Ihr Leitfaden: So versenden Sie SMTP-Mails korrekt über Microsoft 365/Exchange Online

In der heutigen digitalen Landschaft ist die Fähigkeit, E-Mails programmatisch oder über Geräte zu versenden, von entscheidender Bedeutung. Ob es sich um Benachrichtigungen von Ihrer Unternehmensanwendung, Scans von Ihrem Multifunktionsgerät oder Berichte von einem Server handelt – all diese Funktionen basieren oft auf dem Simple Mail Transfer Protocol (SMTP). Doch der Versand von SMTP-Mails über cloudbasierte Dienste wie Microsoft 365 oder Exchange Online kann komplexer sein, als es auf den ersten Blick scheint. Microsoft hat strenge Sicherheitsrichtlinien und -mechanismen implementiert, um Missbrauch und Spam zu verhindern, was eine korrekte Konfiguration unabdingbar macht.

Dieser umfassende Leitfaden führt Sie durch die Feinheiten des SMTP-Versands mit Microsoft 365. Wir erklären Ihnen die drei wichtigsten Methoden, wann Sie welche einsetzen sollten, und geben Ihnen wertvolle Tipps für Sicherheit, Fehlerbehebung und die Sicherstellung einer hohen Zustellbarkeit. Tauchen wir ein!

Grundlagen: Warum Microsoft 365 für den SMTP-Versand nutzen?

Der Umstieg auf cloudbasierte E-Mail-Dienste wie Microsoft 365 bietet zahlreiche Vorteile gegenüber traditionellen On-Premise-Lösungen. Für den SMTP-Versand bedeutet dies:

• Hohe Verfügbarkeit und Zuverlässigkeit: Microsofts globale Infrastruktur gewährleistet, dass Ihre E-Mails nahezu jederzeit versendet werden können.
• Verbesserte Sicherheit: Eingebaute Schutzmechanismen gegen Spam, Malware und Phishing.
• Skalierbarkeit: Passt sich automatisch Ihren Anforderungen an, ohne dass Sie sich um Hardware kümmern müssen.
• Compliance: Erfüllt branchenspezifische Compliance-Anforderungen und hilft Ihnen, diese einzuhalten.
• Geringerer Wartungsaufwand: Microsoft kümmert sich um die Server, Updates und Patches.

All diese Vorteile machen Microsoft 365 zu einer attraktiven Plattform für den SMTP-Versand. Die Herausforderung besteht jedoch darin, die Konfiguration korrekt vorzunehmen, um die strengen Sicherheitsanforderungen von Microsoft zu erfüllen und gleichzeitig die Zustellbarkeit Ihrer E-Mails zu gewährleisten.

Die Herausforderung: SMTP-Relay in der Cloud

Herkömmliche lokale SMTP-Server erlaubten oft das sogenannte „Open Relay”, bei dem jeder Gerät E-Mails versenden konnte. In der Cloud ist dies aus Sicherheitsgründen nicht mehr praktikabel. Microsoft 365 verlangt eine klare Identifizierung und oft auch eine Authentifizierung des Senders. Ohne die richtige Konfiguration laufen Ihre automatisierten E-Mails Gefahr, blockiert, als Spam markiert oder gar nicht erst versendet zu werden.

Glücklicherweise bietet Microsoft 365 mehrere Methoden an, um dieser Herausforderung zu begegnen. Ihre Wahl hängt stark von Ihrem spezifischen Anwendungsfall ab:

1. SMTP AUTH-Client-Einreichung
2. Direkter Versand (Direct Send)
3. SMTP-Relay über Connectoren (mit IP-basierter Authentifizierung)

Wir werden jede dieser Methoden detailliert beleuchten.

Methode 1: SMTP AUTH-Client-Einreichung (Direktversand)

Dies ist die gängigste und einfachste Methode für Anwendungen oder Geräte, die E-Mails im Namen eines bestimmten Benutzers senden müssen und sich mit einem M365-Postfach authentifizieren können.

Anwendungsfall:

• Multifunktionsdrucker/Scanner, die Scans als E-Mail von einem bestimmten Benutzer senden.
• Line-of-Business-Anwendungen, die E-Mail-Benachrichtigungen von einem bestimmten Postfach (z.B. [email protected]) versenden.
• Geräte, die nicht viele E-Mails versenden müssen und keine statische öffentliche IP-Adresse besitzen.

Einrichtungsschritte:

1. M365-Konto mit Lizenz: Stellen Sie sicher, dass das Postfach, das zum Senden verwendet wird, eine gültige Microsoft 365-Lizenz besitzt.
2. SMTP AUTH aktivieren:
   • Tenant-weit: Standardmäßig ist SMTP AUTH in neueren M365-Tenants oft deaktiviert. Sie können es global im Exchange Admin Center (EAC) unter Einstellungen -> E-Mail-Fluss aktivieren oder über PowerShell:

     Set-TransportConfig -SmtpClientAuthenticationDisabled $false

   • Pro Postfach: Wenn global deaktiviert, können Sie es für einzelne Postfächer über PowerShell aktivieren:

     Set-CASMailbox -Identity "[email protected]" -SmtpClientAuthenticationDisabled $false

     (Ersetzen Sie "[email protected]" durch die tatsächliche E-Mail-Adresse des Postfachs.)

3. Konfiguration auf dem Gerät/in der Anwendung:
   • SMTP-Server: smtp.office365.com
   • Port: 587 (empfohlen für STARTTLS) oder 25 (mit STARTTLS)
   • Verschlüsselung: TLS/STARTTLS (obligatorisch)
   • Authentifizierung: Ja, geben Sie den vollständigen Benutzernamen (E-Mail-Adresse, z.B. [email protected]) und das Passwort des M365-Postfachs an.

Vorteile:

• Einfache Konfiguration: Oft die unkomplizierteste Methode für Einzelanwendungen.
• Hohe Zustellbarkeit: Da die E-Mails von einem authentifizierten M365-Benutzer kommen, genießen sie eine gute Reputation.
• Keine statische IP erforderlich: Funktioniert auch mit dynamischen IP-Adressen.

Nachteile:

• Sendelimits: Unterliegt den üblichen M365-Sendelimits pro Benutzer (z.B. 10.000 Empfänger pro Tag).
• Sicherheitsbedenken: Erfordert die Speicherung von Benutzerpasswörtern auf Geräten oder in Anwendungen, was ein Sicherheitsrisiko darstellen kann.
• Authentifizierungsfehler: Änderungen am Passwort oder an den MFA-Einstellungen des Benutzers können den Versand stoppen.

Methode 2: Direkter Versand (Direct Send)

Der direkte Versand ist für Geräte oder Anwendungen gedacht, die E-Mails senden müssen, aber keine Authentifizierung mittels Benutzername und Passwort durchführen können. Diese Methode ist primär für den Versand *innerhalb Ihrer Organisation* konzipiert oder wenn Sie nur von einer einzigen E-Mail-Adresse an externe Empfänger senden möchten.

Anwendungsfall:

• Anwendungen, die E-Mails nur an Empfänger innerhalb Ihrer eigenen M365-Organisation senden (z.B. Systembenachrichtigungen an IT-Administratoren).
• Legacy-Geräte oder Anwendungen, die keine Authentifizierung unterstützen.
• Geräte, die keine statische IP-Adresse haben und auch keine Benutzerauthentifizierung unterstützen.

Einrichtungsschritte:

1. Absenderadresse: Die E-Mail-Adresse des Absenders muss eine gültige Adresse in einer Ihrer verifizierten Domänen in M365 sein (z.B. [email protected]). Es muss *kein* tatsächliches Postfach sein.
2. Konfiguration auf dem Gerät/in der Anwendung:
   • SMTP-Server: <IhreDomäne>-com.mail.protection.outlook.com (Ersetzen Sie <IhreDomäne>-com durch den tatsächlichen MX-Record für Ihre Domäne in M365, z.B. contoso-com.mail.protection.outlook.com, oder einfach mail.protection.outlook.com). Alternativ kann auch <IhrTenantName>.mail.onmicrosoft.com verwendet werden.
   • Port: 25
   • Verschlüsselung: TLS (optional, aber empfohlen, wenn vom Gerät unterstützt)
   • Authentifizierung: Nein
3. SPF-Record (optional, aber dringend empfohlen für externen Versand): Wenn Sie E-Mails an *externe* Empfänger senden, müssen Sie die öffentliche IP-Adresse des sendenden Geräts/Servers zu Ihrem SPF-Record hinzufügen. Dies hilft M365, Ihre E-Mails nicht als Spam zu markieren. Beispiel: v=spf1 include:spf.protection.outlook.com ip4:XXX.XXX.XXX.XXX -all

Vorteile:

• Keine Authentifizierung: Ideal für Geräte, die dies nicht unterstützen.
• Keine statische IP zwingend erforderlich: Weniger restriktiv als das Connector-Relay.
• Keine M365-Lizenz für den Absender: Da kein Postfach benötigt wird, ist auch keine Lizenz erforderlich.

Nachteile:

• Primär für internen Versand: Für externen Versand ohne korrekten SPF-Eintrag kann die Zustellbarkeit leiden.
• Sendelimits: Unterliegt den M365-Sendelimits für den Tenant.
• Begrenzte Flexibilität: Kann nicht für den Versand im Namen mehrerer Absender-E-Mail-Adressen verwendet werden, die von einer Anwendung kommen.
• Geringere Sicherheit: Basierend auf IP-Adresse und Absender-Domain, nicht auf Benutzerauthentifizierung.

Methode 3: SMTP-Relay über Connectoren (mit IP-basierter Authentifizierung)

Diese Methode ist die leistungsstärkste und flexibelste Option, ideal für Umgebungen mit hohen E-Mail-Volumina, mehreren Anwendungen oder Servern, die E-Mails von verschiedenen Absenderadressen senden müssen und eine statische öffentliche IP-Adresse besitzen.

Anwendungsfall:

• Anwendungsserver, die große Mengen an E-Mails senden (z.B. Newsletter, CRM-Benachrichtigungen).
• Mehrere interne Anwendungen, die E-Mails von unterschiedlichen Absenderadressen senden.
• Wenn Sie eine dedizierte Kontrolle über den E-Mail-Fluss wünschen.

Einrichtungsschritte:

1. Statische öffentliche IP-Adresse: Die sendenden Server oder Geräte müssen über eine statische öffentliche IP-Adresse verfügen.
2. Connector im Exchange Admin Center (EAC) erstellen:
   • Gehen Sie zu EAC > Mail flow > Connectors.
   • Klicken Sie auf + Add a connector.
   • Wählen Sie als From: Your organization's email server und als To: Office 365.
   • Geben Sie dem Connector einen Namen (z.B. „SMTP Relay von internen Servern”).
   • Wählen Sie By verifying that the IP address of the sending server matches one of the following IP addresses that belong to your organization.
   • Fügen Sie die statischen öffentlichen IP-Adressen Ihrer sendenden Server hinzu.
   • Überprüfen Sie die Einstellungen und speichern Sie den Connector.
3. Absenderadresse: Die E-Mail-Adresse des Absenders muss eine gültige Adresse in einer Ihrer verifizierten Domänen in M365 sein (z.B. [email protected]). Es muss *kein* Postfach dafür existieren.
4. Konfiguration auf dem Gerät/in der Anwendung:
   • SMTP-Server: <IhreDomäne>-com.mail.protection.outlook.com (Ihr spezifischer MX-Record oder mail.protection.outlook.com).
   • Port: 25
   • Verschlüsselung: TLS (optional, aber empfohlen)
   • Authentifizierung: Nein
5. SPF-Record: Fügen Sie die statischen öffentlichen IP-Adressen der sendenden Server zu Ihrem SPF-Record hinzu. Dies ist absolut entscheidend für die Zustellbarkeit.

Vorteile:

• Hohe Flexibilität: Ermöglicht den Versand von E-Mails von beliebigen Absenderadressen Ihrer Domäne.
• Skalierbar: Gut geeignet für hohe E-Mail-Volumen und große Organisationen.
• Keine Lizenz für Absender: Es muss kein Postfach für die Absenderadresse existieren.
• Sicherheit: Die IP-basierte Authentifizierung ist robuster als das Speichern von Passwörtern.

Nachteile:

• Statische öffentliche IP erforderlich: Dies ist eine wichtige Voraussetzung.
• Komplexere Einrichtung: Erfordert das Erstellen und Verwalten von Connectoren.
• Sendelimits: Unterliegt immer noch den M365-Sendelimits für den Tenant.

Wichtige Überlegungen und Best Practices für alle Methoden

1. Sicherheitsaspekte

• Immer TLS/STARTTLS verwenden: Verschlüsseln Sie Ihre E-Mail-Kommunikation, um Datenlecks zu vermeiden.
• Starke Passwörter (für SMTP AUTH): Verwenden Sie komplexe Passwörter und erwägen Sie die Nutzung dedizierter Dienstkonten, um die Auswirkungen eines potenziellen Missbrauchs zu minimieren.
• MFA-Kompatibilität: Beachten Sie, dass SMTP AUTH nicht direkt mit Multi-Faktor-Authentifizierung (MFA) kompatibel ist. Wenn MFA für ein Postfach aktiviert ist, kann es zu Problemen kommen. App-Passwörter können eine Lösung sein, aber es ist oft besser, dedizierte Konten ohne MFA für SMTP AUTH zu verwenden oder eine der anderen Methoden zu wählen.
• Regelmäßige Überprüfung: Überprüfen Sie regelmäßig Ihre Connector-Konfigurationen und die Aktivierung von SMTP AUTH für Benutzer.

2. Sendelimits verstehen

Microsoft 365 hat zum Schutz vor Spam und Missbrauch Sendelimits. Diese sind je nach Methode und Tenant unterschiedlich, liegen aber typischerweise bei:

• Empfänger pro Tag: ca. 10.000 für einzelne Postfächer.
• Anzahl der Nachrichten pro Stunde/Tag: Es gibt auch Limits für die Gesamtanzahl der gesendeten Nachrichten.

Bei Überschreitung dieser Limits werden Ihre E-Mails vorübergehend oder dauerhaft blockiert. Für sehr hohe E-Mail-Volumina (z.B. Marketing-Kampagnen) sollten Sie spezialisierte Drittanbieter-Dienste (wie SendGrid, Mailgun) in Betracht ziehen, die für den Massenversand optimiert sind.

3. SPF, DKIM und DMARC

Diese drei Protokolle sind entscheidend für die E-Mail-Zustellbarkeit und Reputation Ihrer Domäne:

• SPF (Sender Policy Framework): Authentifiziert den sendenden Server, indem es eine Liste der autorisierten IP-Adressen im DNS-Eintrag Ihrer Domäne veröffentlicht. Für Direct Send und Connector-basiertes Relay ist es unerlässlich, die sendenden IP-Adressen in Ihrem SPF-Record aufzunehmen, damit M365 die E-Mails als legitim anerkennt.
• DKIM (DomainKeys Identified Mail): Ermöglicht der Empfängerorganisation zu überprüfen, ob eine E-Mail wirklich von der genannten Domäne gesendet wurde und ob der Inhalt während des Transports nicht manipuliert wurde. DKIM ist für Ihre M365-Domänen standardmäßig aktiviert und sollte nicht manuell angepasst werden, es sei denn, Sie haben spezielle Anforderungen.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance): Baut auf SPF und DKIM auf und gibt Empfänger-Mailservern Anweisungen, was mit E-Mails geschehen soll, die die SPF- oder DKIM-Prüfungen nicht bestehen (z.B. ablehnen, in Quarantäne verschieben).

Stellen Sie sicher, dass Ihre DNS-Einträge für SPF, DKIM und DMARC korrekt konfiguriert sind, um die bestmögliche Zustellbarkeit zu erreichen.

4. Fehlerbehebung

Wenn E-Mails nicht ankommen, gehen Sie systematisch vor:

• Gerätelogs prüfen: Schauen Sie in den Logs Ihrer Anwendung oder Ihres Geräts nach SMTP-Fehlern.
• M365 Nachrichtenverfolgung: Nutzen Sie die Nachrichtenverfolgung im Exchange Admin Center (EAC), um den Weg einer E-Mail durch M365 nachzuvollziehen und festzustellen, ob sie gesendet, zugestellt, blockiert oder in Quarantäne verschoben wurde.
• Firewall: Überprüfen Sie, ob Ihre lokale Firewall oder die Netzwerkfirewall den ausgehenden Verkehr auf Port 25 oder 587 blockiert.
• Test-NetConnection/Telnet: Verwenden Sie Test-NetConnection smtp.office365.com -Port 587 (oder Port 25 und den Relay-Server) von Ihrem sendenden Gerät, um die Konnektivität zu testen.
• SMTP AUTH Status: Stellen Sie sicher, dass SMTP AUTH für das betreffende Postfach (Methode 1) oder global (falls zutreffend) aktiviert ist.

5. PowerShell für die Verwaltung

Verwenden Sie Exchange Online PowerShell für eine effiziente Konfiguration und Fehlerbehebung. Einige nützliche Befehle haben wir bereits erwähnt, wie Set-TransportConfig und Set-CASMailbox. Stellen Sie sicher, dass Sie sich korrekt mit Exchange Online PowerShell verbinden können.

Fazit

Der korrekte SMTP-Versand über Microsoft 365/Exchange Online ist entscheidend für die reibungslose Funktion vieler Geschäftsprozesse. Die Wahl der richtigen Methode – sei es die SMTP AUTH-Client-Einreichung, der Direkte Versand oder das SMTP-Relay über Connectoren – hängt von Ihren spezifischen Anforderungen und technischen Gegebenheiten ab.

Unabhängig von der gewählten Methode sind eine sorgfältige Konfiguration, die Berücksichtigung von Sicherheitsaspekten und die Optimierung Ihrer DNS-Einträge (insbesondere SPF) der Schlüssel zu einer zuverlässigen E-Mail-Zustellung. Nehmen Sie sich die Zeit, die für Ihren Anwendungsfall am besten geeignete Methode auszuwählen und diese gründlich zu testen. So können Sie die volle Leistungsfähigkeit von Microsoft 365 für Ihre automatisierten E-Mail-Workflows nutzen und sicherstellen, dass Ihre Nachrichten immer ihr Ziel erreichen.