/
sproof Sign: Mailserver via Exchange Graph API

sproof Sign: Mailserver via Exchange Graph API

1. Einrichtung der App-Registrierung

Um eine stabile und wartungsarme Verbindung zu gewährleisten, wird ein dedizierter Service Account in Microsoft Entra ID empfohlen.

  • Berechtigungstyp: Verwenden Sie Application Permissions anstelle von delegierten Berechtigungen.

  • Erforderlicher Umfang:

    Mail.Send

  • Vorteil: Im Gegensatz zu delegierten Berechtigungen erfordern Application Permissions keine manuelle erneute Authentifizierung (interaktives Login) durch einen Nutzer. Dies verhindert Verbindungsunterbrechungen, die durch abgelaufene Tokens oder Passwortänderungen verursacht werden.

 

2. Postfachkonfiguration

Wir empfehlen die Verwendung eines gemeinsamen Postfachs in Kombination mit einem Service User.

  • Kostenersparnis: Gemeinsame Postfächer benötigen in der Regel keine separate Exchange-Lizenz (für Größen bis zu 50 GB).

  • Struktur: Die Anwendung authentifiziert sich über den Service User, sendet jedoch E-Mails mit der Adresse des gemeinsamen Postfachs.

 

3. Sicherheitshinweis: Zugriffsbeschränkung

Standardmäßig erlaubt die

Mail.Send

Application Permission der App, E-Mails im Namen von beliebigen Nutzern innerhalb der Organisation zu senden.

Wichtige Sicherheitsempfehlung: Wenn Sie den Zugriff auf ein bestimmtes Postfach beschränken möchten, müssen Sie eine Application Access Policy in Exchange Online konfigurieren. Dadurch wird sichergestellt, dass die App technisch nur berechtigt ist, von den definierten Adressen zu senden.