OAuth2 bei Datev? - DATEV-Community

anguel · ‎24.02.2023

Kommt irgendwann auch mal bei Datev OAuth2? Teste gerade Mittelstand Faktura und Versenden über smtp.office365.com geht gar nicht mehr, da die Standardsicherheitseinstellungen von 365 gar kein Legacy-Login per SMTP mehr erlauben, egal was man tut. Folglich muss man diese komplett abschalten, um einen Beleg mal rauszuschicken. Sicher ist das nicht.

janm · ‎25.02.2023

SMTP Auth lässt sich weiterhin als Ausnahme aktivieren: https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/authenticated-client-smtp-submission

Trotzdem wäre für die Basisdienste E-Mail und Co. etwas mit Modern Auth total toll.

anguel · ‎25.02.2023

Geht alles nicht mehr. Schau mal in deinem Artikel:

Hinweis

Wenn in Ihrer Organisation Sicherheitsstandards aktiviert sind, ist SMTP-Authentifizierung bereits in Exchange Online deaktiviert. Weitere Informationen finden Sie unter Was sind Sicherheitsstandards?
Wenn Ihre Authentifizierungsrichtlinie die Standardauthentifizierung für SMTP deaktiviert, können Clients das SMTP-AUTH-Protokoll nicht verwenden, selbst wenn Sie die in diesem Artikel beschriebenen Einstellungen aktivieren. Weitere Informationen finden Sie unter Deaktivieren der Standardauthentifizierung in Exchange Online.

janm · ‎26.02.2023

"Security Defaults" müssen deaktiviert sein und es darf eben keine Authentifizierungsrichtlinie da sein, die SMTP Auth deaktiviert. Zumindest habe ich hier verschiedene Tenants, die noch SMTP Auth machen. Im Laufe der nächsten Woche benötige ich in einem neuen Tenant ebenfalls SMTP Auth, da lasse ich mich dann überraschen.

Alternativ halt ein lokales Relay (Einrichten eines Multifunktionsgeräts oder einer Anwendung zum Senden von E-Mails mit Microsoft 365 oder Office 365 | Microsoft Learn) aufsetzen oder beim Domainprovider eine Subdomain "mail.<domain>.<tld>" aufsetzen und darüber relayen.

anguel · ‎26.02.2023

Ja, mit deaktivierten "Security Defaults" funktioniert es, aber diese Einstellung stuft auch andere Sicherheitseinstellungen herunter, wird von MS nicht empfohlen und man muss diese mühsam dann selbst implementieren, was >99% der Normaluser nicht mal eben hinbekommen. Datev sollte also eine solche Sichertheits-Deaktivierung gar nicht erst erforderlich machen und schon gar nicht bei einem so wichtigen Programmbereich wie der zentrale E-Mail-Belegversand.

Danke dir für den Hinweis mit dem Relay, über sowas hatte ich auch schon nachgedacht, eher ein SMTP-Auth zu OAuth2 auf der Client-Seite (falls es sowas gibt). Ist aber auch nicht trivial einzurichten für den Normal-User.

Gibt es von Datev irgendeine Aussage in Richtung OAuth? Es war ja nur eine Frage der Zeit, bis die großen Provider anfangen, das Legacy-SMTP-Auth abzuschalten.

MBehrens · ‎27.02.2023

@anguel schrieb:
Ja, mit deaktivierten "Security Defaults" funktioniert es, aber diese Einstellung stuft auch andere Sicherheitseinstellungen herunter, wird von MS nicht empfohlen und man muss diese mühsam dann selbst implementieren, was >99% der Normaluser nicht mal eben hinbekommen.

IT ist halt kein Spielzeug. Normaluser müssen das gar nicht hinbekommen, auch wenn der Eindruck durch die heutigen Konfigurationsoberflachen suggeriert wird.

Datev sollte also eine solche Sichertheits-Deaktivierung gar nicht erst erforderlich machen und schon gar nicht bei einem so wichtigen Programmbereich wie der zentrale E-Mail-Belegversand.

Sicherlich wäre eine Unterstützung von OAUth 2.0 zu begrüßen, ob der vermeintliche Sicherheitsgewinn als Authorization Framework gegenüber einem reinen Authentication Protocol dies wirklich aufwiegt?

Es wird in diesem Zusammenhang sicherlich auch eine P2PE oder E2EE Policy durchgesetzt.