ist die empfohlene Option 1 in der Dokumentation von Microsoft.

Schritt-für-Schritt-Anleitung

Microsoft hat dazu eine ausführliche Dokumentation hier abgelegt. Im Folgenden werden die notwendigen Schritte zusammengefasst, um eine moderne Authentifizierung für Client-Anwendungen einschließlich MFA beizubehalten, aber SwyxWare die Verwendung eines "SwyxWare"-Postfachs zur Zustellung von E-Mails an Ihre Microsoft 365 Benutzer zu ermöglichen.

1. Deaktivieren Sie die Sicherheitseinstellungen.
   Bei neueren Microsoft 365-Mietern sind die Sicherheitseinstellungen aktiviert, was nicht nur die Multi-Faktor-Authentifizierung ermöglicht, sondern auch die SMTP-Basisauthentifizierung für alle Benutzer blockiert.
   
   Sie müssen die Standardeinstellungen deaktivieren, um eine feinkörnigere Konfiguration zu ermöglichen, die es einem Postfach erlaubt, SMTP-Basisauthentifizierung zu verwenden.
   
   
2. Aktivieren Sie die SMTP-Client-Authentifizierung
   in Ihrem Mandanten über Set-TransportConfig Set-TransportConfig -SmtpClientAuthenticationDisabled $false.
   Wenn diese Einstellung $True ist, kann SMTP überhaupt nicht verwendet werden, weder mit moderner noch mit einfacher Authentifizierung.
   
   
3. Deaktivieren der Basisauthentifizierung in der Standardauthentifizierungsrichtlinie
   Auf admin.microsoft.com deaktivieren Sie die Basis-Authentifizierung (falls noch nicht geschehen). Dadurch wird die Standardauthentifizierungsrichtlinie, die für alle Postfächer verwendet wird, die keine andere haben, erstellt/geändert.
   
   
4. Erstellen eines SwyxWare-Postfachs in Exchange
   Damit SwyxWare E-Mails versenden kann, benötigen Sie einen Benutzer (Postfach) in Exchange, der der Absender der SwyxWare-E-Mails ist. SwyxWare authentifiziert sich als dieser Benutzer, um E-Mails per SMTP zu versenden.
   
   
5. SMTP-Basisauthentifizierung für das SwyxWare-Postfach zulassen
   Das SwyxWare-Postfach muss zur Verwendung der SMTP-Basisauthentifizierung berechtigt sein. Dazu erstellen Sie eine zweite Authentifizierungsrichtlinie und weisen diese dem SwyxWare-Postfach zu.
   
   
6. Konfigurieren der SwyxWare SMTP-Einstellungen
   SwyxWare muss die oben erstellte Mailbox verwenden. Dieser Schritt beschreibt, wie Sie dies konfigurieren.

Detaillierte Beschreibung der einzelnen Schritte
Sicherheitsvorgaben deaktivieren

Siehe Azure AD Security Defaults für eine Erklärung des Konzepts. Beachten Sie, dass die Conditional Access Policies in Azure AD ausgeschaltet sind und nicht verwendet werden sollten. Stattdessen werden die Exchange Online-Authentifizierungsrichtlinien empfohlen. 

1. Gehen Sie zu admin.microsoft.com und melden Sie sich mit einem Admin-Konto an.
2. Gehen Sie zu Einstellungen, Org-Einstellungen und klicken Sie auf Moderne Authentifizierung:
   
3. Klicken Sie auf den Link "Sicherheitsvorgaben im Azure-Portal aktivieren", der Sie zu Ihren Azure AD-Eigenschaften führt.
4. Klicken Sie auf "Sicherheitsvorgaben verwalten". Wenn die Einstellung aktiviert ist, deaktivieren Sie diese.

Aktivieren Sie die SMTP-Client-Authentifizierung in Ihrem Mandanten

Stellen Sie sicher, dass in Ihrem Mandanten die SMTP-Client-Authentifizierung aktiviert ist. Um dies zu tun:

1. Öffnen Sie eine Exchange Online-Powershell-Konsole
2. Verbinden Sie sich mit Ihrer Instanz über Connect-ExchangeOnline -UserPrincipalName admin@example.com.
3. Überprüfen Sie, ob die SMTP-Client-Authentifizierung über Get-TransportConfig | format-list SmtpClientAuthenticationDisabled eingeschlatet ist.
4. Wenn die SMTP-Client-Authentifizierung deaktiviert ist, aktivieren Sie sie mit Set-TransportConfig -SmtpClientAuthenticationDisabled $false.

Deaktivieren Sie die Basic-Authentifizierung in Ihrem Mandanten

Dadurch wird Ihre Exchange Online-Authentifizierungsrichtlinie konfiguriert, die auf alle Benutzer angewendet wird, wenn nicht anders konfiguriert.

1. Melden Sie sich auf admin.microsoft.com als Administrator an.
2. Gehen Sie zu Einstellungen, Org-Einstellungen und klicken Sie auf Moderne Authentifizierung:
3. Microsoft empfiehlt, "Moderne Authentifizierung einschalten..." zu aktivieren. Wenn Sie dies tun, stellen Sie sicher, dass Sie zuvor die Microsoft-Dokumentation gelesen haben.
4. Schalten Sie unter "Zugriff auf grundlegende Authentifizierungsprotokolle zulassen" alle Optionen aus. Stellen Sie sicher, dass Sie vorher die Anmeldungsberichte im Azure Active Directory-Portal für Ihre Microsoft 365-Instanz überprüfen, um bestehende Clients nicht zu blockieren.

Erstellen Sie ein Postfach für den SwyxWare-E-Mail-Versand

1. Legen Sie in IhrerMicrosoft 365-Instanz einen Benutzer an, der von SwyxWare zum Versenden von E-Mails verwendet wird, z.B. mit dem Anzeigenamen SwyxWare.
   • Stellen Sie sicher, dass Sie ein langes, komplexes Passwort anlegen
   • Schalten Sie folgende Einstellung aus: "Von diesem Benutzer verlangen, dass er bei der ersten Anmeldung sein Passwort ändert".
2. Nachdem Sie den Benutzer erstellt haben, klicken Sie darauf, um die Benutzereinstellungen zu öffnen, wählen Sie Mail und klicken Sie auf E-Mail-Anwendungen verwalten:
   
3.  Stellen Sie sicher, dass Authenticated SMTP für dieses Postfach eingeschaltet ist:
   
4. Schalten Sie alle anderen E-Mail-Anwendungen aus, da dieses Postfach nur zum Senden von E-Mails von SwyxWare verwendet wird. 

Erlauben Sie SMTP-Basisauthentifizierung für das SwyxWare-Postfach

Dadurch wird eine zusätzliche Authentifizierungsrichtlinie erstellt, um dem SwyxWare-Benutzer die Verwendung von SMTP zu ermöglichen.

1. Öffnen einer Exchange Online-Powershell-Konsole
2. Verbinden Sie sich mit Ihrer Instanzu über
   Connect-ExchangeOnline -UserPrincipalName admin@example.com.
3. Erstellen Sie eine neue Authentifizierungsrichtlinie:
   New-AuthenticationPolicy -Name "AllowBasicAuthSmtpPolicy" -AllowBasicAuthSmtp
4. Weisen Sie die Richtlinie dem SwyxWare-Postfachbenutzer zu:
   set-user -Identity "swyxware@example.com" -AuthenticationPolicy AllowBasicAuthSmtpPolicy
5. Warten Sie 24 Stunden auf die Anwendung der Richtlinie oder tragen Sie folgendes manuell ein, um innerhalb von 30 Minuten diese zu aktivieren:
   set-user -Identity "swyxware@example.com" -StsRefreshTokensValidFrom $([System.DateTime]::UtcNow)

Konfigurieren der SwyxWare SMTP-Einstellungen

1. Swyx-Kontrollzentrum öffnen
2. Anmeldung als SwyxWare-Administrator
3. Gehen Sie zu Allgemeine Einstellungen, Systemeinstellungen, Mail-Server
4. Geben Sie die folgenden Informationen ein
   SMTP-Mail-Server: smtp.office365.com
   SMTP-Anschluss: 587
   Absender-Adresse: <Ihr in Schritt 4> erstelltes Microsoft 365 SwyxWare-Postfach
   Aktivieren Sie die SMTP-Authentifizierung: <geprüft>
   SSL verwenden: <geprüft>
   Benutzername: <Ihr in Schritt 4> erstelltes Microsoft 365 SwyxWare-Postfach
   Kennwort: <Ihr Microsoft 365 SwyxWare Mailbox-Passwort, das in Schritt 4> erstellt wurde
5. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.
6. Um eine Test-E-Mail zu senden, klicken Sie auf Test-E-Mail senden und überprüfen Sie Ihr Microsoft 365 SwyxWare-Postfach, um den Empfang zu bestätigen.