o365 SMTP Auth voor 1 account instellen

woensdag 4 oktober 2023 17:26

Acties:

0 Henk 'm!

Topicstarter

Ik ben een kleine ondernemer en heb een 0365 tenant. Beheer voer ik zelf uit. Meeste dingen zijn goed te vinden en in te regelen, echter heb ik 1 probleem waar ik zelf niet uit kom. Ik heb een aantal oudere devices staan die ik een email wil laten zenden. Hiervoor heb ik in mijn netwerk een Raspberry PI ingeregeld die tot voor kort kon laten mailen via een dedicated mailbox in mijn o365 tenant.

Sinds een paar weken merk ik dat dit niet meer werkt. Met de username + password kan ik prima inloggen op het account, echter als ik via SMTP probeer te verbinden krijg ik een foutmelding.

In mijn tenant staat security defaults uit en heb ik op alle overige accounts MFA aangezet. Dat gaat ook allemaal goed, alleen krijg ik deze mailflow niet werkend.

Wat heb ik al gevonden:
https://learn.microsoft.c...egacy-tls-using-smtp-auth

Als smtp server gebruik ik nu smtp-legacy.office365.com op poort 587.
Logs die ik heb zijn:

code:

Connecting to mail server.
Connected.
220 AM0PR02CA0027.outlook.office365.com Microsoft ESMTP MAIL Service ready at Wed, 4 Oct 2023 15:20:32 +0000
EHLO ############
250-AM0PR02CA0027.outlook.office365.com Hello [xx.xx.xx.xx]
250-SIZE 157286400
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 SMTPUTF8
AUTH LOGIN
504 5.7.4 Unrecognized authentication type [AM0PR02CA0027.eurprd02.prod.outlook.com 2023-10-04T15:20:38.235Z 08DBC3B055D61412]
Forcing disconnection from SMTP server.
QUIT
221 2.0.0 Service closing transmission channel
Disconnected.

Error: SMTP protocol error. 504 5.7.4 Unrecognized authentication type [AM0PR02CA0027.eurprd02.prod.outlook.com 2023-10-04T15:20:38.235Z 08DBC3B055D61412].
Failed to send message

Handleidingen en informatie die ik vind zijn vaak verouderd. Wie kan me een hint geven in de goede richting.

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

woensdag 4 oktober 2023 19:14

Acties:

+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Die legacy connector heb je niet nodig. Zoals in het artikel staat, is het alleen voor clients die geen TLS 1.2 of nieuwer ondersteunen. De Pi die je hebt ingericht moet dat gewoon kunnen.

Kijk dus eerder even naar het andere artikel, https://learn.microsoft.c...ed-client-smtp-submission, om te controleren of je SMTP Auth ook echt aan hebt gezet voor de betreffende mailbox waarmee je wilt sturen. Want het ziet er naar uit dat je juist dat niet aan hebt staan, getuige de 'unrecognized authentication type'.

Commandline FTW | Tweakt met mate

woensdag 4 oktober 2023 19:51

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Hmm, die van de legacy connector had ik inderdaad ook zelf kunnen verzinnen. Aangepast! De link van SMTP Auth had ik al eens gevonden. GEcontrolleerd, maar het vinkje staat aan bij " Authenticated SMTP".

Nog even gechecked:

code:

1 2	Get-CASMailbox -Identity xxxxxxxx@###.nl \| Format-List SmtpClientAuthenticationDisabled SmtpClientAuthenticationDisabled : False

Het stomme is dat het gewoon gewerkt heeft, maar nu niet meer. Kan me niet heinneren dat ik iets gewijzigd heb.

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

woensdag 4 oktober 2023 20:37

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Check dan de logs op je Pi van de mail software. Welke software heb je in gebruik genomen? Postfix? Exim? Iets anders? En hoe is dat ingesteld?

Commandline FTW | Tweakt met mate

woensdag 4 oktober 2023 21:55

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

Kijk ook in je Entra ID logs wat er met de authenticated Smtp verbindig gebeurt.

Komt vaak voor dat dergelijke oplossingen (en ook bijv. printers) toch niet lekker met MFA willen werken en je ze dan moet uitzonderen op basis van WAN IP (bijv. middels conditional access en trusted locations).

I reject your reality and substitute my own

donderdag 5 oktober 2023 14:51

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Ik heb een SMTP tester op mijn laptop geinstalleerd (https://adminkit.net/smtp_diag_tool.aspx) . Hiermee kan ik niet verbinden met het 0365 account. Vandaag even geen toegang tot mijn PI, maar verwacht daar ongeveer de zelfde logs te zien. Als het al niet vanaf mijn laptop lukt zal het vanaf de PI ook niet lukken. Op de PI heb ik Postfix draaien. Deze staat als SMTP relay ingesteld. Zoals eerder gemeld, dit heeft tot een paar weken geleden goed gewerkt,

Heb nog getest met een ander account, of gewoon random credentials. Error die ik krijg blijft hetzelfde. Op zich raar, Ik copieer plak de credentials uit mijn password vault, weinig kans dat daar iets mis gaat met typen.

code:

Connecting to mail server.
Connected.
220 AM8P189CA0018.outlook.office365.com Microsoft ESMTP MAIL Service ready at Thu, 5 Oct 2023 12:38:47 +0000
EHLO#######
250-AM8P189CA0018.outlook.office365.com Hello [###########]
250-SIZE 157286400
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 SMTPUTF8
AUTH LOGIN
504 5.7.4 Unrecognized authentication type [AM8P189CA0018.EURP189.PROD.OUTLOOK.COM 2023-10-05T12:38:52.499Z 08DBC3A942E56AFC]
Forcing disconnection from SMTP server.
QUIT
221 2.0.0 Service closing transmission channel
Disconnected.

Error: SMTP protocol error. 504 5.7.4 Unrecognized authentication type [AM8P189CA0018.EURP189.PROD.OUTLOOK.COM 2023-10-05T12:38:52.499Z 08DBC3A942E56AFC].
Failed to send message

Ik heb nog in de Entra ID logs gekeken, maar daar zie ik geen entries van dit account van vandaag. Wel van andere accounts activieit

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

donderdag 5 oktober 2023 19:15

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Omdat het toch om MFPs gaat die mailen (scan-to-mail neem ik aan), zou je er ook voor kunnen kiezen om via Conditional Access en een send-connector in Exchange Online het hele smtp account overbodig te maken.

Ik heb op kantoor bijvoorbeeld m'n monitoring server ingesteld om via MS365 relay te mailen en het afzenderadres is geen bestaand adres of mailbox. Bij de send-connector heb ik het IP adres van onze kantoorverbinding opgegeven als origin-IP, zodat dit wordt toegestaan.

Commandline FTW | Tweakt met mate

vrijdag 6 oktober 2023 11:51

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Omdat poort 25 outbound niet werkt en ik een te dynamisch IP heb leek mij de makkelijkere oplossing om met AUTH SMTP te gaan werken. Als dat dus niet werk, misschien het plan maar eens geheel herzien. Zal in het weekeind eens proberen om een compleet nieuw account aan te maken en kijken of het probleem blijft bestaan.

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

vrijdag 6 oktober 2023 18:55

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Vandaag nog even in onze tenant gekeken en naast IP adres kan je ook een certificaat gebruiken. Je hoeft alleen het subject ervan op te geven bij de connector. En uiteraard dat certificaat opgeven om mee te sturen met je verbinding.

Kijk hoe dan ook even naar je config. Want je noemt nu poort 25, maar MS365 verwacht juist dat je 587 gebruikt, SMTP over TLS.

Commandline FTW | Tweakt met mate

maandag 9 oktober 2023 21:41

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Grrr, nieuw account aangemaakt, geen geluk.

Heb zelf ook nog even gecontrolleerd, maar gebruik inderdaad poort 587. Zal eens kijken naar een certificaat. Nog niet gevonden hoe dat moet. Morgen weer eens een avondje googlen dus.

Laat wel horen als er voorgang in het verhaal komt.

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

maandag 9 oktober 2023 21:52

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Kan je (gecensureerde) screenshots posten van je MS365 zijde waar je aantoont dat SMTP Auth aan staat voor de gebruiker? En dat daar ook niet iets van 2FA op is ingesteld, want wellicht gooit dat wat roet in het eten (en ook een plaatje van de config waarbij dat niet voor elke gebruiker vereist is).

Je kan het zelf trouwens ook testen of SMTP Auth werkt door bijvoorbeeld in Outlook of met Thunderbird een account in te stellen hiermee. In TB kan je als het goed is een send-only account aanmaken. Vroeger iig wel.

Commandline FTW | Tweakt met mate

dinsdag 10 oktober 2023 21:42

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Volgens mij staat alles goed. Voor de zekerheid nogmaals gecontrolleerd of de account credentials kloppen. Ik kan prima inloggen om de o365 mailbox (webmail). Lijkt mij dat de crednetials dan kloppen

Afbeeldingslocatie: https://tweakers.net/i/Z0v2Wl_KmS-ClkE6IPEptE9-HNk=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/Wh7b4MKnuARqjApy8ZRN95Re.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/Z0v2Wl_KmS-ClkE6IPEptE9-HNk=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/Wh7b4MKnuARqjApy8ZRN95Re.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/wC4hyGz1hujijoLzCCBfmtccPz4=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/lvox10t0svP6vXZ5lDcvukEO.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/VssOmviphx8VpgwccmyVILmRr48=/800x/filters:strip_exif()/f/image/lEPsiAEU77lZnimyqUXUBVHi.png?f=fotoalbum_large

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

dinsdag 10 oktober 2023 22:30

Acties:

+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Als je 'vrij' wil kunnen mailen zonder mailbox gebruiker en via certificaten gaat 'authenticeren' in de connector: https://secopsmonkey.com/...x-through-office-365.html.

Commandline FTW | Tweakt met mate

woensdag 11 oktober 2023 21:20

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Hero of Time schreef op dinsdag 10 oktober 2023 @ 22:30:
Als je 'vrij' wil kunnen mailen zonder mailbox gebruiker en via certificaten gaat 'authenticeren' in de connector: https://secopsmonkey.com/...x-through-office-365.html.

Bedankt voor deze. Ga ik mee testen. Blijf het raar vinden dat de huidige oplossing niet meer werkt.

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

woensdag 11 oktober 2023 21:25

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ik denk dat de huidige methode nog wel gewoon zal werken, maar er iets aangepast moet worden hiervoor in jouw omgeving/Postfix configuratie.

Wij zitten op m'n werk nog niet met mail bij MS365, anders had ik wel een testje opgezet om te achterhalen wat er mogelijk mis gaat bij je.

Mailen via een connector en in jouw geval middels het gebruik van een certificaat scheelt je wel weer een licentie.

Commandline FTW | Tweakt met mate

zondag 15 oktober 2023 17:55

Acties:

0 Henk 'm!

MarkieNL

Staan de Security Defaults aan in Entra?
Dit kun je controleren door als beheerder in te loggen op portal.azure.com en dan Entra (voorheen Azure ActiveDirectory) eigenschappen te openen.

Wanneer deze aan staan, kun je blijven proberen te verbinden met legacy authentication, maar gaat het niet werken.

Mocht je gebruik maken van Conditional Access, maak dan een uitzondering voor het account welke je gebruikt voor SMTP.

als laatste, maak gebruik van smtp.office365.com op poort 587 en TLS.

maandag 16 oktober 2023 14:49

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Ben nog niet toegekomen om certifacaten in te stellen. Zie wel een issue waar ik nog niet omheen kan werken. De mail connector werkt op poort 25. Laat deze nu net geblokkeerd zijn door mijn provider. Vandaar dat ik toen der tijd ook naar de huidige oplossing ben gegaan omdat deze op poort 587 werkt.

Net nog even gekeken naar de security defaults. Deze staan uit. Helaas daar ook niet de oplossing

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

donderdag 26 oktober 2023 21:47

Acties:

0 Henk 'm!

qwasd

Zakelijk heb ik dit ook geconfigureerd voor 1 account. Hier heb ik echter een CA policy met een exclusion voor moeten maken (basic authentication). Ook al werd er geen gebruik gemaakt van de security defaults.

Ligt uiteraard aan je licentie maar met een E3 licentie had ik die mogelijkheid gewoon. Verder uiteraard in admin center het vinkje ingeschakeld. Hier werkt het prima.

woensdag 1 november 2023 08:59

Acties:

0 Henk 'm!

Urk

Hoi @TNijpjes,

Ik heb hier ook vaak gedoe mee gehad. Volgens mij moet je 2FA juist aanzetten voor het account. Daarna inloggen in het account en dan bij de security instellingen een App Wachtwoord maken met de naam van bijv de MFP. Dat app wachtwoord gebruik je dan. Gebruik je ook hetzelfde email adres als FROM adres voor je mail en account login?

Security Defaults moeten inderdaad uitstaan.

[ Voor 6% gewijzigd door Urk op 01-11-2023 09:00 ]

woensdag 1 november 2023 20:49

Acties:

0 Henk 'm!

qwasd

Urk schreef op woensdag 1 november 2023 @ 08:59:
Hoi @TNijpjes,

Ik heb hier ook vaak gedoe mee gehad. Volgens mij moet je 2FA juist aanzetten voor het account. Daarna inloggen in het account en dan bij de security instellingen een App Wachtwoord maken met de naam van bijv de MFP. Dat app wachtwoord gebruik je dan. Gebruik je ook hetzelfde email adres als FROM adres voor je mail en account login?

Security Defaults moeten inderdaad uitstaan.

Als je een exclusion (ca policy) maakt voor basic authentication hoef je geen app password te maken.
Zo heb ik het in ieder geval werkend gekregen. Maar wat je zegt zou nog wel eens kunnen werken als je geen mogelijkheid hebt tot ca policies.

[ Voor 6% gewijzigd door qwasd op 01-11-2023 20:50 ]

woensdag 1 november 2023 22:17

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Hmm, misschien zit hier ergens de bron dat het nu niet meer werkt. Ik heb een tijdje terug Enterprise Mobility + Security E5 proef abonnement afgesloten. Heb zelf sterk het vermoeden dat hierdoor de basic authentication niet meer werkt.

Vandaag zitten spelen met CA exclusion, echter zie ik de logon attempts niet voorbij komen in de logs. Dus ben bang dat het ergens anders niet meer werkt.

Zelf heb ik de hoop een beetje opgegeven. Ga morgen maar eens kijken naar een zakelijke internet verbinding. Stond al ergens op de planning, nu maar versneld doen. Kan ik inderdaad naar een send connector gaan kijken. Scheelt weer een E1 licentie

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

woensdag 1 november 2023 22:18

Acties:

+1 Henk 'm!

Urk

qwasd schreef op woensdag 1 november 2023 @ 20:49:
[...]

Als je een exclusion (ca policy) maakt voor basic authentication hoef je geen app password te maken.
Zo heb ik het in ieder geval werkend gekregen. Maar wat je zegt zou nog wel eens kunnen werken als je geen mogelijkheid hebt tot ca policies.

Klopt inderdaad. Ik vind conditional access zoiets kansloos, zit namelijk alleen in Business Premium of Entra P1/P2. Alle tenants met Business Basic en Standard vallen dus buiten de boot. Iets wat veel bedrijven toch nog hebben vaak...

Mijn genoemde oplossing werkt volgens mij altijd ongeacht de licentie...

[ Voor 5% gewijzigd door Urk op 01-11-2023 22:20 ]

woensdag 1 november 2023 22:19

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Je kan die send connector al gebruiken middels een certificaat. Had je daar al gelegenheid voor gehad om naar te kijken?

Commandline FTW | Tweakt met mate

donderdag 2 november 2023 12:53

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Hero of Time schreef op woensdag 1 november 2023 @ 22:19:
Je kan die send connector al gebruiken middels een certificaat. Had je daar al gelegenheid voor gehad om naar te kijken?

Wel naar gekeken, maar gaat niet werken. Send connector werkt op poort 25. Die is bij mijn provider in en outbound geblokkeerd. Dus loop ik daar al op vast.

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

donderdag 2 november 2023 22:26

Acties:

0 Henk 'm!

Urk

Had je ook nog naar mijn mogelijke oplossing van 1 november 2023 08:59 gekeken hierboven? Werkt dat ook niet...?

zondag 19 november 2023 15:49

Acties:

0 Henk 'm!

TNijpjes

Topicstarter

Vandaag weer eens tijd om hier naar te kijken.

Urk schreef op donderdag 2 november 2023 @ 22:26:
Had je ook nog naar mijn mogelijke oplossing van 1 november 2023 08:59 gekeken hierboven? Werkt dat ook niet...?

Hier ook naar gekeken. Snap het niet helemaal, maar ik kan geen app wachtwoorden aanmaken. Ik heb MFA op enabled gezet voor het account (niet op enforced). Maar kan op de pagina https://mysignins.microsoft.com/security-info geen app wachtwoord kiezen. Security defaults staan uit.

En nu kan ik dus wel app wachtwoorden maken voor dit account. Nu nog eens testen of we hier wel mee kunnen mailen. -> Geen verbetering. Kan nog steeds niet mailen. Gebruik nu het account naam + app password, maar zie geen verschil in de logs. Ik heb er voor vandaag weer even genoeg van.

Maandag als goed is zakelijke glas aansluiten met fixed IP. Ga ik kijken of ik een exchange send connector voor elkaar ga krijgen. Scheelt weer wat gekloot.

[ Voor 16% gewijzigd door TNijpjes op 19-11-2023 17:12 . Reden: Update over app wachtwoord en testen ]

Te dure camere, te veel lenzen, te weinig tijd. O, en iets dat flitst

Vraag

Alle reacties