Office 365'e Tüm Harici Postalar, Karma Dağıtımda EOP Tarafından Önemsiz Olarak İşaretlenen SPF'yi Başarısız Oluyor

Kısaca: EOP (Exchange Online Protection) e-posta iletilerini önemsiz (SCL5) ve SPF başarısız olarak damgaladığı için meşru e-postalar Önemsiz klasörlere açılıyor. Bu, müşterinin alan adına (contoso.com) tüm harici alanlarla (ör. Gmail.com/hp.com/microsoft.com) olur.

Arkaplan bilgisi:

Posta kutularını Office 365'e (Exchange Online) taşımanın başlangıcındayız. Bu bir Hibrit Dağıtım / Zengin Bir Arada Varoluş yapılandırmasıdır, burada:

• Şirket İçi = Exchange 2003 (Eski) ve 2010 (Karma Dağıtım için Yüklendi)
• Şirket Dışı = Office 365 (Exchange Online)
• EOP, SPF kontrolü için yapılandırılmıştır.
• Tüm posta kutularını kurum içinde Exchange Online'a geçirmeyi tamamlamadığımız için MX kayıtları şirket içinde gösteriyor.

Sorun, harici kullanıcılar kuruluştaki bir Office 365 posta kutusuna e-posta gönderdiğinde (posta akışı: Harici -> Posta Ağ Geçidi -> şirket içi posta sunucuları -> EOP -> Office 365), EOP bir SPF araması gerçekleştirir ve sabit / yumuşak posta aldığı posta ağ geçidinin dışa bakan IP adresine sahip hata iletileri.

(Şirket içi posta kutuları bu sorunu göstermez; yalnızca Office 365'e taşınan posta kutuları bunu gösterir.)

Bir örnek:

Örnek 1: Microsoft'tan O365'e

Authentication-Results: spf=fail (sender IP is 23.1.4.9) 
smtp.mailfrom=microsoft.com; contoso.mail.onmicrosoft.com;
dkim=none (message not signed) header.d=none;
Received-SPF: Fail (protection.outlook.com: domain of microsoft.com does not designate
23.1.4.9 as permitted sender) receiver=protection.outlook.com; client-ip=23.1.4.9; 
helo=exchange2010.contoso.com; X-MS-Exchange-Organization-SCL: 5

Örnek 2: HP'den O365'e

Authentication-Results: spf=none (sender IP is 23.1.4.9) 
smtp.mailfrom=hp.com; contoso.mail.onmicrosoft.com; dkim=none 
(message not signed) header.d=none; Received-SPF: None 
(protection.outlook.com: hp.com does not designate permitted sender hosts) 
X-MS-Exchange-Organization-SCL: 5

Örnek 3: Gmail'den O365'e

Authentication-Results: spf=softfail (sender IP is 23.1.4.9) 
smtp.mailfrom=gmail.com; contoso.mail.onmicrosoft.com; 
dkim=fail (signature did not verify) header.d=gmail.com; 
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning 
gmail.com discourages use of 23.1.4.9 as permitted sender)  
X-MS-Exchange-Organization-SCL: 5

X-Forefront-Antispam-Report içeren mesaj başlıkları için http://pastebin.com/sgjQETzM adresine bakın.

Not: 23.1.4.9, kurum içi karma Exchange 2010 sunucu bağlacının Exchange Online için genel IP adresidir.

Bir Hibrit Dağıtımın bir arada bulunma aşamasında harici e-postaların EOP tarafından önemsiz olarak işaretlenmesini nasıl önleyebiliriz?

[2015-12-12 Güncellemesi]

Bu sorun, ayarlarımızla hiçbir ilgisi olmadığı için Office 365 desteği (yükseltilmiş / arka uç ekibi) ile giderildi.

Aşağıdaki önerileri sunduk:

1. EOP İzin Listesinde genel IP'yi beyaz listeye ekleyin (Denendi. Yardımcı olmadı.)
2. Alanımız için SPF kaydı ekleyin: "v = spf1 ip4: XXX.XXX.XXX.XXX ip4: YYY.YYY.YYY.YYY şunları içerir: spf.protection.outlook.com -all" (Bu önerinin geçerli olduğunu düşünmeyin çünkü GOP, gmail.com SPF kayıtlarında belirtilmediğinden SMTP IP adresimize gmail.com kontrol etmemelidir. SPF'nin çalışma şekli bu değildir.)
3. TLS'nin etkin olduğundan emin olun (Aşağıya bakın)

Anahtar kısım üçüncü noktadır. Destek, "TLS etkin değilse, yerel Exchange'den gelen e-postalar dahili / güven e-postası olarak işaretlenmez ve EOP tüm kayıtları kontrol eder." Dedi.

Destek, posta başlıklarımızdan aşağıdaki satırla bir TLS sorunu belirledi:

• X-MS-Exchange-Organizasyon-Yetkileri: Anonim

Bu, EOP e-posta aldığında TLS'nin etkinleştirilmediğini gösterir. EOP, gelen e-postayı güven e-postası olarak değerlendirmedi. Doğru olan şöyle olmalıdır:

• X-MS-Exchange-Organizasyon-Yetkileri: Dahili

Ancak, bu bizim ayarlarımızdan kaynaklanmadı; destek personeli, Exchange 2010 Hybrid sunucumuzdan ayrıntılı SMTP günlüklerini doğrulayarak ayarlarımızın doğru olduğundan emin olmamıza yardımcı oldu.

Aynı zamanda, arka uç ekipleri sorunu tam olarak neye neden olduğunu bize bildirmeden düzeltti (maalesef).

Düzelttikten sonra, ileti başlıklarının aşağıdaki gibi bazı önemli değişikliklere sahip olduğunu gördük.

Exchange 2003'ten Office 365'e dahili kaynaklı postalar için:

• X-MS-Exchange-Organizasyon-AuthAs: Dahili ("Anonim" idi)

• SCL = -1 (SCL = 5'ti)

• Alınan-SPF: SoftFail (Aynıydı)

Ve Office 365'e gönderilen harici postalar (ör. Gmail.com) için:

• X-MS-Exchange-Organizasyon-Kimlik Doğruları: Anonim (Aynıydı)

• SCL = 1 (SCL = 5 idi)

• Alınan-SPF: SoftFail (Aynıydı)

SPF denetimi Office 365'e gmail.com (harici) için hala yumuşak başarısız olsa da, destek kişisi sorun olmadığını ve tüm postaların Önemsiz klasörü yerine Gelen Kutusu'na gideceğini söyledi.

Bir yan not olarak, sorun giderme sırasında arka uç ekibi küçük bir yapılandırma sorunu buldu - IP İzin Listemizde (başka bir Office 365 desteği tarafından önerilen) Gelen Bağlayıcımızdan (yani Exchange 2010 Hybrid sunucusunun genel IP'si) IP'ye sahibiz sorun giderme adımı olarak). Bunu yapmamız gerekmediğini bize bildiriyorlar ve aslında bunu yapmak yönlendirme sorunlarına neden olabilir. İlk geçişte e-postanın spam olarak işaretlenmediğini ve burada olası bir sorun olduğunu belirtti. Daha sonra IP'yi IP İzin Verme Listesinden kaldırdık. (Ancak, IP'ye İzin Verme Listesi ayarı yapılmadan önce spam sorunu vardı. Nedenin İzin Verilenler Listesi olduğunu düşünmedik.)

Sonuç olarak, destek elemanı "EOP mekanizması olmalı" dedi. Bu nedenle, her şeye mekanizmaları neden olmalıdır.

İlgilenen herkes için, destek kişilerinden biriyle ilgili sorun giderme konusu burada görülebilir: https://community.office365.com/en-us/f/156/t/403396

Posta akışının doğrudan Karma sunucunuzdan O365'e gittiğinden emin misiniz?

Karma sihirbazı çalıştırdığınızda, yerel olarak ve O365'de ormanlar arasındaki posta akışını iç posta olarak basacak olan bağlayıcılar oluşturmuş olmalıdır. Bu, EOP / Spam kontrollerini atlayacağı ve bu SPF iletilerini asla görmemeniz gerektiği anlamına gelir.

Edge cihazınız başlıkları değiştiriyorsa, bu soruna neden olabilir - sunucunuz ve O365 arasında hiçbir şey mesaj başlıklarını değiştirmemelidir. Karma sihirbaz tarafından oluşturulan bağlayıcıları geçersiz kılabilen mevcut bir bağlayıcıya sahip olmadığınızdan emin olun. Oluşturulan mevcut bağlayıcıları her zaman silebilir ve yeniden oluşturmak için sihirbazı yeniden çalıştırabilirsiniz.

Exchange'deki taşıma kurallarınızı kontrol edin ve devre dışı bırakılmışlarsa O365'e gitmeden önce iletiyi değiştirmediklerinden emin olun ve sorun olmadığından emin olmak için tekrar test edin.

Son olarak (ya da önce) federasyonunuzun doğru yapılandırıldığını kontrol edin. Değilse, postanıza doğru bir şekilde muamele edilmiyor olabilir. Hibrid sihirbazını yeniden çalıştırmanın size yardımcı olabileceği yer burasıdır.

Burada bir uzman değil, Exchange ile oynadığımdan beri çok uzun zaman geçti, ancak yeteneğimin en iyisini cevaplamaya çalışacağım.

Tasarımı bir saniyeliğine tartışalım, neden tüm trafiği önce EOP'ye sonra da şirket içi Exchange sunucularınıza yönlendirmiyorsunuz? orada iyi bir işlevsellik kaybediyorsanız, spam'ı tek bir konumdan kontrol etmeniz kesinlikle daha kolay olacaktır (yerel Exchange'in de bir anti spam filtresi olduğunu varsayalım).

Şimdi spam sorununa geçelim:

1. Posta Akışı ve Bağlayıcılar : Gelen e-postalarınızın tümü gönderenin posta sunucusu IP adresi yerine aynı 23.1.4.9 IP adresinden geliyor gibi görünüyorsa, SPF denetimlerinin başarısız olacağı konusunda bağlayıcıların doğru şekilde kurulmadığını hissediyorum. , amacı, gönderen IP'sini ve gönderen IP'sinin alan adını kontrol etmektir. Kesinlikle konektörlerin nasıl kurulduğunu gözden geçirmek için biraz zaman harcıyorum, bunun için iyi bir bağlantı: https://technet.microsoft.com/en-us/library/ms.exch.eac.connectorselection(v=exchg.150 ) .aspx
2. EOP Spam Filtreleri ve Bağlantı Filtreleri : konektörlerin IP ayarları doğru yapılırsa, belki de EOP altındaki spam / bağlantı filtrelerinize bakma zamanı, IP 23.1.4.9'dan gelen e-postaları kontrol etmek için filtreler oluştururdum, ancak bu, gelen tüm e-postaların spam filtresi kontrol listelerini atlamasını sağlar, bu sizi önceki noktada belirtilen soruna getirir, konektörlerinizi kontrol eder ve tercihen gelen e-postayı önce EOP'ye yönlendirir.