Compartilhar via


Pools de entrega de saída

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Email servidores nos datacenters do Microsoft 365 podem ser temporariamente culpados de enviar spam. Por exemplo, um ataque de software maligno ou spam malicioso numa organização de e-mail no local que envia correio de saída através do Microsoft 365 ou comprometeu as contas do Microsoft 365. Os atacantes também tentam evitar a deteção ao reencaminhar mensagens através do reencaminhamento do Microsoft 365.

Estes cenários podem resultar na apresentação do endereço IP dos servidores de datacenter do Microsoft 365 afetados em listas de bloqueio de terceiros. As organizações de e-mail de destino que utilizam estas listas de bloqueio rejeitarão o e-mail dessas origens de mensagens do Microsoft 365.

Conjunto de entrega de alto risco

Para impedir que os nossos endereços IP sejam bloqueados, todas as mensagens de saída dos servidores de datacenter do Microsoft 365 que são determinados como spam são enviadas através do conjunto de entrega de alto risco.

O conjunto de entrega de alto risco é um conjunto de endereços IP separado para e-mail de saída que é utilizado apenas para enviar mensagens de "baixa qualidade" (por exemplo, spam e backscatter. A utilização do conjunto de entrega de alto risco ajuda a impedir que o conjunto de endereços IP normal para e-mail de saída envie spam. O conjunto de endereços IP normal para e-mail de saída mantém a reputação de enviar mensagens de "alta qualidade", o que reduz a probabilidade de estes endereços IP aparecerem em listas de bloqueio de IP.

A possibilidade de os endereços IP no conjunto de entrega de alto risco serem colocados em listas de bloqueios de IP permanece, mas este comportamento é predefinido. A entrega aos destinatários pretendidos não é garantida porque muitas organizações de e-mail não aceitam mensagens do conjunto de entrega de alto risco.

Para obter mais informações, veja Controlar o spam de saída.

Observação

As mensagens em que o domínio de e-mail de origem não tem um registo A e nenhum registo MX definido no DNS público são sempre encaminhadas através do conjunto de entrega de alto risco, independentemente do spam ou da eliminação do limite de envio.

As mensagens que excedem os seguintes limites são bloqueadas, pelo que não são enviadas através do conjunto de entrega de alto risco:

Mensagens de devolução

O conjunto de entrega de alto risco de saída gere a entrega de todos os relatórios de entrega não entregues (também conhecidos como NDRs ou mensagens de devolução). As causas possíveis para um aumento de NDRs incluem:

  • Uma campanha de spoofing que afeta um dos clientes que utilizam o serviço.
  • Um ataque de colheita de diretórios.
  • Um ataque de spam.
  • Um servidor de e-mail não autorizado.

Qualquer um destes problemas pode resultar num aumento repentino do número de NDRs a serem processados pelo serviço. Muitas vezes, estes NDRs parecem ser spam para outros servidores e serviços de e-mail (também conhecidos como backscatter).

Conjunto de reencaminhamento

Em determinados cenários, as mensagens reencaminhadas ou reencaminhadas através do Microsoft 365 são enviadas através de um conjunto de reencaminhamento especial, porque o destino não deve considerar o Microsoft 365 como o remetente real. É importante para nós isolar este tráfego de e-mail, porque existem cenários legítimos e inválidos para reencaminhamento automático ou reencaminhamento de e-mails do Microsoft 365. Semelhante ao conjunto de entrega de alto risco, é utilizado um conjunto de endereços IP separado para correio reencaminhado. Este conjunto de endereços não é publicado porque pode ser alterado frequentemente e não faz parte do registo SPF publicado para o Microsoft 365.

O Microsoft 365 tem de verificar se o remetente original é legítimo para podermos entregar a mensagem reencaminhada com confiança.

A mensagem reencaminhada ou reencaminhada deve cumprir um dos seguintes critérios para evitar utilizar o conjunto de reencaminhamento:

  • O remetente de saída está num domínio aceite.
  • O SPF passa quando a mensagem chega ao Microsoft 365.
  • O DKIM no domínio do remetente é aprovado quando a mensagem chega ao Microsoft 365.

Nos casos em que podemos autenticar o remetente, utilizamos o Esquema de Reescrita do Remetente (SRS) para ajudar o sistema de e-mail do destinatário a saber que a mensagem reencaminhada provém de uma origem fidedigna. Pode ler mais sobre como funciona e o que pode fazer para ajudar a garantir que o domínio de envio passa a autenticação no Esquema de Reescrita do Remetente (SRS) no Office 365.

Para que o DKIM funcione, certifique-se de que ativa o DKIM para o envio de domínios. Por exemplo, fabrikam.com faz parte do contoso.com e é definido nos domínios aceites da organização. Se o remetente da mensagem for sender@fabrikam.com, o DKIM tem de estar ativado para fabrikam.com. pode ler sobre como ativar em Utilizar o DKIM para validar o e-mail de saída enviado a partir do seu domínio personalizado.

Para adicionar um domínio personalizado, siga os passos em Adicionar um domínio ao Microsoft 365.

Se o registo MX do seu domínio apontar para um serviço de terceiros ou para um servidor de e-mail no local, deve utilizar a Filtragem Avançada para Conectores. A Filtragem Avançada garante que a validação do SPF está correta para o correio de entrada e evita o envio de e-mails através do conjunto de reencaminhamento.

Descobrir que conjunto de saída foi utilizado

Enquanto Administrador de Serviços do Exchange ou Administrador* Global, poderá querer saber que conjunto de saída foi utilizado para enviar uma mensagem do Microsoft 365 a um destinatário externo.

Importante

* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Para tal, pode utilizar o Rastreio de mensagens e procurar a OutboundIpPoolName propriedade no resultado. Esta propriedade contém um valor de nome amigável para o conjunto de saída que foi utilizado.