Zabezpečené doručení e-mailů v Xperience by Kentico: integrace s Microsoft Exchange Online přes Graph API

02. 02. 2026

Milan Šůstek

Spolehlivé doručení e-mailů už není jen technickým detailem – je kritickou záležitostí bezpečnosti, souladu a provozní spolehlivosti moderních digitálních platforem. Ať už posíláte obnovení hesla, automatické odpovědi z formulářů nebo transakční oznámení, základní mechanismus e-mailů musí být robustní, auditovatelný a v souladu s aktuálními bezpečnostními standardy.

Pro organizace v ekosystému Microsoft 365 je častým preferovaným architektonickým řešením integrace Xperience by Kentico přímo s Microsoft Exchange Online. Umožňuje firmám využívat stávající podnikové infrastruktury a zároveň splňovat moderní požadavky na autentizaci Microsoftu.

Open-source balíček XperienceCommunity.MicrosoftExchange poskytuje zjednodušené propojení mezi Xperience by Kentico a Exchange Online. Tato integrace využívá Microsoft Graph API a moderní OAuth 2.0 autentizaci, nahrazující staré SMTP řešení, což zajišťuje vyšší bezpečnost, lepší doručitelnost a dlouhodobou kompatibilitu platformy.

Motivace: Přesah základní autentizace

Historicky Xperience by Kentico – stejně jako mnoho jiných platforem – spoléhalo na standardní SMTP s Basic Authentication (uživatelské jméno a heslo) pro doručení e-mailů. Ačkoliv byla konfigurace jednoduchá, dnes je tento přístup považován za nezabezpečený a rizikový.

Microsoft oficiálně ukončil podporu Basic Authentication pro Exchange Online a požaduje použití Moderní autentizace založené na OAuth 2.0. Tato změna přímo ovlivňuje způsob, jakým aplikace mohou odesílat e-maily v prostředí Microsoft 365.

Xperience by Kentico podporuje standardní SMTP a integraci se SendGridem. Nativní SMTP možnosti jsou omezené na hostitele, port a statické přihlašovací údaje, což je nekompatibilní s tokenovou autentizací požadovanou Exchange Online.

To vytváří funkční mezeru pro organizace, které jsou standardizované na Microsoft 365. Bez dodatečné úpravy musí buď udržovat starý SMTP, nebo dělat kompromisy v bezpečnosti. Balíček Xperience.Community.MicrosoftExchange tuto mezeru zaceluje nahrazením výchozího SMTP poskytovatele klientem Microsoft Graph API, který automaticky spravuje životní cyklus OAuth tokenů.

💡 Pohled CTO

Není to jen technické omezení SMTP. Přechod Microsoftu na OAuth 2.0 znamená, že doručení e-mailů nyní musí dodržovat stejné bezpečnostní principy jako autentizace uživatelů a přístup k API.

Požadavky Azure a bezpečnostní aspekty

Před konfigurací aplikace je třeba nastavit bezpečný vztah důvěry mezi vaším serverem a Microsoft 365. Toto nastavení se provádí v Microsoft Azure portálu.

Pro integraci je potřebná registrace aplikace v Microsoft Entra ID. Tato identita představuje vaši Xperience aplikaci v rámci vašeho tenant. Pro povolení odesílání e-mailů musí registraci být udělena aplikace oprávnění Mail.Send z Microsoft Graph API.

Kritický bezpečnostní krok: pravidla přístupu aplikace

Je důležité pochopit, že oprávnění Mail.Send standardně umožňuje aplikaci odesílat e-maily jako kterýkoli uživatel v Exchange organizaci. Z hlediska bezpečnosti a správy je to v mnoha podnicích nepřijatelně vysoké riziko.

Pro zmírnění je třeba v Exchange Online nastavit pravidlo přístupu aplikace. Toto pravidlo slouží jako bezpečnostní hranice a omezuje možnosti odesílání aplikace na konkrétní bezpečnostní skupinu nebo definovaný seznam mailboxů (například jen no-reply@yourdomain.com).

Implementací tohoto pravidla organizace zajistí, že i v případě kompromitace přihlašovacích údajů aplikace bude dopad omezen pouze na zamýšlené servisní účty. Podrobné návody pro konfiguraci těchto pravidel najdete v oficiální dokumentaci Microsoftu o omezování oprávnění aplikací na konkrétní Exchange Online schránky.

Podrobné pokyny ke konfiguraci těchto zásad najdete v oficiální dokumentaci společnosti Microsoft k tématu Omezení (scoping) oprávnění aplikace na konkrétní poštovní schránky v Exchange Online.

Po registraci a zabezpečení jsou pro propojení systémů potřeba tyto hodnoty:

Tenant ID (ID adresáře)
Client ID (ID aplikace)
Client Secret

Nastavení a konfigurace

Proces integrace se skládá ze tří jednoduchých kroků: instalace, konfigurace a registrace služby.

1. Instalace

Přidejte balíček NuGet do svého webového projektu Xperience by Kentico:


dotnet add package XperienceCommunity.MicrosoftExchange

2. Konfigurace

Přidejte přihlašovací údaje App Registration do souboru appsettings.json. Balíček používá výchozí konfigurační sekci nazvanou MicrosoftGraphApi. Adresa Sender musí odpovídat platné schránce v rámci vašeho Exchange tenant, kterou má aplikace oprávnění používat.


{
  "MicrosoftGraphApiEmailSender": {
    "TenantId": "00000000-0000-0000-0000-000000000000",
    "ClientId": "00000000-0000-0000-0000-000000000000",
    "ClientSecret": "YourEntraIDClientSecret",
    "Sender": "no-reply@yourdomain.com"
  }
}

3. Registrace

Zaregistrujte službu v inicializačním kódu aplikace (Program.cs). Tato rozšiřující metoda nahradí výchozí implementaci IEmailSender v kontejneru Dependency Injection poskytovatelem založeným na Graph API.


// Registruje odesílatele e-mailů Exchange pomocí konfigurace z appsettings.json
builder.Services.AddMicrosoftExchangeEmailSender();

Po dokončení těchto kroků již není potřeba měnit kód. Všechny systémové e-maily — včetně obnovení hesla, notifikací pracovního postupu a automatických odpovědí formulářů — jsou automaticky směrovány přes Exchange Online s využitím moderní autentizace.

Rozšiřitelnost a přizpůsobení

Zatímco výchozí implementace podporuje standardní textové a HTML e-maily, složitější scénáře mohou vyžadovat další přizpůsobení. Balíček je navržený s ohledem na rozšiřitelnost.

Jádro logiky je v třídě ExchangeOAuthEmailClient. Vytvořením podtřídy tohoto klienta mohou vývojáři přepsat virtuální metody a zavést vlastní chování, například:

Přílohy – rozšíření logiky převodu zprávy pro práci s přílohami nebo vloženými obrázky.
Metadata – vkládání vlastních internetových hlaviček pro sledování, audit nebo dodržování pravidel.
Směrování – dynamická změna adresy pro odpověď podle kontextu příjemce nebo obsahu zprávy.

Jakmile je vlastní klient implementován, může být zaregistrován místo výchozí implementace a zůstane plně kompatibilní s e-mailovým enginem Xperience.

💡

Balíček XperienceCommunity.MicrosoftExchange nabízí moderní, bezpečný a standardům vyhovující způsob integrace doručování e-mailů do projektů Xperience by Kentico běžících na Microsoft 365.

Díky odstranění složitostí autentizace Microsoft Graph API a flexibilnímu modelu rozšíření umožňuje organizacím udržovat bezpečnou a spolehlivou e-mailovou komunikaci bez závislosti na zastaralých SMTP mechanismech.

Pro týmy fungující výhradně v prostředí OAuth toto řešení sladí doručování e-mailů s dlouhodobou bezpečnostní strategií Microsoftu a zároveň minimalizuje provozní náklady.

Bluesoft je vývojová společnost specializující se na zakázková webová řešení, e-commerce platformy a digitální aplikace. Více než 16 let jsme Kentico Gold Partner a patříme mezi nejzkušenější implementační týmy v regionu.

Realizujeme také projekty na Kontent.ai a Umbraco, podporujeme střední a velké firmy jako Škoda Auto, Sazka a E.ON. Naše řešení pravidelně získávají ocenění Kentico Site of the Year, což potvrzuje kvalitu a dlouhodobou spolehlivost naší práce.

Jako součást skupiny BIQ sdružujeme přes 460 odborníků a úspěšně jsme dodali více než 1 500 projektů.

👉 Napište nám přes kontaktní formulář a náš tým se vám ozve.

Chcete vědět více? Položte nám otázku

Vaše zpráva:

Vyber zemi:

Odesláním formuláře souhlasíte se zpracováním osobních údajů

Je pro nás důležitý přímý kontakt klienty. Konzultace, prezentace provádíme u nás, online nebo přímo u Vás. Neváhejte se nám ozvat s dotazem či bližší specifikací Vaší poptávky.