myfactory Online-Hilfe
Meine Postfächer
Über diesen Dialog werden die eigenen Postfächer administriert. Im Standardumfang der myfactory können Sie sowohl POP3- als auch IMAP-Konten erstellen und verwalten. Wir empfehlen Ihnen den Einsatz des IMAP-Protokolls. Darüber hinaus wird hier auch die Möglichkeit der Office365/Outlook 365-Postfachkonfiguration über das EWS-Abrufprotokoll beschrieben und die Einrichtung eines Shared-Mailbox-Exchange-Zugangs via IMAP demonstriert.
Wenn Sie weiterführende Informationen zur Detailkonfiguration eines Posteingangs bzw. eines Postausgangs benötigen, dann empfehlen wir Ihnen hierfür das How-To-Hilfekapitel E-Mail-Posteingang und -Ausgang konfigurieren.
Überblick über die Persönlichen Postfächer
Exchange: EWS-Mailpostfach einrichten
Shared-Mailbox-Zugang (Exchange) über IMAP einrichten
Vorteile von IMAP gegenüber POP3
Das IMAP-Protokoll hat gegenüber dem als veraltet geltenden POP3-Protokoll folgende Vorteile:
- Die originalen E-Mails verbleiben nach ihrem Abruf stets auf dem Server und werden für gewöhnlich nicht lokal auf dem Rechner gespeichert.
- Es werden nur E-Mail-Kopien heruntergeladen; über einen Index erkennt das Protokoll, welche E-Mails bereits heruntergeladen wurden und welche nicht.
- E-Mails können über IMAP mit mehreren Endgeräten gleichzeitig abgerufen werden; somit verfügen Sie überall über denselben Datenbestand.
- Mit IMAP lassen sich Ordnerstrukturen im Postfach auf dem Server anlegen.
- Auch das Erstellen eines Postausgangs bzw. eines "Gesendet"-Ordners auf dem Server ist möglich; im myfactory-Client gesendete Nachrichten sind somit etwa auch auf Ihrem Smartphone sichtbar.
- Daten können in beide Richtungen synchronisiert werden; der Client kann nicht nur Informationen vom Mailserver "abholen", sondern umgekehrt auch Daten zum Server "senden". Beispielsweise wird das Verschieben von E-Mails in einen anderen Ordner der Ordnerstruktur stets mit dem Server abgeglichen.
- Der Lesestatus ("E-Mail gelesen / ungelesen") lässt sich ebenfalls synchronisieren.
Überblick über die Persönlichen Postfächer
Posteingang
Der Dialog unterteilt sich in zwei Bereiche: Oben finden Sie allgemeine Informationen zum Benutzer (1). Diese werden nur angezeigt und können nicht bearbeitet werden. Im unteren Bereich finden Sie in drei Register getrennt die Verwaltung der Postfächer, die Konfiguration zur Kontaktanlage sowie den Dialog zur Vergabe von Berechtigungen(2).
Im ersten Register ("Allgemein") sehen Sie alle Posteingangs- und Postausgangsfächer, die dem Benutzer zugeordnet sind. Über die Schaltfläche [ Neu ] lassen sich weitere Postfächer erstellen. Gegebenenfalls können Sie hier auch Postfächer für gelöschte E-Mails bzw. Entwürfe anlegen. In der Regel werden diese jedoch vom System erzeugt.
Nachdem Sie zunächst aufgefordert werden, einen Namen für Ihr neues Postfach zu vergeben, gelangen Sie schließlich zu den Postfacheigenschaften. Hier lässt sich dessen Konfiguration vornehmen. Unter anderem ist es hierbei wichtig, eine sichere Authentifizierungsmethode auszuwählen. Wenn Sie ein POP3-Postfach konfigurieren möchten, ist es z.B. empfehlenswert, das APOP-Verfahren (Authenticated Post Office Protocol) zu selektieren. Da POP3 in der Passworthandhabung als eher unsicher gilt, vermeiden Sie mit APOP, dass Passwörter im Klartext übertragen werden.
Die Postfachkonfigurationseinstellungen im Detail:
Kennung / Kennwort / Server / Port / Verbindungssicherheit / Authentifizierung
Welche Server-Zugangsdaten und welche Sicherheitseinstellungen Sie für das Postfach benötigen, erfahren Sie bei Ihrem jeweiligen E-Mail-Provider. Als Authentifizierungsmethode können Sie beispielsweise CramMD5 wählen. Dann vermeiden Sie, dass das Kennwort für Ihr Postfach im Klartext übertragen wird.
Sonderfall: OAuth2-Authentifizierung mit IMAP-Protokoll
Wenn Sie über das IMAP-Protokoll auf Ihr Office 365-Postfach zugreifen und hierzu das erweiterte Authentifizierungsprotokoll OAuth 2.0 verwenden möchten, so können Sie ebenjenes Protokoll als Authentifizierungsmethode auswählen. Dies aktiviert wiederum ein neues Eingabefeld namens "Anwendungs-ID (Client)". Wie Sie an diese Anwendungs-ID gelangen sowie alle weiteren Informationen zur Nutzung der OAuth2-Authentifizierung erhalten Sie im How-To-Hilfekapitel IMAP/SMTP/POP3 mit OAuth 2.0-Authentifizierung.
SSL-Zertifikat nicht überprüfen
In bestimmten Konstellationen kann es beispielsweise vorkommen, dass ein selbst erstelltes SSL-Zertifikat auf dem Mail-Server (des Absenders) eingesetzt wird, bei welchem eine SSL-Zertifikatsprüfung zu keinem positiven Ergebnis führen würde. In solchen Fällen kann die SSL-Zertifikatsprüfung deaktiviert werden.
Abweichender Common Name für Zertifikatsprüfung
Wenn die Checkbox "SSL-Zertifikat nicht überprüfen" deaktiviert ist und das SSL-Zertifikat des Mail-Servers folglich verifiziert werden soll, dann haben Sie hier die Möglichkeit, einen möglichen alternativen Namen für Ihren SSL-Server anzugeben. Bei einem Common Name handelt es sich stets um den Zertifikatseintrag für den Servernamen, auf den Ihr SSL-Zertifikat ausgestellt ist.
Postfachprüfung: E-Mail-Adresse des Empfängers
Die Angabe in diesem Feld ist optional. An die hier hinterlegte E-Mail-Adresse wird bei der Prüfung der Postfacheinstellungen eine E-Mail gesendet.
Berechtigungsgruppe für Anhänge
Werden mit einer E-Mail Dateianhänge importiert, so kann über diese Option gesteuert werden, welche Berechtigungen für welche Benutzergruppen hinsichtlich der importierten Dokumente oder Dateien vergeben werden.
Spezial-Postfach - Gelöschte
Sollte der Ordner für gelöschte E-Mails im Postfach auf dem Mail-Server nicht automatisch erkannt werden, so kann über dieses Feld ein Ordner vorgegeben werden, in welchen die gelöschten E-Mails dann verschoben werden. In der Regel ist dies jedoch nicht notwendig, da der Ordner für gelöschte E-Mails bei den meisten Mail-Servern automatisch in der Ordnerstruktur des IMAP-Postfachs erkannt wird.
Nur abonnierte Ordner synchronisieren
Ist diese Option deaktiviert, während Sie die Funktion "Ordnerstruktur aktualisieren" im Kommunikations-Manager nutzen, wird stets die gesamte Ordnerstruktur samt aller Unterordner mit dem Mail-Server abgeglichen. Dies kann abhängig von der Anzahl der E-Mails in den Unterordnern zu Lasten der Performance gehen.
Möchten Sie stattdessen nur bestimmte Unterordner vom Mail-Server abrufen, sollten Sie zunächst die Option "Nur abonnierte Ordner synchronisieren" aktivieren und über die Schaltfläche [ Abonnieren ] die von Ihnen favorisierten Unterordner selektieren. In dem Fall werden dann nur die abonnierten Unterordner der Ordnerstruktur abgerufen und im Kommunikations-Manager entsprechend angezeigt. Nicht zu synchronisierende Unterordner werden nicht vom Mail-Server abgerufen, wenn der Haken nicht gesetzt ist.
Ebenso ist es sinnvoll, mithilfe der Option Unterordner mit bestimmten Elementen zu deaktivieren - nämlich solche, die in der myfactory (noch) nicht weiterverarbeitet werden können.
Nach dem Auswählen der zu abonnierenden Mail-Ordner sollte erneut die Ordnerstruktur aktualisiert werden. Dies können Sie über den Postfacheigenschaften-Hauptdialog bewerkstelligen oder - noch einfacher - über die Hinweismeldung, welche Sie nach einem Klick auf die [ OK ]-Schaltfläche im "Ordner abonnieren"-Dialog fragt, ob Sie jetzt die Ordnerstruktur des Postfachs aktualisieren möchten. Letztere Methode erspart Ihnen einige Klicks.
Ausgewählte Unterordner abrufen
Ist diese Option deaktiviert, werden nur die Nachrichten des Haupt-Posteingangs des Postfachs automatisch abgerufen. Potenziell wichtige E-Mails, die sich in Unterordnern befinden, müssen hingegen manuell abgeholt werden.
Möchten Sie den automatischen Abruf Ihrer Nachrichten auch in den Unterordnern eines IMAP-Postfachs realisieren, so sollten Sie diese Option aktivieren und über die nebenstehende [ Auswählen ]-Schaltfläche die gewünschten Unterordner selektieren.
Hinweis:
Vor dem Auswählen der abzurufenden Unterordner sollte im Kommunikations-Manager zuvor die Ordnerstruktur aktualisiert worden sein. Andernfalls können Sie die von Ihnen zur Synchronisation selektierten Unterordner weder in der Ordnerstruktur sehen noch für den automatischen Abruf der eigentlichen Inhalte auswählen.
Protokollierung in Eventlog
Mit dieser Option können Sie die Protokollierung in der Ereignisanzeige bzw. im Eventlog steuern. Bei Problemen mit dem E-Mail-Abruf kann bei aktivierter Option in der Ereignisanzeige / im Eventlog des Servers, auf welchem die myfactory-Anwendung installiert ist, nach entsprechenden Fehlern gesucht werden.
Postfach automatisch abrufen
Wird diese Option aktiviert, so erfolgt ein automatischer Abruf und Import der im Postfach enthaltenen Nachrichten.
Automatischer Abruf von E-Mail-Postfächern
Der automatische Abruf von E-Mail-Postfächern kann nur erfolgen, wenn auf dem Server mit der myfactory-Installation auch der Timerdienst installiert ist.
Auf unseren Public-Cloud-Servern ist der Timerdienst schon standardmäßig installiert und aktiv.
Auf unseren Public-Cloud-Servern ist der Timerdienst schon standardmäßig installiert und aktiv.
Bitte beachten Sie:
Sollten Sie den automatischen Abruf aktiviert haben und trotz längeren Wartens keine neu eingegangenen E-Mails verzeichnen können, so liegt dies möglicherweise daran, dass Sie für die Anzeige der Postfach-Listenansicht kein oder ein zu großes Aktualisierungsintervall eingestellt haben. In diesem Fall wurde die Nachricht zwar vom Mail-Server abgerufen und in den Posteingang heruntergeladen, allerdings ist die Listview-Ansicht im Kommunikations-Manager aufgrund des zu groß gewählten Intervalls dann noch nicht aktualisiert worden.
Modifizieren lässt sich das Aktualisierungsintervall in den Einstellungen des Kommunikations-Managers. Die entsprechende Schaltfläche finden Sie rechts oberhalb des Posteingangs. Das Eingabefeld "Aktualisierungsintervall (in sek)" ist dort dem Register "Vorschau" zugeordnet.
Modifizieren lässt sich das Aktualisierungsintervall in den Einstellungen des Kommunikations-Managers. Die entsprechende Schaltfläche finden Sie rechts oberhalb des Posteingangs. Das Eingabefeld "Aktualisierungsintervall (in sek)" ist dort dem Register "Vorschau" zugeordnet.
Zum Anfang
Haben Sie die zu Ihrem E-Mail-Konto gehörenden Daten sowie alle weiteren allgemeinen Konfigurationsparameter eingegeben, so können Sie über die [ Prüfen ]-Schaltfläche kontrollieren, ob Ihr IMAP-/ EWS- oder POP3-Postfach richtig konfiguriert ist. Dazu öffnet sich ein neues Fenster, in dem Sie die Überprüfung mit einem Klick auf die [ Starten ]-Schaltfläche initiieren. Alternativ finden Sie die [ Prüfen ]-Schaltfläche auch im Hauptdialog - und zwar neben den Buttons zum Anlegen neuer Posteingangsfächer.
Eine erfolgreiche Prüfung sieht wie folgt aus:
Wurde beispielsweise ein fehlerhaftes Kennwort angegeben und die Konfigurationsprüfung war dementsprechend nicht erfolgreich, so erhalten Sie die folgende Meldung:
Sofern Sie sich nicht gerade im Konfigurationsdialog befinden, können Sie entsprechende Änderungen und Korrekturen an den Postfachdaten jederzeit vornehmen, indem Sie bei dem betreffenden Postfach auf die Detail-Schaltfläche [ ... ] klicken. Im sich daraufhin öffnenden "Bearbeiten"-Dialogfenster lassen sich dann die Postfachdetails anwählen, die Sie zu den Konfigurationsoptionen führen.
Neben dem "Allgemein"-Register findet sich das Register "Kontaktanlage". Hier legen Sie je Postfach fest, ob beim Speichern von Nachrichten automatisch Kontakte (im Sinne von Kommunikation, also z.B. eine per E-Mail verschickte Einladung) angelegt werden oder nicht.
Im nachfolgenden Register lassen sich für jedes Postfach Berechtigungen vergeben. Hier können Sie definieren, welche Rechte für welchen Benutzer bzw. für welche Benutzergruppe standardmäßig gelten sollen.
Diese Berechtigungen beziehen sich dann auf jene E-Mails, die als Berechtigungseinstellung "Standard" haben. In dem Fall liest die myfactory also die in diesem Register hinterlegten Informationen aus und wendet sie entsprechend an.
Schaltfläche [ Ordnerstruktur ]
Über diese Schaltfläche definieren Sie die Ordnerstruktur innerhalb Ihrer Postfächer.
Schaltfläche [ Neuer Ordner ]
Legen Sie hier neue Ordner zur Strukturierung Ihrer E-Mails / Postfächer an.
Zum Anfang
Postausgang
Im rechten Listview-Bereich finden sich alle Ihre persönlichen Postausgangspostfächer:
Öffnen Sie hier ebenfalls die Postfachdetails über die [ ... ]-Schaltfläche, dann gelangen Sie zu folgendem Dialogfenster (oder erstellen alternativ über die Schaltfläche [ Neu ] ein neues Postausgangspostfach:
E-Mail
Hinterlegen Sie die zugeordnete E-Mail-Adresse, unter der Sie senden.
SMTP Server, Port
Hinterlegen Sie hier die Informationen, um über einen abweichenden SMTP-Server zu senden.
Ermittlung des SMTP-Servers, über den versendet werden soll
Beim Versand von E-Mails erfolgt die Ermittlung des SMTP-Servers, über den versendet werden soll, nach folgender Reihenfolge:
- Myfactory-intern wird zunächst kontrolliert, ob bei Ihrem persönlichen SMTP-Postausgangspostfach SMTP-Serverdaten hinterlegt sind. Diese können Sie über den Dialog "Meine Postfächer" (siehe Meine Postfächer) eintragen. Die Systemlogik sucht dort als erstes nach den Konfigurationsdaten (Benutzereinstellung).
- Ist unter "Kommunikation / Grundlagen / Konfiguration" (Konfiguration) im Register "Ausgangspostfach" ein SMTP-Server hinterlegt, so wird dieser herangezogen (Unternehmenseinstellung).
- Ist in der Registry ein Eintrag hinterlegt, so wird dieser genutzt (Instanz-bezogene Einstellung).
- Ist auch dort nichts hinterlegt, so werden Ihre E-Mails über den Standard-SMTP-Server (SMTP-E-Mail auf dem IIS) versendet.
Hinweis:
Einige Provider geben in ihren Konfigurationsdaten zur Einrichtung des SMTP-Postausgangsservers die Nutzung des TCP-Ports 465 für einen mit TLS verschlüsselten E-Mail-Transport vor (SMTPS). Allerdings kann es passieren, dass die gesendeten E-Mails dann nicht beim Empfänger ankommen. Für diesen Fall sollten Sie als Alternative den Port 587 verwenden - beispielsweise dann, wenn Sie Microsoft Exchange einsetzen.
Kennung, Kennwort, Domäne
Hinterlegen Sie hier die zugehörigen Zugangsinformationen.
OAuth2.0-Authentifizierung / Anwendungs-ID (Client)
Wenn Sie das SMTP-Protokoll für die Einrichtung eines Office 365-Postausgangspostfach nutzen und dafür die erweiterte Authentifizierungsmethode OAuth 2.0 einsetzen möchten, dann tragen Sie bitte den entsprechenden SMTP-Mailservernamen smtp.office365.com in das Feld "SMTP-Server" ein. Der Domänennamen office365 dient hierbei als Signalwort. Erst mit Eingabe dieser Office 365-Mailserver-Adresse werden die Checkbox "OAuth2.0-Authentifizierung" sowie das Eingabefeld "Anwendungs-ID (Client)" eingeblendet. Bei allen anderen Authentifizierungsmethoden sind diese beiden Optionen nicht sichtbar. Nun können Sie die OAuth2.0-Authentifizierung aktivieren und die obligatorische Anwendungs-ID eingeben. Bitte achten Sie außerdem darauf, dass unter "Kommunikation / Grundlagen / Konfiguration" im Register "Allgemein" die Checkbox "Mailversand Rebex-Komponente verwenden" aktiviert sein muss. Dies ist die Voraussetzung dafür, dass die OAuth 2.0-Authentifizierung für den Mailversand angewendet werden kann.
Weitere Informationen zu dieser Authentifizierungsmethode entnehmen Sie bitte dem How-To-Kapitel IMAP/SMTP/POP3 mit OAuth 2.0-Authentifizierung.
Verschlüsselung (TLS/SSL)
Anhand dieser Option lässt sich eine TLS-verschlüsselte SMTP-Kommunikation mit dem Mail-Server des Empfängers einleiten. Im Vergleich zur STARTTLS-Verschlüsselungsmethode hat eine klassische TLS/SSL-Verschlüsselung den Vorteil, dass direkt eine verschlüsselte Verbindung aufgebaut wird und keinerlei Daten über eine unverschlüsselte Verbindung gesendet werden. Erst nach Herstellung der verschlüsselten Verbindung beginnt die protokollspezifische SMTP-Kommunikation.
SSL-Zertifikat nicht überprüfen
In bestimmten Konstellationen kann es beispielsweise vorkommen, dass ein selbst erstelltes SSL-Zertifikat auf dem Mail-Server (des Empfängers) eingesetzt wird, bei dem eine SSL-Zertifikatsprüfung zu keinem positiven Ergebnis führen würde. In solchen Fällen lässt sich die SSL-Zertifikatsprüfung deaktivieren.
Berechtigungsgruppe für Anhänge
Werden mit einer E-Mail Dateianhänge versendet, so kann über diese Option gesteuert werden, welche Berechtigungen für welche Benutzergruppen hinsichtlich der mit der E-Mail verschickten Dokumente oder Dateien vergeben werden.
Gesendet-Postfach
Diese Einstellung können Sie verwenden, wenn Sie Ihre gesendeten E-Mails auch in der Ordnerstruktur Ihres IMAP-Servers ablegen möchten. Ist hier ein Gesendet-Postfach hinterlegt, dann wird Ihnen im Listview der persönlichen resp. gemeinsamen Postausgangspostfächer ggf. eine 0 in der Spalte "Anzahl" angezeigt, da alle versendeten E-Mails ja dann im Gesendet-Postfach des IMAP-Servers liegen.
Wählen Sie hier kein Gesendet-Postfach aus, speichert die myfactory Ihre Nachrichten in einem lokal angelegten Postausgang ab. Der Nachteil daran ist, dass Sie Ihre gesendeten E-Mails dann beispielsweise nicht mit der Mail-App Ihres Smartphones einsehen können.
Zum Anfang
OAuth 2.0 für Office 365 mit IMAP & Co.
Dieses How-To-Kapitel erklärt Ihnen, wie Sie das OAuth 2.0-Protokoll als erweiterte Authentifizierungsmethode für Office365 mit Ihren bestehenden IMAP- bzw. POP3-Postfächern in der myfactory verwenden können. Grundsätzlich ist OAuth 2.0 eine geeignete Methode, um im Namen eines Benutzers den sicheren Zugriff einer Drittanbieter-Anwendung wie der myfactory auf in der Cloud gehostete Office 365-Mailpostfächer gewährleisten zu können (Weitere grundlegende Informationen zum Thema "OAuth 2.0 und Exchange" finden sich im Hilfekapitel Exchange: EWS-Mailpostfach einrichten).
OAuth 2.0 für Office 365 mit IMAP
OAuth 2.0 für Office 365 über SMTP
OAuth 2.0 für Office 365 mit POP3
Vorabhinweis:
Bitte beachten Sie, dass OAuth 2.0 als Authentifizierungsmethode in der myfactory aktuell ausschließlich mit Office 365-Postfächern kompatibel ist. Die Unterstützung von Mail-Providern wie GMX oder Gmail ist noch nicht implementiert, da viele von ihnen selbst noch nicht das OAuth 2.0-Protokoll unterstützen.
Update 29.06.22: Inzwischen wird OAuth 2.0 auch von Gmail unterstützt. Google hat hier den Zugriff durch weniger sichere Apps deaktiviert. Weitere Informationen dazu finden Sie in unserem myfactory-Whitepaper zu diesem Thema.
Update 29.06.22: Inzwischen wird OAuth 2.0 auch von Gmail unterstützt. Google hat hier den Zugriff durch weniger sichere Apps deaktiviert. Weitere Informationen dazu finden Sie in unserem myfactory-Whitepaper zu diesem Thema.
Wichtig: E-Mail-Anwendungen und -Protokolle in Microsoft 365-Benutzerverwaltung aktivieren
Unter admin.microsoft.com können Sie als Administrator Ihre aktiven Microsoft- bzw. Office 365-Benutzer global für bestimmte E-Mail-Anwendungen und -Protokolle berechtigen.
Dazu melden Sie sich bitte entsprechend in Ihrem Microsoft-Adminportal an, klappen im linken Menübereich den Menüpunkt "Benutzer" auf und wählen dort den Untermenüpunkt "Aktive Benutzer" aus (1). Anschließend klicken Sie auf den angezeigten Namen des betreffenden Benutzers (2), woraufhin im rechten Bereich dessen Account-Verwaltung aufgeklappt wird.
Navigieren Sie dort dann zum Bereich "E-Mail" und klicken Sie innerhalb des Punktes "E-Mail-Apps" auf die Funktion "E-Mail-Apps verwalten".
Dort können Sie einzelne Office 365-Anwendungen für den aktuellen Benutzer per Checkbox anhaken. Wir empfehlen Ihnen, am besten alle Apps zu aktivieren. Wichtig sind hierbei jedoch vor allem Benutzerberechtigungen für die Funktionen "IMAP", "POP" und "Authentifiziertes SMTP". Andernfalls kann es z.B. bei fehlender SMTP AUTH-Funktion ("Authentifiziertes SMTP") zu einer Fehlermeldung beim Versenden einer E-Mail durch den betreffenden Benutzer kommen.
Dazu melden Sie sich bitte entsprechend in Ihrem Microsoft-Adminportal an, klappen im linken Menübereich den Menüpunkt "Benutzer" auf und wählen dort den Untermenüpunkt "Aktive Benutzer" aus (1). Anschließend klicken Sie auf den angezeigten Namen des betreffenden Benutzers (2), woraufhin im rechten Bereich dessen Account-Verwaltung aufgeklappt wird.
Navigieren Sie dort dann zum Bereich "E-Mail" und klicken Sie innerhalb des Punktes "E-Mail-Apps" auf die Funktion "E-Mail-Apps verwalten".
Dort können Sie einzelne Office 365-Anwendungen für den aktuellen Benutzer per Checkbox anhaken. Wir empfehlen Ihnen, am besten alle Apps zu aktivieren. Wichtig sind hierbei jedoch vor allem Benutzerberechtigungen für die Funktionen "IMAP", "POP" und "Authentifiziertes SMTP". Andernfalls kann es z.B. bei fehlender SMTP AUTH-Funktion ("Authentifiziertes SMTP") zu einer Fehlermeldung beim Versenden einer E-Mail durch den betreffenden Benutzer kommen.
OAuth 2.0 für Office 365 mit IMAP
Vorbereitende Konfiguration im Azure-Portal
Wie bei der Nutzung des EWS-Protokolls für Office365-Postfächer (siehe Hilfekapitel Exchange: EWS-Mailpostfach einrichten), so ist auch für das gängige IMAP-Mailprotokoll Microsofts Azure-Cloud bzw. Microsoft Identitäts- und Zugriffsplattform Azure Active Directory das Mittel der Wahl für die Vergabe von Berechtigungen und sonstige vorbereitende Konfigurationsschritte.
Sie gelangen entweder direkt über aad.portal.azure.com in den "Active Directory Admin Center"-Bereich oder indem Sie zunächst das Azure-Portal über portal.azure.com aufrufen, sich mit Ihrem Microsoft Office 365-Konto anmelden und dann über den Menübereich auf der linken Seite zum Menüpunkt "Azure Active Directory" navigieren, um anschließend dann darauf zu klicken.
Wir empfehlen Ihnen an dieser Stelle, im Active Directory unter dem Menüpunkt "App-Registrierungen" eine neue Anwendungsregistrierung für Ihren Client (also die myfactory-Software) vorzunehmen. Damit haben Sie eine klarere Trennung zwischen einer womöglich schon bestehenden EWS-Anwendung sowie Ihrer IMAP-Anwendungsdaten und vermeiden mögliche kryptische Hinweismeldungen bei der Prüfungsroutine Ihrer Postfachkonfiguration. Klicken Sie zum Registrieren Ihrer IMAP-Anwendung bitte auf den Button [ Neue Registrierung ].
Daraufhin öffnet sich der Folgedialog "Anwendung registrieren".
Vergeben Sie hier zunächst einen sinnvollen Namen für die Anwendung (z.B. "myfactory IMAP" oder "Office365_OAuth") (1).
Nachdem dies erledigt ist, belassen Sie den Radiobutton im Bereich der "Unterstützten Kontotypen" bitte bei der vorbelegten Standardeinstellung "Nur Konten in diesem Organisationsverzeichnis" (2).
Bevor Sie die Registrierung Ihrer Anwendung abschließen, geben Sie zuvor bitte außerdem noch eine Umleitungs-URI bzw. eine Antwort-URL an (z.B. https://hosting4.myfactory.com/myfactory/ie50/Mail/CheckFolderProperties/GFolder.aspx). Dorthin wird über das OAuth 2.0-Protokoll ein Authentifizierungscode geschickt, der Voraussetzung für den Erhalt des Authentifizierungstokens und somit für eine erfolgreiche OAuth 2.0-Authentifizierung ist. Da es sich bei der myfactory um eine Webanwendung handelt, wählen Sie als Plattform bitte dementsprechend "Web" aus (3).
Im finalen Schritt betätigen Sie anschließend noch die [ Registrieren ]-Schaltfläche (4).
Einschub: Antwort-URL nachträglich definieren
Die Antwort-URL können Sie auch noch nachträglich hinzufügen, sofern Sie mit einer bereits bestehenden Anwendungsregistrierung arbeiten und zuvor noch keine Weiterleitungs-URL definiert haben. Dazu klicken Sie im Bereich "Verwalten" auf "Authentifizierung" und dort anschließend unter "Plattformkonfigurationen" auf [ Plattform hinzufügen ]. Daraufhin klappt rechts der Bereich "Plattformen konfigurieren" auf. Selektieren Sie hier die erste Option "Web"…
… und geben Sie in der nachfolgenden Eingabemaske bitte Ihre Antwort- bzw. Umleitungs-URL ein.
… und geben Sie in der nachfolgenden Eingabemaske bitte Ihre Antwort- bzw. Umleitungs-URL ein.
Nun sehen Sie alle Ihre Anwendungsdaten in der Zusammenfassung.
Wie bei der EWS-Konfiguration legen Sie Ihr Augenmerk auch hier bitte auf die Anwendungs- und die Verzeichnis-ID.
Diese sind dann später in dem entsprechenden Eingabefeld in der IMAP-Postfachkonfiguration zu hinterlegen und können daher bereits von Ihnen in die Zwischenablage kopiert werden. Das Icon für die Ablage im Cache sehen Sie, sobald Sie per Mouse-Over mit dem Cursor über die Zeile "Anwendungs-ID (Client)" bzw. Verzeichnis-ID (Mandant)" fahren.
Auf die gleiche Weise verfahren Sie mit dem Clientschlüssel. Kopieren Sie diesen ebenso in die Zwischenablage. Bitte achten Sie hier unbedingt darauf, dass der Clientschlüssel-Wert zu kopieren ist, und dass dieser nur unmittelbar nach seiner Generierung in die Zwischenablage kopiert werden kann. Wie Sie im Azure-Portal einen Clientschlüssel erzeugen, entnehmen Sie im Detail bitte dem Hilfekapitel Exchange-Schnittstelle:
Als Nächstes widmen Sie Ihre Aufmerksamkeit bitte dem Azure AD-Menüpunkt "Authentifizierung". Dort müssen Sie in den "Erweiterten Einstellungen" zu Autorisierungszwecken noch angeben, dass es sich bei Ihrer oben definierten myfactory IMAP-Anwendung um einen öffentlichen Client handelt, welcher nur in Ihrem Namen auf die für den Office 365-Zugriff benötigten APIs zugreifen darf. Setzen Sie daher die Option "Öffentliche Clientflows zulassen" bitte auf "Ja". Diese Einstellung muss dabei nur einmalig für alle in Verbindung mit Office 365 verwendeten Protokolle aktiviert werden (gilt also auch für SMTP und POP3).
In einem letzten Schritt sind nun noch die Berechtigungen für den Zugriff Ihrer myfactory IMAP-Anwendung auf die REST-API "Microsoft Graph" zu setzen. Diese wiederum verfügt über alle Lese- und Schreibberechtigungen, um z.B. über das IMAP-Protokoll auf Ihre Office 365-Postfächer zugreifen zu können. Wechseln Sie aus diesem Grund bitte zu dem Menüpunkt "API-Berechtigungen" und fügen Sie dann über die entsprechende Schaltfläche (1) die Benutzerberechtigungen für den Lese- und Schreibzugriff auf Ihre Office 365-Postfächer via IMAP hinzu.
Es klappt sich nun von der rechten Seite ein neues Dialogfenster auf. Hierüber können Sie die benötigten API-Berechtigungen anfordern. Klicken Sie dazu in der bereits vorausgewählten Kategorie "Microsoft-APIs" auf die große [ Microsoft Graph-API ]-Schaltfläche. Nun gelangen Sie zu Punkt (2), in welchem Sie die Berechtigungsarten für Ihre Anwendung bestimmen können. Da die Microsoft-API im Namen des Benutzers unter anderem E-Mails sendet, müssen Sie als Berechtigungsart "Delegierte Berechtigungen" (3) auswählen, damit die myfactory IMAP-Anwendung als angemeldeter Benutzer auf die API zugreifen kann.
Unterhalb der Berechtigungsarten befindet sich ein Suchfeld, mit welchem Sie zügig die benötigte Berechtigung für das gewünschte E-Mail-Protokoll (hier: IMAP) finden und auswählen können. Wurde die Berechtigung "IMAP.AccessAsUser.All" gefunden, so haken Sie diese bitte noch an (4) und klicken Sie anschließend auf die Schaltfläche [ Berechtigungen hinzufügen ]. Nun erscheint die IMAP-Berechtigung in der Liste der konfigurierten Berechtigungen.
Exkurs: Weitere wichtige Mailprotokoll-unabhängige Berechtigung für Token-Abruf: offline_access
Für den Office 365-Mail-Austausch über das OAuth2-Protokoll mittels eines Clients wie der myfactory benötigen Sie ein Authentifizierungs- bzw. Zugriffstoken. Dieses wird stets in Kombination mit einem Aktualisierungstoken abgerufen und ist nur eine begrenzte Zeit lang gültig. Um neue Zugriffs-/Aktualisierungstoken-Paare zu erhalten, wenn das aktuelle Zugriffstoken abläuft, wird das Aktualisierungstoken verwendet. Um sicherzustellen, dass dieses auch ohne Benutzerinteraktion stets zugänglich ist, benötigen Sie wiederum die Berechtigung offline_access.
Klicken Sie im Bereich der API-Berechtigungen also wie bei der IMAP-Zugriffsberechtigung auf die Schaltfläche [ Berechtigungen hinzufügen ], navigieren Sie erneut zur Microsoft-API "Microsoft Graph" und selektieren Sie dort die "Delegierten Berechtigungen". Die Berechtigung offline_access gehört zu den OpenId-Berechtigungen. Klappen Sie daher diese Berechtigungskategorie auf oder geben Sie den Berechtigungsnamen über die Suchmaske ein. Anschließend aktivieren Sie die Berechtigung und bestätigen die Aktivierung mit dem Button [ Berechtigungen hinzufügen ].
Diese API-Berechtigung ist für alle Mail-Protokolle relevant, und gilt bei Nutzung von OAuth 2.0 sowohl für IMAP als auch für POP3 und SMTP.
Klicken Sie im Bereich der API-Berechtigungen also wie bei der IMAP-Zugriffsberechtigung auf die Schaltfläche [ Berechtigungen hinzufügen ], navigieren Sie erneut zur Microsoft-API "Microsoft Graph" und selektieren Sie dort die "Delegierten Berechtigungen". Die Berechtigung offline_access gehört zu den OpenId-Berechtigungen. Klappen Sie daher diese Berechtigungskategorie auf oder geben Sie den Berechtigungsnamen über die Suchmaske ein. Anschließend aktivieren Sie die Berechtigung und bestätigen die Aktivierung mit dem Button [ Berechtigungen hinzufügen ].
Diese API-Berechtigung ist für alle Mail-Protokolle relevant, und gilt bei Nutzung von OAuth 2.0 sowohl für IMAP als auch für POP3 und SMTP.
Nachdem Sie die Berechtigung offline_access sowie die vorherigen IMAP-spezifischen Berechtigungen gesetzt haben, können Sie mit der IMAP-Postfachkonfiguration in der myfactory-Oberfläche fortfahren.
IMAP-Postfachkonfiguration in der myfactory
Abhängig davon, ob Sie ein persönliches oder gemeinsames Postfach anlegen möchten, klicken Sie im Menübereich "Kommunikation" entweder auf den Menüpunkt "Gemeinsame Postfächer" oder "Meine Postfächer". Klicken Sie dort dann auf die Schaltfläche [ Neu IMAP ] und vergeben Sie eine adäquate Bezeichnung für Ihr IMAP-Posteingangspostfach.
Nun findet sich Ihr IMAP-basiertes Postfach in der Liste aller Postfächer...
(Überspringen Sie diesen Schritt, wenn Sie bereits über ein bestehendes IMAP-Postfach verfügen und fahren Sie stattdessen mit der Konfiguration der Einstellung „Authentifizierung“ fort (siehe entsprechenden Abschnitt unten).)
Mit einem Klick auf die Detail-Schaltfläche [ … ] gelangen Sie in das "Bearbeiten"-Dialogfenster.
Nach einem Klick auf die Schaltfläche [ Postfachdetails ] können Sie alle Konfigurationsdaten für den IMAP-basierten Zugriff auf Ihr Office 365-Postfach spezifizieren bzw. anpassen.
Geben Sie zunächst Ihre Microsoft-Account-Daten mit E-Mail-Adresse und Kennwort ein und hinterlegen Sie anschließend den IMAP-Port 993, der SSL-/TLS-Verschlüsselung unterstützt. Diese sollten Sie dann natürlich auch in der Auswahlbox "Verbindungssicherheit" selektieren. Elementar ist jedoch erst die Auswahl der korrekten Authentifizierung in der nächsten Dropdown-Liste. Wenn Sie hier "OAuth20" auswählen, dann werden automatisch die Eingabefelder "Anwendungs-ID (Client)", "Verzeichnis-ID (Mandant)" und "Clientschlüssel" eingeblendet. Dort fügen Sie die zuvor im Azure-Portal in die Zwischenablage kopierten ID-Daten sowie den Clientschlüssel ein (siehe oben).
Nun können Sie über die [ Prüfen ]-Schaltfläche noch kontrollieren, ob Sie sowohl im Azure-Portal als auch in der myfactory-Postfachkonfiguration alles korrekt konfiguriert haben.
Nach dem Klick auf [ Prüfen ] werden Sie daher automatisch zu einem sich neu öffnenden Browserfenster weitergeleitet, in welchem Sie den Microsoft-Login-Bildschirm zum Anmelden in Ihr Office 365-Konto sehen. Damit das benötigte Authentifizierungstoken an die im Azure-Portal hinterlegte Umleitungs- bzw. Antwort-URL (siehe oben) gesendet werden kann, ist es als erste Sicherheitsebene nämlich erforderlich, dass Sie sich mit Ihrer E-Mail-Adresse und Ihrem Kennwort zunächst als Benutzer authentifizieren.
Anschließend werden die zuvor im Azure-Portal hinterlegten API-Berechtigungen (siehe Kapitel 3.1.4) abgefragt. Dieser Berechtigungsanforderung stimmen Sie bitte per Checkbox zu ("Zustimmung im Namen Ihrer Organisation") und klicken auf die Schaltfläche [ Akzeptieren ].
Haben Sie alles korrekt konfiguriert und eingetragen, dann ist die Prüfung der Postfachkonfiguration - wie im folgenden Screenshot zu sehen – erfolgreich verlaufen und wurde entsprechend bestätigt. Ab diesem Zeitpunkt ist es möglich, in dieses Office 365-Postfach eingehende E-Mails via IMAP abzurufen.
Zum Anfang
Multi-Faktor-Authentifizierung für Office 365-Postfächer aktivieren und nutzen
Voraussetzungen:
- Administratorrolle für Azure-Portal und Admin Center
- Microsoft Authenticator-App
- Vollständig eingerichtetes myfactory-Postfach mit OAuth 2.0
Erste MFA-Aktivierungsmethode: Sicherheitsstandards im Azure-Portal
Die von Microsoft empfohlene MFA-Aktivierungsmethode ist die Aktivierung der globalen Sicherheitsstandards im Azure-Portal. Tippen Sie dafür entweder die URL aad.portal.azure.com in Ihre Browser-Adresszeile ein oder navigieren Sie in Ihrem Microsoft 365 Admin Center (admin.microsoft.com) über das Hamburger-Menü auf der linken Seite zum Menüeintrag "Alle anzeigen".
Nun werden weitere Menüeinträge eingeblendet, unter anderem "Azure Active Directory". Klicken Sie diesen Eintrag bitte an.
Anschließend gelangen Sie ebenfalls ins Azure-Portal. Im Azure Active Directory angelangt, navigieren Sie im "Verwalten"-Menü zum Menüpunkt "Eigenschaften" und klicken diesen an.
Darin findet sich der Link "Sicherheitsstandards verwalten". Wenn Sie auf diesen klicken, öffnet sich rechts ein Menüfenster mit der Option "Sicherheitsstandards aktivieren". Setzen Sie dort den Umschalter von "Nein" auf "Ja" und bestätigen Sie dies mit der [ Speichern ]-Schaltfläche.
Die Aktivierung wird Ihnen in Form eines kleinen Hinweisfensters in der rechten oberen Ecke des Azure-Portals bestätigt. Nun sollte die Multi-Faktor-Authentifizierung für alle von Ihnen administrierten Office 365-Postfächer aktiviert sein.
Zweite MFA-Aktivierungsmethode: Benutzerbasierte MFA-Authentifizierung
Zusätzlich haben Sie noch die Möglichkeit, eine benutzerbasierte MFA-Authentifizierungsmethode heranzuziehen und diese direkt über das Microsoft 365 Admin Center zu aktivieren.
Dazu navigieren Sie im Admin Center-Menü auf der linken Seite bitte zum Menüeintrag "Benutzer", klappen diesen auf und wählen dort den Untermenüeintrag "Aktive Benutzer" aus.
Hier klicken Sie dann bitte jenen Benutzer an, für den die Multi-Faktor-Authentifizierung aktiviert werden soll. Anschließend wird in der Toolbar direkt über der Benutzerliste der Menüpunkt „Mehrstufige Authentifizierung“ angezeigt. Führen Sie einen Klick darauf aus,...
… dann gelangen Sie in den Detail-Einstellungsdialog für die Multi-Faktor-Authentifizierung. Sofern noch nicht geschehen, haken Sie auch hier per Checkbox zunächst den Benutzer an, der die mehrstufige Authentifizierung verwenden soll (1). Dessen "Multi-Faktor-Authentifizierungsstatus" steht zunächst noch auf "Deaktiviert". Mit der Auswahl des Benutzers werden im rechten Bereich des Dialogs benutzerindividuelle Detail-Einstellungen dargestellt. Unter "Quick Steps" lässt sich dort dann die Zwei-Faktor-Authentifizierung einschalten (2).
Wenn Sie auf den Link "Aktivieren" klicken, dann öffnet sich das folgende Abfragefenster, in welchem Sie die Aktivierung der mehrstufigen Authentifizierung seitens Microsoft noch einmal verifizieren müssen.
Nach einem Klick auf die Schaltfläche [ multi-factor auth aktivieren ] wird Ihnen dann die erfolgreiche Aktivierung bestätigt.
Der Status der Multi-Faktor-Authentifizierung ändert sich schließlich von "Deaktiviert" auf "Aktiviert". Die Einstellungen im Microsoft-Admin-Bereich sind nun abgeschlossen.
Microsoft-Account mit MS Authenticator-App verknüpfen
Die weiteren Schritte bestehen nun darin, dass der betreffende Benutzer sein Microsoft-Konto mit seiner Microsoft Authenticator-App verknüpfen muss, um künftig die Multi-Faktor-Authentifizierung nutzen zu können.
Als Erstes klickt der Benutzer in den myfactory-Postfacheigenschaften auf die [ Prüfen ]-Schaltfläche, um die Postfachkonfiguration mit der erfolgreichen Anmeldung und Authentifizierung am Office 365-Konto zu komplettieren.
Nach dem Klick auf [ Prüfen ] wird der Benutzer zunächst zum Microsoft-Login-Bildschirm weitergeleitet, wo er als erste Authentifizierungsstufe zunächst sein Kennwort für das Microsoft-Konto eingibt.
Danach erhält der Benutzer den Hinweis, dass sein Unternehmen weitere Informationen für die Anmeldung benötigt. Klicken Sie in diesem Dialog bitte auf [ Weiter ]…
… und Sie sehen nun den folgenden Bildschirm.
Das System hat erkannt, dass die Multi-Faktor-Authentifizierung aktiviert wurde und fordert Sie nun auf, zunächst die Microsoft Authenticator-App herunterzuladen und zu installieren. Bei Bedarf können jedoch auch andere Authenticator-Apps wie z.B. Google Authenticator genutzt werden.
Installieren Sie die App auf Ihrem Smartphone (im folgenden Screenshot wird ein Android-Betriebssystem verwendet)…
…und klicken Sie im oben angezeigten Browserfenster auf [ Weiter ].
Sie gelangen dann in den folgenden Bildschirm. Fahren Sie gemäß den hier dargestellten Anweisungen nun zunächst in Ihrer Microsoft Authenticator-App fort…
Klicken Sie in der App auf die Schaltfläche [ Konto hinzufügen ]:
Anschließend werden Sie gebeten, eine Kontoart auszuwählen - in aller Regel dürfte dies ein Geschäftskonto sein:
Wechseln Sie nun zunächst in das Browserfenster mit Ihrem Microsoft-Konto zurück und klicken Sie dort auf [ Weiter ], sodass Sie jetzt das folgende Fenster mit einem zu scannenden QR-Code sehen.
Wechseln Sie nun erneut in die App zurück und wählen Sie, nachdem Sie auf "Geschäfts-, Schul- oder Unikonto hinzufügen" geklickt haben, eine der beiden Anmeldeoptionen aus. In unserem Beispiel wollen wir den im oberen Bildschirm angezeigten QR-Code scannen und wählen daher diese Option. Alternativ können Sie sich jedoch auch anhand der zweiten Option manuell anmelden.
Nach dem Scannen des im oberen Browserfenster angezeigten QR-Codes mit Ihrer Smartphone-Kamera (oder der manuellen Eingabe der QR-Code-Daten) gelangen Sie in der Microsoft Authenticator-App zu folgendem Bildschirm und haben somit den entscheidenden Schritt bereits getan, nämlich die Verknüpfung der App mit Ihrem Microsoft-Konto.
Klicken Sie daher in Ihrem Microsoft-Browserfenster mit dem QR-Code auf [ Weiter ], sodass Sie nun den folgenden Bildschirm sehen. Nach der Verknüpfung von Microsoft-Konto und Authenticator-App werden Sie nun nämlich aufgefordert, die eingerichtete Multi-Faktor-Authentifizierung zu testen, indem Sie eine an Ihre App gesendete Push-Benachrichtigung genehmigen.
Wechseln Sie jetzt also in Ihre App zurück und genehmigen Sie die soeben gesendete Push-Benachrichtigung für Ihre Anmeldung an Ihrem Office 365-Konto.
Die Anmeldungsgenehmigung wird Ihnen dann sowohl in der App…
… als auch in Ihrem Microsoft-Konto bestätigt.
Nun sollten Sie in Ihrem Microsoft-Konto und somit auch in Ihrem Office 365-Postfach angemeldet sein. Dies können Sie über Ihre bereits geöffnete myfactory-Postfachkonfiguration verifizieren, indem Sie nach dem vorherigen Klick auf Prüfen nun auf den [ Starten ]-Button klicken. Wenn auch hier die Anmeldung am Postfach erfolgreich war, dann sehen Sie die folgenden Einträge in Ihrem Postfachkonfigurationsfenster:
Die Multi-Faktor-Authentifizierung mithilfe der Microsoft Authenticator-App ist nun als weitere Sicherheitsebene aktiviert und kann ab sofort verwendet werden.
Zum Anfang
OAuth 2.0 für Office 365 über SMTP
Selbstverständlich lässt sich nicht nur der IMAP-Mailabruf, sondern auch der SMTP-Mailversand mit der OAuth2.0-Authentifizierung für Office 365 verknüpfen. Innerhalb des Azure Active Directory-Portals können im Vergleich zur OAuth 2.0-Konfiguration für IMAP die meisten Einstellungsschritte übernommen werden.
Hier muss lediglich eine weitere API-Berechtigung für das SMTP-Protokoll hinzugefügt werden. Dies können Sie ganz einfach anhand der oben dargestellten Beschreibung bewerkstelligen. Das heißt, Sie wählen hier erneut die Microsoft Graph-API aus und suchen nach der delegierten "SMTP.Send"-Berechtigung, die Sie anschließend noch aktivieren und so der Liste der konfigurierten Berechtigungen hinzufügen können.
Darauffolgend können Sie bereits in die SMTP-Postausgangskonfiguration der myfactory-Software wechseln und dort ein neues Postfach mit sinniger Bezeichnung anlegen.
In den Postfacheigenschaften des neu erstellten Postausgangspostfaches geben Sie nun Ihre E-Mail-Kontodaten von Microsoft sowie den SMTP-Servernamen für den Office 365-Mailversand samt dem standardmäßigen SMTP-Port 587 (mit SSL/TLS-Unterstützung) ein und aktivieren als wichtigsten Schritt bitte die Checkbox "OAuth 2.0-Authentifizierung". Diese wird automatisch eingeblendet, sobald Sie einen SMTP-Servernamen mit einer Office 365-Domain in das SMTP Server-Feld eingeben (also: smtp.office365.com). Gleichzeitig wird auch das dazugehörige Eingabefeld "Anwendungs-ID (Client)" freigeschaltet. In dieses können Sie problemlos die bereits für die OAuth2-Authentifizierung via IMAP eingesetzte Anwendungs-ID eintragen.
Weiterhin empfehlen wir Ihnen, unter "Kommunikation / Grundlagen / Konfiguration / Register Allgemein" die Rebex-Komponente für den Mailversand anhand der dortigen Checkbox zu aktivieren. Während das Zusammenspiel von OAuth 2.0 mit IMAP und POP3 von den .NET-Standardbibliotheken unterstützt wird, wird für die Kompatibilität von OAuth 2.0 und SMTP mit der Rebex-Komponente eine zusätzliche Mail-Programmbibliothek für den sicheren SMTP-Mailversand benötigt.
Zum Anfang
OAuth 2.0 für Office 365 mit POP3
Für den Fall, dass Sie Ihre E-Mails mit dem POP3-Protokoll abrufen, dann schalten Sie bitte nach dem gleichen Muster wie bei IMAP und SMTP die API-Berechtigung "POP.AccessAsUser.All" frei, um POP3 mit der OAuth 2.0-Authentifizierung nutzen zu können.
Anschließend übernehmen Sie bitte wieder die in den Zwischenspeicher kopierten IDs (Anwendungs-ID/Verzeichnis-ID) sowie den Clientschlüssel aus Ihrer in der Azure-Cloud erstellten Anwendung und tragen diese in die POP3-Postfachkonfiguration ein, nachdem Sie dort die Authentifizierungseinstellung auf "OAuth20" gestellt haben.
Haben Sie den POP3-SSL-Port 995 sowie alle weiteren Konfigurationsdaten korrekt eingegeben, können Sie die Konfigurationsprüfung starten und sollten eine positive Rückmeldung erhalten.
Tipp: Office 365-Authentifizierungsdaten lassen sich auch global für alle Benutzer hinterlegen
Im Register “Office365“ (unter “Kommunikation / Grundlagen / Konfiguration“; siehe auch Hilfekapitel E-Mail-Postfach anlegen) können Sie für alle Benutzer global die für die OAuth 2.0-Authentifizierung benötigten Verbindungsdaten hinterlegen und zentral an dieser Stelle pflegen. Dies funktioniert auch dann, wenn jeder Benutzer jeweils ein eigenes Office365-Mailpostfach verwendet und hat den Vorteil, dass die OAuth 2.0-Authentifizierungsdaten nicht nochmal einzeln bei jedem Benutzer mit Office365-Postfach eingetragen werden müssen.
Wenn ein Benutzer individuelle Authentifizierungsdaten verwendet, so können Sie diese in dessen persönlicher Postfachkonfiguration unter "Kommunikation / Meine Postfächer" eintragen, und gleichzeitig die hier hinterlegten Daten stehen lassen. In diesem Fall werden die unter "Meine Postfächer" lokal hinterlegten OAuth-Verbindungsdaten priorisiert und übersteuern somit die in diesem Register eingepflegten OAuth 2.0-Informationen.
Für den Fall, dass die Postfachkonfiguration unter "Meine Postfächer" keine Anwendungs-/Verzeichnis-ID und keinen Clientschlüssel aufweist, dann kann also stets auf die hier zentral gepflegten Informationen als unternehmensweite Fallback-Lösung zurückgegriffen werden.
Die in der myfactory konfigurierten SMTP-Ausgangspostfächer erben übrigens die Einstellungen des IMAP-Eingangspostfachs.
Wenn Sie die OAuth 2.0-Verbindungsdaten für Ihre Office 365-Postfächer also global hinterlegt haben, dann werden die bei der OAuth 2.0-Konfiguration des Office 365-Posteingangs verwendeten Konfigurationseinstellungen an das SMTP-Ausgangspostfach weitervererbt. Das bedeutet, dass bei der IMAP-Postfachkonfigurationsprüfung die im Azure-Portal für den Posteingang gesetzten Berechtigungen auch für den Postausgang gesetzt werden und dass das bei der OAuth 2.0-Konfiguration generierte Authentifizierungstoken auch für das SMTP-Ausgangspostfach genutzt wird. Dies setzt allerdings voraus, dass ein IMAP-basierender OAuth 2.0-Posteingang in der myfactory-Postfachkonfiguration hinterlegt ist (selbst wenn dieser nicht abgerufen wird und nicht in der Ordnerstruktur hinterlegt ist; bei einer globalen Office 365-Konfiguration sollte also zumindest das Kennwort in der Posteingangskonfiguration hinterlegt sein.) Eine Eingabe der Anwendungs-ID und des Kennworts ist in der SMTP-Postausgangskonfiguration in diesem Fall nicht mehr notwendig. Sind bereits ältere OAuth 2.0-Postausgangspostfächer vorhanden, welche auch ohne konfigurierten Posteingang funktionsfähig sind, dann müssen Sie natürlich kein zusätzliches IMAP-Posteingangspostfach anlegen, sofern Sie dieses nicht nutzen. Hier ist jedoch unklar, wie lange Microsoft das bisherige Verfahren noch unterstützen wird.
Wenn ein Benutzer individuelle Authentifizierungsdaten verwendet, so können Sie diese in dessen persönlicher Postfachkonfiguration unter "Kommunikation / Meine Postfächer" eintragen, und gleichzeitig die hier hinterlegten Daten stehen lassen. In diesem Fall werden die unter "Meine Postfächer" lokal hinterlegten OAuth-Verbindungsdaten priorisiert und übersteuern somit die in diesem Register eingepflegten OAuth 2.0-Informationen.
Für den Fall, dass die Postfachkonfiguration unter "Meine Postfächer" keine Anwendungs-/Verzeichnis-ID und keinen Clientschlüssel aufweist, dann kann also stets auf die hier zentral gepflegten Informationen als unternehmensweite Fallback-Lösung zurückgegriffen werden.
Die in der myfactory konfigurierten SMTP-Ausgangspostfächer erben übrigens die Einstellungen des IMAP-Eingangspostfachs.
Wenn Sie die OAuth 2.0-Verbindungsdaten für Ihre Office 365-Postfächer also global hinterlegt haben, dann werden die bei der OAuth 2.0-Konfiguration des Office 365-Posteingangs verwendeten Konfigurationseinstellungen an das SMTP-Ausgangspostfach weitervererbt. Das bedeutet, dass bei der IMAP-Postfachkonfigurationsprüfung die im Azure-Portal für den Posteingang gesetzten Berechtigungen auch für den Postausgang gesetzt werden und dass das bei der OAuth 2.0-Konfiguration generierte Authentifizierungstoken auch für das SMTP-Ausgangspostfach genutzt wird. Dies setzt allerdings voraus, dass ein IMAP-basierender OAuth 2.0-Posteingang in der myfactory-Postfachkonfiguration hinterlegt ist (selbst wenn dieser nicht abgerufen wird und nicht in der Ordnerstruktur hinterlegt ist; bei einer globalen Office 365-Konfiguration sollte also zumindest das Kennwort in der Posteingangskonfiguration hinterlegt sein.) Eine Eingabe der Anwendungs-ID und des Kennworts ist in der SMTP-Postausgangskonfiguration in diesem Fall nicht mehr notwendig. Sind bereits ältere OAuth 2.0-Postausgangspostfächer vorhanden, welche auch ohne konfigurierten Posteingang funktionsfähig sind, dann müssen Sie natürlich kein zusätzliches IMAP-Posteingangspostfach anlegen, sofern Sie dieses nicht nutzen. Hier ist jedoch unklar, wie lange Microsoft das bisherige Verfahren noch unterstützen wird.
Zum Anfang
Exchange: EWS-Mailpostfach einrichten
Wenn Sie Microsoft Outlook 365-Postfächer verwenden und somit Exchange Server in Ihrem System betreiben, dann haben Sie neben den herkömmlichen E-Mail-Abrufprotokollen IMAP und POP3 in der myfactory noch die Möglichkeit, E-Mails über Exchange Webservices (EWS) abzurufen. Wie Sie das EWS-Abrufprotokoll konfigurieren und welche Stellschrauben Sie sonst noch justieren müssen, erfahren Sie in diesem How-To-Kapitel.
Posteingangspostfach konfigurieren und Authentifizierungsinformationen generieren
Grundlegende Postfachdaten eintragen
Erweiterte Exchange-Authentifizierung
Der myfactory die API-Berechtigung für EWS erteilen
Outlook 365-Postausgangspostfach anlegen
Vorabbemerkung:
Die in der Online-Hilfe beschriebene OAuth 2.0-Authentifizierung funktioniert aktuell nur in Verbindung mit den Office 365-Mailservern. Es ist nach jetzigem Stand (07.06.2021) nicht bekannt, dass diese Authentifizierungsmethode (d.h. mit Eingabe von Mandanten-ID, Client-ID und Clientschlüssel) auch mit anderen Mailservern funktioniert.
Update: Gmail wird die OAuth2.0-Authentifizierung zukünftig auch für seine Mailserver freischalten, da die Basisauthentifizierung und der Zugriff durch weniger sichere Apps zum 30.05.2022 deaktiviert werden sollen (Stand: 09.05.2022). Daher funktioniert OAuth 2.0 nun auch in Verbindung mit Gmail-Mailservern.
Update: Gmail wird die OAuth2.0-Authentifizierung zukünftig auch für seine Mailserver freischalten, da die Basisauthentifizierung und der Zugriff durch weniger sichere Apps zum 30.05.2022 deaktiviert werden sollen (Stand: 09.05.2022). Daher funktioniert OAuth 2.0 nun auch in Verbindung mit Gmail-Mailservern.
Posteingangspostfach konfigurieren und Authentifizierungsinformationen generieren
Ein EWS-Posteingangspostfach richten Sie grundsätzlich mit derselben Vorgehensweise ein, wie Sie auch POP3- und IMAP-Postfächer konfigurieren würden. Das heißt, Sie beginnen Ihre Exchange-Postfachkonfiguration, indem Sie im "Meine Postfächer"-Dialog die Schaltfläche [ Neu EWS ] anklicken und Ihrem Outlook 365-Posteingangspostfach zunächst einen sinnvollen Namen geben.
Grundlegende Postfachdaten eintragen
Anschließend öffnet sich das von IMAP und POP3 bekannte Dialogfenster der Postfacheigenschaften. Hinterlegen Sie hier nun unter "Kennung" bzw. "Kennwort" die Outlook 365-Zugangsdaten (E-Mail-Adresse und Passwort), welche Sie bei der Office 365- bzw. Microsoft 365-Registrierung erhalten haben. Den Exchange Server sprechen Sie bitte über die folgende Adresse an: outlook.office365.com (Die Exchange-Serverdaten finden Sie natürlich auch direkt bei Microsoft). Mit dem anschließend einzutragenden HTTPS-Port 443 stellen Sie sicher, dass der Transportweg der E-Mail-Daten zum Server verschlüsselt wird. Dementsprechend selektieren Sie aus der Auswahlliste für die Verbindungssicherheit auch das gängige Verschlüsselungsprotokoll "SSL/TLS".
EWS für den Mailversand verwenden
Diese Checkbox findet sich - wie der Optionsname schon sagt - ausschließlich in der EWS-Posteingangskonfiguration. Ist diese Option gesetzt, dann übernimmt die myfactory das Authentifizierungstoken bzw. die Anmeldeinformationen aus dem EWS-Posteingang auch für den zugehörigen Postausgang. Ist diese Checkbox nicht aktiviert, dann verwendet die myfactory standardmäßig stets das SMTP-Protokoll für den Mailversand.
Sie benötigen für die Postausgangskonfiguration bei gesetzter Checkbox dann auch nicht mehr zwingend die Eingabe eines Ports und eines SMTP-Servers. Alles, was Sie dann noch in der Konfiguration eintragen müssen, ist die E-Mail-Adresse sowie die Kennung.
Zum Anfang
Erweiterte Exchange-Authentifizierung
Im Zuge der Umstellung auf eine erweiterte Authentifizierung (OAuth2) hat Microsoft die bisherige Basis-Authentifizierung für Exchange in der zweiten Jahreshälfte 2021 deaktiviert. Elementar ist daher, dass Sie als "Authentifizierung" noch "OAuth20" auswählen.
Dabei handelt es sich um ein offenes Protokoll, mit welchem es Drittanbietern (wie der myfactory) im Rahmen einer Token-basierten Autorisierung ermöglicht wird, die EWS-Anmeldeinformationen des Benutzers mit einem verbesserten Passwort-Schutz zu übertragen.
Für die OAuth2-Authentifizierung werden zum einen die im Folgenden zu hinterlegenden IDs (Verzeichnis- und Anwendungs-ID) benötigt und zum anderen ein geheimer Clientschlüssel.
Wie Sie diese IDs und den Key erzeugen können, ist im Hilfekapitel Grundlagen beschrieben. In jedem Fall übernehmen Sie in die Felder "Verzeichnis-ID (Mandant)", "Anwendungs-ID (Client)" und "Clientschlüssel" bitte jeweils dieselben Zeichenketten, die Sie auch in der Grundlagenkonfiguration des Exchange-Connectors hinterlegt haben (unter "Administration / Datenzugriff / Exchange-Connector / Grundlagen").
Zum Anfang
Der myfactory die API-Berechtigung für EWS erteilen
Bevor Sie mit Ihrem Outlook 365-Postfach erfolgreich E-Mails abrufen können, ist es zudem notwendig, dass Sie die myfactory für den vollen Zugriff auf Office 365 Exchange Online über Exchange Webservices (EWS-API) berechtigen.
Um diese API-Berechtigung erteilen zu können, greifen Sie bitte - wie schon beim Erzeugen der Informationen für die erweiterte Exchange-Authentifizierung (OAuth2) - auf Microsofts cloudbasierten Dienst Azure Active Directory (AAD) zurück, mit welchem sich Identitäten und Zugriffsrechte verwalten lassen. Das Admin Center des Cloud-Dienstes erreichen Sie unter aad.portal.azure.com. Wenn Sie sich mit Ihren Microsoft-Accountdaten im AAD angemeldet und die Registrierung der myfactory für die erweiterte Authentifizierung bereits abgeschlossen haben, dann rufen Sie die myfactory-Anwendung unter der von Ihnen gewählten Bezeichnung bitte auf. Dazu navigieren Sie auf der linken Seite zu dem Menüpunkt "App-Registrierungen" innerhalb der Menükategorie "Verwalten".
Nach dem Aufruf der registrierten myfactory-Anwendung sehen Sie im oberen Bereich eine Zusammenfassung der anwendungsspezifischen Authentifizierungsinformationen. Unter anderem erhalten Sie hierüber auch Zugang zu den für die EWS-Postfachkonfiguration benötigten Authentifizierungs-IDs (Verzeichnis- und Anwendungs-ID).
Auf der linken Seite findet sich in der Menüleiste unter "Verwalten" nun weiterhin der Menüpunkt "API-Berechtigungen". Klicken Sie diesen bitte an.
Beginnen Sie mit der API-Autorisierung der myfactory-Anwendung, indem Sie im Anschluss auf "Berechtigung hinzufügen" klicken.
Diese Aktion öffnet den Dialog "API-Berechtigungen anfordern". Darin können Sie nun die API auswählen, auf welche Sie mit der myfactory uneingeschränkt zugreifen möchten. Für Ihre Zwecke ist der Bereich "Von meiner Organisation verwendete APIs" von Belang. Dort wählen Sie die für Sie relevante EWS-API unter der Bezeichnung "Office 365 Exchange Online" aus.
Anschließend gelangen Sie in den Detail-Bereich der EWS-API, wo Sie zunächst die Berechtigungsart bestimmen können. Hier wählen Sie "Anwendungsberechtigungen" aus und aktivieren nun den privilegierten EWS-Postfachzugriff, indem Sie unter "Andere Berechtigungen" einen Haken bei "full_access_as_app" setzen und im unteren Bereich auf die Schaltfläche [ Berechtigungen hinzufügen ] klicken.
Im darauffolgenden Dialog müssen Sie nun nur noch die sogenannte Administratorzustimmung für die myfactory erteilen. Solange das nicht erfolgt ist, wird dies in Form eines orangefarbenen Dreieck-Icons mit Ausrufezeichen in der "Status"-Spalte kenntlich gemacht und die volle API-Berechtigung kann für die myfactory noch nicht gewährt werden.
Dies ist erst dann der Fall, wenn in der "Status"-Spalte ein entsprechender grüner Punkt mit Haken erkennbar ist.
Wechseln Sie nun bitte in die myfactory-Oberfläche zurück, um zu testen, ob die EWS-Postfachkonfiguration korrekt ist und das Erteilen der API-Berechtigung funktioniert hat. Sind die wichtigsten oder alle Prüfungsschritte mit einem grünen Punkt versehen, so hat die Einrichtung des EWS-Postfaches einschließlich der API-Autorisierung der myfactory einwandfrei funktioniert.
Das Outlook365-Posteingangspostfach wird nach dem Schließen des Postfachkonfigurationsdialogs angelegt, was entsprechend an dem Eintrag "EWS" in der "Protokoll"-Spalte ersichtlich ist.
Zum Anfang
Outlook 365-Postausgangspostfach anlegen
Anders als das Outlook 365-Posteingangspostfach lässt sich das zugehörige Postausgangspostfach schnell anlegen und einrichten, da hierfür - ebenso wie bei IMAP - das gängige SMTP-Protokoll herangezogen wird.
In den Postfacheigenschaften des neu erstellten Postausgangspostfaches geben Sie nun Ihre E-Mail-Kontodaten von Microsoft sowie den SMTP-Servernamen für den Office 365-Mailversand samt dem standardmäßigen SMTP-Port 587 (mit SSL/TLS-Unterstützung) ein und aktivieren als wichtigsten Schritt bitte die Checkbox "OAuth 2.0-Authentifizierung". Diese wird automatisch eingeblendet, sobald Sie einen SMTP-Servernamen mit einer Office 365-Domain in das SMTP Server-Feld eingeben (also: smtp.office365.com). Gleichzeitig wird auch das dazugehörige Eingabefeld "Anwendungs-ID (Client)" freigeschaltet. In dieses können Sie problemlos die bereits für die OAuth2-Authentifizierung via IMAP eingesetzte Anwendungs-ID eintragen.
Weiterhin empfehlen wir Ihnen, unter "Kommunikation / Grundlagen / Konfiguration / Register Allgemein" die Rebex-Komponente für den Mailversand anhand der dortigen Checkbox zu aktivieren. Während das Zusammenspiel von OAuth 2.0 mit IMAP und POP3 von den .NET-Standardbibliotheken unterstützt wird, wird für die Kompatibilität von OAuth 2.0 und SMTP mit der Rebex-Komponente eine zusätzliche Mail-Programmbibliothek für den sicheren SMTP-Mailversand benötigt.
Wichtiger Hinweis zum Eingabefeld "Gesendet"-Postfach:
Wenn Sie bei "Gesendet"-Postfächern mit Unterordnern arbeiten, so legt Office 365 Ihre E-Mails während der Synchronisation mit dem Mailserver automatisch in diesem "Gesendet"-Unterordner auf dem Mailserver ab. Wir empfehlen Ihnen daher, im SMTP-Postausgangsbereich keinen Unterordner anzugeben, sondern stattdessen den "Gesendet"-Hauptordner zu verwenden. Andernfalls besteht die Gefahr, dass über die myfactory gesendete Nachrichten doppelt mit dem Mailserver synchronisiert und entsprechend zweifach angelegt werden.
Möchten bzw. müssen Sie jedoch mit dem "Gesendet"-Unterordner arbeiten, so geben Sie diesen Unterordner auch in der Postausgangskonfiguration an, damit dieser in der myfactory mit dem Mailserver abgeglichen wird und die myfactory E-Mails dort entsprechend nur einmal, und nicht mehrfach, ablegt.
Möchten bzw. müssen Sie jedoch mit dem "Gesendet"-Unterordner arbeiten, so geben Sie diesen Unterordner auch in der Postausgangskonfiguration an, damit dieser in der myfactory mit dem Mailserver abgeglichen wird und die myfactory E-Mails dort entsprechend nur einmal, und nicht mehrfach, ablegt.
Wenn Sie in Ihrem Unternehmen ein Outlook-Konto in Office 365 nutzen und Ihren Mitarbeitern per IMAP Zugang zu einem darauf eingerichteten freigegebenen Postfach (Shared Mailbox) erteilen möchten, so ist dies beispielsweise mit der nachfolgenden Shared-Mailbox-Konfiguration möglich:
In diesem Beispiel soll der Mitarbeiter „Anton Schneider“ Zugriff auf ein gemeinsames Support-Postfach erhalten. Dazu geben Sie im Feld „Kennung“ eine Zeichenkette nach dem Muster „Benutzername\Shared-Mailbox-Adresse“ ein. Bitte beachten Sie, dass der Benutzername in diesem Fall die E-Mail-Adresse des jeweiligen Mitarbeiters sein muss. Als Kennwort verwenden Sie das zum Benutzernamen gehörende Passwort.
Die Nutzung des Ports 993 signalisiert dem Exchange-Server, dass die Software mit ihm eine per SSL respektive TLS verschlüsselte Verbindung aufbauen möchte. Als Authentifizierungsmethode akzeptiert Office 365 zwar „Cleartext“, die Auswahl „Auto“ führt jedoch nicht zum Erfolg. Im Feld für die Postfachprüfung geben Sie erneut die E-Mail-Adresse der Shared Mailbox an.
Ist alles korrekt konfiguriert, kann der Benutzer „Anton Schneider“ mit seinen persönlichen Zugangsdaten künftig nicht nur auf die an seine eigene E-Mail-Adresse aschneider@myfactory.exp gesendeten Nachrichten zugreifen, sondern auch auf die an support@myfactory.com geschickten E-Mails.
Tipp
Je nachdem, welchen Aliasnamentyp (Konfiguration) Sie verwenden, können Sie alternativ zur vollständigen E-Mail-Adresse auch den zur jeweiligen Adresse hinterlegten Namen oder die Kurzbezeichnung als „Shared-Mailbox“-Adresse im Feld „Kennung“ angeben. In diesem Fall wären das also beispielsweise aschneider@myfactory.exp\support (bei Aliasnamentyp: Name) oder aschneider@myfactory.exp\sup, (bei Aliasnamentyp: Kurzbezeichnung).