Contexte 

Suite aux nouvelles politiques de sécurité de Microsoft et Google (2024), l'authentification de base (login/mot de passe) n'est plus officiellement supportée pour le protocole SMTP dans Exchange Online.  Parallèlement à la fin de l'authentification de base, les fournisseurs (Microsoft, Google, Yahoo) ont durci les règles de validation des expéditeurs via relais SMTP. L'utilisation d'adresses d'expédition (champ From:) non alignées avec le compte authentifié ou l'absence de configurations SPF/DKIM strictes peut désormais causer un rejet des messages ou un classement en "Indésirables. 

1. Dépréciation Auth Basic (Microsoft)
   
2. Exigences pour les expéditeurs (Google)

Pour maintenir la délivrabilité des courriels de notification de Koha et respecter les normes de sécurité actuelles, nous proposons de migrer vers l'authentification OAuth2 (SASL).

2. Prérequis et coordination TI

Afin de garantir une transition fluide et de minimiser le temps d'intervention, nous demandons au département TI de valider les configurations suivantes. Une fois ces étapes complétées, une courte séance de validation et d'activation conjointe (15 min) sera planifiée pour finaliser la migration.

A. Compte de Service

• Licence : Un compte de service avec une licence Exchange Online active.

• SMTP Auth : Le service doit être explicitement autorisé pour ce compte.

  • Commande de vérification (PowerShell) :

    PowerShell

    Get-CASMailbox -Identity <Compte_Koha> | Format-List SmtpClientAuthenticationDisabled
    

    La valeur retournée doit être False. Si c'est à True, veuillez l'activer via le centre d'administration M365 ou PowerShell.

B. Droits Azure AD / Entra ID

• La personne présente lors de la rencontre doit posséder les droits Administrateur d'Application ou Administrateur Général pour consentir à l'application multi-tenant de Collecto dans votre tenant.

3. Déroulement de l'intervention 

L'intervention se déroulera en trois phases rapides :

1. Enregistrement / Consentement : L'administrateur TI autorise l'application de Collecto sur le tenant de l'établissement.

2. Génération du Jeton : Une authentification interactive sera faite avec le compte de service Koha pour générer un jeton initial (valide 90 minutes).

3. Persistance : À partir de ce jeton, nous générerons un Refresh Token permanent.

   • Note : Ce jeton reste valide indéfiniment tant qu'il est utilisé au moins une fois tous les 90 jours et que le mot de passe du compte de service n'est pas réinitialisé.

4. Impacts et Bénéfices

• Sécurité : Plus aucun mot de passe n'est stocké en clair dans les fichiers de configuration de Postfix/Koha.

• Délivrabilité : Alignement avec les exigences de Google et Microsoft, réduisant les risques de voir vos notifications finir en "Spam".

• Stabilité : Fin des blocages liés aux changements de politiques de sécurité sur l'authentification basique.