Ausgangslage:

SEPPmail Secure E-Mail Gateway soll in Verbindung mit Microsoft M365 / Exchange Online Umgebungen mandantenfähig betrieben werden.

 

Lösung:

Hierfür sind zwingend Certificate based Connectors (CBC) zu verwenden. Dies verhindert unter Umständen auftretende E-Mail-Loops zwischen den jeweiligen Managed Domains unterschiedlicher Mandanten (Customers). Die Exchange Online Outbound Connectoren müssen in einem mandantenfähigen Szenario eindeutig identifizierbar sein.

Hierfür muss ein individuelles SSL-Zertifikat pro Managed Domain konfiguriert werden. Dieses SSL-Zertifikat wird für die Konfiguration des Exchange Online Outbound Connector verwendet.

 

Das SSL-Zertifikat muss im CN-Attribut auf den Domänen-Namen der jeweiligen Managed Domain ausgestellt werden. Der Einsatz von Wildcard-Zertifikaten ist möglich.

 

Sollen mehrere Domains im gleichen Microsoft Tenant den SEPPmail Connector teilen, muss das gleiche SSL-Zertifikat bei allen Managed Domains importiert werden.

 

Konfigurationsanpassung in Exchange Online

 

Exchange Online >> Mail Flow >> Connectors >> [SEPPmail] Appliance -> ExchangeOnline] >> How to identify email sent from your email server >> Edit sent email identity

 

Beim ersten Punkt „By verifying that the the subject name on the certificate...“  die *.domain.tld  pflegen

 

Beispiel  mit CN=securemail.domain.tld

 

 

Weitere Informationen zum Stichwort „Exchange Online Tenant attribution“ in der MS365 Documentation

Office 365 message attribution

Updated requirements for smtp relay through Exchange Online