Aktuelles

Wichtige Änderung beim E-Mail-Versand: Umstellung auf Microsoft Graph API

Damit der E-Mail-Versand über Venga! auch weiterhin reibungslos funktioniert, haben wir eine wichtige technische Umstellung vorgenommen. Bisher wurden E-Mails über den Exchange Web Service (EWS) versendet. Diese Methode basierte auf der ApplicationImpersonation-Rolle, die Microsoft nun in Exchange Online schrittweise deaktiviert.

Was bedeutet das konkret?

Ab September 2024 konnten in Exchange Online keine neuen Berechtigungen mit der ApplicationImpersonation-Rolle mehr vergeben werden. Ab Februar 2025 wurde diese Rolle vollständig deaktiviert. Anwendungen, die bisher auf dieser Technik basierten, verloren dann den Zugriff auf Postfächer.

Damit Venga! auch weiterhin E-Mails im Namen des angemeldeten Benutzers versenden kann, haben wir die Versandlogik auf die Microsoft Graph API umgestellt – die moderne, sichere und von Microsoft empfohlene Alternative.

Wen betrifft die Umstellung?

Diese Änderung betrifft alle Kunden, die ausschließlich Exchange Online nutzen – also Microsoft-365-basierte Mail-Infrastrukturen.
Kunden mit einem lokalen Exchange Server (On-Premises) sind nicht betroffen, da dort der Zugriff über EWS weiterhin funktioniert.

Was ist die ApplicationImpersonation-Rolle?

Die ApplicationImpersonation-Rolle ermöglichte es Anwendungen, auf Benutzerpostfächer zuzugreifen, ohne dass der Benutzer aktiv angemeldet war. Sie wurde häufig verwendet für:

  • E-Mail-Archivierungstools
  • CRM-Systeme mit E-Mail-Integration
  • Automatisierte Prozesse wie E-Mail-Weiterleitungen oder Kalenderverwaltung

Diese Funktion war Teil des alten EWS-APIs, das nun durch das moderne Microsoft Graph API ersetzt wird.

Warum wird die Rolle abgeschafft?

Die Deaktivierung erfolgt aus mehreren Gründen:

  • Höhere Sicherheit: Die ApplicationImpersonation-Rolle bietet nur begrenzte Kontrolle über den Zugriff auf Postfächer.
  • Mehr Transparenz: Mit Role-Based Access Control (RBAC) können Berechtigungen gezielt und nachvollziehbar verwaltet werden.
  • Bessere Verwaltung: Die Graph API erlaubt eine feinere Rechtevergabe und ist zukunftssicher.

Was ist jetzt zu tun?

Für Kunden, die eigene Anwendungen mit der ApplicationImpersonation-Rolle betreiben, empfiehlt Microsoft folgende Schritte:

  1. Analyse der bestehenden Konfiguration:
    Mithilfe von PowerShell lässt sich ermitteln, welche Konten aktuell die Rolle verwenden. Ein entsprechendes Script ist z. B. auf GitHub verfügbar.
  2. Migration zu modernen Technologien:
    Der Umstieg auf OAuth-basierte Authentifizierung und die Microsoft Graph API ist unerlässlich.
  3. Einrichtung von RBAC:
    Rechte können dadurch granular, sicher und nachvollziehbar vergeben werden.

Bei Fragen oder Unsicherheiten zur Umstellung stehen wir Euch selbstverständlich gerne zur Verfügung.

Weitere Beiträge

An den Anfang scrollen