Singkatnya: email yang sah masuk ke folder Sampah sebagai EOP (Exchange Online Protection) menandai pesan email sebagai sampah (SCL5) dan gagal-SPF. Ini terjadi dengan semua domain eksternal (mis. Gmail.com/hp.com/microsoft.com) ke domain klien (contoso.com).
Info latar belakang:
Kami berada di awal migrasi kotak surat ke Office 365 (Exchange Online). Ini adalah konfigurasi Hybrid Deployment / Rich-Coexistence, di mana:
- On-Premises = Exchange 2003 (Legacy) & 2010 (Diinstal untuk Penggunaan Hibrid)
- Off-Premises = Office 365 (Exchange Online)
- EOP dikonfigurasi untuk pemeriksaan SPF.
- Catatan MX menunjuk di tempat karena kami belum menyelesaikan migrasi semua kotak surat dari di tempat ke Exchange Online.
Masalahnya adalah ketika pengguna eksternal mengirim email ke kotak surat Office 365 di organisasi (aliran surat: Eksternal -> Mail Gateway -> server surat lokal -> EOP -> Office 365), EOP melakukan pencarian SPF dan hard / soft gagal pesan dengan alamat IP menghadap eksternal Mail Gateway dari mana ia menerima surat.
(Kotak surat lokal tidak menunjukkan masalah ini; hanya kotak surat yang dimigrasi ke Office 365.)
Contoh 1: dari Microsoft ke O365
Authentication-Results: spf=fail (sender IP is 23.1.4.9)
smtp.mailfrom=microsoft.com; contoso.mail.onmicrosoft.com;
dkim=none (message not signed) header.d=none;
Received-SPF: Fail (protection.outlook.com: domain of microsoft.com does not designate
23.1.4.9 as permitted sender) receiver=protection.outlook.com; client-ip=23.1.4.9;
helo=exchange2010.contoso.com; X-MS-Exchange-Organization-SCL: 5
Contoh 2: dari HP ke O365
Authentication-Results: spf=none (sender IP is 23.1.4.9)
smtp.mailfrom=hp.com; contoso.mail.onmicrosoft.com; dkim=none
(message not signed) header.d=none; Received-SPF: None
(protection.outlook.com: hp.com does not designate permitted sender hosts)
X-MS-Exchange-Organization-SCL: 5
Contoh 3: dari Gmail ke O365
Authentication-Results: spf=softfail (sender IP is 23.1.4.9)
smtp.mailfrom=gmail.com; contoso.mail.onmicrosoft.com;
dkim=fail (signature did not verify) header.d=gmail.com;
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning
gmail.com discourages use of 23.1.4.9 as permitted sender)
X-MS-Exchange-Organization-SCL: 5
Untuk tajuk pesan dengan X-Forefront-Antispam-Report, lihat http://pastebin.com/sgjQETzM
Catatan: 23.1.4.9 adalah alamat IP publik dari konektor server Exchange 2010 hibrid lokal ke Exchange Online.
Bagaimana kita menghentikan email eksternal agar tidak ditandai sebagai sampah oleh EOP selama tahap koeksistensi dari Penyebaran Hibrid?
[Pembaruan 2015-12-12]
Masalah ini diperbaiki oleh dukungan Office 365 (eskalasi / tim backend) karena tidak ada hubungannya dengan pengaturan kami.
Kami menyarankan yang berikut:
- Daftar putih IP publik di Daftar Perbolehkan EOP (Mencoba. Tidak membantu.)
- Tambahkan catatan SPF untuk domain kami: "v = spf1 ip4: XXX.XXX.XXX.XXX ip4: YYY.YYY.YYY.YYY termasuk: spf.protection.outlook.com -semua" (Jangan menganggap saran ini valid sebagai EOP seharusnya tidak memeriksa gmail.com terhadap alamat IP SMTP kami karena tidak ditentukan dalam catatan SPF gmail.com. Tampaknya tidak seperti cara kerja SPF.)
- Pastikan TLS diaktifkan (Lihat di bawah)
Bagian kuncinya adalah poin ketiga. "Jika TLS tidak diaktifkan, email masuk dari Exchange lokal tidak akan ditandai sebagai email internal / trust, dan EOP akan memeriksa semua catatan," kata dukungan.
Dukungan menentukan masalah TLS dari header email kami dengan baris di bawah ini:
- X-MS-Exchange-Organization-AuthAs: Anonymous
Ini menunjukkan TLS tidak diaktifkan ketika EOP menerima email. EOP tidak memperlakukan email yang masuk sebagai email kepercayaan. Yang benar harus seperti:
- X-MS-Exchange-Organization-Autha: Internal
Namun, ini bukan disebabkan oleh pengaturan kami; orang yang membantu membantu kami memastikan pengaturan kami benar dengan memverifikasi log SMTP verbose dari server Exchange 2010 Hybrid kami.
Pada sekitar waktu yang sama, tim backend mereka memperbaiki masalah tanpa memberi tahu kami apa yang menyebabkannya (sayangnya).
Setelah mereka memperbaikinya, kami menemukan bahwa header pesan memiliki beberapa perubahan signifikan seperti di bawah ini.
Untuk email yang berasal dari internal dari Exchange 2003 ke Office 365:
X-MS-Exchange-Organization-Autha: Internal (Itu "Anonim")
SCL = -1 (Itu SCL = 5)
- Diterima-SPF: SoftFail (Itu sama)
Dan untuk email eksternal (mis. Gmail.com) ke Office 365:
X-MS-Exchange-Organization-AuthAs: Anonymous (Itu sama)
SCL = 1 (Itu SCL = 5)
Diterima-SPF: SoftFail (Itu sama)
Meskipun pemeriksaan SPF masih gagal-gagal untuk gmail.com (eksternal) ke Office 365, orang yang mendukung mengatakan OK, dan semua email akan masuk ke Kotak Masuk alih-alih folder Sampah.
Sebagai catatan tambahan, selama pemecahan masalah, tim backend menemukan satu masalah konfigurasi yang tampaknya kecil - kami memiliki IP dari Konektor Masuk kami (yaitu IP publik dari Exchange 2010 server Hybrid) yang ditentukan dalam Daftar Perbolehkan IP kami (disarankan oleh dukungan Office 365 lain orang sebagai langkah pemecahan masalah). Mereka memberi tahu kami bahwa kami tidak perlu melakukan ini dan pada kenyataannya hal itu dapat menyebabkan masalah perutean. Mereka berkomentar bahwa pada pass awal, email tidak ditandai sebagai spam sehingga ada juga kemungkinan masalah di sini. Kami kemudian menghapus IP dari Daftar Perbolehkan IP. (Namun, masalah spam ada sebelum pengaturan IP Daftar Daftar dibuat. Kami tidak mengira Daftar Perbolehkan adalah penyebabnya.)
Kesimpulannya, "itu harus mekanisme EOP," kata orang yang mendukung. Karena itu, semuanya harus disebabkan oleh mekanisme mereka.
Bagi siapa pun yang tertarik, utas pemecahan masalah dengan salah satu personel pendukung mereka dapat dilihat di sini: https://community.office365.com/en-us/f/156/t/403396
Bukan ahli di sini, sudah lama sekali sejak saya bermain dengan Exchange, tetapi saya akan mencoba menjawab dengan kemampuan terbaik saya.
Mari kita diskusikan desainnya sebentar, mengapa Anda tidak merutekan semua lalu lintas ke EOP terlebih dahulu dan kemudian ke server Exchange di tempat Anda? Anda kehilangan fungsionalitas yang baik di sana, itu pasti akan membuat segalanya lebih mudah bagi Anda untuk mengontrol spam dari satu lokasi (asumsikan bahwa Exchange lokal Anda juga memiliki filter anti spam).
Sekarang mari kita beralih ke masalah spam:
sumber