Office 365 authentification Oauth2 obligatoire pour l'accès IMAP

pscoffoni · Février 18, 2020, 1:01

Bonjour

Annonce de Microsoft qu’un client utilisant les services de messagerie d’Office365 (avec Dolibarr) m’a transmis

Basic Authentication Retirement for legacy protocols in Exchange Online

MC191153, Plan For Change, Published date: Sep 20, 2019
Action required by Oct 13, 2020
Major Update: Announcement

Applies To: All customers

Updated February 7, 2020: Changed the Action by Date to accurately reflect October 13, 2020. Beginning October 13, 2020, we will retire Basic Authentication for EWS, EAS, IMAP, POP and RPS to access Exchange Online. Note: this change does not impact SMTP AUTH. There are several actions that you and/or your users can take to avoid service disruptions on client applications, and we describe them below. If no action is taken, client applications using Basic Authentication for EWS will be retired on October 13, 2020. Any application using OAuth 2.0 to connect to these protocols, will continue to work without change or interruption.

What do I need to do to prepare for this change?

You have several options on how to prepare for the retirement of Basic Authentication.

· You can start updating the client applications your users are using to versions that support OAuth 2.0 today. For mobile device access, there are several email apps available that support Modern Authentication, but we recommend switching to the Outlook app for iOS and Android as we believe it provides the best overall experience for your M365 connected users. For desktop/laptop access, we encourage the use of the latest versions of Outlook for Windows and Outlook for Mac. All Outlook versions including, or newer than, Outlook 2013 fully support OAuth 2.0.

· If you have written your own code using these protocols, you will need to update your code to use OAuth 2.0 instead of Basic Authentication, you can reach out to us on stack overflow with the tag exchange-basicauth if you need some help.

· If you or your users are using a 3rd party application, which uses these protocols, you will either need to

o reach out to the 3rd party app developer who supplied this application to update it to support OAuth 2.0 authentication

-or-

o assist your users to switch to an application that’s built using OAuth 2.0.

We are in the process of building reports that will help you identify any impacted users and client applications in your organization. We will make these reports available to you in the next few months and communicate their availability via a follow-up Message center post. Please click Additional Information to learn more about this retirement.

Je retiens tout particulièrement

Beginning October 13, 2020, we will retire Basic Authentication for EWS, EAS, IMAP, POP and RPS to access Exchange Online. Note: this change does not impact SMTP AUTH

IMAP sera impacté et donc potentiellement le module de collecte d’email…

jtraulle · Février 18, 2020, 2:23

Bonjour,

Si je ne dis pas de bêtises, Google va suivre le même chemin ; j’ai reçu un email similaire pour Google Apps for Works

Gild · Janvier 28, 2022, 9:28

Bonjour,
Est-ce que Dolibarr est aujourd’hui compatible avec l’envoi de courriels depuis smtp.office365 ? J’ai fait des tests mais sans succès…
Je vois aussi que dans les configs du module « Oauth » il n’y a pas Office et donc pas la possibilité d’une authentification OAuth2.
Est-ce correct ?
Merci de vos lumières.
Gil

Philazerty · Janvier 28, 2022, 8:13

Bonjour
Il me semble que smtp fonctionne mais il faut autoriser une application de mémoire dans la console admin exchange.
@+

Gild · Janvier 31, 2022, 8:56

Bonjour,
Merci de ta réponse. J’ai réussi à envoyer un courriel mais cela ne fonctionne que de l’adresse qui est déclarée partout en config à elle-même… ça limite
Je regarde pour le paramétrage de la console. Je n’y ai pas accès directement mais je raconterai la suite…
Gil

Gild · Janvier 31, 2022, 1:20

La doc Comment configurer une application ou un périphérique multi-fonction pour envoyer des courriers électroniques à l’aide de Microsoft 365 ou Office 365 | Microsoft Docs
donne 3 options :

Option 1 - SMTP AUTH

Limitation : Vous ne pouvez envoyer qu’à partir d’une seule adresse de courrier, sauf si votre appareil peut stocker des informations d’identification pour plusieurs boîtes aux lettres Microsoft 365 ou Office 365. (NB Ce qui n’est pas le cas de Dolibarr) C’est cette option je pense qui demande a être autorisée. Mais si une PME avec plusieurs utilisateurs il n’y a qu’une adresse d’envoi.

Option 2 - Envoi direct

Limitation : L’envoi direct ne peut pas être utilisé pour remettre le courrier électronique à des destinataires externes, disposant par exemple d’adresses Yahoo ou Gmail.
Bon ça limite les possibilités.

Option 3 - Relais SMTPMicrosoft365

Cette option est plus difficile à implémenter que les autres. (Dixit Microsoft, mais la seule qui semble répondre aux limitations de 1 & 2).
Avez-vous déjà essayé ce type de paramétrage ?

Gil

pscoffoni · Janvier 31, 2022, 8:02

Bonjour
Dans Office365 il y a une option pour permettre (il me semble) un compte d’envoyer des emails « en tant que ». Sinon il faut utiliser le module multi-smtp qui a disparu du Dolistore. Par le passé son développeur avait refusé son intégration dans le core (bien que contacté par email au préalable et sans réponse)… @eldy avait jugé la fonction useless, mais dans la pratique je pense qu’elle a bien sa place dans le core.

Au final le module a disparu du Dolistore…
Nous le maintenons ici

Il nous « sauve la vie » chez pas mal de clients sous Office365.
Libre à vous de tester

Philazerty · Janvier 31, 2022, 8:08

C’est bien ça, le compte utilisé doit avoir des droits particuliers et pouvoir envoyer des mails pour d’autres. Je vais essayer d’attraper une configuration type. Ça tombe bien, je l’utilise.
@+

eldy · Janvier 31, 2022, 8:33

Si vous avez plusieurs comptes (n utilisateurs avec chacun un email différent) ou plusieurs nom de domaines pour le même compte, ou encore le besoin d’envoi d’email par tâches programmée, la seule méthode « propre » possible pour Office365 est celle du relais SMTP (comme chez les autres fournisseurs d’ailleurs, c’est même chez certains devenus la seule possible et est en train de le devenir chez les autres).
Les autres méthodes sont:

soit problématique sur le plan de la sécurité
soit problématique sur le plan de la déliverabilité
soit dépréciée
souvent les 3

La doc suivante décrit la config pour utiliser le SMTP relay de Google (aller à la méthode par smtp relay).

Il y a une config équivalente pour Office 365, par contre, elle n’est pas documentée mais pour l’avoir vu en oeuvre chez de nombreux clients, je me souviens qu’elle est relativement similaire.

pscoffoni · Février 1, 2022, 7:46

Hello

Ca se discute, le fait que chaque utilisateur ait à s’authentifier sur l’ERP avec ses propres identifiants de messagerie permet de garantir qu’il est bien le réel emetteur du mail. Les autres méthodes sont des bypass technique qui ouvrent la boite de pandore à l’usurpation d’identité vu que l’ERP peut envoyer des emails en tant que « n’importe qui ».
De plus sur une même entité je ne peux pas avoir 2 noms de domaines différents. C’est rare, mais cela arrive, en multi-entité notamment avec des utilisateurs qui jongle entre entité et qui ne peuvent d’ailleurs pas avoir plusieurs emails selon leur entité. Bref y’a un peu de PR à faire

eldy · Février 1, 2022, 10:25

Justement, le relaysmtp sert aussi à cela (faire du multidomaine). Il faut bien sur configurer chaque domaine autorisé sans quoi le smtp gère mal le spf, dkim et autres), mais c’est fait pour.

Arre · Février 1, 2022, 10:29

Salut,

par curiosité : du coup le service de microsoft impose d’avoir un serveur smtp local pour le relayer ? ou il héberge les deux ? (le smtp qui accepte les connexions client + le relay derrière)

ksar · Février 1, 2022, 10:55

Normalement Office 365 permet de faire relay : https://www.it-connect.fr/configurer-office-365-comme-smtp-relay/

Voir option 3 :

Aprés j’ai jamais testé

pscoffoni · Février 1, 2022, 12:48

Ha ben non les deux domaines sont sur des hébergements différents. Nos clients sont formidables

eldy · Février 1, 2022, 1:25

Si la séparation a besoin de se faire par société du module multisociété, alors cela devrait aller aussi car la config du serveur smtp est propre à chaque société.
Si par contre, le client a 2 Office365 différents à gérer dans la même société Dolibarr (certains users sur l’un et d’autres sur l’autre, plutôt que 2 domaines sur le même compte client Office365), alors la oui, on rentre dans un cas ou le module multismtp se justifie.

Gild · Février 1, 2022, 2:45

Pour info j’ai pu configurer une adresse gmail dans la Configuration Emails de Dolibarr avec :

Swift Mailer socket library
smtp.gmail.com
465
TLS (SSL)
et un « Application password ».

et installé le module multi-smtp cité plus haut en renseignant une adresse ovh pour un utilisateur et c’est parti aussi !

Je ne me suis pas encore lancé dans office365…

Dans la doc Microsoft Option 1 il est indiqué :
Authentification : si possible, nous vous recommandons d’utiliser l’authentification moderne sous la forme OAuth.

Est-ce que SMTP AUTH / Swift mailer prend en charge OAuth ?

Merci pour toutes les infos.

Philazerty · Février 1, 2022, 8:17

Les 2 domaines sont sur la même console exchange ? Si oui il doit être possible de créer un compte mixte (2 domaines)
Je regarde demain si j’ai deux minutes
@+

frederic34 · Septembre 12, 2023, 7:28

Bonjour

Sinon notre module pour 365 qui gére synchro agenda et envoi de mails pour chaque utilisateur. On en parle dans d’autres fils…

Fred