SMTPlySMTPly

Support & Dokumentation

Von der Erstinstallation bis zu den Feinheiten der Retention-Einstellungen — alles an einer Stelle.

Installation

Laden Sie SMTPly-Setup-latest.exe aus dem Download-Bereich herunter. Führen Sie den Installer als Administrator aus. Der Wizard führt Sie in vier Schritten durch die Installation — in 99 % der Einsatzszenarien reichen die Standardwerte. Klicken Sie jeden Screenshot an, um ihn in voller Größe zu sehen.

Schritt 1 — Ziel-Ordner wählen

Belassen Sie den Standardpfad C:\Program Files\SMTPly, sofern Sie keinen konkreten Grund für eine Abweichung haben. Das Setup benötigt ca. 293 MB für Dienst, GUI und die eingebettete .NET 8 Runtime.

Installer Schritt 1: Dialog zur Auswahl des Ziel-Ordners mit Vorgabe C:\Program Files\SMTPly Schritt 1: Ziel-Ordner. Standardwert einfach mit „Weiter" übernehmen.

Schritt 2 — Zusätzliche Aufgaben

Der Wizard bietet zwei Optionen an, beide sind standardmäßig aktiviert:

  • Desktop-Symbol erstellen — legt eine Verknüpfung zur GUI auf dem Desktop an.
  • Windows service „Smtply" installieren und starten — registriert und startet den Hintergrund-Dienst, damit der Relay unabhängig vom eingeloggten Benutzer läuft. Diese Option sollten Sie aktiviert lassen — ohne Dienst müssten Sie die GUI permanent offen halten.
Installer Schritt 2: Zusätzliche Aufgaben mit Desktop-Symbol und Windows-Dienst-Installation aktiviert Schritt 2: Zusätzliche Aufgaben. Die Dienst-Installation erfordert kurz UAC-Rechte beim Ausführen.

Schritt 3 — Installation starten

Kontrollieren Sie die Zusammenfassung und klicken Sie auf Installieren. Die eigentliche Installation dauert in der Regel unter einer Minute.

Installer Schritt 3: Übersicht der Installationsoptionen vor dem Start Schritt 3: Zusammenfassung vor dem Kopieren der Dateien.

Schritt 4 — Abschluss

Nach erfolgreicher Installation können Sie SMTPly direkt starten. Das Häkchen SMTPly starten ist vorausgewählt — nach Klick auf Fertigstellen öffnet sich die GUI automatisch und springt beim ersten Start direkt in die Einstellungen, damit Sie Ihre Azure-App-Daten eintragen können.

Installer Schritt 4: Abschluss-Seite mit Häkchen 'SMTPly starten' Schritt 4: Installation abgeschlossen. Direkt starten und mit der Azure-Konfiguration weitermachen.

Alle Komponenten werden unter C:\Program Files\SMTPly\ abgelegt, Konfiguration und Logs unter C:\ProgramData\Smtply\. Der Dienst läuft als Smtply unter dem LocalSystem-Konto und startet automatisch mit Windows.

Integrität prüfen

Die SHA-256-Prüfsumme jeder veröffentlichten Version finden Sie im Release-Eintrag und auf der Download-Seite. Verifizieren Sie den Download vor der Installation mit:

Get-FileHash -Algorithm SHA256 .\SMTPly-Setup-latest.exe

Azure-App registrieren

SMTPly authentifiziert sich bei Microsoft Graph mit einer Azure App Registration im Client-Credentials-Flow. Das bedeutet: kein Benutzer-Login, die App sendet im Namen einer festgelegten Absender-Adresse. Die folgende Schritt-für-Schritt-Anleitung dauert etwa 10 Minuten. Klicken Sie jeden Screenshot an, um ihn in voller Größe zu sehen.

Schritt 1 — Neue App-Registrierung anlegen

  1. Öffnen Sie das Entra Admin Center als Global Administrator.
  2. Navigieren Sie zu Identität → Anwendungen → App-Registrierungen.
  3. Klicken Sie auf + Neue Registrierung.
  4. Name: z.B. SMTPly Relay.
  5. Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis.
  6. Umleitungs-URI: leer lassen.
  7. Auf Registrieren klicken.
Entra Admin Center: Formular zum Registrieren einer neuen Anwendung mit dem Namen SMTPly Relay Schritt 1: Formular zum Registrieren der neuen App im Entra Admin Center.

Schritt 2 — Tenant-ID und Client-ID notieren

Nach der Registrierung landen Sie auf der App-Übersichtsseite. Notieren Sie sich zwei Werte, die SMTPly später benötigt:

  • Anwendungs-(Client-)ID — die GUID Ihrer App-Registrierung
  • Verzeichnis-(Mandanten-)ID — die GUID Ihres Tenants
App-Übersichtsseite mit Anwendungs-(Client-)ID und Verzeichnis-(Mandanten-)ID Schritt 2: App-Übersicht. Die beiden GUIDs rechts werden später in SMTPly eingetragen.

Schritt 3 — Client-Secret erzeugen

  1. In der linken Navigation: Zertifikate & Geheimnisse.
  2. Reiter Geheime Clientschlüssel+ Neuer geheimer Clientschlüssel.
  3. Beschreibung: SMTPly Production (oder frei wählbar).
  4. Ablaufzeit: 24 Monate empfohlen (längere Laufzeiten vermeiden Wartungsunterbrechungen).
  5. Auf Hinzufügen klicken.
Dialog 'Geheimen Clientschlüssel hinzufügen' mit Beschreibung SMTPly Production und 730 Tagen Laufzeit Schritt 3: Neues Client-Secret anlegen mit 24 Monaten Gültigkeit.

Schritt 4 — Secret-Wert sofort kopieren

Nach dem Erstellen wird der Wert einmalig in Klartext angezeigt. Kopieren Sie ihn sofort — nach dem nächsten Seitenwechsel ist er nicht mehr sichtbar, nur noch die ersten/letzten Zeichen.

Liste mit dem neu erstellten Client-Secret. Der Wert ist nur in dieser Ansicht im Klartext sichtbar. Schritt 4: Der Wert in der Spalte „Wert" wird nur einmal angezeigt. Jetzt kopieren!

Wichtig: Notieren Sie sich das Ablaufdatum des Secrets. SMTPly warnt standardmäßig 14 Tage vor Ablauf in der GUI und kann zusätzlich eine E-Mail-Benachrichtigung senden — Sie können den Wert später in den Einstellungen erneuern.

Berechtigungen & Admin-Consent

Schritt 5 — API-Berechtigung hinzufügen

  1. In der linken Navigation: API-Berechtigungen.
  2. Oben auf + Berechtigung hinzufügen.
  3. Im rechten Panel Microsoft Graph auswählen.
Panel 'API-Berechtigungen anfordern' mit Auswahl Microsoft Graph hervorgehoben Schritt 5: Microsoft Graph als API auswählen.

Schritt 6 — „Anwendungsberechtigungen" wählen

SMTPly läuft als Hintergrunddienst ohne angemeldeten Benutzer und benötigt daher Anwendungsberechtigungen (nicht „Delegierte Berechtigungen"). Das ist die entscheidende Wahl — mit delegierten Berechtigungen würde der Relay nicht funktionieren.

Auswahl zwischen delegierten und Anwendungsberechtigungen, zweite Option ist ausgewählt Schritt 6: „Anwendungsberechtigungen" auswählen (nicht „Delegierte Berechtigungen").

Schritt 7 — Mail.Send aktivieren

Im Suchfeld mail.send eingeben. Unter Mail erscheint die Berechtigung Mail.Send — Haken setzen und unten auf Berechtigungen hinzufügen klicken.

Mail.Send Berechtigung ausgewählt: Send mail as any user Schritt 7: Mail.Send-Haken setzen. Beschreibung: „Send mail as any user".

Schritt 8 — Administratorzustimmung erteilen

Zurück auf der API-Berechtigungen-Seite: Der Status von Mail.Send zeigt zunächst „Administratoreinwilligung erforderlich". Klicken Sie oben auf Administratorzustimmung für <Ihr Tenant> erteilen und bestätigen Sie. Der Status wechselt auf Gewährt (grüner Haken).

API-Berechtigungen-Übersicht mit Pfeil auf den Button 'Administratorzustimmung erteilen' Schritt 8: Admin-Zustimmung erteilen. Ohne diesen Schritt kann die App keine Mails senden.

Optional: Send-as einschränken. Standardmäßig darf die App als jedes Postfach im Tenant senden. Für Least-Privilege können Sie das per Application Access Policy auf genau das gewünschte Postfach eingrenzen — empfohlen für produktive Setups.

Optional: Send-as einschränken. Standardmäßig darf die App als jedes Postfach im Tenant senden. Für Least-Privilege können Sie das per Application Access Policy auf genau das gewünschte Postfach eingrenzen — empfohlen für produktive Setups.

Benötigte Werte für SMTPly

Feld in SMTPlyWo in Azure
Tenant-IDApp-Übersicht → Verzeichnis-(Mandanten-)ID
Client-IDApp-Übersicht → Anwendungs-(Client-)ID
Client-SecretZertifikate & Geheimnisse → Wert (nur einmalig sichtbar)
Absender-AdresseEin gültiges M365-Postfach im Tenant, z.B. [email protected]

Erster Start & Setup-Wizard

Beim ersten Start führt der Wizard durch folgende Abschnitte:

  1. Microsoft 365 — Azure-Daten eingeben, Testverbindung senden.
  2. SMTP-Listener — Port, Bind-Adresse, Max-Size festlegen.
  3. STARTTLS (optional) — Zertifikat auswählen oder generieren lassen.
  4. IP-Whitelist — welche Geräte dürfen relayen.
  5. Datenschutz — Logging-Verhalten für Betreff, Adressen, abgelehnte Mails.
  6. Dienst starten — der Windows-Dienst nimmt den Betrieb auf.

Alle Einstellungen lassen sich jederzeit über den Navigationspunkt „Einstellungen" nachträglich anpassen.

Einstellungen im Detail

Microsoft 365

EinstellungBedeutung
Tenant-IDGUID Ihres Azure-Tenants — siehe Entra Admin Center.
Client-IDGUID Ihrer App-Registrierung.
Client-SecretWird DPAPI-verschlüsselt gespeichert. Feld leer lassen = keine Änderung.
Absender-AdresseStandard-/Override-MAIL FROM. Muss ein gültiges M365-Postfach sein.
Absender immer überschreibenWenn aktiv, wird die MAIL FROM des Clients ignoriert und durch die Absender-Adresse ersetzt. Nützlich, wenn Geräte falsche FROMs senden.
Erlaubte DomainsNur Mails mit FROM @diesedomain.tld werden durchgelassen. Leer = nur die Domain der Absender-Adresse.

SMTP-Listener

EinstellungBedeutung
Port25 für interne Legacy-Geräte, 587 für offiziell-konformes Submission. Frei wählbar.
Bind-Adresse127.0.0.1 (nur lokal), 0.0.0.0 (alle Interfaces), oder konkrete LAN-IP.
Max. NachrichtengrößeStandard 25 MB. Größere Mails werden mit SMTP 552 abgewiesen. Graph akzeptiert bis 150 MB.
Erlaubte Quell-IPsWhitelist von Einzel-IPs oder CIDR-Ranges. 192.168.1.0/24 erlaubt z.B. das komplette /24.
Offener ModusWhitelist deaktiviert, jede IP kann relayen. Nur in vertrauenswürdigen Netzen einsetzen.

STARTTLS

Standardmäßig deaktiviert — Legacy-Geräte im LAN benötigen typischerweise kein TLS. Aktivieren Sie STARTTLS, wenn Ihre Geräte es anfordern.

  • Selbstsigniert — SMTPly erzeugt ein 10-Jahre-gültiges Zertifikat. Legacy-Clients ignorieren den fehlenden CA-Trust meist automatisch.
  • PEM-Dateien — z.B. Let's-Encrypt-Output fullchain.pem + privkey.pem.
  • PFX / PKCS#12 — fertiges Container-Format mit Passwort.

Datenschutz im Mail-Protokoll

EinstellungBedeutung
Betreff speichernWenn aus, wird der Betreff im Mail-Tracker durch *** ersetzt.
Adressen speichernWenn aus, werden Absender/Empfänger durch *** ersetzt.
Abgelehnte Mails protokollierenWenn aus, tauchen IP-geblockte oder zu große Mails nicht im Tracker auf. System-Log protokolliert sie trotzdem.
MaskingKeine = Klartext. Teilweise = m**l@e*****e.com und Betreff auf 15 Zeichen + „…".

Retention

Log-Dateien und Mail-Tracker-DB haben getrennte Aufbewahrungszeiten. Beide Felder nutzen dasselbe Sentinel-Schema:

  • -1 = Nicht speichern (komplett deaktiviert)
  • 0 = Unbegrenzt (nie automatisch löschen)
  • N > 0 = N Tage, danach wird automatisch gelöscht

Vordefinierte Optionen: 7 / 14 / 30 / 60 / 90 / 180 / 365 Tage. Defaults sind 7 Tage (Logs) und 14 Tage (Mail-Tracker).

Grenzwerte & Limits

GrenzeWertQuelle
Max. Nachrichtengröße25 MB (SMTPly-Default) — bis 150 MB konfigurierbarGraph /sendMail
Max. Empfänger pro Mail500 (Exchange Online)Microsoft
Mails pro Tag / Postfach10.000 (Exchange Online)Microsoft
API-Rate-Limit10.000 Requests / 10 min pro App / TenantGraph Throttling
Lizenzierte Postfächer1 (Starter) — weitere Editionen auf AnfrageSMTPly-Lizenz

SMTPly hält sich an alle Graph-Throttling-Hinweise — wenn Microsoft einen Retry-After-Header schickt, respektiert die Queue das automatisch und wartet entsprechend.

Lizenzierung

SMTPly wird als Einmalkauf mit einer pro Server gebundenen Lizenz angeboten. Die Aktivierung erfolgt online über das Polar-Lizenzsystem.

  • 14-Tage-Testphase — voll funktional, keine Limits, automatisch beim ersten Start.
  • Aktivierung — Lizenzschlüssel in GUI → „Lizenz" einfügen und bestätigen.
  • Hardware-Bindung — Fingerprint aus CPU- und Motherboard-Kennungen. Umzug erfordert vorherige Deaktivierung.
  • Offline-Grace — nach erfolgreicher Aktivierung läuft SMTPly bis zu 30 Tage ohne Internet-Check weiter.
  • Deaktivierung — GUI → „Lizenz" → „Deaktivieren". Danach kann der Schlüssel woanders aktiviert werden.

Troubleshooting

„HTTP 401 Unauthorized" im Log

Client-Secret abgelaufen oder falsch eingegeben. Prüfen Sie im Entra Admin Center die Gültigkeit und tragen Sie ggf. einen neuen Wert in den SMTPly-Einstellungen ein.

„HTTP 403 Forbidden"

Admin-Consent für Mail.Send fehlt, oder eine Application Access Policy begrenzt die App. Kontrollieren Sie in der App-Registrierung den Status der API-Berechtigungen.

„HTTP 429 Too Many Requests"

Das Tenant-Rate-Limit wurde erreicht. SMTPly wartet automatisch den Retry-After-Zeitraum ab und wiederholt danach. Keine Aktion nötig.

Drucker meldet „Connection refused"

Prüfen Sie: (a) läuft der Dienst? (Dienste-MMC oder Dashboard). (b) Bind-Adresse — bei 127.0.0.1 ist der Port nur lokal erreichbar; setzen Sie auf LAN-IP oder 0.0.0.0. (c) Windows-Firewall — Port explizit freigeben.

„Kein gültiges M365-Postfach"

Die Absender-Adresse muss ein lizenziertes Exchange-Online-Postfach sein — Shared Mailboxes funktionieren, Distribution Lists nicht. Auch Gast-Accounts oder nicht-lizenzierte Nutzer schlagen fehl.

Häufige Fragen

Läuft SMTPly auch ohne Windows-Dienst?

Ja — Sie können Smtply.exe einfach als Desktop-Anwendung starten. Der Relay läuft dann solange die GUI offen ist. Für produktiven 24/7-Betrieb ist die Dienst-Variante aber besser: kein angemeldeter Benutzer nötig, Auto-Start mit Windows.

Kann ich mehrere Tenants mit einer SMTPly-Installation bedienen?

In der Starter-Edition: nein. Pro Installation wird genau ein Microsoft-365-Konto als Absender-Relay konfiguriert. Für Multi-Tenant-Szenarien kontaktieren Sie uns für eine Enterprise-Edition.

Gibt es eine Linux-Version?

Aktuell nein — SMTPly ist Windows-nativ (DPAPI, Windows-Dienst, WPF). Eine Linux-Variante steht nicht auf der Roadmap. Für gemischte Umgebungen ist der Windows-Server als dedizierter Relay-Host die unkomplizierte Lösung.

Wie aktualisiere ich auf eine neue Version?

Einfach den neuen Installer starten. Er erkennt die bestehende Installation, ersetzt die Binaries und behält Konfiguration, Lizenz und Logs unter %ProgramData%\Smtply\ unverändert bei. Ab Version 1.3.0 weist SMTPly Sie selbständig auf verfügbare Updates hin — einmal täglich wird die öffentliche Release-API geprüft und die Release-Notes werden direkt in der „Über"-Seite angezeigt.

Werde ich automatisch gewarnt, wenn das Azure Client Secret abläuft?

Ja, wenn Sie in den Einstellungen unter Microsoft 365 → E-Mail-Benachrichtigungen eine Empfänger-Adresse hinterlegen. SMTPly sendet dann eine Warn-Mail an diese Adresse, sobald das Ablaufdatum näher rückt. Versendet wird über dieselbe E-Mail-Adresse, die auch für den Mail-Relay konfiguriert ist.

Standardmäßig startet die Warnung 14 Tage vor Ablauf (konfigurierbar). Weitere automatische Warnungen folgen bei 7, 3, 1 und 0 Tagen Restlaufzeit — jede Schwelle wird genau einmal gesendet. Nach dem Ablauf werden keine E-Mails mehr versendet, weil die Microsoft-365-Authentifizierung dann nicht mehr funktioniert; der farblich hervorgehobene Warnhinweis in den Microsoft-365-Einstellungen der GUI bleibt aber bestehen.

Kann ich regelmäßig einen Nutzungs-Bericht per E-Mail erhalten?

Ja. In den Einstellungen unter Microsoft 365 → E-Mail-Benachrichtigungen können Sie zusätzlich zur Secret-Ablauf-Warnung einen Report-Rhythmus wählen: täglich, wöchentlich oder monatlich. Der Bericht wird an dieselbe Benachrichtigungs-Adresse geschickt und enthält Gesamtzahlen (versandt / fehlgeschlagen / abgelehnt), durchschnittliche Versanddauer, Top-Absender, Top-Empfänger-Domänen und die häufigsten Fehlerursachen für den jeweiligen Zeitraum.

Der Versand respektiert Ihre Privacy-Einstellungen — bei aktivem Masking zeigt der Report maskierte Adressen, bei deaktiviertem „Adressen loggen" werden Top-Listen weggelassen. Ausschalten lässt sich der Report jederzeit mit der Option „Keine Berichte".

Werden E-Mail-Inhalte gespeichert?

Nein. SMTPly speichert ausschließlich Metadaten (Zeitstempel, Adressen, Betreff, Größe, Status) im Mail-Tracker — Body und Anhänge werden nach erfolgreicher Weiterleitung oder endgültigem Fehlschlag sofort verworfen (DSGVO-Grundsatz der Datenminimierung).

Was passiert, wenn Microsoft Graph ausfällt — oder der Server neu startet?

Empfangene Mails landen zuerst in einer lokalen, persistenten Warteschlange (queue.db) und erst danach in der In-Memory-Versand-Queue. Fällt Graph kurz aus, greift Exponential-Backoff; startet der Windows-Dienst neu (oder der ganze Server), lädt SMTPly die Wartenden beim Hochfahren automatisch wieder nach und stellt sie zu. Erst nach erfolgreichem Versand — oder nach endgültigem Fehlschlag — wird der Rohinhalt gelöscht.

Die GUI zeigt während eines Graph-Ausfalls einen Warnbanner im Dashboard; der Circuit-Breaker verhindert, dass sinnlose Retries den Token verbrennen.

Darf ich SMTPly in regulierten Branchen einsetzen (Gesundheit, Recht, Finanzen)?

Ja — SMTPly wurde bewusst so entworfen, dass keine Daten an Dritte fließen. Die Verarbeitung bleibt innerhalb Ihrer bestehenden M365-Vertragsbeziehung. Prüfen Sie trotzdem Ihre interne Compliance (z.B. ob Legacy-Geräte überhaupt personenbezogene Daten versenden dürfen).

Kontakt

Support-Anfragen, Feature-Wünsche oder Angebote für Enterprise-Editionen: