Nach einer vollständigen Migration von einem lokalen Exchangeserver auf Office 365 kann man den lokalen Exchange Server deinstallieren. Damit ist er aber auch nicht mehr für Mails von Geräten wie Kopierern (Scan to email) oder Meldungen über Mail von der Firewall, dem Backup und ähnlichem verfügbar.

Microsoft schlägt für diesen Fall gemäss diesem Technet Artikel 3 mögliche Varianten vor.

Der beste Weg ist “Client SMTP Submission”, wenn das Gerät dies unterstützt, was nicht für alle Geräte zutrifft. In dem Fall authentifiziert sich das Gerät an Office 365, wie wenn sich ein Benutzer über OWA anmelden würde. Damit ist sichergestellt, dass die Verbindung zu Office 365 verschlüsselt stattfindet und nicht durch einen Spamfilter gefiltert wird.

Dazu muss man ein Benutzerpostfach in Office 365 für das Gerät (oder alle Geräte) erstellen. Das Passwort soll für diese Postfächer am besten gar nie ablaufen.

Dann trägt man die Benutzerdaten bei dem Gerät ein, wenn es dies unterstützt. Im Bild unten als Beispiel unsere Firewall (Sophos UTM). Unter “Management” –> “Notifications” kann man auf der Registerkarte “Advanced” einen externen SMTP Server angeben. Hier muss man den dafür vorgesehenen SMTP Server von Office 365 (smtp.office365.com) , den Port 587 mit TLS und die vorher angelegten Benutzerdaten eintragen.

Für Geräte, die diesen Weg nicht unterstützen, empfiehlt Microsoft den Weg “SMTP Relay”. Dabei muss man die IP-Adresse, über die das Gerät seine Mails verschickt in Office 365 bekannt gemacht werden. Danach erlaubt der Mailserver von Office 365, dass Mails von dieser IP über ihn geschickt werden (sogenanntes Relaying). Dabei kann aber nicht sichergestellt werden, dass die Verbindung verschlüsselt abläuft.

Viel eleganter ist es aber, wenn man für diese Geräte die Sophos UTM (oder irgend ein anderes Gerät, das dies kann) als SMTP Server einträgt. Somit werden auch die Mails von diesen Geräten wie oben beschrieben verschlüsselt durch das Internet übertragen. Bei der UTM muss man die oben schon beschriebenen Daten auch bei „Email Protection“ -> „SMTP“ -> Registerkarte „Advanced“ -> „Smarthost Settings“ eintragen, damit auch alle an die UTM übergebenen Mails weitergeleitet werden. Bei “Smarthost” kann der gleiche Eintrag wie oben bei “Notifications” genommen werden.

Ausserdem muss man unter “Email Protection” –> “SMTP” –> Registerkarte “Routing” die Route umstellen. Vorher war bei mir “Route by: Static Host List” ausgewählt und als Host der lokale Exchangeserver eingetragen. Neu habe ich “Route by: MX records” ausgewählt. Dies bedeutet, dass ein Mail an eine der aufgeführten Domänen an den MX record von der Domäne weitergeleitet wird (das ist dann ein Server von Office 365). Ausgeliefert werden alle solchen Mails über den Smarthost von oben und daher TLS verschlüsselt. Ziel erreicht.

Hier ein Beispiel eines Kopierers, der seine Mails an die UTM weitergibt.

zurück zur Übersicht