Уся зовнішня пошта до Office 365 виходить з ладу SPF, позначена як непотріб у EOP у гібридному розгортанні


11

Коротше кажучи: законні електронні листи висаджуються у папки з небажаною поштою, оскільки EOP (Exchange Online Protection) відмічає повідомлення електронної пошти як непотрібні (SCL5) та SPF-невдалі. Це відбувається з усіма зовнішніми доменами (наприклад, gmail.com/hp.com/microsoft.com) до домену клієнта (contoso.com).

Довідкова інформація:

Ми на початку переміщення поштових скриньок до Office 365 (Exchange Online). Це конфігурація гібридної розгортання / Rich-Coexistence, де:

  • В приміщенні = Exchange 2003 (Legacy) та 2010 (Встановлено для гібридної розгортання)
  • Вихідні приміщення = Office 365 (Exchange Online)
  • EOP налаштований для перевірки SPF.
  • Записи MX вказують на локальні, оскільки ми не завершили переміщення всіх поштових скриньок з локальних до Exchange Online.

Проблема полягає в тому, коли зовнішні користувачі надсилають електронні листи на поштову скриньку Office 365 в організації (потік пошти: зовнішній -> шлюз пошти -> локальні поштові сервери -> EOP -> Office 365), EOP здійснює пошук SPF і жорсткий / софт невдалі повідомлення із зовнішньою IP-адресою поштового шлюзу, з якого він отримав пошту.

(У локальних поштових скриньках не виникає цієї проблеми; роблять лише поштові скриньки, переміщені до Office 365.)

Ілюстрація: Потік пошти із зовнішнього до Office 365 за допомогою EOP

Приклад 1: від Microsoft до O365

Authentication-Results: spf=fail (sender IP is 23.1.4.9) 
smtp.mailfrom=microsoft.com; contoso.mail.onmicrosoft.com;
dkim=none (message not signed) header.d=none;
Received-SPF: Fail (protection.outlook.com: domain of microsoft.com does not designate
23.1.4.9 as permitted sender) receiver=protection.outlook.com; client-ip=23.1.4.9; 
helo=exchange2010.contoso.com; X-MS-Exchange-Organization-SCL: 5

Приклад 2: від HP до O365

Authentication-Results: spf=none (sender IP is 23.1.4.9) 
smtp.mailfrom=hp.com; contoso.mail.onmicrosoft.com; dkim=none 
(message not signed) header.d=none; Received-SPF: None 
(protection.outlook.com: hp.com does not designate permitted sender hosts) 
X-MS-Exchange-Organization-SCL: 5

Приклад 3: від Gmail до O365

Authentication-Results: spf=softfail (sender IP is 23.1.4.9) 
smtp.mailfrom=gmail.com; contoso.mail.onmicrosoft.com; 
dkim=fail (signature did not verify) header.d=gmail.com; 
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning 
gmail.com discourages use of 23.1.4.9 as permitted sender)  
X-MS-Exchange-Organization-SCL: 5

Щодо заголовків повідомлень із X-Forefront-Antispam-звітом, зверніться до http://pastebin.com/sgjQETzM

Примітка: 23.1.4.9 - це загальнодоступна IP-адреса локального гібридного роз'єму сервера Exchange 2010 до Exchange Online.

Як ми зупиняємо те, щоб зовнішні електронні листи відзначалися непотрібними EOP під час стадії співіснування гібридної розгортання?


[Оновлення 2015-12-12]

Цю проблему було виправлено підтримкою Office 365 (команда ескалації / резервного копіювання), оскільки вона не має нічого спільного з нашими налаштуваннями.

Нам запропонували наступне:

  1. Білий список загальнодоступних IP-адрес у списку дозволів EOP (Спробував. Це не допомогло.)
  2. Додати запис SPF для нашого домену: "v = spf1 ip4: XXX.XXX.XXX.XXX ip4: YYY.YYY.YYY.YYY включають: spf.protection.outlook.com -all" (Не думаю, що ця пропозиція є дійсною оскільки EOP не повинен перевіряти gmail.com щодо нашої SMTP-адреси IP, оскільки він не вказаний у SPF-записах gmail.com. Це не схоже на те, як працює SPF.)
  3. Переконайтеся, що TLS увімкнено (див. Нижче)

Ключова частина - третій пункт. "Якщо TLS не ввімкнено, вхідна електронна пошта з локальної біржі не буде позначена як внутрішня / довірна електронна пошта, і EOP перевірить усі записи", - йдеться в службі підтримки.

Підтримка визначила проблему TLS з наших заголовків пошти наступним рядком:

  • X-MS-Exchange-Organization-AuthAs: Anonymous

Це означає, що TLS не було увімкнено, коли EOP отримував електронну пошту. EOP не сприймав вхідну електронну пошту як електронну адресу довіри. Правильний має бути таким:

  • X-MS-Exchange-Organization-AuthAs: Внутрішня

Однак це не було спричинено нашими налаштуваннями; Служба підтримки допомогла нам переконатися, що наші настройки були правильними, перевіривши багатослівні журнали SMTP з нашого гібридного сервера Exchange 2010.

Приблизно в той самий час їхня команда доповнення усунула проблему, не даючи нам знати, що саме її спричинило (на жаль).

Після їх виправлення ми виявили, що заголовки повідомлень мали деякі суттєві зміни, як показано нижче.

Для електронної пошти внутрішнього походження з Exchange 2003 до Office 365:

  • X-MS-Exchange-Organization-AuthAs: внутрішній (це було "Анонімне")

  • SCL = -1 (це було SCL = 5)

  • Отримано-SPF: SoftFail (було те саме)

А для зовнішніх листів (наприклад, gmail.com) до Office 365:

  • X-MS-Exchange-Organization-AuthAs: Anonymous (Це було те саме)

  • SCL = 1 (це було SCL = 5)

  • Отримано-SPF: SoftFail (було те саме)

Незважаючи на те, що перевірка SPF все ще є помилковою для помилки gmail.com (зовнішня) для Office 365, служба підтримки сказала, що це нормально, і всі листи надійдуть у папку "Вхідні" замість папки "Небажана".

Як зауваження, під час усунення несправностей команда бекендера знайшла одну, здавалося б, незначну проблему з конфігурацією - у нас IP-адресу від вхідного з'єднувача (тобто загальнодоступного гібридного сервера Exchange Exchange 2010) визначено в нашому списку дозволів IP-адрес (запропоновано іншою підтримкою Office 365 особи як крок усунення несправностей). Вони дають нам знати, що нам не потрібно цього робити, і насправді це може спричинити проблеми маршрутизації. Вони прокоментували, що при первинному пропуску електронний лист не позначався як спам, тому тут також можлива проблема. Потім ми видалили IP із списку дозволів IP. (Однак проблема зі спамом існувала ще до того, як було встановлено налаштування списку дозволів IP-адрес. Ми не думали, що причиною є список дозволів.)

На закінчення, "це має бути механізм ЕОП", - сказала особа, яка підтримує. Тому вся справа повинна бути викликана їх механізмом.

Для всіх, хто цікавиться, порядок усунення несправностей з одним із їхніх осіб із підтримки можна переглянути тут: https://community.office365.com/en-us/f/156/t/403396

Відповіді:


2

Ви впевнені, що потік пошти прямує з вашого гібридного сервера на O365?

Коли ви запустили гібридного майстра, він повинен створити з'єднувачі локально та в O365, які будуть просочувати потік пошти між лісами як внутрішню пошту. Це означає, що він обійде чеки EOP / Spam, і ви ніколи не бачите цих SPF-повідомлень.

Якщо ваш крайовий пристрій модифікує заголовки, це може спричинити вашу проблему - між вашим сервером та O365 нічого не повинно змінювати заголовки повідомлень. Переконайтеся, що у вас немає наявного роз'єму, який може перекрити той, який створив майстер гібридів. Ви завжди можете видалити існуючі роз'єми, які були створені, і запустити майстер, щоб їх знову створити.

Перевірте свої правила транспорту в Exchange і переконайтесь, що вони не змінюють повідомлення перед тим, як перейти на O365, якщо вони відключені та перевірити ще раз, щоб переконатися, що це не ваша проблема.

Останнім (або, можливо, першим) перевірте, чи правильно налаштована ваша федерація. Якщо це не так, це може бути причиною неправильної обробки вашої пошти. Тут вам може допомогти перезапуск майстра гібридів.


Дякую. Я прийняв це як відповідь, оскільки він пропонує тверді пропозиції, які найбільше підходили для випадку, який є гібридною установою / співіснуванням. (Я вважаю, що було б корисніше, якби нашою першопричиною не був механізм EOP - зверніться до оновлень мого питання.)
wandersick

1

Тут я не фахівець, минуло дуже багато часу, коли я грав з Exchange, але спробую відповісти якнайкраще.

Давайте обговоримо дизайн на секунду, чому б вам не перенести весь трафік спочатку на EOP, а потім на локальні сервери Exchange? ви втрачаєте хорошу функціональність там, це, безумовно, полегшить вам контроль над спамом з одного місця (припустимо, що у вас локальний Exchange також має фільтр проти спаму).

Тепер переходимо до проблеми зі спамом:

  1. Потік пошти та з’єднувачі : у мене таке відчуття, що роз'єми не налаштовані правильно, якщо всі ваші вхідні електронні листи походять з тієї ж 23.1.4.9 IP-адреси замість IP-адреси сервера поштових відправників, напевно перевірки SPF не вдалися , оскільки його мета - перевірити IP-адресу відправника та доменне ім'я цього IP-адреси відправника. Я б точно витратив деякий час на перегляд способів налаштування роз'ємів, ось хороший посилання на це: https://technet.microsoft.com/en-us/library/ms.exch.eac.connectorselection(v=exchg.150 ) .aspx
  2. EAM Спам-Фільтри та Фільтри з'єднань : якщо налаштування IP-з'єднувачів виконано правильно, можливо, саме час переглядати фільтри спаму / з'єднання під EOP, я створив би фільтри для обходу перевірки вхідних електронних листів з IP 23.1.4.9, але це призведе до того, що всі вхідні електронні листи обходять контрольні списки фільтрів спаму, це приведе вас до проблеми, згаданої в попередньому пункті, перевірте свої з'єднувачі та бажано спочатку направити вхідний електронний лист до EOP.
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.