Интеграция с Exchange Online для отправки сообщений электронной почты из SAP NetWeaver.

Отправка сообщений электронной почты с сервера SAP — это стандартная возможность для таких сценариев, как генерация предупреждений для пакетных заданий, изменения состояния для рабочего процесса SAP или распределение счетов. Многие клиенты установили настройку с помощью локальной среды Exchange Server. При переходе на Microsoft 365 и Exchange Online на эту систему влияет набор подходов, характерных для облачных решений.

В этой статье описывается настройка исходящей электронной почты для обмена данными между системами SAP на основе NetWeaver и Exchange Online. Это относится к SAP ECC, S/4HANA, управляемому SAP RISE и любой другой системе на основе NetWeaver.

Обзор

Ранее такие реализации основывались на проверке подлинности SMTP и доверительных отношениях с повышенными правами, так как устаревшие локальные системы Exchange Server могли размещаться рядом с системой SAP и управлялись клиентами самостоятельно. Но Exchange Online требует нового распределения зон ответственности и новой парадигмы подключения. Корпорация Майкрософт предоставляет Exchange Online в формате предложения SaaS (программное обеспечение как услуга), рассчитанного на безопасное и максимально эффективное использования в любой точке мира через общедоступный Интернет.

Наше стандартное руководство позволит вам лучше понять общую конфигурацию устройства, которое будет отправлять электронную почту через Microsoft 365.

Внимание

Проверка подлинности SMTP была исключена из процесса заката функции базовой проверки подлинности для продолжения поддержки. Однако это риск безопасности для вашего имущества. Ознакомьтесь с последней публикацией нашей команды Exchange Online по этому вопросу.

Рекомендации по настройке

С учетом исключения проверки подлинности SMTP из процесса прекращения поддержки, для SAP NetWeaver поддерживаются четыре разных варианта, которые мы хотим здесь описать. Первые три из них согласуются со сценариями, описанными в документации по Exchange Online.

1. Отправка через клиент проверки подлинности SMTP
2. Прямая отправка SMTP
3. Использование соединителя ретранслятора SMTP из Exchange Online
4. Использование сервера ретранслятора SMTP в качестве посредника для Exchange Online

Для краткости мы будем называть средство администрирования SAP Connect, которое используется для настройки почтового сервера, по коду транзакции SCOT.

Вариант 1. Отправка через клиент проверки подлинности SMTP

Выберите этот вариант, если вы будете отправлять почту пользователям внутри организации и за ее пределами.

Подключите приложение SAP непосредственно к Microsoft 365 в SCOT через конечную точку smtp.office365.com.

Для проверки подлинности с помощью Microsoft 365 потребуется действующий адрес электронной почты. Для сообщений от приложения SAP в качестве отправителя будет указан адрес электронной почты той учетной записи, которая использовалась для проверки подлинности в Microsoft 365.

Требования к проверке подлинности SMTP

• Проверка подлинности SMTP: должна быть включена для используемого почтового ящика. Проверка подлинности SMTP по умолчанию отключена для организаций, создаваемых после января 2020 года, но может быть включена отдельно для каждого почтового ящика. Дополнительные сведения см. в разделе Включение или отключение отправки для аутентифицированного клиента SMTP (SMTP AUTH) в Exchange Online.
• Проверка подлинности: для отправки электронной почты из приложения SAP используйте обычную проверку подлинности (то есть просто имя пользователя и пароль). Если проверка подлинности SMTP намеренно отключена для вашей организации, придется использовать вариант 2, 3 или 4, которые описаны ниже.
• Почтовый ящик: у вас должен быть лицензированный почтовый ящик Microsoft 365 для отправки электронной почты.
• Безопасность транспортного уровня (TLS): используемое приложение SAP должно уметь работать с протоколом TLS версии 1.2 или выше.
• Порт: порт 587 (рекомендуется) или порт 25 является обязательным и должен быть разблокирован в сети. Некоторые сетевые брандмауэры и поставщики услуг Интернета блокируют эти порты, особенно порт 25, так как он используется серверами для отправки почты.
• DNS: используйте DNS-имя smtp.office365.com. Не пытайтесь использовать IP-адрес сервера Microsoft 365, так как IP-адреса здесь не поддерживаются.

Включение проверки подлинности SMTP для почтовых ящиков в Exchange Online

У вас есть два способа включить проверку подлинности SMTP в Exchange Online:

1. Для одной учетной записи (для отдельного почтового ящика), которая переопределяет параметр на уровне клиента или
2. на уровне организации.

Примечание.

Если обычная проверка подлинности для SMTP отключена политикой проверки подлинности, клиенты не смогут использовать протокол проверки подлинности SMTP, даже если вы включите описанные в этой статье параметры.

Проверку подлинности SMTP можно включить отдельно для каждого почтового ящика, настроив соответствующий параметр в центре администрирования Microsoft 365 или с помощью PowerShell для Exchange Online.

1. Откройте центр администрирования Microsoft 365 и перейдите к разделу Пользователи — >Активные пользователи.

   

2. Выберите нужного пользователя и следуйте указаниям мастера, затем щелкните Почта.

3. В разделе Приложения электронной почты щелкните Управление приложениями электронной почты.

   

4. Проверьте значение параметра SMTP с проверкой подлинности (он будет отключен, если флажок снят, и наоборот).

   

5. Сохранить изменения.

Эта процедура включает проверку подлинности SMTP для отдельного пользователя Exchange Online, которого вы намерены использовать для SCOT.

Настройка SCOT для проверки подлинности SMTP

1. Выполните проверку связи или команду telnet для адреса smtp.office365.com и порта 587 с сервера приложений SAP, чтобы проверить доступность этих портов.

   

2. Убедитесь, что в профиле экземпляра настроен параметр для SAP ICM (Internet Communication Manager). Пример см. ниже:

   параметр	значение
   icm/server-port-1	PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

3. Перезапустите службу ICM из транзакции SMICM и убедитесь, что служба SMTP активна.

   

4. Активация службы SAPConnect в транзакции SICF.

   

5. Перейдите к SCOT и двойным щелчком выберите узел SMTP, как показано ниже, чтобы продолжить настройку:

   

   Добавьте почтовый узел smtp.office365.com и укажите для него порт 587. Дополнительные сведения вы найдете в документации по Exchange Online.

   

   Нажмите кнопку "Параметры" (рядом с полем "Безопасность"), если вам нужно добавить параметры TLS и сведения об обычной проверке подлинности, как описано в пункте 2. Убедитесь, что правильно настроен параметр ICM.

   Убедитесь, что указаны допустимые значения идентификатора электронной почты Microsoft 365 и пароля. Не забывайте, что это должен быть тот же пользователь, для которого вы в начале процедуры включили проверку подлинности SMTP. Этот идентификатор электронной почты будет отображаться как отправитель.

   

   Вернитесь к предыдущему экрану и нажмите кнопку "Задать", а затем установите флажок "Интернет" в разделе "Supported Address Types" (Поддерживаемые типы адресов). С помощью параметра подстановочного знака "*" можно отправлять сообщения электронной почты всем доменам без ограничений.

   

   

   Следующий шаг: задайте в SCOT домен по умолчанию.

   

   

6. Запланируйте задание для отправки сообщения электронной почты в очередь отправки. В разделе SCOT выберите "Отправить задание":

   

   Укажите имя задания и вариант, если применимо.

   

   Протестируйте отправку почты, используя код транзакции SBWP, и проверьте состояние с помощью транзакции SOST.

Ограничения на отправку почты клиентом проверки подлинности SMTP

• SCOT хранит учетные данные для входа только для одного пользователя, поэтому так можно настроить только один почтовый ящик Microsoft 365. Чтобы отправлять почту от разных пользователей SAP, необходимо настроить для Microsoft 365 разрешение отправки от имени.
• Microsoft 365 применяет некоторые ограничения на отправку. Дополнительные сведения см. в разделе Ограничения Exchange Online — получение и отправка.

Вариант 2. Прямая отправка SMTP

Microsoft 365 позволяет настроить прямую отправку с сервера приложений SAP. Этот вариант имеет дополнительное ограничение, так как поддерживает маршрутизацию почты только на адреса в собственной организации Microsoft 365 с допустимым адресом электронной почты. Его не удастся применить для отправки сообщений внешним получателям (например, поставщикам или клиентам).

Вариант 3. Использование соединителя ретранслятора SMTP для Microsoft 365

Выбирайте этот вариант только при соблюдении следующих условий:

• в среде Microsoft 365 отключена проверка подлинности SMTP;
• отправка через SMTP-клиент (вариант 1) не соответствует потребностям вашего бизнеса или ограничениям приложения SAP;
• прямую отправку (вариант 2) использовать невозможно, так как вам нужно отправлять сообщения электронной почты внешним получателям.

Ретранслятор SMTP позволяет Microsoft 365 ретранслировать сообщения электронной почты от вашего имени через соединитель, для которого вы настроите общедоступный IP-адрес или сертификат TLS. По сравнению с другими вариантами соединитель сложнее устанавливать и настраивать.

Требования к ретранслятору SMTP

• Параметр SAP: настроенный параметр экземпляра SAP и активированная служба SMTP, как описано для варианта 1 в шагах 2–4 раздела "Настройка SCOT для проверки подлинности SMTP".
• Адрес электронной почты: любой адрес электронной почты в одном из проверенных доменов Microsoft 365. Для этого адреса электронной почты не требуется почтовый ящик. Например, noreply@*yourdomain*.com.
• Протокол TLS: используемое приложение SAP должно поддерживать работу с протоколом TLS версии 1.2 или выше.
• Порт: порт 25 является обязательным и должен быть разблокирован в сети. Некоторые сетевые брандмауэры или поставщики услуг Интернета блокируют порты, особенно порт 25, так как он может использоваться для рассылки нежелательной почты.
• Запись MX: должна быть настроена конечная точка обмена почтой (MX), например [доменное_имя].mail.protection.outlook.com. Дополнительные сведения см. в следующем разделе.
• Доступ к ретранслятору: для проверки подлинности в соединителе ретранслятора требуется общедоступный IP-адрес или SSL-сертификат. Чтобы не настраивать прямой доступ, мы рекомендуем применить преобразование SNAT, как описано в этой статье. Использование преобразования исходных сетевых адресов (SNAT) для исходящих подключений.

Пошаговые инструкции по настройке ретранслятора SMTP в Microsoft 365

1. Получите общедоступный (статический) IP-адрес конечной точки, которая будет отправлять почту, выбрав один из методов, описанных в приведенной выше статье. Динамический IP-адрес не поддерживается и не допускается. Вы можете предоставить общий доступ к статическому IP-адресу другим устройствам или пользователям, но только в пределах вашей организации. Запишите этот IP-адрес для последующего использования.

   

Примечание.

Найдите указанные выше данные на портале Azure, в разделе обзорных сведений виртуальной машины для сервера приложений SAP.

2. Выполните вход в центр администрирования Microsoft 365.

   

3. Перейдите к разделу Параметры - >Домены, выберите нужный домен (например, contoso.com) и найдите запись MX.

   

   Запись MX будет содержать в поле Points to address or value (Указывает на адрес или значение) значение следующего вида: yourdomain.mail.protection.outlook.com.

4. Запишите значение Points to address or value (Указывает на адрес или значение), которое указано для записи MX. Мы будем использовать его в качестве конечной точки MX.

5. в Microsoft 365 выберите администратор, а затем Exchange, чтобы открыть новый центр администрирования Exchange.

   

6. Откроется новый портал центра администрирования Exchange.

   

7. В центре администрирования Exchange перейдите в раздел Поток обработки почты — >Соединители. Ниже представлен экран Соединители. Если вы работаете с классическим центром администрирования Exchange, выполните шаг 8 из нашей документации.

   

8. Щелкните Добавить соединитель

   

   Выберите "Почтовый сервер вашей организации".

   

9. Нажмите кнопку Далее. Появится экран Имя соединителя.

   

10. Предоставьте имя соединителя и щелкните Далее. Появится экран Проверка подлинности отправленного сообщения электронной почты.

    выберите , убедившись, что ip-адрес отправляющего сервера соответствует одному из ip-адресов, которые относятся только к вашей организации, и добавьте ip-адрес из шага 1 пошаговой инструкции по настройке для ретранслятора SMTP в Microsoft 365 разделе.

    

    Проверьте все данные и щелкните Создать соединитель.

    

    

11. Итак, вы закончили настройку параметров Microsoft 365. Теперь перейдите на веб-сайт регистратора домена, чтобы обновить записи DNS. Изменение запись SPF (платформа политики отправителя). Укажите IP-адрес, который вы записали на шаге 1. Итоговая строка должна выглядеть примерно так: v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all, где 10.5.3.2 обозначает ваш общедоступный IP-адрес. Если вы пропустите этот шаг, сообщения ваши электронной почты могут помечаться как спам и попадать у получателя в папку для нежелательной почты.

Действия на сервере приложений SAP

1. Убедитесь, что параметр SAP ICM и служба SMTP активированы, как описано в варианте 1 (шаги 2–4).
2. Перейдите в транзакцию SCOT на узле SMTP, как показано на предыдущих шагах в варианте 1.
3. Добавьте почтовый узел, указав запись MX, которую вы записали на шаге 4 (например, yourdomain.mail.protection.outlook.com).

Почтовый узел: yourdomain.mail.protection.outlook.com

Порт: 25

4. Щелкните "Параметры" рядом с полем "Безопасность" и убедитесь, что включен протокол TLS, если он поддерживается. Также убедитесь, что здесь нет никаких старых данных для входа в систему, которые могли относиться к проверке подлинности SMTP. В противном случае удалите эти записи с помощью соответствующей кнопки внизу.

   

5. Протестируйте конфигурацию, отправив тестовое сообщение из приложения SAP с помощью транзакции SBWP и проверьте состояние в транзакции SOST.

Вариант 4. Использование сервера ретранслятора SMTP в качестве посредника для Exchange Online

Промежуточный сервер ретрансляции можно настроить вместо прямого подключения от сервера приложений SAP к Microsoft 365. В качестве этого сервера можно применить любой почтовый сервер, который поддерживает прямую проверку подлинности и возможности ретранслятора.

Преимущество этого решения заключается в том, что его можно развернуть в виртуальной сети концентратора звездообразной топологии в среде Azure или в сети периметра, что позволяет защитить узлы приложений SAP от прямого доступа. Кроме того, она позволяет организовать централизованную маршрутизацию исходящего трафика, чтобы незамедлительно передавать на центральный ретранслятор весь почтовый трафик, отправляемый с нескольких серверов приложений.

Этапы настройки будут те же, что и для соединителя ретранслятора SMTP Microsoft 365 (вариант 3), с одним отличием: конфигурация SCOT должна ссылаться на почтовый узел, который будет выполнять ретранслятор, а не прямо на сервер Microsoft 365. В зависимости от используемой на ретрансляторе почтовой системы, он может подключаться напрямую к Microsoft 365, используя любой из поддерживаемых методов и допустимого пользователя с паролем. Мы рекомендуем отправить тестовое сообщение прямо с ретранслятора и убедиться, что он может успешно обмениваться данными с сервером Microsoft 365, прежде чем завершать настройку SCOT для SAP и тестирования системы в рабочем режиме.

Следующий пример архитектуры демонстрирует несколько серверов приложений SAP и один почтовый ретранслятор в сети концентратора. В зависимости от объема отправляемых сообщений выполните действия из подробного руководству по выбору размера для поставщика почты, который будет использоваться в качестве ретранслятора. Для этого может потребоваться несколько узлов почтовых ретрансляторов в сочетании с Azure Load Balancer.

Next Steps

Общие сведения о массовой рассылке с использованием Azure Twilio-SendGrid

Общие сведения об ограничениях служб Exchange Online (размеры вложений, количество сообщений, регулирование и так далее)