Konfiguration eines SMTP Relay für Office 365

  • Article

Wer die ersten Tests und Gehversuche mit Office 365 und speziell mit Exchange Online gemacht hat, der kommt vielleicht früher oder später an den Punkt an dem z.B. ein Multifunktionsgerät oder eine Applikation über SMTP  Nachrichten  über Exchange Online verschicken müssen. Natürlich kann Exchange Online auch Emails von und an solchen Absendern verarbeiten, aber es gibt es paar Punkte die zu Bedenken und zu Beachten sind.

Dabei gilt für Office 365 genau wie für es für BPOS der Fall war, dass für eine Weiterleitung von Emails an externe Empfänger nur authentifizierte und über TLS gesicherte Verbindungen auf Port 587 erlaubt sind. Für BPOS findet man eine die notwendigen Infos hier: https://blogs.technet.com/b/msonline_deutschland/archive/2009/09/03/smtp-relay-mit-exchange-online.aspx bzw. hier: https://technet.microsoft.com/en-us/library/ff535993.aspx
Für Office 365 folgt die offizielle Dokumentation noch, aber mit diesem Artikel bekommt man auch die notwendigen Informationen.

Die meisten Produkte und Geräte unterstützen heute TLS und SMTP Authentication. Es gibt aber eine Reihe von Gründen, warum man vielleicht doch noch einen SMTP Relay Server in seinem Netzwerk vorhalten möchte. Dazu gehören zum Beispiel:

  • wenn Softwareprodukte und Geräte betrieben werden, die eben nicht TLS und/oder SMTP Authentifizierung unterstützen
  • wenn man eine große Anzahl von diesen Geräte/Produkten konfigurieren muss
  • wenn Emails auch von diesen Geräten/Produkten empfangen werden sollen
  • wenn Massenemailversand gemacht werden soll (z.B. ein Newsletter mehrere tausend Empfänger)
  • wenn man aus Netzwerktechnischen Gründen die Emails über einen zentralen Punkt leiten will

Office 365 beinhaltet immer die Microsoft Forefront Online Protection für Exchange – kurz FOPE. Dies ist ein AntiSpam und AntiVirus Dienst der einzeln bezogen werden kann um beliebige selbstbetriebene Mailsysteme zu schützen. Mehr Informationen über das Produkt findet man hier: https://www.microsoft.com/germany/forefront/serversecurity/exchange-online/default.mspx 

Was in diesem Artikel nicht weiter betrachtet wird, ist die Möglichkeit in Office 365 Enterprise einen SMTP Relay mit einer statische Absender IP Adresse und entsprechenden DNS Einträgen als “Incoming Connection” in FOPE zu konfigurieren. Wenn Emails nur an interne Empfänger gesendet werden sollen, dann ist dies auch eine Option. Die meisten Multifunktionsscanner erlauben aber auch eine manuelle Adresseingabe und man kommt schnell zu dem Punkt an dem man über Exchange Online die Weiterleitung machen möchte. In der Office 365 Small Business Variante geht das prinzipiell auch – man hat aber keinen Zugriff auf FOPE und muss (eigentlich wie immer) darauf achten, dass der eigene Relay nicht auf einer Spam Blacklist landet.

Wie konfiguriert man nun einen Relay mit Authentifizierung? Dazu kann ein bereits existierendes Benutzerkonto in der Online Services benutzt werden, ratsam ist aber ein separates Konto anzulegen, damit der Absendername in Exchange Online eindeutig ist und damit man ein separates Kennwort für dieses Konto benutzt. Dieses Konto benötigt nur eine Exchange Online Kiosk Lizenz.

image Auch wenn man DirSync und ADFS benutzt – es ist besser hierfür ein Konto mit Microsoft Online Service ID zu benutzen. Der Anzeigename des Benutzers wird dabei für alle internen Exchange Online Empfänger benutzt. Externe Empfänger bekommen den Namen angezeigt, der in der SMTP Konfiguration des Geräts/des Programms hinterlegt ist. Dieses Konto braucht keinerlei Berechtigungen und minimal eine Exchange Online Kiosk Lizenz. Wenn in der Testphase nur E3 und P1 Lizenzen zu Verfügungen stehen, dann kann man diese benutzen und später die Lizenz wechseln. Nachdem man dann das temporäre Passwort bekommen hat, muss man sich einmal unter dem neuen Konto anmelden und ein Passwort vergeben. Zur Zeit können die Passwortrichtlinien in Office 365 noch nicht angepasst werden – sobald die Powershell Schnittstelle für Office 365 verfügbar ist, kann man hier einige Einstellungen vornehmen.
image

Die für den SMTP Relay wichtige Smarthost Adresse findet man über Outlook Web Access. Dazu einfach die Optionen aufrufen und “Alle Optionen anzeigen…” lassen.
image In der Übersicht Seite von “Meinem Konto” findet man relativ in der Mitte die “Einstellungen für POP-, IMAP- und SMTP Zugriff….”
image Damit kommt man dann an die wichtige Information für den jeweiligen SMTP Benutzer. Dabei bitte beachten: Diese kann je nach Relay User unterschiedlich sein. Die Serveradresse in diesem Beispiel wird also
image_thumb12

Die Installation des Windows SMTP Dienst ist je nach Windows Server Version etwas unterschiedlich. Ab Windows Server 2008 kann man den Dienst als “Feature” wählen. Die weiteren Screenshots für die notwendigen IIS Komponenten fehle an dieser Stelle – sie sind aber selbsterklärend. Auch ein Windows Server 2003 R2 könnte für diese Aufgabe herhalten. In kleineren und mittleren Netzwerkumgebungen bieten sich der Dirsync Server oder der ADFS Server bzw. die NLB Farm für ADFS an.
image_thumb14 Wer nun auch einem Windows Server 2008 oder Windows Server 2008 R2 Server verzweifelt nach der Konsole sucht: Die Konfiguration des Windows SMTP Server erfolgt immer noch über den IIS 6.0 Manager!
image_thumb15 In diesem Artikel geht es um eine einfache Konfiguration. Der Dienst bietet noch einige weitere Möglichkeiten und man sollte sich den SMTP Mailflow vorher sicherlich genau überlegen. Der Dienst sollte nie ohne sorgfältige Planung und Prüfung aus dem Internet erreichbar gemacht werden. Falsch konfiguriert kann man schnell einen Open-Relay haben und dann wird der Server von Spam Versendern ausgenutzt. Im weiteren wird angenommen, dass der Server NICHT aus dem Internet erreichbar ist.
image_thumb16 Aber auch intern gilt es vorsichtig zu sein, denn schnell kann ein ungeschützter PC Viren und Würmer ins Netz einschleppen. Aus diesem Grund zunächst die Punkte “Connection” und “Relay” so einstellen, dass nur die Scanner und Rechner von denen Emails versendet werdet sollen angeben. Im Tab “Messages” sollte die Emailadresse des Mailadministrator für NDR Berichte hinterlegt werden. Hier ist es am Anfang ratsam eine Emailadresse mit der Domäne @<NameIhrerOffice365Umgebung>.onmicrosoft.com anzugeben, falls man irgendwo einen Fehler bei der Konfiguration macht.
image_thumb18 Die wichtigen Konfigurationsdialoge findet man unter “Delivery”
image_thumb19 Zunächst stellt man die “Basic Authentication” ein und gibt die K ontoinformationen aus Schritt 1 ein. Wichtig ist das die “TLS encryption” aktiviert ist.
image_thumb20 Wie in Schritt 2 ermittelt, muss TCP Port 587 benutzt werden. Diesen stellt man unter “Outbound Connections” ein.
image_thumb21 Der letzte Schritt ist die Eingabe des Smart Host. Der SMTP Servername aus Schritt 2 wird hier benötigt.
image_thumb22 Danach sollte man den Mailflow testen. Dazu muss der Testrechner in die Relayliste aufgenommen werden und dann kurz per Telnet, Script oder beliebigen SMTP Test Tool eine Email gesendet werden. Bei dem Test sollte man interne und externe Empfänger testen und prüfen, dass die Weiterleitung geht und die benutzen Emailadressen wie gewünscht konfiguriert sind. .

Diese Anleitung ist die Grundlage für weitere Lösungen mit Office 365.  Office 365 Enterprise bietet mit FOPE erweiterte Möglichkeiten.  Die Möglichkeiten für den SMTP Mailflow sollten bei einem Test von Office 365 bzw. Exchange Online erkundet werden, denn häufig kann man signifikante Verbesserungen der bisherigen Infrastruktur durch Exchange Online und FOPE erreichen.