Wie richte ich Microsoft 365 als E-Mail-Server ein?

Für die Einrichtung von Microsoft 365 (ehemals Office 365) als SMTP-Server eines SeminarDesk E-Mail-Kontos müssen die im Folgenden beschriebenen Einstellungen gesetzt werden.

Um ein privates Outlook-Konto als E-Mail-Server einzurichten, bitte diesen Artikel beachten.

In Microsofts SMTP-Server sind Beschränkungen der maximalen Zahl an Nachrichten pro Zeiteinheit (insb. 30 Nachrichten pro Minute, 10.000 Empfänger pro Tag; Quelle) und auch an Empfängern pro Nachricht implementiert. Bei Überschreitung wird der Versand temporär blockiert.

Anbindung per OAuth 2.0 (empfohlen)

Microsoft empfiehlt die Verwendung von OAuth 2.0 (Modern Authentication) anstelle der Basic Authentication. Letztere wird von SeminarDesk weiterhin angeboten, von Microsoft jedoch schrittweise nicht mehr akzeptiert und durch die Security Defaults in Microsoft 365 bevorzugt, siehe unten. OAuth 2.0 bietet bessere Sicherheit durch zeitlich begrenzte Tokens und funktioniert nahtlos mit Multi-Faktor-Authentifizierung (MFA), ohne dass App-Passwörter erforderlich sind.

Aktivieren der SMTP-Authentifizierung für das Konto (Quelle)

1. Das Microsoft 365 Admin Center öffnen.
2. Zu Benutzer – Aktive Benutzer wechseln.
3. Den Benutzer auswählen, dann im angezeigten Flyout E-Mail auswählen.
4. Im Abschnitt Email Apps die Option E-Mail-Apps verwalten auswählen.
5. Die Einstellung für Authentifiziertes SMTP aktivieren.
6. Änderungen speichern.

Einrichten des E-Mail-Kontos in SeminarDesk

Eine Anbindung von SeminarDesk per OAuth 2.0 ist derzeit nur mit Microsoft möglich. Falls die oben abgebildete und im Folgenden beschriebene Auswahl der Authentifizierungsmethode „OAuth 2.0“ nicht angeboten wird, bitte unseren Support per Mail an support@seminardesk.de kontaktieren.

1. Verwaltung – Setup – E-Mails – E-Mail-Konten aufrufen.
2. „Hinzufügen“ klicken.
3. Unter dem Kontonamen die Authentifizierungsmethode „OAuth 2.0“ auswählen.
4. Auf „Mit Microsoft verbinden“ klicken.
5. Im Microsoft-Login-Dialog mit den Zugangsdaten des E-Mail-Kontos anmelden.
6. Im Microsoft-Consent-Dialog die Bitte von SeminarDesk zu den genannten Berechtigungen annehmen.
7. Nach erfolgreicher Authentifizierung erfolgt die Weiterleitung zurück zu SeminarDesk. Der Benutzername und die SMTP-Einstellungen werden bei OAuth 2.0 automatisch konfiguriert. Das E-Mail-Konto ist nun eingerichtet und in der Übersicht sichtbar.
8. Ggf. das Konto nochmal „Bearbeiten“, weitere Felder füllen und „Speichern“.
   Eine Absendeadresse allerdings darf nicht angegeben werden, da Microsofts SMTP-Server solche Mails ablehnt. Absendename und Antwortadresse werden hingegen weitergegeben.

Das Prozedere „Mit Microsoft verbinden“ muss nach einem Verbindungsabbruch (bspw. nach Passwortänderung oder bei abgelaufenem OAuth-Token) wiederholt werden.

Über „Verbindung trennen“ lässt sich das Konto vollständig entkoppeln, sodass anschließend ein anderes Konto verbunden oder zur Basic-Auth-Methode gewechselt werden kann.

Fehlerbehebung bei OAuth 2.0

Administrator-Freigabe erforderlich

Sollte nach dem Microsoft-Login eine Fehlermeldung erscheinen, dass eine Administrator-Zustimmung erforderlich ist („Admin consent required“ oder „Need admin approval“), dann erfordert die Organisation eine Administrator-Freigabe für OAuth-Apps. In diesem Fall bitte den Microsoft 365 Administrator kontaktieren.

E-Mail-Versand schlägt fehl

Ist das Verbinden mit Microsoft erfolgreich, doch nach erfolgreicher Verbindung mit Microsoft schlägt der E-Mail-Versand fehl mit einer Fehlermeldung wie „SMTP AUTH disabled“ oder „Authentication unsuccessful“, dann scheint die SMTP-Authentifizierung für das Postfach nicht aktiviert zu sein. Auch bei OAuth 2.0 muss die SMTP-Authentifizierung für das Postfach aktiviert sein. Dies ist oben beschrieben im Abschnitt „Aktivieren der SMTP-Authentifizierung für das Konto“.

Verbindung funktioniert plötzlich nicht mehr

Falls der E-Mail-Versand plötzlich nicht mehr funtioniert, obwohl die Verbindung zuvor einwandfrei lief (bspw. nach Passwortänderung oder bei abgelaufenem OAuth-Token), muss die Verbindung wiederhergestellt werden:

1. Verwaltung – Setup – E-Mails – E-Mail-Konten aufrufen.
2. Betroffenes Konto „Bearbeiten“.
3. Erneut auf „Mit Microsoft verbinden“ klicken.
4. Neu anmelden und Berechtigungen bestätigen.

Anbindung per Basic Authentication (Legacy)

Falls OAuth 2.0 nicht verwendet werden kann, ist alternativ die Einrichtung mit Basic Authentication möglich. Microsoft stellt auf OAuth 2.0 (Modern Authentication) um. Die hier beschriebene Basic Authentication funktioniert aktuell noch, doch Microsoft stellt Basic Authentication schrittweise ein; die Unterstützung endet voraussichtlich im Jahr 2027 (Microsoft Ankündigung).

Aktivieren der SMTP-Authentifizierung für das Konto

Die Schritte zur Aktivierung der SMTP-Authentifizierung für das Konto sind unabhängig von der Authentifizierungsmethode und oben im Abschnitt für OAuth 2.0 beschrieben.

Wichtig für neuere Microsoft 365-Organisationen: Falls die Aktivierung nicht funktioniert oder Fehler auftreten, kann es sein, dass die Security Defaults der Organisation eine SMTP-Authentifizierung blockieren. Mehr Details im Abschnitt „Fehlerbehebung“ weiter unten.

Einrichten des E-Mail-Kontos in SeminarDesk

1. Verwaltung – Setup – E-Mails – E-Mail-Konten aufrufen.
2. „Hinzufügen“ klicken.
3. Unter dem Kontonamen die Authentifizierungsmethode „Basic Auth“ auswählen.
4. Als Benutzernamen die E-Mail-Adresse des Microsoft Outlook-Kontos eingeben.
5. Als Passwort das Passwort für das Microsoft Outlook-Konto eingeben.
6. Für Microsoft 365 ist der SMTP-Server smtp.office365.com, der SMTP-Port 587, und Sicherheit STARTTLS (Quelle 1, Quelle 2).
7. Auf „Verbindung testen“ klicken.
8. Weitere Felder füllen.
   Eine Absendeadresse allerdings darf nicht angegeben werden, da Microsofts SMTP-Server solche Mails ablehnt. Absendename und Antwortadresse werden hingegen weitergegeben.
9. „Speichern“.

Hinweis zu Multi-Faktor-Authentifizierung (MFA) und App-Passwörtern

Falls für das E-Mail-Konto eine Multi-Faktor-Authentifizierung (MFA) aktiviert ist, kann das reguläre Passwort nicht für SMTP verwendet werden. Stattdessen muss ein App-Passwort erstellt und in SeminarDesk eingetragen werden.

App-Passwörter können unter mysignins.microsoft.com/security-info erstellt werden (Option „App-Kennwort hinzufügen“).

App-Passwörter sind allerdings nur verfügbar, wenn die Security Defaults deaktiviert sind oder Conditional Access mit entsprechender Konfiguration verwendet wird, siehe oben.

Fehlerbehebung: Fehler 5.7.139 „Authentication unsuccessful“

Fehlerbild

Falls trotz aktivierter SMTP-Authentifizierung die Fehlermeldung 535 5.7.139 Authentication unsuccessful, user is locked by your organization's security defaults policy erscheint, blockieren die Security Defaults in Microsoft 365 die SMTP-Authentifizierung.

Microsoft stuft SMTP-Authentifizierung als „Legacy Authentication“ ein und blockiert diese standardmäßig bei neueren Tenants.

Was sind Security Defaults?

Security Defaults sind vorkonfigurierte Sicherheitseinstellungen in Microsoft Entra ID, die folgende Schutzfunktionen beinhalten:

• Multi-Faktor-Authentifizierung (MFA) für alle Benutzer
• Blockierung von Legacy-Authentifizierungsmethoden (inkl. SMTP)
• MFA-Pflicht für Zugriffe auf Azure Portal, CLI und PowerShell

Lösungsmöglichkeiten

Es gibt zwei Optionen, um SMTP-Versand zu ermöglichen:

Option 1: Security Defaults deaktivieren

1. Das Microsoft Entra Admin Center öffnen.
2. Zu Entra ID – Overview – Properties wechseln.
3. Unten auf der Seite „Manage security defaults“ anklicken.
4. Security defaults auf „Disabled“ setzen.
5. Grund auswählen und „Save“ klicken.

Wichtiger Hinweis: Bei Deaktivierung der Security Defaults entfallen die oben genannten Schutzfunktionen. Diese sollten unabhängig davon eingerichtet werden, bspw. durch:

• Aktivierung von MFA über die Legacy-MFA-Einstellungen pro Benutzer
• Einrichtung entsprechender Sicherheitsrichtlinien

Option 2: Conditional Access Policies (empfohlen bei vorhandener Lizenz)

Falls eine Microsoft 365 Business Premium-Lizenz oder Microsoft Entra ID P1/P2 vorhanden ist, können statt der Security Defaults Conditional Access Policies verwendet werden. Diese ermöglichen:

• Gezielte Ausnahmen für einzelne Konten (bspw. das SMTP-Sendekonto)
• Beibehaltung aller anderen Schutzfunktionen für die restlichen Benutzer

Die Einrichtung von Conditional Access Policies erfolgt im Microsoft Entra Admin Center unter Protection – Conditional Access.

Variante: „the user credentials were incorrect“

Falls die Fehlermeldung 535 5.7.139 Authentication unsuccessful, the user credentials were incorrect erscheint, liegt ein Problem mit den Anmeldedaten vor.

Mögliche Ursachen:

1. Falsches oder abgelaufenes Passwort
   • Prüfen, ob das Passwort noch aktuell ist.
   • Testweise im Browser unter outlook.office365.com mit denselben Zugangsdaten einloggen.
2. MFA aktiv, aber normales Passwort verwendet
   • Wenn Multi-Faktor-Authentifizierung (MFA) für das Konto aktiviert ist, funktioniert das normale Passwort nicht für SMTP.
   • Stattdessen muss ein App-Passwort erstellt und in SeminarDesk eingetragen werden (siehe Abschnitt „Hinweis zu MFA und App-Passwörtern“ oben).
3. Account gesperrt oder deaktiviert
   • Im Microsoft 365 Admin Center prüfen, ob der Account aktiv ist.
4. SMTP-Authentifizierung für das Postfach deaktiviert
   • Im Microsoft 365 Admin Center unter Benutzer – Aktive Benutzer – [User auswählen] – E-Mail – E-Mail-Apps verwalten prüfen, ob „Authentifiziertes SMTP“ aktiviert ist.