So beschränken Sie den SMTP-Authentifizierungszugriff auf eine bestimmte IP-Adresse in Microsoft 365 mithilfe einer CA-Richtlinie

📅
🕑 5 Minuten Lesezeit

Die sichere Einrichtung der SMTP-Authentifizierung für ein einzelnes Postfach und eine bestimmte IP-Adresse in Microsoft 365 kann etwas knifflig sein, insbesondere da das System zwar flexibel, aber nicht immer intuitiv ist. Wenn es Ihnen wie mir geht, sind Sie wahrscheinlich schon auf Probleme mit nicht versendeten E-Mails, Fehlermeldungen wie „Client nicht authentifiziert“ oder einfach auf Schwierigkeiten gestoßen, die Sicherheit zu gewährleisten, ohne dabei zu viele E-Mails gleichzeitig zuzulassen. Ziel ist es, die SMTP-Authentifizierung nur von einer vertrauenswürdigen IP-Adresse für ein bestimmtes Postfach zu ermöglichen, ohne dabei andere Sicherheitslücken zu lassen. Der Trick besteht darin, einige Einstellungen zu kombinieren: SMTP für das Postfach aktivieren, einen benannten Speicherort mit Ihrer IP-Adresse erstellen und den Zugriff anschließend über eine Richtlinie für bedingten Zugriff einschränken. Hier finden Sie die einzelnen Schritte, die ich ausprobiert habe – oft durch Ausprobieren –, aber im Allgemeinen führt diese Methode zum Ziel.

So beheben Sie SMTP-Authentifizierungsbeschränkungen für eine einzelne IP-Adresse und ein einzelnes Postfach in Microsoft 365

Voraussetzungen:

  • Administratorrechte im Microsoft 365- und Entra-Admincenter
  • Eine exakte, statische öffentliche IP-Adresse des Geräts/der App, die E-Mails sendet – diese benötigen Sie für den IP-Bereich.
  • Die SMTP-Authentifizierung muss für das betreffende Postfach aktiviert werden.
  • Benutzername und Passwort für dieses Postfach (vorzugsweise ein App-Passwort, falls MFA verwendet wird)

SMTP-Authentifizierung für das Postfach aktivieren

Das ist eigentlich ganz einfach, aber wenn Sie diesen Schritt überspringen, funktioniert nichts mehr. Bei manchen Konfigurationen sendet SMTP immer noch keine E-Mails, wenn diese Einstellung nicht aktiviert ist, selbst wenn sonst alles korrekt aussieht.

  1. Gehen Sie zum Microsoft 365 Admin Center. Suchen Sie nach Benutzer > Aktive Benutzer und klicken Sie dann auf den gewünschten Benutzer/das gewünschte Postfach.
  2. Wechseln Sie zur Registerkarte „E-Mail“ und wählen Sie dann „E-Mail-Apps verwalten“.
  3. Aktivieren Sie das Kontrollkästchen für Authentifiziertes SMTP und klicken Sie auf Speichern. Manchmal wird dieser Schritt vergessen oder erfordert eine kurze Aktualisierung – bei manchen Konfigurationen muss das Postfach neu gestartet werden oder man muss einige Minuten warten, bis die Änderung wirksam wird.

Richten Sie einen benannten Standort mit Ihrer statischen IP-Adresse ein.

Hier wird es wichtig: Sie definieren Ihre spezifische, vertrauenswürdige IP-Adresse, um den Zugriff standortbasiert einzuschränken. Auch wenn es kompliziert klingt, geht es lediglich darum, eine Ausnahmeliste für Ihre IP-Adresse zu erstellen.

  1. Gehen Sie zum Entra Admin Center und navigieren Sie dann zu Bedingter Zugriff > Benannte Standorte.
  2. Klicken Sie auf „+ IP-Bereichsstandort “.Geben Sie ihm einen aussagekräftigen Namen wie „SMTP-zugelassene IPs“.
  3. Geben Sie Ihre öffentliche IP-Adresse im Format IP-Adresse/32 ein. Wenn Ihre IP-Adresse beispielsweise 165.74.201.110 lautet, geben Sie Folgendes ein 165.74.201.110 /32:.Diese /32-Maske stellt sicher, dass nur diese spezifische IP-Adresse verwendet wird.
  4. Klicken Sie auf Hinzufügen und dann auf Erstellen. Nun haben Sie einen benannten Standort, der direkt auf Ihre vertrauenswürdige IP-Adresse verweist.

Erstellen Sie eine Richtlinie für bedingten Zugriff, um die SMTP-Authentifizierung auf Ihre IP-Adresse zu beschränken.

Das ist der Kernpunkt: Microsoft 365 so konfigurieren, dass die SMTP-Authentifizierung für diesen Benutzer nur dann zulässig ist, wenn er sich von Ihrer spezifischen IP-Adresse aus verbindet. Bei einer Konfiguration funktionierte es sofort, bei einer anderen dauerte es einige Minuten oder einen Ab- und erneuten Anmeldevorgang. Beachten Sie dies bitte.

  1. Zurück im Entra-Admincenter gehen Sie zu Richtlinien > Neue Richtlinie.
  2. Nennen Sie es beispielsweise „SMTP-Authentifizierung eingeschränkt“.
  3. Unter *Einschließen* wählen Sie Benutzer und Gruppen auswählen und anschließend den zuvor aktivierten Benutzer/das zuvor aktivierte Postfach auswählen.
  4. Wählen Sie unter *Ressourcen* Office 365 Exchange Online aus.
  5. Unter *Bedingungen* *Standorte* festlegen:
    • Setzen Sie *Konfigurieren* auf Ja.
    • Unter *Einschließen* wählen Sie „Beliebiger Standort“.
    • Fügen Sie unter *Ausschließen* Ihren benannten Standort (z. B.“SMTP Zulässige IP“) hinzu, damit Verbindungen von dort nicht blockiert werden.
  6. Stellen Sie bei *Client-Apps* sicher, dass „Konfigurieren“ auf „Ja“ gesetzt ist, und wählen Sie dann „Nur andere Clients“ aus. Dadurch werden ältere E-Mail-Protokolle erfasst, was unter Umständen erforderlich ist.
  7. Unter *Zugriff gewähren* wählen Sie „Zugriff blockieren“ – dadurch werden alle anderen Zugriffsversuche von außerhalb Ihrer IP-Adresse unterbunden.

Richten Sie ein App-Passwort für das Postfach ein

Da für die SMTP-Authentifizierung üblicherweise ein App-Passwort benötigt wird (insbesondere bei aktivierter MFA), müssen Sie dieses generieren. Das ist zwar nicht elegant, aber notwendig.

  1. Besuchen Sie die Microsoft-Kontosicherheitsseite.
  2. Melden Sie sich mit den Anmeldeinformationen Ihres Postfachs an, für das Sie SMTP aktiviert haben.
  3. Gehen Sie zu „Sicherheitsinformationen“ und wählen Sie „Anmeldemethode hinzufügen“, dann „App-Passwort“. Generieren Sie es und speichern Sie es an einem sicheren Ort.

Konfigurieren Sie Ihren Client oder Ihr Gerät

Jetzt ist es an der Zeit, die Einstellungen vorzunehmen. Achten Sie darauf, dass alles übereinstimmt, denn nicht übereinstimmende Ports oder Verschlüsselungsmodi führen zu Frustration.

  • Servername: smtp.office365.com
  • Port: 587
  • Verschlüsselung: STARTTLS oder TLS
  • Authentifizierung: Ja
  • Benutzername: Ihre vollständige E-Mail-Adresse
  • Passwort: das von Ihnen generierte App-Passwort

Probieren Sie es aus

Senden Sie eine Test-E-Mail von diesem Gerät oder dieser App. Wenn sie ankommt, super! Falls nicht, überprüfen Sie die Anmeldeprotokolle in Entra. Manchmal bedeutet der Fehler „530 5.7.57“, dass Sie einen Schritt ausgelassen haben oder etwas warten müssen, bis die Richtlinien wirksam werden. Probieren Sie die Einstellungen aus oder melden Sie sich gegebenenfalls erneut an.

Zusammenfassung

Um die SMTP-Authentifizierung für eine einzelne IP-Adresse und ein einzelnes Postfach zu sichern, muss man im Wesentlichen SMTP im Postfach aktivieren, die vertrauenswürdige IP-Adresse mit einem benannten Standort definieren und anschließend eine Richtlinie für bedingten Zugriff erstellen, die den SMTP-Zugriff für diesen Benutzer ausschließlich von dieser IP-Adresse aus beschränkt. Das erfordert etwas Aufwand, aber sobald es funktioniert, bietet es eine gute Schutzebene, ohne ältere Clients oder Geräte, die auf SMTP-Authentifizierung angewiesen sind, vollständig zu blockieren.

Zusammenfassung

Ich hoffe, das klärt die Sache etwas – denn Microsoft liebt es ja bekanntlich, unzählige Optionen in verschiedenen Portalen unterzubringen. Sobald alles eingerichtet ist, können Sie sich im Prinzip zurücklehnen. Wichtig ist Geduld – diese Richtlinien werden nicht immer sofort wirksam. Aber im Idealfall ist Ihr E-Mail-System optimal geschützt, sodass SMTP nur von Ihrer vertrauenswürdigen IP-Adresse und Ihrem Postfach aus zugänglich ist. Bei mir hat es funktioniert – ich hoffe, bei Ihnen auch.

Checklist

  • SMTP-Authentifizierung wurde für das richtige Postfach aktiviert.
  • Es wurde ein benannter Standort mit Ihrer statischen IP-Adresse erstellt.
  • Es wurde eine Richtlinie für bedingten Zugriff erstellt, die den SMTP-Zugriff auf diese IP-Adresse und diesen Benutzer beschränkt.
  • Es wurde ein App-Passwort für das Postfach generiert (falls MFA aktiviert ist).
  • Konfigurieren Sie die SMTP-Einstellungen auf Ihrem Client/Gerät mit Server, Port, Verschlüsselung, Benutzername und App-Passwort.
  • Senden getestet – Anmeldeprotokolle bei Bedarf geprüft