Loading

E-Mail-Weiterleitung mit Office 365 in Salesforce

Veröffentlichungsdatum: May 7, 2021
Beschreibung
Aufgrund des mandantenfähigen Prinzips des E-Mail-Routings von Office 365 und Salesforce funktioniert die E-Mail-Weiterleitung nicht wie bei lokalen Lösungen standardmäßig und wird nicht empfohlen. Wenden Sie sich an den Microsoft Support, um Exchange und Office 365 so zu konfigurieren, dass E-Mails von Salesforce akzeptiert werden.

Aufgrund der Microsoft-internen Weiterleitung und Überprüfung von E-Mails von Mandanten, die ins Internet weitergeleitet werden müssen, können einige Organisationen auf Fehler wie "Relay Access Denied ATTR36" stoßen, wenn E-Mails an Message Transfer Agents (MTAs) von Microsoft übergegeben werden. Dies scheint mit der Weiterleitung von E-Mails von gemeinsam genutzten IP-Adressen durch Microsoft zusammenzuhängen. Aufgrund dessen funktioniert die E-Mail-Weiterleitung über Office 365 ohne die Verwendung eines eigenständigen SMTP-Gateways für eine Domäne einer Organisation zur Übergabe von E-Mails an den Office 365-Mandanten möglicherweise nicht einwandfrei.
 
 
  • Salesforce sendet und leitet E-Mails mit Ihrer Unternehmens-E-Mail-Adresse als E-Mail-Adresse des Absenders weiter.
  • Office 365 akzeptiert in diesem Szenario E-Mails an Port 587, verlangt jedoch eine SMTP-Authentifizierung. Obwohl Office 365 die SMTP-Authentifizierung auf Benutzerebene durchführt, benötigt Salesforce bei Verwendung des Office 365-Mandanten Funktionalität zur Weiterleitung zwischen Servern.
  • Gegenwärtig sollte die Einrichtung eines "Partnerkonnektors" unter Verwendung von Port 25 mit TLS und Salesforce-IP-Adressen die Weiterleitung von E-Mails von Salesforce an Office 365 und damit auf Wunsch auch ins Internet ermöglichen.
  • Die IP-Adressen der MTAs (Message Transfer Agents) von Salesforce finden Sie im Abschnitt Zu den für die E-Mail-Weiterleitung verwendeten Adressen gehören von Zuzulassende IP-Adressen und Domänen von Salesforce .
Lösung


Beachten Sie beim Einrichten der E-Mail-Weiterleitung die folgenden Aspekte, um die Sicherheit der Weiterleitung zu gewährleisten:

  1. Konfigurieren Sie den empfangenden MTA so, dass er nur E-Mails zulässt, die von den Salesforce-IP-Adressen für die Weiterleitung (und allen anderen IP-Adressen, von denen Sie E-Mails erwarten) gesendet werden.
  2. Konfigurieren Sie die Salesforce-Weiterleitung für TLS (fordern Sie optional TLS oder "Erforderlich – überprüfen" an, um den Hostnamen im Zertifikat des Empfängers zu bestätigen).
  3. Konfigurieren Sie den empfangenden MTA so, dass er das Zertifikat und den Domänennamen des Absenders überprüft, um sicherzustellen, dass er mit dem vorgelegten Zertifikat übereinstimmt.
  4. Konfigurieren Sie den empfangenden MTA so, dass sichergestellt ist, dass die sendende Domäne Ihre E-Mail-Domäne ist.
  5. Konfigurieren Sie den empfangenden MTA so, dass überprüft wird, ob ein X-SFDC-LK-Header mit Ihrer Organisations-ID darin enthalten ist.
  6. Richten Sie die DKIM-Signatur (DomainKeys Identified Mail) in Salesforce ein.
  7. Konfigurieren Sie den empfangenden MTA so, dass überprüft wird, ob DKIM bestanden wird und ob die Domäne, für die die Signatur erstellt wurde, Ihre Domäne ist.


Bei Verwendung von Office 365 Exchange sind 1 bis 3 möglich und können ausgeführt werden, wenn Sie die Weiterleitung in Exchange einrichten. Es ist auch möglich, Regeln in Exchange zu erstellen, um 4 bis 7 zu bestätigen. Ob die von Ihnen eingerichteten Regeln angewendet werden oder nicht, hängt jedoch davon ab, wohin die E-Mail weitergeleitet wird.

Wenn Sie in Exchange nur E-Mail weiterleiten, die für Ihre Domäne bestimmt ist, werden die Regeln, die Sie zum Testen der Elemente 4 bis 7 erstellen, ausgeführt und angewendet. Wenn Sie jedoch E-Mail weiterleiten, die für eine andere Domäne bestimmt ist, die nicht mit Ihrem Mandanten verbunden ist (entweder in Exchange oder irgendwo anders im Internet), werden Ihre Regeln nicht angewendet. In diesem Fall kann es sein, dass die Weiterleitung nicht so funktioniert, wie Sie denken (z. B. werden die von Ihnen erstellten Regeln nicht angewendet).

Warum werden die im Office 365 Exchange-Mandanten konfigurierten Regeln nicht angewendet?
Wenn E-Mail auf diesem Weg durch Exchange geleitet werden, müssen sie diese einem geeigneten Mandanten in ihrer Infrastruktur zuordnen. Dazu eignet sich die IP-Adresse des Absenders gut. Wenn Salesforce dedizierte IP-Adressen anbieten würde, wären diese für eine Kunden-/E-Mail-Domäne eindeutig. Sie könnten diese problemlos einem bestimmten eindeutigen Mandanten zuordnen, der seinen Partnerkonnektor so konfiguriert, dass E-Mails von den angegebenen IP-Adressen zugelassen werden. Da Salesforce derzeit keine dedizierten IP-Adressen im CRM-Service anbietet, werden die für die Weiterleitung verwendeten IP-Adressen von mehreren Kunden gemeinsam genutzt. Wenn also mehrere Kunden in Exchange die gleichen IP-Adressen konfigurieren, ist die Absender-IP-Adresse nicht eindeutig einem bestimmten Mandanten zugeordnet und Exchange nicht in der Lage, die eingehende E-Mail einem bestimmten Mandanten zuzuordnen. Sie wissen, dass die E-Mail von IP-Adressen stammt, von denen ihre aktuellen Kunden senden, aber sie kann nicht an einen eindeutigen Kunden gebunden werden. In dieser Situation kann dies bedeuten, dass die E-Mail einem "sicheren Mandant" zugeordnet wird, der einen gemeinsamen Satz von IP-Adressen verwendet. Bei Verwenden dieses "sicheren Mandanten" kann die Zustellbarkeit der gesendeten E-Mails niedriger sein. Darüber hinaus arbeitet Microsoft daran, Pfade zu reduzieren und schließlich zu beseitigen, die dazu führen, dass E-Mails durch einen "sicheren Mandanten" geleitet werden. Nur weil Ihre E-Mail heute einwandfrei versendet wird, muss das nicht immer der Fall sein. Das andere Problem beim Routing durch den "sicheren Mandanten" besteht darin, dass keine der von Ihnen erstellten Regeln angewendet werden.
 
Wie kann ich überprüfen, ob meine Regeln mit einer bestimmten E-Mail abgeglichen werden, die über Exchange weitergeleitet wird?
Exchange ermöglicht Ihnen eine Ablaufverfolgung für Nachrichten, in der die über Ihren Mandanten gesendeten E-Mails detailliert aufgelistet sind. Wenn die Ablaufverfolgung für Nachrichten die Nachricht nicht enthält, wurde sie nicht durch Ihren Mandanten geleitet.
 

Gibt es eine Umgehung dieser Problemstellungen?

Wenn die E-Mail, die Sie aus Salesforce weiterleiten, nur für eine Domäne bestimmt ist, die an Ihren Mandanten in Exchange gebunden ist, sollte alles in Ordnung sein, sodass Ihre Regeln wie erwartet angewendet werden. Wenn Sie E-Mail an andere Domänen senden, die nicht mit Ihrem Mandanten verbunden sind, müssen Sie die Einrichtung eines eigenen E-Mail-Relayservers und/oder andere Optionen in Betracht ziehen.

Wenn mehr Flexibilität bei der E-Mail-Weiterleitung benötigt wird, kann es sinnvoll sein, einen IIS- oder anderen Relayserver in Ihrer Domäne einzurichten, der E-Mails von Salesforce entgegennimmt, ehe diese an Ihre Office 365-Implementierungen zur internen Zustellung und Weiterleitung an das Internet weitergeleitet werden.

Hinweise:
Nummer des Knowledge-Artikels

000387487

 
Laden
Salesforce Help | Article