Zum Hauptinhalt springen

OAuth-Anmeldung mit Exchange Online konfigurieren

Konfigurieren Sie OAuth-Authentifizierung für SMTP-Mailversand mit Microsoft 365 und Exchange Online in InLoox Self-Hosted.

hinweis

Diese Anleitung ist nur für InLoox Self-Hosted relevant. Für InLoox Cloud Editionen muss keine Azure App angelegt werden.

Voraussetzungen
  • InLoox Self-Hosted Server muss mindestens in Version 11.17 installiert sein
  • Diese Anleitung gilt nur für Kunden, die automatisierte E-Mails über Exchange Online versenden
  • Sie benötigen einen eigenen Entra ID Tenant mit Administratorrechten
  • Grundlegende Kenntnisse in Microsoft 365/Microsoft Entra ID Administration und PowerShell sind erforderlich

Hintergrund

Ab Dezember 2026 beginnt Microsoft die Unterstützung für Basic Authentication (SMTP AUTH) für Exchange Online einzustellen. Der Mailversand mit Benutzername und Passwort wird nicht mehr möglich sein oder erfordert Konfigurationsanpassungen. Wir empfehlen bereits jetzt auf die moderne/sichere Authentifizierung umzustellen.

Details: Microsoft Tech Community: Exchange Online to Retire Basic Auth

Allgemeine Anforderungen

Sicherheitsstandards

Damit die Konfiguration erfolgreich durchgeführt werden kann, dürfen die Sicherheitsstandards bzw. Security Defaults in Ihrem Tenant nicht aktiviert sein. Weitere Informationen: Microsoft Learn: Sicherheitsstandards

Sicherheitsempfehlungen

Wir empfehlen die Verwendung zusätzlicher Sicherheitsmaßnahmen wie 2-Faktor-Authentifizierung und bedingten Zugriff (Microsoft Learn: Bedingter Zugriff). Insbesondere für die anzulegende Entra ID App empfiehlt sich der bedingte Zugriff mit IP-Sperre oder ähnlichem.

Konfigurationsübersicht

Die Konfiguration umfasst vier Schritte:

  1. Erstellen einer Entra ID App (früher Azure App)
  2. Erstellen eines Service Principals und Verknüpfung mit einem Postfach
  3. Aktivierung von SMTP Auth für das Postfach
  4. Konfiguration der OAuth-Anmeldung im InLoox Self-Hosted Server Setup
info

Sie benötigen für den automatisierten E-Mail-Versand einen Microsoft 365-Benutzer mit E-Mail-Postfach in Exchange Online. In dessen Namen werden die E-Mails versendet.

Referenz: Microsoft Learn: SMTP mit OAuth authentifizieren

Schritt 1: Entra ID App erstellen

hinweis

Sofern Sie bereits eine Entra ID App für InLoox eingerichtet haben (für SSO, SharePoint Online etc.), können Sie diese grundsätzlich wiederverwenden. Aus Sicherheitsgründen empfehlen wir jedoch explizit eine separate App für den Mailversand.

  1. Melden Sie sich in Ihrem Azure Portal an.
  2. Wechseln Sie zum Dienst Microsoft Entra ID.
  3. Wechseln Sie im Seitenpanel zu App-Registrierungen.
  4. Klicken Sie auf + Neue Registrierung.
  5. Geben Sie einen Namen ein (z.B. "InLoox SMTP via OAuth").
  6. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelner Mandant).
  7. Klicken Sie auf Registrieren.
hinweis

Die anderen Kontotypen sind grundsätzlich kompatibel, aber in den meisten Szenarien nicht relevant.

  1. Wechseln Sie im Seitenpanel zu API-Berechtigungen.
  2. Klicken Sie auf + Berechtigung hinzufügen und wählen Sie Von meiner Organisation verwendete APIs.
  3. Suchen Sie nach Office 365 Exchange Online und wählen Sie es aus.
  4. Wählen Sie Anwendungsberechtigungen.
  5. Suchen Sie nach SMTP und wählen Sie SMTP.SendAsApp.
  6. Klicken Sie auf Berechtigungen hinzufügen.
  7. Klicken Sie auf Administratorzustimmung für [Ihre Entra ID Domain] erteilen und bestätigen Sie mit JA.

Das Ergebnis sollte die Berechtigung mit einem grünen Häkchen zeigen, das angibt, dass die Administratorzustimmung erteilt wurde.

  1. Wechseln Sie über das Seitenpanel zu Zertifikate & Geheimnisse.
  2. Unter Geheime Clientschlüssel klicken Sie auf + Neuer geheimer Clientschlüssel.
  3. Geben Sie einen Namen und eine Gültigkeitsdauer ein, dann klicken Sie auf Hinzufügen.
Wichtig

Sichern Sie unbedingt sofort den Wert des Schlüssels. Dieser wird nur einmalig angezeigt. Sollten Sie ihn nicht sichern, müssen Sie einen neuen Schlüssel erstellen. Der Wert wird später in dieser Anleitung benötigt.

Beachten Sie die Gültigkeit des Schlüssels. Nach Ablauf ist kein E-Mail-Versand mehr möglich und das Geheimnis muss aktualisiert werden.

Schritt 2: Service Principal erstellen und mit Postfach verknüpfen

Die folgenden Schritte erfordern Windows PowerShell.

Für Windows Server 2016 führen Sie zunächst diese Befehle aus:

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Install-PackageProvider -Name NuGet

ExchangeOnlineManagement-Modul installieren:

Install-Module -Name ExchangeOnlineManagement
Import-module ExchangeOnlineManagement
Connect-ExchangeOnline -Organization <tenantId>

Ersetzen Sie <tenantId> mit Ihrer Mandanten-ID. Sie erhalten ggf. Sicherheitsabfragen — stimmen Sie diesen zu.

Anwendungs-ID und Objekt-ID abrufen:

  1. Öffnen Sie den Bereich Unternehmensanwendungen in Azure.
  2. Für <APPLICATION_ID> verwenden Sie die Anwendungs-ID (Client) aus der dritten Spalte.
  3. Für <OBJECT_ID> verwenden Sie die Objekt-ID aus der zweiten Spalte. Verwenden Sie NICHT die Objekt-ID aus App-Registrierungen — der Befehl wird fehlschlagen.

Service Principal erstellen:

New-ServicePrincipal -AppId <APPLICATION_ID> -ObjectId <OBJECT_ID>

Ersetzen Sie die Platzhalter mit den Werten von oben.

Service Principal mit Postfach verknüpfen:

Rufen Sie die Service Principal ID ab:

Get-ServicePrincipal | fl

Notieren Sie den ID-Wert und führen Sie dann aus:

Add-MailboxPermission -Identity "john.smith@contoso.com" -User <SERVICE_PRINCIPAL_ID> -AccessRights FullAccess

Ersetzen Sie john.smith@contoso.com mit dem Postfach, von dem E-Mails versendet werden sollen.

Schritt 3: SMTP Auth für das Postfach aktivieren

Standardmäßig ist SMTP Auth für alle Postfächer deaktiviert. Aktivieren Sie es für Ihr Versand-Postfach:

Set-CASMailbox -Identity john.smith@contoso.com -SmtpClientAuthenticationDisabled $false

Ersetzen Sie john.smith@contoso.com mit Ihrem Versand-Postfach.

Details: Microsoft Learn: Authenticated Client SMTP Submission

hinweis

Wenn ein komplett neues Postfach eingerichtet wurde, kann es bis zu einem Tag dauern, bis der E-Mail-Versand möglich ist.

Schritt 4: OAuth in InLoox Self-Hosted konfigurieren

Wählen Sie im InLoox Self-Hosted Server Setup OAuth mit Microsoft 365. Geben Sie folgende Werte ein:

  • SMTP-Servername: smtp.office365.com
  • Absender E-Mail-Adresse: Die E-Mail-Adresse des in Schritt 2 gewählten Postfachs
  • Absender E-Mail-Name: Der Anzeigename für den Absender
  • Benutzername: Der Benutzername des in Schritt 2 gewählten Postfachs
  • TenantId: Ihre Entra ID Mandanten-/Client-ID
  • ClientId: Die Client-/Anwendungs-ID der erstellten Azure App
  • Client Secret: Das in Schritt 1 erstellte Client Secret
  • Port: 587 (Standard für SMTP)
  • Verschlüsselung: Start TLS (Standard)

Senden Sie eine Test-E-Mail an ein beliebiges Postfach. Bei Erfolg können Sie fortfahren.

Konfigurationsverzögerungen

In manchen Fällen benötigen die Konfigurationen aus Schritt 2 und 3 etwas Zeit, bis sie in Exchange Online wirksam werden. Bei Fehlermeldungen prüfen Sie zunächst die Konfiguration. Wenn diese korrekt ist, warten Sie 15-30 Minuten und versuchen Sie erneut, die Test-E-Mail zu versenden.

Nach Einrichtung eines neuen Benutzers kann es bis zu 24 Stunden dauern, bis der E-Mail-Versand erfolgreich ist.

Copyright © 2001-2026 InLoox GmbH. Alle Rechte vorbehalten.