Exchange Online-integrering för utgående e-post från SAP NetWeaver

Att skicka e-postmeddelanden från SAP-serverdelen är en standardfunktion som är allmänt distribuerad för användningsfall, till exempel aviseringar för batchjobb, ändringar av SAP-arbetsflödestillstånd eller fakturadistribution. Många kunder etablerade konfigurationen med exchange server lokalt. Med en övergång till Microsoft 365 och Exchange Online kommer en uppsättning molnbaserade metoder som påverkar den konfigurationen.

I den här artikeln beskrivs konfigurationen för utgående e-postkommunikation från NetWeaver-baserade SAP-system till Exchange Online. Detta gäller för SAP ECC, S/4HANA, SAP RISE managed och alla andra NetWeaver-baserade system.

Översikt

Befintliga implementeringar förlitade sig på SMTP-autentisering och förhöjd förtroenderelation eftersom den äldre Exchange Server lokalt kunde leva nära själva SAP-systemet och styrdes av kunderna själva. Med Exchange Online sker en förändring i ansvars- och anslutningsparadigm. Microsoft tillhandahåller Exchange Online som ett software-as-a-service-erbjudande som skapats för att användas på ett säkert och så effektivt sätt som möjligt från var som helst i världen via det offentliga Internet.

Följ vår standardguide för att förstå den allmänna konfigurationen av en "enhet" som vill skicka e-post via Microsoft 365.

Viktigt!

SMTP-autentisering har undantagits från den grundläggande autentiseringsfunktionens solnedgångsprocess för fortsatt support. Detta är dock en säkerhetsrisk för din egendom. Se det senaste inlägget från vårt Exchange Online-team i frågan.

Konfigurationsöverväganden

Med tanke på sunset-exception för SMTP-autentisering finns det fyra olika alternativ som stöds av SAP NetWeaver som vi vill beskriva. De första tre korrelerar med de scenarier som beskrivs i Exchange Online-dokumentationen.

1. SMTP-autentiseringsklientöverföring
2. SMTP-direktsändning
3. Använda Exchange Online SMTP Relay Connector
4. Använda SMTP Relay-servern som mellanhand till Exchange Online

Korthet finns i administrationsverktyget för SAP Connect som endast används för e-postserverkonfigurationen med dess transaktionskod SCOT.

Alternativ 1: SMTP-autentiseringsklientöverföring

Välj det här alternativet när du vill skicka e-post till personer inom och utanför organisationen.

Anslut SAP-program direkt till Microsoft 365 med SMTP Auth-slutpunkten smtp.office365.com i SCOT.

En giltig e-postadress krävs för att autentisera med Microsoft 365. E-postadressen för det konto som används för att autentisera med Microsoft 365 visas som avsändare av meddelanden från SAP-programmet.

Krav för SMTP AUTH

• SMTP AUTH: Måste aktiveras för postlådan som används. SMTP AUTH är inaktiverat för organisationer som skapats efter januari 2020 men kan aktiveras per postlåda. Mer information finns i Aktivera eller inaktivera autentiserad klient-SMTP-sändning (SMTP-autentisering) i Exchange Online.
• Autentisering: Använd grundläggande autentisering (vilket helt enkelt är ett användarnamn och lösenord) för att skicka e-post från SAP-programmet. Om SMTP AUTH avsiktligt har inaktiverats för organisationen måste du använda alternativ 2, 3 eller 4 nedan.
• Postlåda: Du måste ha en licensierad Microsoft 365-postlåda för att kunna skicka e-post från.
• Transport Layer Security (TLS): DITT SAP-program måste kunna använda TLS version 1.2 och senare.
• Port: Port 587 (rekommenderas) eller port 25 krävs och måste avblockeras i nätverket. Vissa nätverksbrandväggar eller Internettjänstleverantörer blockerar portar, särskilt port 25, eftersom det är den port som e-postservrar använder för att skicka e-post.
• DNS: Använd DNS-namnet smtp.office365.com. Använd inte en IP-adress för Microsoft 365-servern eftersom IP-adresser inte stöds.

Aktivera SMTP-autentisering för postlådor i Exchange Online

Det finns två sätt att aktivera SMTP AUTH i Exchange Online:

1. För ett enda konto (per postlåda) som åsidosätter inställningen för hela klientorganisationen eller
2. på organisationsnivå.

Kommentar

Om din autentiseringsprincip inaktiverar grundläggande autentisering för SMTP kan klienter inte använda SMTP AUTH-protokollet även om du aktiverar inställningarna som beskrivs i den här artikeln.

Inställningen per postlåda för att aktivera SMTP AUTH är tillgänglig i administrationscentret för Microsoft 365 eller via Exchange Online PowerShell.

1. Öppna Administrationscenter för Microsoft 365 och gå till Användare –> aktiva användare.

   

2. Välj användaren, följ guiden och klicka på E-post.

3. I avsnittet E-postappar klickar du på Hantera e-postappar.

   

4. Kontrollera inställningen Autentiserad SMTP (avmarkerad = inaktiverad, markerad = aktiverad)

   

5. Spara ändringar.

Detta aktiverar SMTP AUTH för den enskilda användaren i Exchange Online som du behöver för SCOT.

Konfigurera SMTP-autentisering med SCOT

1. Ping eller telnet smtp.office365.com på port 587 från SAP-programservern för att se till att portarna är öppna och tillgängliga.

   

2. Kontrollera att parametern SAP Internet Communication Manager (ICM) har angetts i instansprofilen. Se nedan ett exempel:

   parameter	värde
   icm/server-port-1	PROT=SMTP,PORT=25000,TIMEOUT=180,TLS=1

3. Starta om ICM-tjänsten från SMICM-transaktionen och kontrollera att SMTP-tjänsten är aktiv.

   

4. Aktivera SAPConnect-tjänsten i SICF-transaktion.

   

5. Gå till SCOT och välj SMTP-nod (dubbelklicka) enligt nedan för att fortsätta med konfigurationen:

   

   Lägg till e-postvärd smtp.office365.com med port 587. Se Exchange Online-dokumenten för referens.

   

   Klicka på knappen Inställningar (bredvid fältet Säkerhet) för att lägga till TLS-inställningar och grundläggande autentiseringsinformation enligt punkt 2 om det behövs. Kontrollera att ICM-parametern har angetts i enlighet med detta.

   Se till att använda ett giltigt e-post-ID och lösenord för Microsoft 365. Dessutom måste det vara samma användare som du har aktiverat för SMTP-autentisering i början. Det här e-post-ID:t visas som avsändare.

   

   Kommer tillbaka till föregående skärm: Klicka på knappen "Ange" och kontrollera "Internet" under "Adresstyper som stöds". Med alternativet "*" med jokertecken kan du skicka e-postmeddelanden till alla domäner utan begränsning.

   

   

   Nästa steg: Ange standarddomän i SCOT.

   

   

6. Schemalägg jobb för att skicka e-post till insändningskön. Från SCOT väljer du "Skicka jobb":

   

   Ange ett jobbnamn och en variant om det är lämpligt.

   

   Testa e-postöverföring med transaktionskoden SBWP och kontrollera statusen med hjälp av SOST-transaktionen.

Begränsningar för SMTP AUTH-klientöverföring

• SCOT lagrar inloggningsuppgifter för endast en användare, så endast en Microsoft 365-postlåda kan konfigureras på det här sättet. Om du skickar e-post via enskilda SAP-användare måste du implementera "Skicka som-behörighet" som erbjuds av Microsoft 365.
• Microsoft 365 inför vissa sändningsgränser. Mer information finns i Exchange Online-gränser – Ta emot och skicka gränser .

Alternativ 2: SMTP Direct Send

Microsoft 365 erbjuder möjligheten att konfigurera direktsändning från SAP-programservern. Det här alternativet är begränsat eftersom det endast tillåter att e-post dirigeras till adresser i din egen Microsoft 365-organisation med en giltig e-postadress och därför inte kan användas för externa mottagare (t.ex. leverantörer eller kunder).

Alternativ 3: Använda Microsoft 365 SMTP Relay Connector

Välj bara det här alternativet när:

• Din Microsoft 365-miljö har SMTP AUTH inaktiverat.
• SMTP-klientöverföring (alternativ 1) är inte kompatibel med dina affärsbehov eller med ditt SAP-program.
• Du kan inte använda direktsändning (alternativ 2) eftersom du måste skicka e-post till externa mottagare.

SMTP Relay låter Microsoft 365 vidarebefordra e-postmeddelanden åt dig genom att använda en anslutningsapp som har konfigurerats med din offentliga IP-adress eller ett TLS-certifikat. Jämfört med de andra alternativen ökar konfigurationen av anslutningsappen komplexiteten.

Krav för SMTP Relay

• SAP-parameter: SAP-instansparametern konfigurerad och SMTP-tjänsten aktiveras enligt alternativ 1. Följ steg 2 till 4 i avsnittet "Konfigurera SMTP-autentisering med SCOT".
• E-postadress: Alla e-postadresser i en av dina Microsoft 365-verifierade domäner. Den här e-postadressen behöver ingen postlåda. Exempel: noreply@*yourdomain*.com
• Transport Layer Security (TLS): SAP-programmet måste kunna använda TLS version 1.2 och senare.
• Port: port 25 krävs och måste avblockeras i nätverket. Vissa nätverksbrandväggar eller Internetleverantörer blockerar portar, särskilt port 25 på grund av risken för missbruk för skräppost.
• MX-post: din MX-slutpunkt (Mail Exchanger) för t.ex. yourdomain.mail.protection.outlook.com. Mer information finns i nästa avsnitt.
• Reläåtkomst: En offentlig IP-adress eller ett SSL-certifikat krävs för att autentisera mot reläanslutningen. För att undvika att konfigurera direktåtkomst rekommenderar vi att du använder SNAT (Source Network Translation) enligt beskrivningen i den här artikeln. Använd SNAT (Source Network Address Translation) för utgående anslutningar.

Stegvisa konfigurationsinstruktioner för SMTP Relay i Microsoft 365

1. Hämta den offentliga (statiska) IP-adressen för slutpunkten som skickar e-postmeddelandet med någon av metoderna som anges i artikeln ovan. En dynamisk IP-adress stöds inte eller tillåts inte. Du kan dela din statiska IP-adress med andra enheter och användare, men dela inte IP-adressen med någon utanför företaget. Anteckna den här IP-adressen för senare.

   

Kommentar

Hitta ovanstående information om Azure Portal med hjälp av översikten över den virtuella datorn för SAP-programservern.

2. Logga in på administrationscentret för Microsoft 365.

   

3. Gå till Inställningar –> Domäner, välj din domän (till exempel contoso.com) och leta upp posten Mail Exchanger (MX).

   

   Posten Mail Exchanger (MX) har data för punkter till adress eller värde som ser ut ungefär yourdomain.mail.protection.outlook.comsom .

4. Anteckna data för punkter till adress eller värde för posten Mail Exchanger (MX), som vi kallar din MX-slutpunkt.

5. I Microsoft 365 väljer du Administratör och sedan Exchange för att gå till det nya administrationscentret för Exchange.

   

6. Den nya EAC-portalen (Exchange Admin Center) öppnas.

   

7. I Administrationscenter för Exchange (EAC) går du till E-postflöde –>Anslutningsappar. Skärmen Anslutningsappar visas nedan. Om du arbetar med det klassiska EAC följer du steg 8 enligt beskrivningen i våra dokument.

   

8. Klicka på Lägg till en anslutningsapp

   

   Välj "Din organisations e-postserver".

   

9. Klicka på Nästa. Skärmen Anslutningsnamn visas.

   

10. Ange ett namn för anslutningsappen och klicka på Nästa. Skärmen Autentisera skickat e-postmeddelande visas.

    Välj Genom att kontrollera att IP-adressen för den sändande servern matchar en av dessa IP-adresser som uteslutande tillhör din organisation och lägg till IP-adressen från steg 1 i stegvisa konfigurationsinstruktioner för SMTP Relay i Microsoft 365-avsnittet .

    

    Granska och klicka på Skapa anslutningsapp.

    

    

11. Nu när du är klar med att konfigurera dina Microsoft 365-inställningar går du till domänregistratorns webbplats för att uppdatera dina DNS-poster. Redigera din SPF-post (Sender Policy Framework). Ta med IP-adressen som du antecknade i steg 1. Den färdiga strängen bör se ut ungefär så här v=spf1 ip4:10.5.3.2 include:spf.protection.outlook.com \~all, där 10.5.3.2 är din offentliga IP-adress. Om du hoppar över det här steget kan e-postmeddelanden flaggas som skräppost och hamna i mottagarens skräppostmapp.

Steg i SAP-programservern

1. Kontrollera att SAP ICM-parametern och SMTP-tjänsten är aktiverade enligt beskrivningen i alternativ 1 (steg 2–4)
2. Gå till SCOT-transaktion i SMTP-noden enligt föregående steg i alternativ 1.
3. Lägg till postvärdet e-postvärd som E-postväxlare (MX) som anges i steg 4 (dvs. yourdomain.mail.protection.outlook.com).

E-postvärd: yourdomain.mail.protection.outlook.com

Port: 25

4. Klicka på "Inställningar" bredvid fältet Säkerhet och kontrollera att TLS är aktiverat om möjligt. Kontrollera också att inga tidigare inloggningsdata om SMTP AUTH finns. Annars tar du bort befintliga poster med motsvarande knapp under.

   

5. Testa konfigurationen med hjälp av ett testmeddelande från SAP-programmet med transaktions-SBWP och kontrollera statusen i SOST-transaktionen.

Alternativ 4: Använda SMTP Relay-servern som mellanhand till Exchange Online

En mellanliggande reläserver kan vara ett alternativ till en direktanslutning från SAP-programservern till Microsoft 365. Den här servern kan baseras på valfri e-postserver som tillåter direkt autentisering och relätjänster.

Fördelen med den här lösningen är att den kan distribueras i hubben i ett virtuellt nav-ekernätverk i din Azure-miljö eller i en DMZ för att skydda dina SAP-programvärdar från direkt åtkomst. Det gör det också möjligt för centraliserad utgående routning att omedelbart avlasta all e-posttrafik till ett centralt relä när du skickar från flera programservrar.

Konfigurationsstegen är desamma som för Microsoft 365 SMTP Relay Connector (alternativ 3) där de enda skillnaderna är att SCOT-konfigurationen ska referera till den e-postvärd som utför reläet i stället för direkt till Microsoft 365. Beroende på vilket e-postsystem som används för reläet konfigureras det också direkt för att ansluta till Microsoft 365 med någon av de metoder som stöds och en giltig användare med lösenord. Vi rekommenderar att du skickar ett testmeddelande direkt från reläet för att säkerställa att det kan kommunicera med Microsoft 365 innan du slutför SAP SCOT-konfigurationen och testningen som vanligt.

Exempelarkitekturen som visas illustrerar flera SAP-programservrar med en enda e-postrelävärd i hubben. Beroende på mängden e-post som ska skickas rekommenderar vi att du följer en detaljerad storleksguide för e-postleverantören som ska användas som relä. Detta kan kräva flera e-postrelävärdar som fungerar med en Azure Load Balancer.

Nästa steg

Förstå massmeddelanden med Azure Twilio – SendGrid

Förstå begränsningar för Exchange Online-tjänsten (t.ex. storlek på bifogade filer, meddelandegränser, begränsning osv.)