So bleibt der E-Mail-Versand aus unserer Software mit Microsoft 365 möglich

Was ändert Microsoft?

Microsoft 365 stellt das bisherige Anmeldeverfahren „Basic Authentication“ ein. Dieses Verfahren nutzt Benutzername und Passwort und ist dadurch anfälliger für Angriffe und Datenmissbrauch. Künftig verwendet Microsoft „Modern Authentication“. Dabei kommen sogenannte Zugriffstokens zum Einsatz, die nur für kurze Zeit gültig sind. So bleiben deine Daten besser geschützt.

Damit der E-Mail-Versand weiterhin reibungslos funktioniert, haben wir die Umstellung innerhalb unserer Software bereits vorgenommen – so kannst du auch künftig sicher und zuverlässig E-Mails über Microsoft versenden.

Für alle, die E-Mails direkt aus Anwendungen wie unserer Software verschicken, gilt: Jetzt umstellen – sonst funktioniert der Versand bald nicht mehr.

Videotutorial: So stellst du bei Microsoft den E-Mail-Versand ein

1. Anmelden in der Microsoft 365 Cloud

Damit du E-Mails auch nach dem Abschalten von Basic Auth weiterhin sicher aus unserer Software versenden kannst, brauchst du eine neue App-Registrierung im Microsoft Entra Admin Center. Hier beginnt die Umstellung.

So gelangst du zum Admin-Center von M365

1. Melde dich in der Microsoft 356 Cloud ganz normal im Browser an.
2. Auf der linken Seite findest du das Menü.
3. Klicke im Menü auf Admin (rot markiert) 
4. Es öffnet sich in einem neuen Fenster, das Admin-Center von M365.

2. Wechsel in das Admin-Center von M365

1. Du bist in das Admin-Center von M365 gewechselt (linkes Bild unten). 
2. Gib in der Suchleiste oben den Begriff Entra ein.
3. In den Suchergebnissen wird dir dann Identität vorgeschlagen, klicke darauf (rot markiert im rechten Bild).
4. Es öffnet sich ein weiteres neues Fenster und du gelangst zum MS Entra Admin Center.

3. Das MS Entra Admin Center

Das Microsoft Entra Admin Center ist die Online-Verwaltungsseite von Microsoft, auf der Firmen, Einrichtungen und Organisationen die Zugänge und Anmeldungen ihrer Mitarbeiter:innen verwalten können. Hier werden Benutzer, Gruppen, Geräte, Apps, Rollen und Sicherheitsregeln verwaltet. 

So funktioniert es:

1. Hast du auf Identität geklickt, öffnet sich die Startseite des Microsofts Entra Admin Center.
2. Auf der linken Seite im Menü findest du App-Registrierungen (rot markiert).
3. Klicke darauf und du gelangst zu der Übersicht über deine App-Registrierungen. 

Im nächsten Schritt legst du eine neue App-Registrierung an – die technische Basis für die Authentifizierung des E-Mail-Versands.

4. App-Registrierung anlegen

Damit du aus unserer Software heraus E-Mails verschicken kannst, hat unser Entwickler-Team den Versand über SMTP umgesetzt. Durch das kommende Microsoft-Update musst du bei dir jetzt Anpassungen vornehmen, damit das weiterhin funktioniert. Und genau das machst du über die App-Registrierungen. 

Kurz gesagt: App-Registrierungen im Entra Admin Center sind wie digitale Ausweise für Apps, damit Microsoft weiß, welche externe App auf welche Daten zugreifen darf.

So legst du eine neue App-Registrierung an

1. In der Übersicht über deine App-Registrierungen legst du eine neue Registrierung an. 

2. Klicke auf Neue Registrierung, um eine neue anzulegen (rot markiert im ersten Bild).

3. Gib der neuen App-Anwendung einen selbsterklärenden Namen (rot markiert im zweiten Bild).

4. Lege außerdem unterstützte Kontotypen fest (grün markiert). Hier solltest du Nur Konten in diesem Organisationsverzeichnis auswählen.

5. Klicke abschließend links unten auf Registrieren (gelb markiert).

6. Jede Registrierung wird mit eigenen drei Identifikationsnummern versehen:

• Anwendungs-ID und
• Verzeichnis-ID (auch bekannt als Mandanten-ID)
• Die Anwendungs-ID brauchen wir dann später noch in der PowerShell und in unserer Software.
• Die Verzeichnis-ID nur in unserer Software.

TIPP: Speichere dir diese Identifikationsnummern irgendwo zwischen, das erleichtert dir später das Suchen.

5. Zugriffsrechte erteilen

Die API-Berechtigungen sind die Rechte, die eine App wie unsere Software bekommt, um etwas bei Microsoft zu tun. Du kannst dir das vorstellen wie Zugriffsrechte. Unsere Software soll E-Mails verschicken dürfen – und das wird mit den API-Berechtigungen festgelegt.

1. Nachdem du dir deine Identifikationsnummern an einer beliebigen Stelle zwischengespeichert hast, wechsle zu den API-Berechtigungen (grün markiert im ersten Bild).

2. Klicke auf Berechtigung hinzufügen (rot markiert im ersten Bild). Damit öffnet sich ein Menü, wo du die API-Berechtigung für ein Tool auswählen kannst.

3. Du brauchst an dieser Stelle Von deiner Organisation verwendete APIs (orange markiert im zweiten Bild).

4. Gib in der Suchleiste Office 365 Exchange Online ein (grün markiert im dritten Bild).

5. Hast du darauf geklickt, wirst du gefragt, welche Berechtigung für deine Anforderung erforderlich ist (zu sehen im vierten Bild).

• Entweder delegierte Berechtigungen oder
• Anwendungsberechtigungen.

6. Wähle Anwendungsberechtigungen aus (orange markiert im vierten Bild).

7. Anschließend musst du noch die genaue Art der Berechtigung auswählen, in unserem Fall ist das SMTP. Damit du weiterhin aus unserer Software heraus E-Mails verschicken kannst.

8. Scrolle runter zu SMTP. Klicke darauf und es öffnet sich ein Dropdown-Menü. Wähle hier SMTP.SendAsApp aus (rot markiert im fünften Bild).

9. Klicke anschließend auf den blauen Button Berechtigungen hinzufügen und die Berechtigungen werden hinzugefügt.

10. Sobald du auf den blauen Button Berechtigungen hinzufügen geklickt hast, gelangst du wieder zur Übersicht über deine API-Berechtigungen.

6. Administratorzustimmung erteilen

1. In der Übersicht über deine API-Berechtigungen findest du den Button Administratorzustimmung für [Name deiner Einrichtung] erteilen (grün markiert). 

2. Klicke darauf. 

3. Es öffnet sich ein Fenster, welches die Bestätigung der Administratoreinwilligung abfragt.

4. Bestätige diese mit Ja.

7. Clientschlüssel anlegen

Die Zertifikate und Geheimnisse sind die Anmeldedaten für Apps wie unsere Software. Wenn die Software auf den Microsoft-Dienst für den E-Mail-Versand zugreifen soll, muss sich die Software authentifizieren - also beweisen, dass sie berechtigt ist. Das erfolgt über einen Clientschlüssel und ist dann das Zertifikat bzw. Geheimnis. 

Unsere Software als externe App braucht die Zugangsdaten, um auf den E-Mail-Versand zugreifen können. 

1. Klicke links auf Zertifikate & Geheimnisse (grün markiert im ersten Bild).

2. Hier findest du den Button Neuer geheimer Clientschlüssel (rot markiert), klicke darauf.

3. Es öffnet sich ein Fenster, um einen neuen geheimen Clientschlüssel hinzuzufügen (zweites Bild). 

4. Gib dem Clientschlüssel einen Namen.

5. Außerdem gibst du einen Zeitraum vor, wie lange diese Berechtigung gültig ist.

• ACHTUNG: Länger als 2 Jahre kannst du keine Berechtigung gewähren, das gibt Microsoft so vor.
• Du musst also nach dem Gültigkeitsablauf erneut einen Clientschlüssel hinzufügen und ihn in unserer Software aktualisieren.

Erklärung: Der Clientschlüssel ist ein geheimer Textcode – ähnlich wie ein Passwort. Unsere Software benutzt diesen Code, um sich bei Microsoft anzumelden.

6. Hast du den neuen geheimen Clientschlüssel hinzugefügt, solltest du dir auch noch den Wert holen (rot markiert) und zwischenspeichern sowie das Gültigkeitsdatum (grün) notieren.

• TIPP: Lege den Wert und das Gültigkeitsdatum für den geheimen Clientschlüssel mit bei deinen Identifikationsnummern ab. 
• Den Wert brauchen wir im nächsten Schritt für die MS PowerShell. Aber auch später in der Software, wenn wir eine neue Versand-Einstellung anlegen wollen. 

8. Letzter Schritt im MS Entra Admin Center

Als Letztes benötigen wir noch die Objekt-ID, um die Berechtigungen später in PowerShell richtig konfigurieren zu können.

1. Dafür gehen wir nach ganz links in das Menü und klicken hier auf Unternehmens-Apps.

2. Hier werden alle Unternehmensanwendungen aufgelistet. Über die Suchleiste suchen wir nach dem Namen der Anwendung, die wir zuvor in Schritt 4 angelegt haben.

3. Klicke auf die entsprechende Anwendung, um die dazugehörigen Details zu öffnen.

4. Unter den Eigenschaften finden wir die Objekt-ID (markiert im zweiten Bild).

5. Kopiere sie dir und lege sie bei deinen Identifikationsnummern aus Schritt 4 mit ab.

6. Damit hast du im MS Entra Admin Center alles getan.

Jetzt geht es weiter zur PowerShell.

9. Microsoft PowerShell

Die PowerShell ist ein Programm (eine sogenannte Kommandozeile) von Microsoft, mit dem du Aufgaben schnell per Textbefehl erledigen kannst. Zum Beispiel:

• Benutzer verwalten
• E-Mails oder Postfächer steuern
• Microsoft-Dienste wie Exchange Online, Teams oder Entra administrieren

Öffne die PowerShell auf deinem Gerät. Zum Einloggen wirst du nochmal nach deinem Passwort gefragt, auch wenn du parallel in der M356 Cloud angemeldet bist. Für das weitere Vorgehen brauchen wir jetzt eine der Identifikationsnummern, die Anwendungs-ID.

So installierst du die PowerShell, falls noch nicht vorhanden ↓

1. Öffne den Microsoft Store.
2. Suche nach PowerShell.
3. Wähle die gewünschte Version aus und klicke auf Herunterladen oder Installieren.
4. Melde dich nach dem Download ganz normal mit deinen MS-Logindaten an.

10. Befehle für die MS PowerShell

Die nachfolgenden Schritte zeigen dir, was du in der PowerShell eingeben musst. 

ACHTUNG: Die Raute # bedeutet in der PowerShell Kommentar. Das heißt, alles, was hinter einer Raute # steht, wird nicht ausgeführt. Es dient nur zur Erklärung für den Menschen, der den Code liest. 

HINWEIS: Du kannst unsere Codes unten alle kopieren und musst jeweils nur die App-ID, die Objekt-ID sowie die E-Mail-Adresse anpassen.

Schritt 1: PowerShell-Modul installieren und Verbindung zu Microsoft 365 herstellen

Bevor du die Berechtigung für den E-Mail-Versand über SMTP konfigurieren kannst, musst du dich mit deinem Microsoft-365-Administrator-Konto in der PowerShell anmelden.

# Installieren des benötigten Moduls
Install-Module -Name ExchangeOnlineManagement

# Bei Microsoft anmelden. Hier werden in einem Browser-Fenster die Zugangsdaten abgefragt.
# <email> mit der E-Mail-Adresse des Administrators ersetzen
Connect-ExchangeOnline -UserPrincipalName <email>

# Das installierte Modul importieren, um es nutzen zu können.
Import-Module ExchangeOnlineManagement

• Install-Module -Name ExchangeOnlineManagement → Installiert das PowerShell-Modul für Exchange Online. Dieses Modul enthält alle Befehle, die du für die Konfiguration von E-Mail-Diensten in Microsoft 365 benötigst.
• Connect-ExchangeOnline -UserPrincipalName <email> → Verbindet deine PowerShell-Sitzung mit Microsoft 365. Ersetze <email> durch deine Admin-E-Mail-Adresse. Es öffnet sich ein Browserfenster, in dem du dich anmeldest.
• Import-Module ExchangeOnlineManagement → Lädt das installierte Modul in deine aktuelle Sitzung. Das ist notwendig, falls das Modul nicht automatisch aktiviert wurde – z. B. nach einem Neustart der PowerShell.

Der gelbe Text gibt hier nur Auskunft über ein Update innerhalb der MS PowerShell. Sobald die Verbindung steht, kannst du mit den weiteren Schritten fortfahren.

---

So sieht es dann in der MS PowerShell aus:

Die für dich relevanten Teile ist rot umrandet. 

Schritt 2: Service Principal anlegen

Bevor unsere Software E-Mails über SMTP verschicken kann, wird eine sogenannte Service Principal Identity benötigt. Das ist die technische Darstellung unserer Software innerhalb deiner Organisation – vergleichbar mit einem Benutzerkonto, nur eben für Anwendungen.

In diesem Schritt legst du diese Identität an. Sie wird später mit den nötigen Rechten ausgestattet, um den E-Mail-Versand aus unserer Software zu ermöglichen.

# Mit diesem Kommando wird ein neuer Service Principal für die bereits registrierte App angelegt. 
# <app_id> wird dabei durch deine Anwendungs ID (Client) ersetzt.
# <object_id> wird durch deine Object ID ersetzt.
# Der DisplayName ist ein frei wählbarer Name, um den Service Principal einfacher zu identifizieren.
# $ServicePrincipal is eine variable in der der angelegte Service Principal gespeichert wird
# um im nächsten Schritt einfacher darauf zugreifen zu können.

$ServicePrincipal = New-ServicePrincipal -AppId <app_id> -ObjectId <object_id> -DisplayName "Serviceprincipal for mailer"

• $ServicePrincipal → Mit dieser Variablen speicherst du das Ergebnis des Befehls ab. So kannst du im nächsten Schritt direkt auf den Service Principal zugreifen, ohne ihn erneut abrufen zu müssen.
• <app_id> → Trage hier die Anwendungs-ID (Client-ID) ein, die du bei der App-Registrierung im MS Entra Admin Center erhalten hast.
• <object_id> → Die Objekt-ID der App-Registrierung – ebenfalls aus dem MS Entra Admin Center.
• DisplayName "Serviceprincipal for mailer" →  Vergib einen eindeutigen Anzeigenamen, damit du den Service Principal später in der Verwaltung leicht erkennst. Der Name ist frei wählbar und dient nur der Übersicht.

---

So sieht es dann in der MS PowerShell aus:

Die für dich relevanten Teile sind markiert.

Schritt 3: E-Mail-Adresse für den Versand freigeben

Jetzt kommt der zentrale Schritt: Du legst fest, welche E-Mail-Adresse unsere Software verwenden darf, um E-Mails über SMTP zu versenden. Dafür gibst du dem zuvor erstellten Service Principal die Berechtigung, auf das entsprechende Postfach zuzugreifen.

Ohne diese Freigabe kann der Versand nicht erfolgen – selbst wenn unsere Software korrekt konfiguriert ist.

# Mit diesem Kommando legen wir fest, über welche E-Mail-Adresse die registrierte App E-Mails versenden darf.
# <email> wird durch die E-Mail-Adresse, über die wir senden wollen, ersetzt.

Add-MailboxPermission -Identity <email> -User $ServicePrincipal.Identity -AccessRights FullAccess

• Add-MailboxPermission -Identity <email> → Mit diesem Befehl legst du fest, auf welches Postfach der Service Principal zugreifen darf. Ersetze <email> durch die E-Mail-Adresse, über die der Versand später erfolgen soll.
• User $ServicePrincipal.Identity → Hier gibst du an, wer Zugriff auf das Postfach bekommt – in diesem Fall ist es die Service Principal Identity unserer Software, die du zuvor in der Variable $ServicePrincipal  gespeichert hast.
• AccessRights FullAccess → Damit erteilst du vollen Zugriff auf das Postfach. Diese Berechtigung ist notwendig, damit die App im Namen der gewählten E-Mail-Adresse E-Mails versenden darf.

---

So sieht es dann in der MS PowerShell aus:

Der für dich relevante Teil ist rot umrandet. 

Schritt 4: SMTP-Authentifizierung für das Postfach aktivieren

Auch wenn unsere Software nun über den Service Principal berechtigt ist, E-Mails zu versenden, funktioniert der Versand nur dann, wenn SMTP AUTH für das jeweilige Postfach aktiviert ist. Diese Einstellung ist bei vielen Organisationen standardmäßig deaktiviert – daher musst du sie gezielt einschalten.

# Mit diesem Kommando aktivieren wir SMTP AUTH für bestimmte Postfächer
# <email> wird durch die E-Mail-Adresse, über die wir senden wollen, ersetzt

Set-CASMailbox -Identity <email> -SmtpClientAuthenticationDisabled $false

• Set-CASMailbox -Identity <email> → Wählt das Postfach aus, für das du die SMTP-Einstellung ändern möchtest. Ersetze <email> durch die E-Mail-Adresse, über die der Versand erfolgen soll.
• SmtpClientAuthenticationDisabled $false → Hebt die Deaktivierung der SMTP-Authentifizierung auf. Durch den Wert $false wird SMTP AUTH für dieses Postfach aktiviert – genau das brauchst du für den Versand über SMTP.

---

So sieht es dann in der MS PowerShell aus:

Der für dich relevante Teil ist rot umrandet. 

Schritt 5: Abmelden aus PowerShell

Zum Schluss solltest du deine PowerShell-Sitzung wieder ordentlich schließen. Auch wenn PowerShell-Fenster einfach geschlossen werden können, empfiehlt Microsoft, die Verbindung zu Exchange Online aktiv zu trennen.

# Ausloggen
Disconnect-ExchangeOnline

• Disconnect-ExchangeOnline trennt die aktuelle Sitzung von Microsoft 365. 

So sieht es dann in der MS PowerShell aus:

Der für dich relevante Teil ist rot umrandet. 

Damit ist der PowerShell-Teil abgeschlossen. Im nächsten (und letzten) Schritt zeigen wir dir, wie du die neuen Einstellungen in unserer Software hinterlegst und aktivierst.

11. Neue Versand-Einstellung hinzufügen

1. Öffne unsere Software und klicke auf das Menü → Applikationen → Mailer → Versand-Einstellungen.
2. Unter Mailer findest du die Versand-Einstellungen.
3. Rechts oben findest du den Button Versand-Einstellungen hinzufügen.
4. Gib hier folgendes an:
   • Die Absender-E-Mail-Adresse
   • Versandart: Microsoft Office 365
5. Scrolle nach unten zu Microsoft Office 365 Zugangsdaten
   • Gib hier die Identifikationsnummern der Anwendungs-ID und der Verzeichnis-ID ein sowie den geheimen Clientschlüssel.
   • Gib außerdem das Ablaufdatum des geheimen Clientschlüssel an.
6. Klicke abschließend auf Sichern und du hast eine neue Versand-Einstellung festgelegt.

HINWEIS: Unsere Software speichert diese Zugangsdaten verschlüsselt. Die Zugangsdaten werden bei Bedarf automatisch entschlüsselt, wenn diese z.B. zur Anzeige in den Versand-Einstellungen oder beim Versand einer E-Mail benötigt werden.