Hur ställer man in SMTP med Microsoft OAuth2.0?

Táto príručka vysvetľuje, ako nakonfigurovať bránu na odosielanie e-mailov pomocou protokolu SMTP s overovaním Microsoft OAuth 2.0 prostredníctvom účtu Microsoft 365. OAuth 2.0 poskytuje bezpečné overovanie založené na tokenoch a nahrádza menej bezpečné základné metódy overovania. Podľa týchto krokov môžete zaregistrovať aplikáciu v Microsoft Azure a nakonfigurovať bránu pre protokol SMTP. Táto funkcia je podporovaná v systéme uOS verzie 1.35 a novšej. Poznámka: Protokol SMTP s technológiou Microsoft OAuth 2.0 je podporovaný v zariadeniach radu USG Flex H. Tento príklad bol testovaný s použitím USG FLEX 200HP (verzia firmvéru: uOS 1.35).

Predpoklady

• Účet Microsoft 365 s licencovanou poštovou schránkou Exchange Online.
• Administratívny prístup k portálu Microsoft Azure (https://portal.azure.com).
• Pre poštovú schránku je povolená funkcia SMTP AUTH (pozri krok 3 nižšie).
• Vaše zariadenie brány s prístupom ku konfigurácii SMTP (verzia firmvéru uOS1.35 alebo vyššia).

Pokyny krok za krokom

Krok1: Registrácia aplikácie na portáli Azure

1. Prihláste sa do portálu Azure Portal:

• Prejdite na stránku https://portal.azure.com a prihláste sa pomocou účtu, ktorý má administrátorské oprávnenia pre Microsoft Entra ID.

2.Prejdite na položku Registrácie aplikácií:

• V ľavej ponuke vyberte položku Microsoft Entra ID > Registrácie aplikácií > Nová registrácia.

3. Nakonfigurujte aplikáciu:

• Názov: Vyberte názov aplikácie Entra Entra: Zadajte popisný názov (napr. "Gateway SMTP App").
• Podporované typy účtov: Vo väčšine prípadov vyberte možnosť Accounts in this organizational directory only (Účty len v tomto organizačnom adresári) (Single tenant)- (Jeden nájomca).
• Presmerovanie URI: Upozornite na to, že v prípade, ak je to možné, je potrebné, aby ste sa uistili o tom, že je to možné: URI presmerovania určuje, kam má autorizačný server poslať používateľa po úspešnom overení, aby vrátil prístupový symbol do jeho e-mailového konta.
• Type (Typ): Vyberte možnosť"Web."
• URI: Zadajte https://[devicefqdn alebo ip]/cgi-bin/msoauth2.cgi. Nahraďte [Device FQDN alebo IP] skutočným plne kvalifikovaným názvom domény alebo IP adresou interného rozhrania, ku ktorému sa môže pripojiť počítač správcu. (Poznámka: URI presmerovania musí začínať schémou https.)
• Kliknite na tlačidlo Registrovať.

4. Skopírujte identifikačné čísla aplikácií:

• Na stránke Prehľad aplikácie skopírujte ID aplikácie (klienta) a ID adresára (nájomcu). Tieto sú potrebné pre konfiguráciu vašej brány.

5. Vytvorte tajomstvo klienta:

• Prejdite do časti Certifikáty a tajomstvá > Tajomstvá klienta > Nové tajomstvo klienta.
• Pridajte popis (napr. "Tajomstvo SMTP") a vyberte obdobie platnosti(napr. 24 mesiacov).
• Kliknite na tlačidlo Pridať a potom okamžite skopírujte hodnotu klientskeho tajomstva. Poznámka: Táto hodnota sa zobrazí len raz a po opustení tejto stránky ju už nebudete môcť načítať. Ak ju stratíte, budete musieť vygenerovať novú. Toto je váš "ClientSecret" (Tajomstvo klienta).
• Bezpečne ju uložte, pretože poskytuje prístup k vašej aplikácii.

Krok 2: Udelenie oprávnení API

1.Pridajte oprávnenia:

• Na ľavej navigačnej stránke prehľadu vašej aplikácie kliknite na položku Oprávnenia API > +Pridanie oprávnenia.
• Vyberte položku Microsoft Graph
• Vyberte položku Delegované oprávnenia > Hľadať offline prístup
• Kliknite na položku Pridať oprávnenia.
• Pridanie 2. oprávnenia. Kliknite na položku +Pridanieoprávnenia
• Vyberte položku Microsoft Graph
• Vyberte položku Delegované oprávnenia > vyberte položku SMTP.Send
• Kliknite na tlačidlo Pridať oprávnenia.

Krok 3: Povolenie SMTP AUTH pre poštovú schránku

1. Prihláste sa do centra administrácie Microsoft 365. Prejdite do časti Používatelia > Aktívni používatelia > kliknite na poštovú schránku používateľa > vyberte kartu Mail.

2.Uistite sa, že je začiarknutá možnosť "Authenticated SMTP" (Overené SMTP).

Krok 4:Konfigurácia protokolu SMTP v bráne

1.Pristúpte do grafického rozhrania brány:

• Prihláste sa do konfiguračného rozhrania vášho zariadenia z interného rozhrania (strana LAN).
• Prejdite do časti Systém > Oznámenia > Poštový server

2. Zadajte nastavenia SMTP:

• Poštový server: smtp.office365.com
• Port: 587 (odporúčaný, podporuje STARTTLS).
• Encryption: Povoľte STARTTLS.
• Metóda overovania: Vyberte Microsoft OAuth2.0.
• E-mailová adresa odosielateľa: Zadajte e-mailovú adresu Microsoft 365 (napr. sender@yourdomain.com).
• Client ID (ID klienta): Vložte ID aplikácie (klienta) z kroku 1 až 4.
• Client Secret (Tajné údaje klienta): Vložte hodnotu tajného údaju klienta z kroku 1-5.
• ID nájomcu: Vložte ID adresára (nájomcu) z kroku 1-4.

3. Aplikujte konfiguráciu:

• ! Pred vyžiadaním tokenu musíte kliknúť na tlačidlo Apply .
• Kliknutím na Apply uložíte konfiguráciu na bránu.

4. Získanie tokenu OAuth 2.0

• Po použití konfigurácie kliknite na tlačidlo"Get New Token" (Získať nový token).
• Tým sa otvorí nová karta prehliadača na prihlasovacej stránke Microsoft Azure.
• Prihláste sa pomocou konta Microsoft 365, ktoré je spojené s e-mailovou adresou odosielateľa (napr. sender@yourdomain .com).
• Po výzve udeľte oprávnenia
• Prehliadač sa po úspešnom overení automaticky zatvorí a vaša brána bezpečne získa overovací token od spoločnosti Microsoft.
• Pole Stav tokenu sa aktualizuje. (napr. "Valid").
• Ak sa prehliadač neotvorí: Kliknutím na tlačidlo "Obnoviť stav tokenu" skontrolujte, či bol token úspešne získaný, alebo opätovne skúste proces získania tokenu.

Overenie SMTP pomocou funkcie Microsoft OAuth2.0

1. Uistite sa, že token bol úspešne získaný.

Vyplňte e-mailovú adresu príjemcu a odošlite skúšobný e-mail.

Prejdite do časti Denník a hlásenie>Denník/Udalosti>Systém a skontrolujte, či sa v denníku nenachádza správa o úspešnom získaní tokenu.

2. Prejdite na Log & Report > Email Daily Report > Send Report Now a odošlite e-mail cez firewall.

Uistite sa, že e-mail bol úspešne prijatý do poštovej schránky.

Riešenie problémov

Autentifikácia zlyhala:

• Dvakrát skontrolujte poverenia: Uistite sa, že sú ID klienta, ID nájomcu a Client Secret presne skopírované bez akýchkoľvek medzier navyše.
• Uistite sa, že bol udelený súhlas správcu pre oprávnenia API
• Skontrolujte, či e-mailová adresa odosielateľa existuje vo vašom nájomcovi Microsoft 365

Oprávnenie zamietnuté:

• Potvrďte, že povolenie API je udelené (krok2-1).
• Overte, či má aplikácia súhlas správcu
• Skontrolujte, či je e-mailové konto odosielateľa aktívne

Client Secret Expired (Tajomstvo klienta vypršalo):

• Vygenerujte nové klientske tajomstvo na portáli Azure a aktualizujte ho v nastaveniach brány.

Problémy s pripojením

• Overte nastavenia servera SMTP (smtp.office365. com:587). Uistite sa, že je port 587 odblokovaný.
• Skontrolujte, či je povolené šifrovanie STARTTLS
• Skontrolujte firewall/sieťové pripojenie

Problémy s prehliadačom

• Prehliadač sa neotvára: Skontrolujte, či sú povolené blokátory vyskakovacích okien a či sú povolené vyskakovacie okná pre bránu.
• Prehliadač sa otvorí, ale zobrazí sa chyba: Overte konfiguráciu URI presmerovania aplikácie Azure. A uistite sa, že počítač správcu sa nachádza v sieti, ktorá má prístup k URI (odporúča sa umiestniť na strane LAN brány).
• Token nebol získaný po prihlásení: Kliknutím na tlačidlo"Obnoviť stav tokenu" skontrolujte stav tokenu.
• Otvorených viacero kariet prehliadača: Zatvorte ďalšie karty a skúste to znova.
• Prehliadač sa automaticky nezatvorí: Po úspešnom prihlásení ručne zatvorte kartu

Problémy s tokenom:

• Získanie tokenu sa nepodarilo: Overte pripojenie k internetu a skúste kliknúť na"Get New Token " znova
• Token rýchlo vyprší: To je normálne - brána automaticky obnoví tokeny
• Tlačidlo "Obnoviť stav tokenu" nezobrazuje žiadny token: Zopakujte proces"Získať nový token".
• Stav tokenu sa neaktualizuje: Počkajte 10-15 sekúnd a potom znovu kliknite na tlačidlo"Obnoviť stav tokenu".

Najlepšie bezpečnostné postupy

Správa tajomstiev

• Bezpečne ukladajte klientske tajomstvá
• Rotujte tajomstvá pred vypršaním platnosti
• Používajte rôzne aplikácie na rôzne účely

Kontrola prístupu

• Udeľte len minimálne požadované oprávnenia
• Pravidelne kontrolujte oprávnenia aplikácií
• Monitorovanie používania aplikácií prostredníctvom protokolov Azure

Monitorovanie

• Povoľte zaznamenávanie auditov v službe Microsoft Entra ID
• Monitorovanie neobvyklých vzorcov overovania
• Nastavenie upozornení na neúspešné pokusy o overenie

Ďalšie informácie

Životný cyklus tokenu

• Platnosť prístupových tokenov vyprší po 1 hodine
• Vaša brána automaticky spracuje obnovenie tokenu
• Počiatočný token sa musí získať prostredníctvom prihlásenia v prehliadači
• Následné obnovenie tokenu sa uskutočňuje automaticky na pozadí
• Na obnovenie tokenu po počiatočnom nastavení nie je potrebná žiadna interakcia používateľa

Podporované typy e-mailov

• Obyčajné textové e-maily
• E-maily vo formáte HTML
• E-maily s prílohami
• Hromadné odosielanie e-mailov (v rámci obmedzení spoločnosti Microsoft)

Limity rýchlosti

• Spoločnosť Microsoft zavádza limity odosielania:
• 30 správ za minútu
• 10 000 správ za deň (predvolené nastavenie)
• Vyššie limity sú k dispozícii prostredníctvom podpory spoločnosti Microsoft

Podpora

Ak narazíte na problémy:

1. Skontrolujte, či boli všetky kroky vykonané správne
2. Skontrolujte protokoly auditu Microsoft Entra ID, či sa v nich nenachádzajú chyby overovania
3. V prípade problémov s prístupom do Azure kontaktujte správcu systému
4. Pozrite si oficiálnu dokumentáciu Microsoft OAuth 2.0

V prípade technickej podpory so zariadením brány sa obráťte na náš tím podpory s údajmi o konfigurácii (nikdy nezdieľajte tajomstvá klienta).