SMTP Auth lässt sich weiterhin als Ausnahme aktivieren: https://learn.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/authenticated-client-smtp-submission

Trotzdem wäre für die Basisdienste E-Mail und Co. etwas mit Modern Auth total toll.

Geht alles nicht mehr. Schau mal in deinem Artikel:

Hinweis

• Wenn in Ihrer Organisation Sicherheitsstandards aktiviert sind, ist SMTP-Authentifizierung bereits in Exchange Online deaktiviert. Weitere Informationen finden Sie unter Was sind Sicherheitsstandards?
• Wenn Ihre Authentifizierungsrichtlinie die Standardauthentifizierung für SMTP deaktiviert, können Clients das SMTP-AUTH-Protokoll nicht verwenden, selbst wenn Sie die in diesem Artikel beschriebenen Einstellungen aktivieren. Weitere Informationen finden Sie unter Deaktivieren der Standardauthentifizierung in Exchange Online.

"Security Defaults" müssen deaktiviert sein und es darf eben keine Authentifizierungsrichtlinie da sein, die SMTP Auth deaktiviert. Zumindest habe ich hier verschiedene Tenants, die noch SMTP Auth machen. Im Laufe der nächsten Woche benötige ich in einem neuen Tenant ebenfalls SMTP Auth, da lasse ich mich dann überraschen.

Alternativ halt ein lokales Relay (Einrichten eines Multifunktionsgeräts oder einer Anwendung zum Senden von E-Mails mit Microsoft 365 oder Office 365 | Microsoft Learn) aufsetzen oder beim Domainprovider eine Subdomain "mail.<domain>.<tld>" aufsetzen und darüber relayen.

Ja, mit deaktivierten "Security Defaults" funktioniert es, aber diese Einstellung stuft auch andere Sicherheitseinstellungen herunter, wird von MS nicht empfohlen und man muss diese mühsam dann selbst implementieren, was >99% der Normaluser nicht mal eben hinbekommen. Datev sollte also eine solche Sichertheits-Deaktivierung gar nicht erst erforderlich machen und schon gar nicht bei einem so wichtigen Programmbereich wie der zentrale E-Mail-Belegversand.

Danke dir für den Hinweis mit dem Relay, über sowas hatte ich auch schon nachgedacht, eher ein SMTP-Auth zu OAuth2 auf der Client-Seite (falls es sowas gibt). Ist aber auch nicht trivial einzurichten für den Normal-User.

Gibt es von Datev irgendeine Aussage in Richtung OAuth? Es war ja nur eine Frage der Zeit, bis die großen Provider anfangen, das Legacy-SMTP-Auth abzuschalten.

---

@anguel  schrieb:

Ja, mit deaktivierten "Security Defaults" funktioniert es, aber diese Einstellung stuft auch andere Sicherheitseinstellungen herunter, wird von MS nicht empfohlen und man muss diese mühsam dann selbst implementieren, was >99% der Normaluser nicht mal eben hinbekommen.

 

IT ist halt kein Spielzeug. Normaluser müssen das gar nicht hinbekommen, auch wenn der Eindruck durch die heutigen Konfigurationsoberflachen suggeriert wird.

---

Datev sollte also eine solche Sichertheits-Deaktivierung gar nicht erst erforderlich machen und schon gar nicht bei einem so wichtigen Programmbereich wie der zentrale E-Mail-Belegversand.

Sicherlich wäre eine Unterstützung von OAUth 2.0 zu begrüßen, ob der vermeintliche Sicherheitsgewinn als Authorization Framework gegenüber einem reinen Authentication Protocol dies wirklich aufwiegt?

Es wird in diesem Zusammenhang sicherlich auch eine P2PE oder E2EE Policy durchgesetzt.

Was ist denn dann mit dem DATEV Produkt Marketing & Vertrieb, woraus man Serien-E-Mails und Co. erstellen kann? Das setzt doch auch auf die Basisdienste E-Mail, oder nicht? Ist das dann auch alles tot ☠️? 

Kann sich DATEV hierzu einmal äußern? Ausnahmen im Sicherheitskonzept untergraben dieses selbst wieder. Das möchte ich vermeiden. 

Es gibt ja Wege:

• Manage high volume emails for Microsoft 365 in Exchange Online Public preview | Microsoft Learn
• Overview of Azure Communication Services email - An Azure Communication Services concept article | Microsoft Learn
• Postmark: Fast, Reliable Email Delivery Service | SMTP | API (postmarkapp.com)
• Der Transaktions-E-Mail-API-Dienst für Entwickler | Mailgun
• ITB SMTP via GraphAPI – it@business GmbH & Co. KG (itatbusiness.de)
• simonrob/email-oauth2-proxy: An IMAP/POP/SMTP proxy that transparently adds OAuth 2.0 authentication for email clients that don't support this method. (github.com)

Muss man halt prüfen was und wie es passt bzw. was gebraucht wird.