Externe e-mailserver inrichten (Gmail of SMTP)

Je kan in Profit op drie niveaus een afzender inrichten voor e-mails die je vanuit Profit verstuurt.

1. In de eigenschappen van de omgeving (Algemeen / Omgeving / Beheer / Eigenschappen tabblad E-mail).
2. In de eigenschappen van de administratie (Algemeen / Administratie / Beheer / Eigenschappen tabblad Verstrekking).
   In de eigenschappen van de werkgever (HRM / Organisatie / Werkgever tabblad Loonstrook/jaaropgave).
3. Afwijkende afzender per berichtsjabloon (Algemeen / Beheer / Bericht / Berichtsjabloon). Lees de stappen voor het instellen van een afwijkende afzender per taal.

Profit kijkt hierbij van onder naar boven. Dit houdt in dat als er in het berichtsjabloon géén afwijkend e-mailadres is ingesteld, de afzender van de administratie wordt gebruikt. Is er in de eigenschappen van de administratie geen afzender ingevuld? Dan kijkt Profit naar het e-mailadres in de eigenschappen van de omgeving. Bij het handmatig versturen van een rapport vanuit de Rapportengenerator wordt er géén berichtsjabloon gebruikt. Hier wordt dus de afzender uit de administratie voor gebruikt.

Voor signalen, activatiemail AFAS Pocket en dergelijke, kijken we naar het e-mailadres dat staat ingevuld in de eigenschappen van de omgeving in het veld Afzender automatische e-mail, tenzij er in het berichtsjabloon een afzender is gevuld.

Je kunt de geadresseerde op veel plaatsen instellen, de opsomming hieronder is niet uitputtend.

Organisaties en personen

Je kunt werk en privé e-mailadressen vastleggen bij organisaties en personen en afgeleiden hiervan, zoals verkooprelaties en medewerkers. Als algemene regel geldt dat het werk e-mailadres gebruikt zal worden, als dit bekend is. Zo niet, dan zal het privé e-mailadres gebruikt worden.

Toegang verlenen

• Aanmelden twee-factorauthenticatie /help/NL/SE/plv2_Config_Migrat.htm#o93562
• Klanten toegang geven tot een portal
• Sollicitanten toegang geven tot een portal
• Pocket activatie en uitnodiging

Specifieke situaties

• Loonstroken en jaaropgaven verstrekken aan medewerkers
• Verstrekkingen verkoop
• Verstrekkingen inkoop
• E-facturen verstrekken
• Cursusbevestiging verstrekken
• Notificatie agenda-afspraak
• Mailen via een Workflow
• Mailen via een signaal

1. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
2. Ga naar het tabblad: E-mail.
3. Selecteer SMTP in het veld Type e-mailserver.
4. Vul de e-mailserver in, bijvoorbeeld smtp.yourcompany.com.

   

5. Poort en ‘Veilige communicatie afdwingen’.

   Wat je hier invult is afhankelijk van de instellingen en mogelijkheden van je mailserver. Twijfel je, controleer dan de documentatie van de mailserver(-dienst) of neem contact op met de beheerder hiervan. De veiligste instelling (en daarom de door AFAS aangeraden optie) is om poort 465 te gebruiken in combinatie met de optie ‘Veilige communicatie afdwingen’.

   • Toegestane poorten: 465, 587 en 25.
   • Als 'Veilige communicatie afdwingen is ingeschakeld dan wordt een correct geconfigureerde mailserver afgedwongen. De servernaam moet dus overeenkomen met de CN (of een van de alternatieve namen) in het certificaat, het certificaat moet geldig zijn en afkomstig zijn van een vertrouwde uitgever. (Een self-signed certificaat is dus niet geldig.) Voor poort 465 wordt met deze instelling een 'Implicit SSL/TLS'-verbinding gestart. Voor poort 25 of 587 wordt er een verbinding gestart met StartTLS.
   • Als 'Veilige communicatie afdwingen' is uitgeschakeld dan wordt er een poging gedaan om een veilige verbinding op te zetten. Hierbij worden juiste certificaatgegevens niet afgedwongen. Aan deze methode zitten veiligheidsrisico’s, een 'man in the middle' aanval is hierbij bijvoorbeeld mogelijk. Als de server geen SSL-certificaat heeft geconfigureerd, wordt er in 'plain text' gecommuniceerd. Dit geldt voor zowel poort 465, 587 als 25.
   • Profit gebruikt voor communicatie met de mailserver TLS 1.2. Of als dat niet beschikbaar is, TLS 1.1 of anders TLS 1.0.
6. Vink het veld SMTP-server vereist verificatie aan, als deze verificatie nodig is op de mailserver. Vul dan ook de algemene gebruikersnaam en het wachtwoord in. Gebruikersnaam en wachtwoord: de gebruiker die je invult moet rechten hebben op de mailserver om buiten het domein te e-mailen. Gebruik je op AFAS Online een eigen e-mailserver, dan adviseren we altijd te werken met een gebruikersnaam/wachtwoord en/of IP-filter op je e-mailserver om te voorkomen dat anderen ook e-mail (zoals spam) via je e-mailserver kunnen versturen.
7. Allowlist zonodig op de mailserver de IP-range 185.46.182.0/24 (host proxy.afas.online). Via dit IP-adres biedt Profit e-mails aan jouw mailserver aan. Als je dit niet doet, dan kan dit tot gevolg hebben dat dit IP-adres op een denylist komt. Daarmee komt o.a. jouw e-mail niet meer aan bij de ontvanger.
8. Vul bij Afzender automatische e-mail het adres in dat vermeld zal worden in de automatisch verstuurde e-mailberichten. Vul hier een algemeen e-mailadres van de organisatie in, bijvoorbeeld reply@enyoi.nl (gebruik je eigen e-mailadres, niet dit voorbeeld).

Je kunt uitgaande e-mail vanuit Profit verzenden via Exchange Online via Azure AD. Ook is het mogelijk om e-facturen in te lezen via Azure AD, zie de aparte beschrijving.

De inrichting bestaat uit de volgende stappen:

1. Applicatie maken in Azure AD
2. Profit inrichten
3. Afzenders/gebruikers controleren in Azure AD

Stap 1: Applicatie maken in Entra ID (voorheen Azure AD)

Je maakt in Azure AD een applicatie die de juiste rechten heeft.

1. Ga naar entra.microsoft.com en log in als beheerder.
2. Klik op Azure Active Directory.
3. Klik op App registrations.
4. Klik op New registration.
5. Geef de nieuwe registratie een logische naam zoals Profit e-mail.
6. Klik op Register.

   

7. Klik op API permissions.
8. Klik op Add a permission.
9. Klik op Microsoft Graph.
10. Klik op Application permissions.
11. Vink Mail.ReadWrite en Mail.Send permissions aan.
12. Klik op Add permissions.

    Om e-mails vanuit Profit te verzenden, moeten tenminste de permissions Mail.ReadWrite en Mail.Send aan de registratie zijn toegekend. De overige permissions mogen indien gewenst verwijderd worden.

    Let op:

    Dit is een 'grove' instelling, want deze staat namelijk toe dat Profit namens elke gebruiker van je Azure-omgeving mag mailen. Microsoft biedt hiervoor een betere (meer fijnmazige) oplossing: je kan namelijk met behulp van Role Based Access Control je Azure-appregistratie beter beveiligen en het aantal users namens wie profit mag mailen, beperken.

13. Klik op Grant admin consent for ….

    

14. Klik op Certificates & secrets.
15. Klik op New client secret.
16. Geef de nieuwe secret een logische naam en geef aan hoe lang de secret geldig blijft.
17. Klik op Add.
18. Je ziet in de weergave nu de secret. Sla deze op in bijvoorbeeld een wachtwoord-kluis. Na het afsluiten van dit scherm kun je de secret niet meer zien. Als je de secret niet meer weet moet er een nieuwe gemaakt worden. Je hebt deze later nodig bij het inrichten van Profit in het veld Application secret.

    

19. Klik op Overview
20. Je ziet de waarden Application (client) ID en Directory (tenant) ID. Deze heb je later nodig bij het inrichten van Profit voor de velden Application id en Directory id.

    Let op:

    Als het onderstaande scherm getoond wordt, moet je de waarde in het veld Waarde (Value) overnemen als Application Secret in Profit (dus niet de waarde in Geheim-id).

    

Stap 2: Profit inrichten

1. Open de omgeving.
2. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
3. Ga naar het tabblad: E-mail.
4. Selecteer Exchange Entra AD bij Type e-mail server.
5. Vul de waarden Directory id, Application id en Application secret (op basis van de inrichting van de Azure AD App in stap 1).
6. Vul in het veld Afzender automatische e-mail een e-mailadres in dat bekend is in Azure AD (zie ook stap 3)

   

Stap 3: Afzenders/gebruikers controleren in Entra AD (voorheen Azure AD)

In Profit kunnen er op verschillende momenten e-mails verstuurd worden door verschillende afzenders. Mailen via Exchange Entra AD zal alleen succesvol zijn als de gebruikte afzender een gebruiker is in Entra AD. Om een Entra AD-gebruiker te maken gaat je in de Entra AD beheer omgeving (stap 1) naar Users en kies je voor New user. Zie ook dit artikel van Microsoft: https://learn.microsoft.com/nl-nl/azure/active-directory/manage-apps/add-application-portal-assign-users

Foutmelding: MailKit.Net.Smtp.SmtpCommandException: 5.7.64 Relay Access Denied ATTR36.

Probleem:

• E-mailberichten (alle, of alleen bepaalde soorten) worden niet verstuurd. In het logboek staat de fout "5.7.64 Relay Access Denied ATTR36. For more details please refer to https://support.microsoft.com/kb/3169958".
• De fout betekent dat de uitgaande (Exchange Online) mailserver van je organisatie weigert deze vanuit Profit aangeleverde e-mails te versturen.

Oorzaak:

• De e-mails hebben een afzender die niet wordt toegestaan. Je kan bijvoorbeeld niet zomaar een afzender gebruiken van een domein dat niet het eigendom is van je organisatie en door specifiek jullie Exchange-server wordt toegestaan als afzender.

Oplossing:

• Deel de foutmelding met je Exchange-beheerder. De beheerder kan de link openen en het probleem oplossen, zie o.a.de volgende punten.
• Controleer de afzender(s).
• Stel in Exchange Online een connector in om het AFAS Online IP-adres toe te staan e-mailadressen te versturen. Dat gaat om IP185.46.182.0/24 (FQDN proxy.afas.online). Zie het overzicht IP-adressen, URL's en ciphers. URL's en ciphers. Volg voor de Microsoft documentatie de link in de foutmelding: https://support.microsoft.com/kb/3169958.

Google heeft de ondersteuning van het versturen van Gmail op basis van gebruikersnaam + wachtwoord beëindigd. Als alternatief kun je Gmail met een app-wachtwoord gebruiken. Bij deze methode is verificatie in twee stappen (twee-factor authenticatie) nodig.

Aandachtspunten:

• Bij het mailen via de Gmail-mailserver staat Gmail standaard niet toe dat je e-mail verstuurt namens een andere afzender dan je eigen e-mailadres. Het is wel mogelijk om via de website van Gmail extra e-mailadressen aan je Gmail-account toe te voegen (en te verifiëren). Daarna kan je wel via de Gmail mailserver namens die afzenders mailen vanuit Profit. Meer informatie: E-mails verzenden vanaf een ander adres of een alias.
• Gmail en Yahoo controleren vanaf 1 februari 2024 strenger op de beveiligingsmaatregelen die je als verzender treft. De belangrijkste wijziging is dat ze alleen geautoriseerde e-mails gaan toelaten in de inbox van de ontvanger. Daarom adviseren we om DMARC in te stellen als je Gmail en Yahoo gebruikt.

Stappen:

1. Verificatie in twee stappen inschakelen:

   Voor een app wachtwoord is verificatie in twee stappen noodzakelijk. Richt dit eerst in, zie ook Google help.

   • Ga naar https://myaccount.google.com en log in op je Google-account.
   • Ga naar het onderdeel Beveiliging.
   • Klik op Verificatie in twee stappen.

     

   • Klik op Verificatie in twee stappen aanzetten.

     

   • Doorloop de stappen en geef je telefoonnummer op als tweede factor.

   Als je de tweede factor hebt ingericht, dan kun je verder met het app wachtwoord. Zie ook Google help.

2. Ga naar https://myaccount.google.com/apppasswords.
3. Maak een app aan.

   

   Je app wachtwoord wordt getoond, bewaar dit op een veilige plaats.
   

4. Ga naar Profit.
5. Ga naar: Algemeen / Omgeving / Beheer / Eigenschappen.
6. Ga naar het tabblad: E-mail.
7. Neem de onderstaande instellingen over. Vul je eigen e-mailadres, gebruikersnaam en afzender in.

   

8. Bij Poort voor uitgaande e-mail gebruik je altijd 587.
9. Bij Veilige communicatie afdwingen geldt het volgende:
   • Als 'Veilige communicatie afdwingen is ingeschakeld dan wordt een correct geconfigureerde mailserver afgedwongen. De servernaam moet dus overeenkomen met de CN (of een van de alternatieve namen) in het certificaat, het certificaat moet geldig zijn en afkomstig zijn van een vertrouwde uitgever. (Een self-signed certificaat is dus niet geldig.) Voor poort 465 wordt met deze instelling een 'Implicit SSL/TLS'-verbinding gestart. Voor poort 25 of 587 wordt er een verbinding gestart met StartTLS.
   • Als 'Veilige communicatie afdwingen' is uitgeschakeld dan wordt er een poging gedaan om een veilige verbinding op te zetten. Hierbij worden juiste certificaatgegevens niet afgedwongen. Aan deze methode zitten veiligheidsrisico’s, een 'man in the middle' aanval is hierbij bijvoorbeeld mogelijk. Als de server geen SSL-certificaat heeft geconfigureerd, wordt er in 'plain text' gecommuniceerd. Dit geldt voor zowel poort 465, 587 als 25.
   • Profit gebruikt voor communicatie met de mailserver TLS 1.2. Of als dat niet beschikbaar is, TLS 1.1 of anders TLS 1.0.
10. Vink het veld SMTP-server vereist verificatie aan, als deze verificatie nodig is op de mailserver. Vul dan ook de algemene gebruikersnaam en het wachtwoord in. Gebruikersnaam en wachtwoord: de gebruiker die je invult moet rechten hebben op de mailserver om buiten het domein te e-mailen. Gebruik je op AFAS Online een eigen e-mailserver, dan adviseren we altijd te werken met een gebruikersnaam/wachtwoord en/of IP-filter op je e-mailserver om te voorkomen dat anderen ook e-mail (zoals spam) via je e-mailserver kunnen versturen.
11. Allowlist zonodig op de mailserver de IP-range 185.46.182.0/24 (host proxy.afas.online). Via dit IP-adres biedt Profit e-mails aan jouw mailserver aan. Als je dit niet doet, dan kan dit tot gevolg hebben dat dit IP-adres op een denylist komt. Daarmee komt o.a. jouw e-mail niet meer aan bij de ontvanger.
12. Vul bij Afzender automatische e-mail het adres in dat vermeld zal worden in de automatisch verstuurde e-mailberichten. Vul hier een algemeen e-mailadres van de organisatie in, bijvoorbeeld reply@enyoi.nl (gebruik je eigen e-mailadres, niet dit voorbeeld).