Historisch setzte Xperience by Kentico – wie viele andere Plattformen – für die E-Mail-Zustellung auf Standard-SMTP mit Basic Authentication (Benutzername und Passwort). Obwohl einfach zu konfigurieren, gilt dieser Weg heute als unsicher und betriebsrisikoreich.

Microsoft hat die Basic Authentication für Exchange Online offiziell abgeschafft und fordert die Nutzung moderner Authentifizierung auf Basis von OAuth 2.0. Diese Änderung beeinflusst direkt, wie Anwendungen innerhalb von Microsoft 365 E-Mails senden dürfen.

Xperience by Kentico unterstützt von Haus aus Standard-SMTP und SendGrid. Die nativen SMTP-Optionen beschränken sich auf Host, Port und statische Zugangsdaten, die mit token-basierter Authentifizierung für Exchange Online nicht kompatibel sind.

Dies erzeugt eine funktionale Lücke für Unternehmen, die Microsoft 365 einsetzen. Ohne Anpassungen müssten sie entweder einen veralteten SMTP-Relay beibehalten oder Sicherheits- und Compliance-Abstriche hinnehmen. Das XperienceCommunity.MicrosoftExchange-Paket schließt diese Lücke, indem es den Standard-SMTP-Anbieter durch einen Microsoft Graph API-Client ersetzt, der den OAuth-Token-Lifecycle automatisch verwaltet – ohne eigene E-Mail-Mikrodienste entwickeln oder pflegen zu müssen.

Vor der Konfiguration der Anwendung muss eine sichere Vertrauensbeziehung zwischen Ihrem Server und Microsoft 365 etabliert werden. Diese Einrichtung erfolgt im Microsoft Azure Portal.

Für die Integration ist eine Microsoft Entra ID App-Registrierung erforderlich. Diese Identität repräsentiert Ihre Xperience-Anwendung in Ihrem Mandanten. Damit das Senden von E-Mails erlaubt ist, muss der Registrierung die Mail.Send-App-Berechtigung aus der Microsoft Graph API erteilt werden.

Kritischer Sicherheitsschritt: Anwendung-Zugriffsrichtlinien

Wichtig zu wissen ist, dass die Mail.Send-Berechtigung standardmäßig der Anwendung erlaubt, E-Mails im Namen beliebiger Nutzer der Exchange-Organisation zu versenden. Aus Sicherheits- und Governance-Sicht ist dies in den meisten Unternehmensumgebungen ein untragbares Risiko.

Um dies einzudämmen, muss in Exchange Online eine Application Access Policy eingerichtet werden. Diese Richtlinie fungiert als Sicherheitsgrenze und beschränkt die Versandrechte der Anwendung auf eine bestimmte Sicherheitsgruppe oder eine definierte Liste von Postfächern (z. B. nur no-reply@yourdomain.com).

Nach Registrierung und Sicherung sind für die Verbindung folgende Werte erforderlich:

• Mandanten-ID (Verzeichnis-ID)
• Client-ID (Anwendungs-ID)
• Client-Geheimnis

Der Integrationsprozess besteht aus drei einfachen Schritten: Installation, Konfiguration und Dienstregistrierung.

1. Installation

Fügen Sie das NuGet-Paket zu Ihrem Xperience by Kentico Webprojekt hinzu:

dotnet add package XperienceCommunity.MicrosoftExchange

2. Konfiguration

Fügen Sie die App-Registrierungsdaten in Ihre appsettings.json-Datei ein. Das Paket verwendet eine Standardkonfigurationssektion namens MicrosoftGraphApiEmailSender. Die Sender-Adresse muss einer gültigen Mailbox in Ihrem Exchange-Mandanten entsprechen, die von der Anwendung verwendet werden darf.

{
  "MicrosoftGraphApiEmailSender": {
    "TenantId": "00000000-0000-0000-0000-000000000000",
    "ClientId": "00000000-0000-0000-0000-000000000000",
    "ClientSecret": "YourEntraIDClientSecret",
    "Sender": "no-reply@yourdomain.com"
  }
}

3. Registrierung

Registrieren Sie den Dienst im Anwendungsstartcode (Program.cs). Diese Erweiterungsmethode ersetzt die Standardimplementierung von IEmailSender im Dependency Injection Container durch den auf der Graph API basierenden Anbieter.

// Registriert den Exchange-E-Mail-Sender mit der Konfiguration aus appsettings.json
builder.Services.AddMicrosoftExchangeEmailSender();

Nach Abschluss dieser Schritte sind keine weiteren Codeänderungen notwendig. Alle System-E-Mails – einschließlich Passwortzurücksetzungen, Workflow-Benachrichtigungen und Formular-Autoantworten – werden automatisch über Exchange Online mit moderner Authentifizierung geleitet.

Während die Standardimplementierung Standard-Text- und HTML-E-Mails unterstützt, erfordern fortgeschrittene Anwendungsfälle möglicherweise zusätzliche Anpassungen. Das Paket ist auf Erweiterbarkeit ausgelegt.

Die Kernlogik befindet sich in der Klasse ExchangeOAuthEmailClient. Durch Vererbung dieser Klasse können Entwickler virtuelle Methoden überschreiben, um benutzerdefiniertes Verhalten zu implementieren, wie z.B.:

• Anhänge – Erweiterung der Nachrichtenkonvertierung zur Behandlung von Dateianhängen oder eingebetteten Bildern.
• Metadaten – Einfügen benutzerdefinierter Internet-Header für Tracking, Auditing oder Compliance.
• Routing – Dynamisches Anpassen der Antwortadresse je nach Empfängerkontext oder Nachrichteninhalt.

Nach Implementierung eines benutzerdefinierten Clients kann dieser anstelle der Standardimplementierung registriert werden und bleibt dabei vollständig kompatibel mit der Xperience E-Mail-Engine.