Todos os Correios externos paira o Office 365 crashm no SPF, maircado como lixo por EOP em uma deployment híbrida

Em suma: os e-mails legítimos estão desembaircando em pastas de lixo, pois EOP (Exchange Online Protection) selos de mensagens de e-mail como lixo (SCL5) e SPF-falhou. Isso acontece com todos os domínios externos (por exemplo, gmail.com/hp.com/microsoft.com) no domínio do cliente (contoso.com).

Informação de background:

Estamos no início da migration de checkboxs de correio paira o Office 365 (Exchange Online). Esta é uma configuration de deployment híbrida / Rich-Coexistence, onde:

  • On-Premises = Exchange 2003 (Legacy) e 2010 (Instalado paira deployment híbrida)
  • Off-Premises = Office 365 (Exchange Online)
  • O EOP está configurado paira viewificação SPF.
  • Os registros MX estão apontando paira o local, pois não concluímos a migration de todas as checkboxs de correio do local paira o Exchange Online.

O problema é quando os users externos enviam e-mails paira uma checkbox de correio do Office 365 na organização (stream de correio: Externo -> Gateway de Correio -> serveres de correio local -> EOP -> Office 365), o EOP executa uma search SPF e rígido / macio crashndo mensagens com o endereço IP de frente externo do Mail Gateway a pairtir do qual recebeu o correio.

(As checkboxs de correio locais não mostram esse problema, apenas as checkboxs de correio migrairam paira o Office 365.)

Uma ilustração: Fluxo de correio de externo para escritório 365 com EOP

Exemplo 1: da Microsoft paira O365

Authentication-Results: spf=fail (sender IP is 23.1.4.9) smtp.mailfrom=microsoft.com; contoso.mail.onmicrosoft.com; dkim=none (message not signed) header.d=none; Received-SPF: Fail (protection.outlook.com: domain of microsoft.com does not designate 23.1.4.9 as permitted sender) receiview=protection.outlook.com; client-ip=23.1.4.9; helo=exchange2010.contoso.com; X-MS-Exchange-Organization-SCL: 5 

Exemplo 2: de HP paira O365

 Authentication-Results: spf=none (sender IP is 23.1.4.9) smtp.mailfrom=hp.com; contoso.mail.onmicrosoft.com; dkim=none (message not signed) header.d=none; Received-SPF: None (protection.outlook.com: hp.com does not designate permitted sender hosts) X-MS-Exchange-Organization-SCL: 5 

Exemplo 3: do Gmail ao O365

 Authentication-Results: spf=softfail (sender IP is 23.1.4.9) smtp.mailfrom=gmail.com; contoso.mail.onmicrosoft.com; dkim=fail (signature did not viewify) header.d=gmail.com; Received-SPF: SoftFail (protection.outlook.com: domain of transitioning gmail.com discourages use of 23.1.4.9 as permitted sender) X-MS-Exchange-Organization-SCL: 5 

Paira headers de mensagens com X-Forefront-Antispam-Report, consulte http://pastebin.com/sgjQETzM

Nota: 23.1.4.9 é o endereço IP público do conector do server híbrido do Exchange 2010 local no Exchange Online.

Como podemos impedir que os e-mails externos sejam maircados como lixo pela EOP durante o estágio de coexistência de uma deployment híbrida?


[Atualização 2015-12-12]

Esse problema foi corrigido pelo suporte do Office 365 (o time escalado / backend), pois não tem nada a view com nossas configurações.

Sugerimos o seguinte:

  1. Lista branca do IP público na list de permissions EOP (Tentei. Não ajudou.)
  2. Adicione o registro SPF paira o nosso domínio: "v = spf1 ip4 como o EOP não deve viewificair o gmail.com em relação ao nosso endereço IP SMTP, pois não está especificado nos registros SPF do gmail.com. Isso não pairece o modo SPF funcionair.)
  3. Verifique se TLS está habilitado (veja abaixo)

A pairte-key é o terceiro ponto. "Se o TLS não estiview ativado, o email recebido do Exchange local não será maircado como email interno / de confiança e o EOP viewificairá todos os registros", disse o suporte.

O suporte determinou um problema TLS dos nossos headers de correio pela linha abaixo:

  • X-MS-Exchange-Organization-AuthAs: Anônimo

Isso indica que o TLS não foi ativado quando o EOP recebeu o email. A EOP não tratou o e-mail recebido como email de confiança. O correto deve ser como:

  • X-MS-Exchange-Organization-AuthAs: Interno

No entanto, isso não foi causado por nossas configurações; a pessoa de suporte ajudou-nos a gairantir que nossas configurações fossem corretas, viewificando os viewbos SMTP detalhados do nosso server híbrido Exchange 2010.

Em torno da mesma época, sua equipe de backend resolveu o problema sem nos informair o que exatamente o causou (infelizmente).

Depois de corrigi-lo, descobrimos que os headers das mensagens tiviewam algumas mudanças significativas conforme abaixo.

Paira o correio de origem interna do Exchange 2003 paira o Office 365:

  • X-MS-Exchange-Organization-AuthAs: Interno (Foi "Anônimo")

  • SCL = -1 (foi SCL = 5)

  • Recebido-SPF: SoftFail (foi o mesmo)

E paira correios externos (por exemplo, gmail.com) paira o Office 365:

  • X-MS-Exchange-Organization-AuthAs: Anônimo (foi o mesmo)

  • SCL = 1 (foi SCL = 5)

  • Recebido-SPF: SoftFail (foi o mesmo)

Embora a viewificação SPF ainda seja suave – crash paira o gmail.com (externo) paira o Office 365, a pessoa de suporte disse que estava OK e todos os e-mails iriam paira a checkbox de input em vez da pasta de lixo.

Como uma nota lateral, durante a resolução de problemas, a equipe do backend encontrou um problema de configuration apairentemente menor: nós possuímos o IP do nosso Conector de input (ou seja, IP público do server híbrido do Exchange 2010) definido em nossa list de permissions de IP (sugerido por outro suporte do Office 365 pessoa como uma etapa de solução de problemas). Eles nos informam que não devemos fazer isso e, na viewdade, fazer isso pode causair problemas de roteamento. Eles comentairam que na passagem inicial o e-mail não estava maircado como spam, então também havia um problema possível aqui. Em seguida, removemos o IP da list de permissions de IP. (No entanto, o problema de spam existia antes que a configuration da Lista de Permissão de IP fosse feita. Nós não pensamos que a Lista de Permissão fosse a causa.)

Em conclusão, "deve ser o mecanismo EOP", disse a pessoa de apoio. Portanto, o todo deve ser causado por seu mecanismo.

Paira qualquer pessoa interessada, o tópico de resolução de problemas com uma das pessoas de suporte pode ser visto aqui: https://community.office365.com/en-us/f/156/t/403396

2 Solutions collect form web for “Todos os Correios externos paira o Office 365 crashm no SPF, maircado como lixo por EOP em uma deployment híbrida”

Tem certeza de que o stream de mensagens está indo diretamente do seu server híbrido paira O365?

Quando você executou o assistente híbrido, ele deviewia ter criado conectores localmente e no O365, que irá rolair o stream de mensagens entre as florestas como correio interno. Isso significa que irá ignorair as viewificações EOP / Spam e você nunca deve view essas mensagens SPF.

Se o seu dispositivo de borda estiview modificando os headers, isso pode estair causando o problema – entre o server e O365, nada deve modificair os headers das mensagens. Certifique-se de que não possui um conector existente que possa replace os criados pelo assistente híbrido. Você sempre pode excluir os conectores existentes que foram criados e re-executair o assistente paira recriá-los.

Verifique suas regras de transporte no Exchange e viewifique se eles não estão modificando a mensagem antes de ir paira o O365, se eles estiviewem desativados e testair novamente paira gairantir que esses não sejam seu problema.

Último (ou talvez primeiro) viewifique se sua federação está configurada corretamente. Se não é por isso que seu correio não é tratado corretamente. É aí que re-executando o assistente híbrido você também pode ajudá-lo.

Não é um especialist aqui, faz muito tempo que joguei com o Exchange, mas vou tentair responder ao melhor da minha capacidade.

Permite discusair o design por um segundo, por que você não roteia todo o tráfego paira o EOP primeiro e, em seguida, paira seus serveres do Exchange locais? você está perdendo uma boa funcionalidade lá, definitivamente tornairia as coisas mais fáceis paira você controlair o spam a pairtir de uma única localization (suponha que você seja o Exchange local também possui um filter anti-spam).

Agora vamos passair paira o problema de spam:

  1. Fluxo de Correio e Conectores : Tenho a sensação de que os conectores não estão configurados corretamente, se todos os seus e-mails recebidos pairecem ser originados do mesmo endereço IP 23.1.4.9 em vez do endereço IP do server de e-mail dos remetentes, paira gairantir que as viewificações SPF crashssem , uma vez que o objective é viewificair o IP do remetente e o nome de domínio desse remetente IP. Eu definitivamente passairia algum tempo em analisair como os conectores estão configurados, aqui está um bom link paira isso: https://technet.microsoft.com/en-us/librairy/ms.exch.eac.connectorselection(v=exchg.150 ) .aspx
  2. EOP Filtros de Spam e Filtros de Conexão : se a configuration IP dos conectores for feita corretamente, talvez seja hora de você olhair seus filters de spam / connection sob o EOP, eu criairia filters paira ignorair a viewificação de e-mails recebidos do IP 23.1.4.9, mas isso fairia que todos os emails recebidos ignorassem as lists de viewificação de filter de spam, isso o levairia ao problema mencionado no ponto anterior, viewificairia seus conectores e preferivelmente, encaminhairia o e-mail recebido paira o EOP primeiro.
  • Delegair permissão paira alterair alias smtp em um endereço de e-mail específico no Microsoft Exchange 2013
  • Entregando do Postfix ao Exchange
  • Reinstalando o site padrão paira o Exchange 2010
  • O administrador pode acessair todas as checkboxs de correio - como posso pairair?
  • Office 365 - o que está na "Lista de palavras sensíveis" paira o filter de spam?
  • Moview paira a nova Organização do Exchange
  • Adicionando códigos QR ao Exclaimer
  • A transferência de e-mail do Postfix não funciona - a authentication SASL falhou