Exchange Online Integration für Email-Outbound von SAP NetWeaver

Das Senden von E-Mails von Ihrem SAP-Back-End ist ein Standardfeature, das häufig für Anwendungsfälle wie Warnungen für Batchaufträge, Änderungen des SAP-Workflowzustands oder die Rechnungsverteilung verteilt wird. Viele Kundinnen und Kunden haben das Setup mithilfe von Exchange Server lokal eingerichtet. Mit der Umstellung auf Microsoft 365 und Exchange Online gibt es eine Reihe cloudnativer Ansätze, die sich auf dieses Setup auswirken.

In diesem Artikel wird das Setup für die ausgehende E-Mail-Kommunikation von NetWeaver-basierten SAP-Systemen zum Exchange Online beschrieben. Das gilt für SAP ECC, S/4HANA, SAP RISE (verwaltet) und alle anderen NetWeaver-basierten Systeme.

Überblick

Bestehende Implementierungen verließen sich auf SMTP-Authentifizierung und eine erhöhte Vertrauensbeziehung, da der alte Exchange Server lokal in der Nähe des SAP-Systems selbst stehen konnte und von den Kunden selbst verwaltet wurde. Mit Exchange Online gibt es eine Verschiebung der Zuständigkeiten und des Konnektivitätsparadigmas. Microsoft stellt Exchange Online Software-as-a-Service-Angebot zur Verfügung, das so sicher und effektiv wie möglich von überall auf der Welt über das öffentliche Internet genutzt werden kann.

Befolgen Sie unsere Standardanleitung, um die allgemeine Konfiguration eines "Geräts" zu verstehen, das eine E-Mail über eine Microsoft 365 senden will.

Wichtig

Die SMTP-Authentifizierung wurde vom Prozess des Auslaufens der Basic Auth-Funktion ausgenommen und wird weiterhin unterstützt. Dies ist jedoch ein Sicherheitsrisiko für Ihr Eigentum. Sehen Sie sich den neuesten Beitrag unseres Exchange Online-Teams zu diesem Thema an.

Überlegungen zum Setup

Angesichts der Sunset-Ausnahme von SMTP Auth gibt es vier verschiedene Optionen, die von SAP NetWeaver unterstützt werden und die wir hier beschreiben möchten. Die ersten drei korrelieren mit den Szenarien, die in der Exchange Online-Dokumentation beschrieben werden.

1. SMTP-Authentifizierungsclient-Übermittlung
2. SMTP Direct Send
3. Verwenden des Exchange Online SMTP-Relayconnectors
4. Verwenden des SMTP-Relayservers als Vermittler für Exchange Online

Zur Kürze wird das SAP Connect-Verwaltungstool verwendet, das für das Setup des E-Mail-Servers nur durch den Transaktionscode SCOT verwendet wird.

Option 1: SMTP-Authentifizierungsclient-Übermittlung

Wählen Sie diese Option aus, wenn Sie E-Mails an Personen innerhalb und außerhalb Ihrer Organisation senden möchten.

Verbinden Sie SAP-Anwendungen direkt mit Microsoft 365 über den SMTP-Authentifizierungsendpunktsmtp.office365.com in SCOT.

Eine gültige E-Mail-Adresse ist für die Authentifizierung bei Microsoft 365 erforderlich. Die E-Mail-Adresse des Kontos, das für die Authentifizierung bei Microsoft 365 verwendet wird, wird als Absender von Nachrichten aus der SAP-Anwendung angezeigt.

Anforderungen für SMTP AUTH

• SMTP-Authentifizierung: muss für das verwendete Postfach aktiviert werden. SMTP AUTH ist für Organisationen deaktiviert, die nach Januar 2020 erstellt wurden, kann jedoch pro Postfach aktiviert werden. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der SMTP-Clientübermittlung (SMTP AUTH) in Exchange Online.
• Authentifizierung: Verwenden Sie die Standardauthentifizierung (bei der es sich einfach um einen Benutzernamen und ein Kennwort handelt), um E-Mails von der SAP-Anwendung zu senden. Wenn SMTP AUTH für die Organisation absichtlich deaktiviert ist, müssen Sie Option 2, 3 oder 4 unten verwenden.
• Postfach: Sie müssen über ein lizenziertes Microsoft 365 verfügen, von dem aus E-Mails gesendet werden können.
• Transport Layer Security (TLS): Ihre SAP-Anwendung muss TLS-Version 1.2 und höher verwenden können.
• Port: Port 587 (empfohlen) oder Port 25 ist erforderlich und muss in Ihrem Netzwerk entsperrt werden. Einige Netzwerkfirewalls oder Internetdienstanbieter blockieren Ports, insbesondere Port 25, da dies der Port ist, den E-Mail-Server zum Senden von E-Mails verwenden.
• DNS: Verwenden Sie den DNS-Namen smtp.office365.com. Verwenden Sie keine IP-Adresse für den Microsoft 365 Server, da IP-Adressen nicht unterstützt werden.

Aktivieren der SMTP-Authentifizierung für Postfächer in Exchange Online

Es gibt zwei Möglichkeiten zum Aktivieren der SMTP-Authentifizierung in Exchange Online:

1. Für ein einzelnes Konto (pro Postfach), das die mandantenweite Einstellung außer Kraft setzt, oder
2. auf Organisationsebene

Hinweis

Wenn Ihre Authentifizierungsrichtlinie die Standardauthentifizierung für SMTP deaktiviert, können Clients das SMTP-AUTH-Protokoll auch dann nicht verwenden, wenn Sie die in diesem Artikel beschriebenen Einstellungen aktivieren.

Die Einstellung pro Postfach zum Aktivieren der SMTP-Authentifizierung ist im Microsoft 365 Admin Center oder über Exchange Online PowerShell verfügbar.

1. Öffnen Sie das Microsoft 365 Admin Center und wechseln Sie zu Benutzer –>Aktive Benutzer.

   

2. Wählen Sie den Benutzer aus, folgen Sie dem Assistenten, und klicken Sie auf E-Mail.

3. Klicken Sie im Abschnitt E-Mail-Apps auf E-Mail-Apps verwalten.

   

4. Überprüfen Sie die Einstellung Authenticated SMTP (nicht angekreuzt = deaktiviert, angekreuzt = aktiviert)

   

5. Änderungen speichern.

Dadurch wird SMTP-Authentifizierung für diesen einzelnen Benutzer in Exchange Online aktiviert, die Sie für SCOT benötigen.

Konfigurieren der SMTP-Authentifizierung mit SCOT

1. Ping oder Telnet für smtp.office365.com auf dem Port 587 von Ihrem SAP-Anwendungsserver aus, um sicherzustellen, dass die Ports geöffnet und zugänglich sind.

   

2. Stellen Sie sicher, dass der Parameter SAP Internet Communication Manager (ICM) in Ihrem Instanzprofil festgelegt ist. Im Folgenden sehen Sie ein Beispiel:

   parameter	value
   icm/server-port-1	PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

3. Starten Sie den ICM-Dienst über die Transaktion SMICM neu und stellen Sie sicher, dass der SMTP-Dienst aktiv ist.

   

4. Aktivieren Sie den SAPConnect-Dienst in einer SICF-Transaktion.

   

5. Wechseln Sie zu SCOT, und wählen Sie SMTP-Knoten (Doppelklicken) aus, wie unten gezeigt, um mit der Konfiguration fortzufahren:

   

   Fügen Sie den Mailhost smtp.office365.com mit Port 587 hinzu. Weitere Informationen finden Sie in der Exchange Online-Dokumentation.

   

   Klicken Sie auf die Schaltfläche "Einstellungen" (neben dem Feld Sicherheit), um bei Bedarf TLS-Einstellungen und grundlegende Authentifizierungsdetails hinzuzufügen, wie in Punkt 2 angegeben. Stellen Sie sicher, dass ICM-Parameter entsprechend festgelegt ist.

   Stellen Sie sicher, dass Sie eine gültige Microsoft 365 E-Mail-ID und ein Kennwort verwenden. Darüber hinaus muss es sich um den gleichen Benutzer wie zu Beginn der SMTP-Authentifizierung drehen. Diese E-Mail-ID wird als Sender angezeigt.

   

   Zurück zum vorherigen Bildschirm: Klicken Sie auf die Schaltfläche "Festlegen", und aktivieren Sie "Internet" unter "Unterstützte Adresstypen". Mithilfe der Platzhalter-Option „*“ können Sie E-Mails ohne Einschränkung an alle Domänen senden.

   

   

   Nächster Schritt: Festlegen der Standarddomäne in SCOT.

   

   

6. Planen Sie den Auftrag, um E-Mails an die Übermittlungswarteschlange zu senden. Wählen Sie in SCOT "Auftrag senden" aus:

   

   Geben Sie gegebenenfalls einen Auftragsnamen und eine Variante an.

   

   Testen Sie die E-Mail-Übermittlung mithilfe des Transaktionscodes SBWP, und überprüfen Sie den Status mithilfe der SOST-Transaktion.

Einschränkungen der SMTP-AUTH-Clientübermittlung

• SCOT speichert Anmeldeinformationen nur für einen Benutzer, sodass nur ein Microsoft 365 Postfach auf diese Weise konfiguriert werden kann. Das Senden von E-Mails über einzelne SAP-Benutzer erfordert die Implementierung der "Send As-Berechtigung", die von Microsoft 365 angeboten wird.
• Microsoft 365 erzwingt einige Sendegrenzwerte. Weitere Informationen finden Sie unter Exchange Online-Grenzwerte – Grenzwerte für Empfangen und Senden.

Option 2: SMTP Direct Send

Microsoft 365 bietet die Möglichkeit, das direkte Senden vom SAP-Anwendungsserver zu konfigurieren. Diese Option ist darauf beschränkt, dass nur E-Mails an Adressen in Ihrer eigenen Microsoft 365-Organisation mit einer gültigen E-Mail-Adresse geroutet werden dürfen. Daher kann sie nicht für externe Empfänger (z. B. Anbieter oder Kunden) verwendet werden.

Option 3: Verwenden des Microsoft 365 SMTP Relay-Connectors

Wählen Sie diese Option nur aus, wenn:

• in der Microsoft 365-Umgebung die SMTP-Authentifizierung deaktiviert ist.
• die SMTP-Clientübermittlung (Option 1) nicht mit Ihren Geschäftsanforderungen oder ihrer SAP-Anwendung kompatibel ist.
• Sie Direct Send (Option 2) nicht verwenden können, da Sie E-Mails an externe Empfänger senden müssen.

SMTP-Relay ermöglicht Microsoft 365 E-Mails in Ihrem Namen zu senden, indem ein Connector verwendet wird, der mit Ihrer öffentlichen IP-Adresse oder einem TLS-Zertifikat konfiguriert ist. Im Vergleich zu den anderen Optionen erhöht die Einrichtung des Connectors die Komplexität.

Anforderungen für SMTP-Relay

• SAP-Parameter: Konfigurierter SAP-Instanzparameter und SMTP-Dienst werden wie in Option 1 erläutert aktiviert. Führen Sie die Schritte 2 bis 4 im Abschnitt "Konfigurieren der SMTP-Authentifizierung mit SCOT" aus.
• E-Mail-Adresse: Jede E-Mail-Adresse in einer Ihrer Microsoft 365 überprüften Domänen. Diese E-Mail-Adresse benötigt kein Postfach. Beispiel: noreply@*yourdomain*.com.
• Transport Layer Security (TLS): Die SAP-Anwendung muss TLS-Version 1.2 und höher verwenden können.
• Port: Port 25 ist erforderlich und muss in Ihrem Netzwerk entsperrt werden. Einige Netzwerk-Firewalls oder ISPs blockieren Ports, insbesondere Port 25, da die Gefahr des Missbrauchs für Spamming besteht.
• MX-Datensatz: Ihr MX-Endpunkt (Mail Exchanger), z. B. yourdomain.mail.protection.outlook.com. Weitere Informationen finden Sie im nächsten Abschnitt.
• Relayzugriff: Für die Authentifizierung beim Relayconnector ist eine öffentliche IP-Adresse oder ein SSL-Zertifikat erforderlich. Um die Konfiguration des direkten Zugriffs zu vermeiden, wird empfohlen, die Quellnetzwerkübersetzung (Source Network Translation, SNAT) zu verwenden, wie in diesem Artikel beschrieben. Verwenden von der Quell-Netzwerkadressenübersetzung (SNAT) für ausgehende Verbindungen

Schritt-für-Schritt-Konfigurationsanweisungen für SMTP-Relay in Microsoft 365

1. Abrufen der öffentlichen (statischen) IP-Adresse des Endpunkts, der die E-Mail sendet, mithilfe einer der im obigen Artikel aufgeführten Methoden. Eine dynamische IP-Adresse wird nicht unterstützt oder zugelassen. Sie können Ihre statische IP-Adresse für andere Geräte und Benutzer freigeben, aber nicht für Personen außerhalb Ihres Unternehmens. Notieren Sie sich diese IP-Adresse zur späteren Nutzung.

   

Hinweis

Die obigen Informationen finden Azure-Portal der Übersicht über den SAP-Anwendungsserver auf virtuellen Computern.

2. Melden Sie sich beim Microsoft 365 Admin Center an.

   

3. Wechseln Sie zu Einstellungen ->Domänen, wählen Sie Ihre Domäne aus (z. B. contoso.com), und suchen Sie den Mail Exchanger(MX)-Datensatz.

   

   Der MX-Datensatz (Mail Exchanger) weist Daten für Adressierpunkte oder Werte auf, die in etwa wie yourdomain.mail.protection.outlook.com aussehen.

4. Notieren Sie sich die Daten für Adressierpunkte oder Werte für den MX-Datensatz (Mail Exchanger), den wir als MX-Endpunkt bezeichnen.

5. Wählen Sie in Microsoft 365 Admin und dann Exchange, um das neue Exchange Admin Center aufzurufen.

   

6. Das Exchange Admin Center (EAC) wird geöffnet.

   

7. Wechseln Sie im Exchange Admin Center (EAC) zu E-Mail-Flow ->Connectoren. Der Bildschirm Connectoren ist unten dargestellt. Wenn Sie mit dem klassischen EAC arbeiten, führen Sie Schritt 8 aus, wie in unserer Dokumentation beschrieben.

   

8. Klicken Sie auf Connector hinzufügen.

   

   Wählen Sie "E-Mail-Server Ihrer Organisation" aus.

   

9. Klicken Sie auf Weiter. Der Bildschirm Connectorname wird angezeigt.

   

10. Geben Sie einen Namen für den Connector an, und klicken Sie auf Weiter. Der Bildschirm Gesendete E-Mail authentifizieren wird angezeigt.

    Wählen Sie Indem Sie überprüfen, dass die IP-Adresse des sendenden Servers mit einer dieser IP-Adressen übereinstimmt, die ausschließlich Ihrer Organisation gehören, und fügen Sie die IP-Adresse aus Schritt 1 der Schritt-für-Schritt-Anleitung zur Konfiguration von SMTP-Relay in Microsoft 365 hinzu.

    

    Überprüfen Sie den Connector, und klicken Sie auf Connector erstellen.

    

    

11. Nachdem Sie nun mit dem Konfigurieren Ihrer Microsoft 365 fertig sind, wechseln Sie zur Website Ihrer Domänenregistrierungsstelle, um Ihre DNS-Datensätze zu aktualisieren. Bearbeiten Sie Ihren SPF-Datensatz (Sender Policy Framework). Fügen Sie die IP-Adresse ein, die Sie sich in Schritt 1 notiert haben. Die fertige Zeichenfolge sollte in etwa so wie v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all aussehen, wobei 10.5.3.2 Ihre öffentliche IP-Adresse ist. Das Überspringen dieses Schritts kann dazu führen, dass E-Mails als Spam gekennzeichnet werden und im Junk-E-Mail-Ordner des Empfängers landen.

Schritte im SAP-Anwendungsserver

1. Stellen Sie sicher ICM dass der SAP ICM-Parameter und der SMTP-Dienst aktiviert sind, wie in Option 1 (Schritte 2-4) erläutert.
2. Wechseln Sie wie in den vorherigen Schritten von Option 1 gezeigt zur SCOT-Transaktion im SMTP-Knoten.
3. Fügen Sie den E-Mail-Host als MX-Eintragswert (Mail Exchanger) hinzu, der in Schritt 4 notiert ist (d. h. yourdomain.mail.protection.outlook.com).

Mailhost: yourdomain.mail.protection.outlook.com

Port: 25

4. Klicken Sie Einstellungen neben dem Feld Sicherheit auf "Einstellungen", und stellen Sie sicher, dass TLS nach Möglichkeit aktiviert ist. Stellen Sie außerdem sicher, dass keine vorherigen Anmeldedaten zur SMTP-Authentifizierung vorhanden sind. Löschen Sie andernfalls vorhandene Datensätze mit der entsprechenden Schaltfläche darunter.

   

5. Testen Sie die Konfiguration mithilfe einer Test-E-Mail aus Ihrer SAP-Anwendung mit der SBWP-Transaktion, und überprüfen Sie den Status in der SOST-Transaktion.

Option 4: Verwenden des SMTP-Relayservers als Vermittler für Exchange Online

Ein Relay-Zwischenserver kann eine Alternative zu einer direkten Verbindung vom SAP-Anwendungsserver zum Microsoft 365 dienen. Dieser Server kann auf jedem E-Mail-Server basieren, der die direkte Authentifizierung und Relaydienste zu ermöglicht.

Der Vorteil dieser Lösung ist, dass sie im Hub eines virtuellen Hub-Spoke-Netzwerks in Ihrer Azure-Umgebung oder in einer DMZ bereitgestellt werden kann, um Ihre SAP-Anwendungshosts vor direktem Zugriff zu schützen. Es ermöglicht auch das zentralisierte ausgehende Routing, um beim Senden von mehreren Anwendungsservern sofort den ganzen E-Mail-Datenverkehr an ein zentrales Relay zu übertragen.

Die Konfigurationsschritte sind die gleichen wie für den Microsoft 365 SMTP Relay Connector (Option 3). Der einzige Unterschied besteht darin, dass die SCOT-Konfiguration auf den Mail-Host verweisen sollte, der das Relay durchführt, und nicht direkt auf Microsoft 365. Je nach Mailsystem, das für das Relay verwendet wird, wird es auch direkt so konfiguriert, dass es sich mit einer der unterstützten Methoden und einem gültigen Benutzer mit Kennwort mit Microsoft 365 verbindet. Es wird empfohlen, eine Test-Mail direkt vom Relay zu senden, um sicherzustellen, dass es erfolgreich mit Microsoft 365 kommunizieren kann, bevor Sie die SAP SCOT-Konfiguration abschließen und wie gewohnt testen.

Die gezeigte Beispielarchitektur veranschaulicht mehrere SAP-Anwendungsserver mit einem einzelnen E-Mail-Relayhost im Hub. Abhängig vom zu sendenden E-Mail-Volumen wird empfohlen, einen detaillierten Größenleitfaden für den E-Mail-Anbieter zu befolgen, der als Relay verwendet werden soll. Dies kann mehrere E-Mail-Relayhosts erfordern, die mit einem Azure Load Balancer arbeiten.

Nächste Schritte

Informationen zum Massenverteiler mit Azure Twilio – SendGrid

Informationen zu den Exchange Online Diensteinschränkungen (z. B. Anlagengröße, Nachrichtengrenzwerte, Drosselung usw.)