[English]Kurzer Nachtrag von dieser Woche: Microsofts Exchange Team hat bereits am 10. Juli 2023 die Verfügbarkeit von Client Credential Flow (CCF) für die SMTP AUTH in Exchange Online bekannt gegeben. Client Credential Flow (CCF) für SMTP AUTH ermöglicht es Anwendungen, moderne Authentifizierung für die Übermittlung authentifizierter E-Mails an Exchange Online zu verwenden, ohne dass eine interaktive Anmeldung erforderlich ist. Die Verwendung von OAuth verringert das Risiko, dass Anmeldeinformationen während der Authentifizierung kompromittiert werden.
Nachfolgender Tweet des betreffenden Exchange-Teams von Microsoft weist auf diesen Sachverhalt, der im Techcommunity-Beitrag Announcing Client Credential Flow for SMTP AUTH in Exchange Online beschrieben ist, hin.
Was ist Client Credentials Flow?
Beim Client Credentials Flow (definiert in OAuth 2.0 RFC 6749, section 4.4) tauscht eine Anwendung ihre Anmeldedaten, wie Client-ID und Client-Geheimnis, gegen ein Zugriffstoken aus. Microsoft hat das im März 2023 für Azure in diesem Support-Beitrag beschrieben. Microsoft meint dazu:
Client Credential Flow (CCF) für SMTP AUTH ermöglicht es Anwendungen, eine moderne Authentifizierung für die Übermittlung authentifizierter E-Mails an Exchange Online zu verwenden, ohne dass eine interaktive Anmeldung erforderlich ist. Die Verwendung von OAuth verringert das Risiko, dass Anmeldeinformationen während der Authentifizierung kompromittiert werden.
Wie lässt sich das nutzen?
CCF für SMTP AUTH ist ab sofort in allen Microsoft Umgebungen verfügbar, heißt es im Teccommunity-Beitrag. Administratoren können die Schritte unter Authentifizierung einer IMAP-, POP- oder SMTP-Verbindung mit OAuth für SMTP verwenden. Zur Nutzung sind folgende Schritte erforderlich:
- Registrieren Sie Ihre Anwendung bei Azure AD.
- Erhalten Sie ein Zugriffstoken von einem Token-Server.
- Authentifizieren Sie Verbindungsanfragen mit Hilfe des Zugriffstokens.
Details sind in den verlinkten Beiträgen nachzulesen.
„…dass Anmeldeinformationen während der Authentifizierung kompromittiert werden“
Wie soll denn das bei einer ordentlichen TLS-Verbindung funktionieren?
Weil bei SMTP idR Opportunistisches TLS zum Zuge kommt.
https://en.wikipedia.org/wiki/Opportunistic_TLS#Weaknesses_and_mitigations
Das könnte man leicht auf Server- (Microsoft) bzw. ClientSeite verhindern.
Ging das nicht bisher schon? zB wenn ich eine App per MSGraph oder EWS auf den Exchange per WAM zugreifen (Mails verschicken) lasse? Oder verwechsle ich da jetzt Zugriffsarten?
Und macht es das jetzt sicherer oder ändert sich nur die Art der Kompromittierung?
Bei Storm-0558 tappt MS ja auch noch im Dunkeln wie dir Gruppe an den Kundenschlüssel gekommen ist…..