Как настроить SMTP с Microsoft OAuth2.0?

Acest ghid explică modul de configurare a gateway-ului dvs. pentru a trimite e-mailuri utilizând SMTP cu autentificarea Microsoft OAuth 2.0 prin intermediul unui cont Microsoft 365. OAuth 2.0 oferă o autentificare sigură, bazată pe jetoane, înlocuind metodele de autentificare de bază mai puțin sigure. Puteți urma acești pași pentru a înregistra o aplicație în Microsoft Azure și pentru a vă configura gateway-ul pentru SMTP. Această caracteristică este acceptată în versiunea uOS 1.35 și ulterioare. Notă: SMTP cu Microsoft OAuth 2.0 este acceptat pe seria USG Flex H. Acest exemplu a fost testat utilizând USG FLEX 200HP (versiunea firmware: uOS 1.35).

Condiții prealabile

• Un cont Microsoft 365 cu o căsuță poștală Exchange Online licențiată.
• Acces administrativ la portalul Microsoft Azure (https://portal.azure.com).
• SMTP AUTH este activat pentru căsuța poștală (consultați Pasul 3 de mai jos).
• Dispozitivul dvs. gateway cu acces la configurarea SMTP (versiunea firmware uOS1.35 sau superioară).

Instrucțiuni pas cu pas

Pasul 1: Înregistrarea unei aplicații în Azure Portal

1.Conectați-vă la Azure Portal:

• Accesați https://portal.azure.com și conectați-vă cu un cont care are privilegii administrative pentru Microsoft Entra ID.

2.Navigați la Înregistrări aplicații:

• În meniul din stânga, selectați Microsoft Entra ID > Înregistrări aplicații > Înregistrare nouă.

3.Configurați aplicația:

• Nume: Introduceți un nume descriptiv (de exemplu, "Gateway SMTP App").
• Tipuri de conturi acceptate: Selectați Accounts in this organizational directory only (Single tenant)pentru majoritatea cazurilor.
• Redirect URI: URI-ul de redirecționare specifică locul în care serverul de autorizare ar trebui să trimită utilizatorul înapoi după autentificarea cu succes pentru a returna un simbol de acces la contul său de e-mail.
• Type (Tip): Selectați"Web".
• URI: Introduceți https://[devicefqdn sau ip]/cgi-bin/msoauth2.cgi. Înlocuiți [Device FQDN or IP] cu numele de domeniu complet calificat real sau cu adresa IP a unei interfețe interne la care se poate conecta calculatorul administratorului. (Notă: Redirecționarea URI trebuie să înceapă cu schema https.)
• Faceți clic pe Register (Înregistrare).

4.Copiați ID-urile aplicației:

• Pe pagina Overview (Prezentare generală ) a aplicației, copiați ID-ul aplicației (client) și ID-ul directorului (chiriaș). Acestea sunt necesare pentru configurarea gateway-ului.

5.Creați un secret client:

• Mergeți la Certificates & secrets > Client Secrets > New client secret.
• Adăugați o descriere (de exemplu, "SMTP Secret") și selectați o perioadă de expirare (de exemplu, 24 de luni).
• Faceți clic pe Add (Adăugare), apoi copiați imediat valoarea secretului de client. Notă: Această valoare este afișată o singură dată și nu o veți putea recupera după ce părăsiți această pagină. Dacă o pierdeți, va trebui să generați una nouă. Acesta este "ClientSecret".
• Păstrați-l în siguranță, deoarece permite accesul la aplicația dvs.

Pasul 2: Acordarea permisiunilor API

1.Adăugați permisiuni:

• Din partea stângă de navigare a paginii de prezentare a aplicației dvs. faceți clic pe API permissions > +Add a permission.
• Selectați Microsoft Graph
• Selectați Permisiuni delegate > Căutare acces offline
• Faceți clic pe Adaugă permisiuni.
• Adăugați a doua permisiune. Faceți clic pe +Adăugațio permisiune
• Selectați Microsoft Graph
• Alegeți Delegated permissions > selectați SMTP.Send
• Faceți clic pe Add permissions (Adăugare permisiuni).

Pasul 3: Activați SMTP AUTH pentru căsuța poștală

1.Conectați-vă la centrul de administrare Microsoft 365- Navigați la Users > Active users > faceți clic pe căsuța poștală a utilizatorului > Selectați fila Mail.

2.Asigurați-vă că opțiunea caseta de selectare "Authenticated SMTP" este selectată..

Pasul 4: Configurați SMTP în gateway-ul dvs.

1.Accesați interfața grafică a Gateway-ului:

• Conectați-vă la interfața de configurare a dispozitivului dvs. de la interfața internă (partea LAN).
• Navigați la System > Notification > Mail Server

2.Introduceți setările SMTP:

• Server poștal: smtp.office365.com
• Port: 587 (recomandat, acceptă STARTTLS).
• Criptare: Activați STARTTLS
• Metodă de autentificare: Selectați Microsoft OAuth2.0.
• Adresa de e-mail a expeditorului: Introduceți adresa de e-mail Microsoft 365 (de exemplu, sender@yourdomain.com).
• Client ID (ID client): Lipiți ID-ul aplicației (clientului) de la Pasul 1-4.
• Client Secret (Secret client): Lipiți valoarea secretului clientului de la pasul 1-5.
• ID chiriaș: Lipiți ID-ul de director (chiriaș) de la pasul 1-4.

3.Aplicați configurația:

• ! Trebuie să faceți clic pe Apply înainte de a solicita un token.
• Faceți clic pe Apply pentru a salva configurația pe gateway-ul dvs.

4.Obțineți jetonul OAuth 2.0

• După aplicarea configurației, faceți clic pe butonul"Get New Token".
• Acest lucru va deschide o nouă filă de browser la pagina de autentificare Microsoft Azure.
• Conectați-vă cu contul Microsoft 365 asociat cu adresa de e-mail a expeditorului (de exemplu, expeditor@domainul dvs. .com).
• Acordați permisiuni atunci când vi se solicită
• Browserul se va închide automat după autentificarea cu succes, iar gateway-ul dvs. va fi obținut în siguranță un jeton de autentificare de la Microsoft.
• Câmpul Token Status se va actualiza. (de exemplu, "Valid").
• Dacă browserul nu se deschide: Faceți clic pe butonul "Refresh Token Status" pentru a verifica dacă tokenul a fost obținut cu succes sau pentru a încerca din nou procesul de obținere a tokenului.

Verificați funcția SMTP cu Microsoft OAuth2.0

1. Asigurați-vă că tokenul a fost obținut cu succes.

Completați adresa de e-mail a destinatarului și trimiteți un e-mail de test.

Navigați la Log & Report>Log/Events>System (Jurnal și rapoarte>Jurnal/Evenimente>Sistem ) și verificați mesajul de jurnal privind recuperarea cu succes a token-ului.

2. 3. Navigați la Log & Report > Email Daily Report > Send Report Now pentru a trimite un e-mail prin firewall.

Asigurați-vă că e-mailul este primit cu succes în căsuța poștală.

Rezolvarea problemelor

Autentificare eșuată:

• Verificați de două ori acreditările: Asigurați-vă că Client ID, Tenant ID și Client Secret sunt copiate exact, fără spații suplimentare.
• Asigurați-vă că a fost acordat acordul administratorului pentru permisiunile API
• Verificați dacă adresa de e-mail a expeditorului există în chiriașul Microsoft 365

Permission Denied (Permisiune refuzată):

• Confirmați că permisiunea API este acordată (Pasul2-1).
• Verificați dacă aplicația are acordul administratorului
• Verificați dacă contul de e-mail al expeditorului este activ

Secret client expirat:

• Generați un nou secret client în Azure Portal și actualizați-l în setările gateway-ului.

Probleme de conectare

• Verificați setările serverului SMTP (smtp.office365. com:587). Asigurați-vă că portul 587 este deblocat.
• Asigurați-vă că criptarea STARTTLS este activată
• Verificați firewall-ul/conectivitatea rețelei

Probleme cu browserul

• Browserul nu se deschide: Verificați dacă blocajele pop-up sunt activate și permiteți pop-up-urile pentru gateway
• Browserul se deschide, dar afișează o eroare: Verificați configurația URI de redirecționare a aplicației Azure. Și asigurați-vă că PC-ul administratorului se află în rețeaua care poate accesa URI (se recomandă să fie situat în partea LAN a gateway-ului).
• Tokenul nu a fost achiziționat după autentificare: Faceți clic pe butonul"Refresh Token Status" pentru a verifica starea token-ului
• Mai multe file de browser deschise: Închideți filele suplimentare și încercați din nou
• Browserul nu se închide automat: Închideți manual fila după conectarea cu succes

Probleme cu tokenul:

• Achiziționarea tokenului a eșuat: Verificați conectivitatea la internet și încercați din nou să faceți clic pe"Get New Token
• Token-ul expiră rapid: Acest lucru este normal - gateway-ul va actualiza automat jetoanele
• Butonul "Refresh Token Status" nu arată niciun jeton: Repetați procesul"Get New Token" (Obțineți un jeton nou)
• Starea jetonului nu se actualizează: Așteptați 10-15 secunde, apoi faceți clic din nou pe"Refresh Token Status

Cele mai bune practici de securitate

Gestionarea secretelor

• Stocați în siguranță secretele clienților
• Rotiți secretele înainte de expirare
• Utilizați aplicații diferite pentru scopuri diferite

Controlul accesului

• Acordați doar permisiunile minime necesare
• Revizuiți periodic permisiunile aplicațiilor
• Monitorizați utilizarea aplicațiilor prin intermediul jurnalelor Azure

Monitorizare

• Activați înregistrarea de audit în Microsoft Entra ID
• Monitorizați modelele neobișnuite de autentificare
• Configurați alerte pentru încercările de autentificare eșuate

Informații suplimentare

Ciclul de viață al token-urilor

• Jetoanele de acces expiră după 1 oră
• Gateway-ul dvs. gestionează automat actualizarea token-ului
• Tokenul inițial trebuie să fie obținut prin autentificarea în browser
• Reînnoirea ulterioară a jetoanelor are loc automat în fundal
• Nu este necesară interacțiunea utilizatorului pentru reînnoirea jetoanelor după configurarea inițială

Tipuri de e-mail acceptate

• E-mailuri cu text simplu
• E-mailuri în format HTML
• Email-uri cu atașamente
• Trimitere masivă de e-mailuri (în limitele Microsoft)

Limitele ratei

• Microsoft impune limite de trimitere:
• 30 de mesaje pe minut
• 10.000 de mesaje pe zi (implicit)
• Limite mai mari sunt disponibile prin intermediul asistenței Microsoft

Asistență

Dacă întâmpinați probleme:

1. Verificați dacă toți pașii au fost parcurși corect
2. Verificați jurnalele de audit Microsoft Entra ID pentru erori de autentificare
3. Contactați administratorul de sistem pentru problemele de acces Azure
4. Consultați documentația oficială OAuth 2.0 a Microsoft

Pentru asistență tehnică cu dispozitivul gateway, contactați echipa noastră de asistență cu detaliile de configurare (nu partajați niciodată secretele clientului).