SMTPAUTHTENANTID - Detailbeschreibung

Überblick

Parameter: SMTPAUTHTENANTID
Kategorie: Smtp
Standardwert: string.Empty
Produkt: eTASK.Sonstige (Smtp)

Was macht dieser Parameter?

Der Parameter legt die Azure Tenant ID fest, die speziell für die OAuth-Authentifizierung beim E-Mail-Versand über SMTP verwendet wird. Diese ID identifiziert die Azure Active Directory-Instanz, über die der E-Mail-Versand authentifiziert werden soll.

Wofür wird dieser Parameter verwendet?

• Authentifizierung beim E-Mail-Versand über Microsoft 365 / Azure AD

• Trennung der SMTP-Authentifizierung von der Login-Authentifizierung

• Verwendung unterschiedlicher Azure Tenants für Login und E-Mail-Versand

• Modernere und sicherere OAuth-basierte E-Mail-Authentifizierung statt Passwort-basierter Methoden

Technische Details (für Administratoren)

Format: GUID (Globally Unique Identifier)
Standardwert: string.Empty (leer)

Gültige Werte:

• Leer = Die allgemeine Azure Tenant ID aus AZURETENANTID wird verwendet

• GUID = Eine spezifische Azure Tenant ID für SMTP (Format: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)

Wichtige Hinweise:

• Der Parameter wird nur verwendet, wenn SMTPUSEOAUTH auf 1 gesetzt ist

• Die Tenant ID findest du in Microsoft Azure im Azure Active Directory unter Übersicht als "Verzeichnis-ID (Mandant)"

• Bei leerem Wert wird auf den Wert von AZURETENANTID zurückgegriffen

• Für die Funktionalität müssen entsprechende Berechtigungen in Azure AD konfiguriert sein

Zusammenspiel mit anderen Parametern:

• SMTPUSEOAUTH: Muss auf 1 gesetzt sein, damit OAuth-Authentifizierung aktiviert wird

• AZURETENANTID: Wird als Fallback verwendet, wenn SMTPAUTHTENANTID leer ist 📄 AZURETENANTID - Detailbeschreibung IC2869

• AZURECLIENTID: Enthält die Anwendungs-ID für die Azure-App-Registrierung 📄 AZURECLIENTID - Detailbeschreibung IC2867

• SMTPSERVER: Der SMTP-Server-Endpunkt (z.B. smtp.office365.com) 📄 SMTPSERVER - Detailbeschreibung IC2888

• SMTPPORT: Der Port für die SMTP-Verbindung (typischerweise 587 für OAuth)

Wann sollten Sie diesen Wert ändern?

Wert auf eine spezifische GUID setzen, wenn:

• Der E-Mail-Versand über einen anderen Azure Tenant laufen soll als der Portal-Login

• Mehrere Azure Active Directory Instanzen im Einsatz sind

• Eine dedizierte Service-Identität für E-Mail-Versand verwendet werden soll

• Compliance-Anforderungen eine Trennung von Login und E-Mail-Infrastruktur vorschreiben

Wert leer lassen, wenn:

• Die gleiche Azure AD-Instanz für Login und E-Mail-Versand verwendet wird

• Der Wert aus AZURETENANTID für den SMTP-Versand ausreichend ist

• Nur eine Azure AD-Instanz im Unternehmen existiert

Wichtige Hinweise

1. Azure AD App-Registrierung erforderlich
   Bevor dieser Parameter verwendet werden kann, muss in Azure AD eine App-Registrierung mit den entsprechenden API-Berechtigungen (Microsoft Graph Mail.Send) erstellt werden.

2. Modern Authentication aktivieren
   Der Parameter funktioniert nur, wenn SMTPUSEOAUTH auf 1 gesetzt ist. Andernfalls wird die klassische Passwort-basierte Authentifizierung verwendet.

3. Fallback-Mechanismus
   Wenn dieser Parameter leer ist, greift das System automatisch auf AZURETENANTID zurück. Das ermöglicht eine stufenweise Migration.

4. Berechtigungen in Azure AD
   Die registrierte Anwendung benötigt die Berechtigung "Mail.Send" für Microsoft Graph API, damit der E-Mail-Versand funktioniert.

5. Problembehandlung
   Bei Authentifizierungsproblemen prüfe das Applikationsprotokoll auf Fehlermeldungen bezüglich "MS Graph API Zugriffstoken" und stelle sicher, dass sowohl ClientID als auch TenantID korrekt konfiguriert sind.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter hat erhebliche Sicherheitsauswirkungen.

Positive Aspekte:

• OAuth-Authentifizierung ist sicherer als die Speicherung von Passwörtern im Klartext

• Ermöglicht die Verwendung von Multi-Faktor-Authentifizierung auf Azure AD-Ebene

• Token-basierte Authentifizierung reduziert das Risiko bei Credential Theft

• Audit-Trail in Azure AD für E-Mail-Versand-Aktivitäten

Zu beachten:

• Die Tenant ID selbst ist zwar nicht geheim, sollte aber korrekt konfiguriert sein

• Falsche Tenant ID führt zu fehlgeschlagenem E-Mail-Versand

• Die Kombination aus Tenant ID und Client ID muss in Azure AD existieren

• Bei Änderungen kann der E-Mail-Versand unterbrochen werden bis die Konfiguration korrekt ist

Empfehlung: Verwende OAuth-basierte Authentifizierung mit diesem Parameter bei allen Neuinstallationen. Dokumentiere die verwendete Tenant ID in deinem Systemhandbuch und teste den E-Mail-Versand nach jeder Änderung umfassend.

Praktisches Beispiel

Ausgangssituation:

Ein Unternehmen nutzt Azure AD für den Portal-Login und möchte nun auch den E-Mail-Versand über Microsoft 365 mit OAuth absichern. Bisher wurde der E-Mail-Versand mit Benutzername und Passwort (SMTPUSER/SMTPPASSWORD) durchgeführt.

Konfiguration:

1. Azure AD App-Registrierung erstellt mit Client ID: a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6

2. Tenant ID aus Azure ermittelt: z9y8x7w6-v5u4-t3s2-r1q0-p9o8n7m6l5k4

3. SMTPUSEOAUTH auf 1 gesetzt

4. SMTPAUTHTENANTID gesetzt auf: z9y8x7w6-v5u4-t3s2-r1q0-p9o8n7m6l5k4

5. AZURECLIENTID gesetzt auf: a1b2c3d4-e5f6-g7h8-i9j0-k1l2m3n4o5p6

Nach der Änderung:

• Der E-Mail-Versand authentifiziert sich über OAuth mit Microsoft Graph API

• Keine Passwörter mehr in der Konfiguration gespeichert

• Automatische Token-Verwaltung durch das System

• E-Mails werden sicher über Microsoft 365 versendet

Ergebnis:

Höhere Sicherheit beim E-Mail-Versand und Compliance mit modernen Authentifizierungsstandards. Der E-Mail-Versand ist unabhängig von Passwort-Richtlinien und funktioniert auch bei aktivierter Multi-Faktor-Authentifizierung.

Empfohlene Einstellung

Für Standard-Installationen: leer (Fallback auf AZURETENANTID verwenden)

Begründung:

• Vereinfacht die Konfiguration bei Verwendung nur einer Azure AD-Instanz

• Reduziert Wartungsaufwand durch zentralisierte Tenant-Verwaltung

• Ausreichend für die meisten Anwendungsfälle

Ausnahmen (Separate Tenant ID für SMTP konfigurieren):

• Multi-Tenant-Umgebungen mit getrennten Azure AD-Instanzen

• Compliance-Anforderungen für getrennte Service-Identitäten

• Verwendung eines dedizierten E-Mail-Tenants für Service-Accounts

Tipp: Wenn du OAuth für SMTP einrichtest, dokumentiere alle Parameter (SMTPUSEOAUTH, SMTPAUTHTENANTID, AZURECLIENTID) zusammen, damit bei Problemen alle Werte schnell verfügbar sind.