Как да настроим SMTP с Microsoft OAuth2.0 ?

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Това ръководство обяснява как да конфигурирате шлюза си за изпращане на имейли чрез SMTP с удостоверяване Microsoft OAuth 2.0 чрез акаунт в Microsoft 365. OAuth 2.0 осигурява сигурно удостоверяване, базирано на токени, като замества по-малко сигурните основни методи за удостоверяване. Можете да следвате тези стъпки, за да регистрирате приложение в Microsoft Azure и да конфигурирате шлюза си за SMTP. Тази функция се поддържа в uOS версия 1.35 и по-нова. Бележка: SMTP с Microsoft OAuth 2.0 се поддържа при серията USG Flex H. Този пример е тестван с USG FLEX 200HP (версия на фърмуера: uOS 1.35).

SMTP topology.png

Предварителни условия

  • Акаунт в Microsoft 365 с лицензирана пощенска кутия Exchange Online.
  • Административен достъп до портала Microsoft Azure (https://portal.azure.com).
  • За пощенската кутия е активиран SMTP AUTH (вж. стъпка 3 по-долу).
  • Вашето шлюзово устройство с достъп до SMTP конфигурация (версия на фърмуера uOS1.35 или по-висока).

Инструкции стъпка по стъпка

Стъпка 1: Регистрирайте приложение в портала Azure

1.влезте в портала Azure Portal:

  • Отидете на https://portal.azure.com и влезте с акаунт, който има административни права за Microsoft Entra ID.

2.Навигирайте до Регистрации на приложения:

  • В лявото меню изберете Microsoft Entra ID > Регистрации на приложения > Нова регистрация.

3.Конфигурирайте приложението:

  • Направете следното:Name (Име): Въведете описателно име (напр. "Gateway SMTP App").
  • Поддържани типове акаунти: Изберете Accounts in this organizational directory only (Single tenant)за повечето случаи.
  • Пренасочване на URI: URI за пренасочване указва къде сървърът за оторизация трябва да изпрати обратно потребителя след успешно удостоверяване, за да върне жетон за достъп до неговия имейл акаунт.
  • Тип: Изберете"Web".
  • URI: Въведете https://[devicefqdn или ip]/cgi-bin/msoauth2.cgi. Заменете [Device FQDN или IP] с действителното напълно квалифицирано име на домейн или IP адрес на вътрешен интерфейс, към който компютърът на администратора може да се свърже. (Забележка: URI за пренасочване трябва да започва със схемата https.)
  • Щракнете върху Регистрация.
Azure_2_edit_20250821.png

4. копирайте идентификаторите на приложенията:

  • На страницата " Преглед" на приложението копирайте идентификатора на приложението (клиент) и идентификатора на директорията (наемател). Те са необходими за конфигурацията на вашия шлюз.
Azure_2.png

5.Създайте клиентска тайна:

  • Отидете на Certificates & secrets (Сертификати и тайни ) > Client Secrets (Клиентски тайни) > New client secret (Нова клиентска тайна).
  • Добавете описание (напр. "SMTP Secret") и изберете период на валидност(напр. 24 месеца).
  • Щракнете върху Add (Добавяне), след което веднага копирайте стойността на клиентската тайна. Забележка: Тази стойност се показва само веднъж и няма да можете да я възстановите, след като напуснете тази страница. Ако я загубите, ще трябва да генерирате нова. Това е вашата "ClientSecret".
  • Съхранявайте я на сигурно място, тъй като тя предоставя достъп до вашето приложение.

Стъпка 2: Предоставяне на API разрешения

1.добавяне на разрешения:

  • От лявата навигация на страницата за преглед на вашето приложение щракнете върху API permissions (Разрешения за API) > +Add a permission (Добавяне на разрешение).
  • Изберете Microsoft Graph
  • Изберете Делегирани разрешения > Търсене на офлайн достъп
  • Щракнете върху Добавяне на разрешения.
  • Добавяне на 2. разрешения: Добавете разрешение за достъп. Щракнете върху +Добавяне наразрешение
  • Изберете Microsoft Graph
  • Изберете Делегирани разрешения > изберете SMTP.Send
  • Щракнете върху Add permissions (Добавяне на разрешения).
3_Grant API Permissions_1.png

3_Grant API Permissions_2.png

3_Grant API Permissions_3.png

Стъпка 3: Разрешаване на SMTP AUTH за пощенската кутия

1. влезте в центъра за администриране на Microsoft 365 - преминете към Users (Потребители) > Active users (Активни потребители) > щракнете върху пощенската кутия на потребителя > изберете Mail tab ( Поща).

SMTP_Auth_1.png

2.уверете се, че е избрана опцията на квадратчето за отметка "Authenticated SMTP" (Удостоверяване на SMTP).

SMTP_Auth_2.png

Стъпка 4: Конфигуриране на SMTP във вашия шлюз

1.осъществете достъп до графичния потребителски интерфейс на шлюза:

  • Влезте в интерфейса за конфигуриране на вашето устройство от вътрешния интерфейс (от страната на LAN).
  • Навигирайте до System (Система) > Notification (Известия) > Mail Server (Пощенски сървър)

2.Въведете настройките на SMTP: 1:

  • Пощенски сървър: smtp.office365.com
  • Порт: 587 (препоръчителен, поддържа STARTTLS).
  • Шифроване: Включете STARTTLS
  • Метод на удостоверяване: Изберете Microsoft OAuth2.0.
  • Имейл адрес на изпращача: Въведете имейл адреса на Microsoft 365 (напр. sender@yourdomain.com).
  • Client ID (Идентификатор на клиент): Поставете идентификатора на приложението (клиента) от стъпка 1-4.
  • Client Secret (Секрет на клиента): Поставете стойността на клиентската тайна от стъпка 1-5.
  • Идентификатор на наемателя: Поставете идентификатора на директорията (наемателя) от стъпка 1-4.

3.Приложете конфигурацията:

  • ! Трябва да щракнете върху Apply , преди да поискате токен.
  • Щракнете върху Apply (Приложи) , за да запазите конфигурацията на вашия шлюз.
image.png

4.Получаване на токен OAuth 2.0

  • След като приложите конфигурацията, щракнете върху бутона"Get New Token" (Получаване на нов токен).
  • Това ще отвори нов таб на браузъра към страницата за влизане в Microsoft Azure.
  • Влезте с акаунта в Microsoft 365, свързан с имейл адреса на изпращача (напр. sender@yourdomain .com).
  • Дайте разрешения, когато бъдете подканени
  • Браузърът ще се затвори автоматично при успешно удостоверяване и вашият шлюз ще е получил по сигурен начин токен за удостоверяване от Microsoft.
  • Полето Статус на токена ще се актуализира. (напр., "Valid").
  • Ако браузърът не се отвори: Щракнете върху бутона "Refresh Token Status" (Обнови състоянието на токена), за да проверите дали токенът е получен успешно или да повторите процеса на извличане на токена.
image.png

Проверка на функцията SMTP с Microsoft OAuth2.0

  1. Уверете се, че токенът е придобит успешно.
image-138717d9ba4e7-809f.png

Попълнете имейл адреса на получателя и изпратете тестово електронно писмо.

Преминете към Log & Report (Регистър и отчет) >Log/Events (Регистър/събития) >System (Система) и проверете за съобщение в дневника за успешно извличане на токена.

image-bedd3e6675fe-4187.png

2. Навигирайте до Log & Report (Дневник и отчет) > Email Daily Report (Ежедневен отчет по имейл) > Send Report Now (Изпращане на отчет сега) , за да изпратите имейл през защитната стена.

send-email.png

Уверете се, че имейлът е получен успешно в пощенската кутия.

image-a5c4598a9bc4e8-3bb9.png

Отстраняване на неизправности

Удостоверяването на автентичността е неуспешно:

  • Проверете два пъти пълномощията: Уверете се, че идентификаторът на клиента, идентификаторът на наемателя и тайната на клиента са копирани точно, без допълнителни интервали.
  • Уверете се, че е предоставено съгласието на администратора за разрешенията на API
  • Проверете дали имейл адресът на изпращача съществува във вашия Microsoft 365 tenant

Разрешението е отказано:

  • Потвърдете, че разрешението за API е предоставено (стъпка 2-1).
  • Проверете дали приложението има администраторско съгласие
  • Проверете дали имейл акаунтът на изпращача е активен

Client Secret Expired (Клиентската тайна е изтекла):

  • Генерирайте нова клиентска тайна в Azure Portal и я актуализирайте в настройките на шлюза.

Проблеми със свързването

  • Проверете настройките на SMTP сървъра (smtp.office365. com:587). Уверете се, че порт 587 е деблокиран.
  • Уверете се, че криптирането STARTTLS е разрешено
  • Проверете защитната стена/мрежовата свързаност

Проблеми с браузъра

  • Браузърът не се отваря: Проверете дали са активирани блокерите за изскачащи прозорци и разрешете изскачащите прозорци за шлюза.
  • Браузърът се отваря, но показва грешка: Проверете конфигурацията на URI за пренасочване на приложението Azure. И се уверете, че компютърът на администратора се намира в мрежа, която може да получи достъп до URI (препоръчва се да се намира в LAN страната на шлюза).
  • Токенът не е придобит след влизане: Кликнете върху бутона"Refresh Token Status", за да проверите състоянието на токена.
  • Отворени са няколко раздела на браузъра: Затворете допълнителните табове и опитайте отново
  • Браузърът не се затваря автоматично: Затворете ръчно раздела след успешно влизане

Проблеми с токена:

  • Неуспешно придобиване на токени: Проверете интернет свързаността и опитайте да щракнете върху"Get New Token " отново.
  • Токенът изтича бързо: Това е нормално - шлюзът автоматично ще опреснява токените
  • Бутонът "Refresh Token Status" (Опресни състоянието на токена) не показва никакъв токен: Повторете процеса"Get New Token" (Получаване на нов токен).
  • Статусът на токена не се актуализира: Изчакайте 10-15 секунди, след което щракнете отново върху"Опресни състоянието на токена".

Най-добри практики в областта на сигурността

Управление на тайни

  • Съхранявайте тайните на клиентите по сигурен начин
  • Ротирайте тайните преди изтичане на срока им на валидност
  • Използвайте различни приложения за различни цели

Контрол на достъпа

  • Предоставяйте само минимално необходимите разрешения
  • Редовно преглеждайте разрешенията на приложенията
  • Наблюдавайте използването на приложенията чрез дневниците на Azure

Мониторинг

  • Активирайте регистрирането на одити в Microsoft Entra ID
  • Наблюдавайте за необичайни модели на удостоверяване
  • Създаване на предупреждения за неуспешни опити за удостоверяване

Допълнителна информация

Жизнен цикъл на токена

  • Токените за достъп изтичат след 1 час
  • Вашият шлюз автоматично обработва обновяването на токена
  • Първоначалният токън трябва да бъде придобит чрез влизане в браузъра
  • Последващите подновявания на токените се извършват автоматично във фонов режим
  • Не се изисква взаимодействие с потребителя за подновяване на токена след първоначалната настройка

Поддържани типове имейли

  • Имейли с обикновен текст
  • Имейли, форматирани в HTML
  • Имейли с прикачени файлове
  • Изпращане на имейли в големи количества (в рамките на ограниченията на Microsoft)

Ограничения на скоростта

  • Microsoft налага ограничения за изпращане:
  • 30 съобщения в минута
  • 10 000 съобщения на ден (по подразбиране)
  • По-високи лимити са достъпни чрез поддръжката на Microsoft

Поддръжка

Ако срещнете проблеми:

  1. Проверете дали всички стъпки са изпълнени правилно
  2. Проверете одитните дневници на Microsoft Entra ID за грешки при удостоверяване
  3. Свържете се със системния си администратор за проблеми с достъпа до Azure
  4. Направете справка с официалната документация на Microsoft за OAuth 2.0

За техническа поддръжка с устройството на шлюза се свържете с нашия екип за поддръжка, като предоставите подробности за конфигурацията си (никога не споделяйте тайните на клиента).

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.