Worum geht es?
unixpass versendet Systemmails (Einladungen, Registrierungs-Codes, Benachrichtigungen) standardmäßig über den zentralen unixpass-Mailserver. Mit dem User-defined E-Mail Transport versendet Ihre Installation stattdessen direkt über Ihren eigenen Microsoft-365-Tenant per Microsoft Graph API. Vorteile: Mails kommen von Ihrer eigenen Domain, sind SPF/DKIM/DMARC-konform und landen deutlich seltener im Spam.
Wer konfiguriert was?
Eigene unixpass-Installation (OnPremise / Master)
Sie nehmen alle Einstellungen selbst im UXP-Admin vor (Teil 2 dieses Howtos).
Mandant in der R3levance-Cloud
Sie führen nur Teil 1 (Microsoft Entra) durch und übermitteln die drei Werte sicher an den R3levance-Support — dieser richtet den Transport für Ihren Mandanten ein.
Voraussetzungen
- Microsoft-365-Tenant mit Zugriff auf das Entra Admin Center (Rolle: Globaler Administrator oder Anwendungsadministrator)
- Eine App-Registrierung für unixpass („UXP") — dieselbe App kann für SSO (Login via O365) und den Mailversand genutzt werden
- Ein existierendes Postfach (oder freigegebenes Postfach) im Tenant, das als Absenderadresse dient, z. B.
noreply@ihre-domain.de
Teil 1 — Microsoft Entra: App berechtigen
App-Registrierung öffnen
Melden Sie sich im Entra Admin Center an und öffnen Sie Entra ID → App-Registrierungen. Wählen Sie die bestehende UXP-App aus. Falls noch keine existiert: Neue Registrierung → Name „UXP", Kontotyp „Nur Konten in diesem Organisationsverzeichnis".
Berechtigung Mail.Send hinzufügen
Öffnen Sie in der UXP-App den Menüpunkt API-Berechtigungen und klicken Sie auf Berechtigung hinzufügen → Microsoft Graph → Anwendungsberechtigungen. Suchen Sie Mail.Send („Send mail as any user") und fügen Sie die Berechtigung hinzu. Wichtig: Es muss der Typ Anwendung sein, nicht „Delegiert" — unixpass versendet ohne angemeldeten Benutzer.
Administratorzustimmung erteilen
Anwendungsberechtigungen erfordern die Zustimmung eines Administrators. Klicken Sie auf Administratorzustimmung für <Ihre Organisation> erteilen und bestätigen Sie. In der Spalte Status erscheint anschließend ein grüner Haken „Gewährt".
Client Secret erstellen
Öffnen Sie Zertifikate & Geheimnisse → Neuer geheimer Clientschlüssel. Vergeben Sie eine Beschreibung (z. B. „unixpass Mailversand") und eine Laufzeit. Kopieren Sie den Wert sofort — er wird nur einmal angezeigt.
Empfohlen: Versand auf das Absenderpostfach beschränken
Mail.Send als Anwendungsberechtigung erlaubt der App technisch den Versand als beliebiger Benutzer des Tenants. Mit einer Application Access Policy in Exchange Online beschränken Sie die App auf das eine Absenderpostfach:
# Exchange Online PowerShell (Connect-ExchangeOnline)
New-DistributionGroup -Name "UXP-MailSend-Allowed" -Type Security
Add-DistributionGroupMember -Identity "UXP-MailSend-Allowed" -Member noreply@ihre-domain.de
New-ApplicationAccessPolicy -AppId <ANWENDUNGS-ID> -PolicyScopeGroupId UXP-MailSend-Allowed@ihre-domain.de -AccessRight RestrictAccess -Description "UXP darf nur als noreply senden"
# Testen:
Test-ApplicationAccessPolicy -Identity noreply@ihre-domain.de -AppId <ANWENDUNGS-ID>Diese drei Werte liegen jetzt vor
| Anwendungs-ID (Client) | CLIENT_APP_ID — GUID aus der App-Übersicht |
|---|---|
| Client Secret | CLIENT_APP_SECRET — der in Schritt 4 kopierte Wert |
| Verzeichnis-ID (Tenant) | TENANT_ID — GUID aus der App-Übersicht |
Teil 2 — unixpass: E-Mail-Transport konfigurieren
Öffnen Sie im UXP-Admin die Einstellungen des Mandanten und aktivieren Sie den Abschnitt User-defined e-mail transport:
Aufbau der DSN
microsoftgraph+api:// | Transport-Schema: Versand über die Microsoft Graph API |
CLIENT_APP_ID | Anwendungs-ID (Client) der UXP-App |
CLIENT_APP_SECRET | Client Secret (Wert). Enthält das Secret Sonderzeichen wie / @ : ?, müssen diese URL-codiert werden (z. B. / → %2F) |
@default | fester Bestandteil |
?tenantId=TENANT_ID | Verzeichnis-ID (Mandant) des M365-Tenants |
Testen & Fehlersuche
Lösen Sie eine Systemmail aus (z. B. eine Einladung oder einen Registrierungs-Code) und prüfen Sie den Eingang. Typische Fehlerquellen:
| Mail kommt nicht an, Fehler „insufficient privileges" | Administratorzustimmung für Mail.Send fehlt (Teil 1, Schritt 3) oder Berechtigung ist „Delegiert" statt „Anwendung". |
| Fehler „invalid client secret" / 401 | Secret falsch kopiert, abgelaufen oder Sonderzeichen nicht URL-codiert. |
| Fehler „ErrorAccessDenied" | Application Access Policy blockiert das Absenderpostfach — Gruppe/Policy prüfen (Test-ApplicationAccessPolicy). |
| Absender wird abgelehnt / NDR | Sender e-mail gehört zu keinem Postfach im Tenant. |
| Versand stoppt plötzlich nach Monaten | Client Secret abgelaufen — neues Secret erstellen und DSN aktualisieren. |