Tất cả Thư ngoài đến Office 365 đều thất bại SPF, được đánh dấu là rác bởi EOP trong triển khai kết hợp


11

Nói tóm lại: các email hợp pháp đang hạ cánh trong các thư mục Rác vì EOP (Exchange Online Protection) đóng dấu thư email là rác (SCL5) và SPF-không thành công. Điều này xảy ra với tất cả các tên miền bên ngoài (ví dụ: gmail.com/hp.com/microsoft.com) cho miền của khách hàng (contoso.com).

Thông tin cơ bản:

Chúng tôi đang ở giai đoạn bắt đầu di chuyển hộp thư sang Office 365 (Exchange Online). Đây là cấu hình Hybrid Deployment / Rich-Coexistence, trong đó:

  • Tại chỗ = Exchange 2003 (Di sản) & 2010 (Được cài đặt để triển khai kết hợp)
  • Ngoài cơ sở = Office 365 (Trao đổi trực tuyến)
  • EOP được cấu hình để kiểm tra SPF.
  • Các bản ghi MX đang chỉ vào cơ sở vì chúng tôi chưa hoàn thành việc di chuyển tất cả các hộp thư từ tại chỗ sang Exchange Online.

Vấn đề là khi người dùng bên ngoài gửi email đến hộp thư Office 365 trong tổ chức (luồng thư: Bên ngoài -> Cổng thư -> máy chủ thư tại chỗ -> EOP -> Office 365), EOP thực hiện tra cứu SPF và cứng / mềm không gửi được thư có địa chỉ IP đối diện bên ngoài của Cổng thư mà từ đó nhận được thư.

(Hộp thư tại chỗ không hiển thị vấn đề này; chỉ có hộp thư được di chuyển sang Office 365 mới làm.)

Sự minh họa: Lưu lượng thư từ bên ngoài đến Office 365 bằng EOP

Ví dụ 1: từ Microsoft đến O365

Authentication-Results: spf=fail (sender IP is 23.1.4.9) 
smtp.mailfrom=microsoft.com; contoso.mail.onmicrosoft.com;
dkim=none (message not signed) header.d=none;
Received-SPF: Fail (protection.outlook.com: domain of microsoft.com does not designate
23.1.4.9 as permitted sender) receiver=protection.outlook.com; client-ip=23.1.4.9; 
helo=exchange2010.contoso.com; X-MS-Exchange-Organization-SCL: 5

Ví dụ 2: từ HP đến O365

Authentication-Results: spf=none (sender IP is 23.1.4.9) 
smtp.mailfrom=hp.com; contoso.mail.onmicrosoft.com; dkim=none 
(message not signed) header.d=none; Received-SPF: None 
(protection.outlook.com: hp.com does not designate permitted sender hosts) 
X-MS-Exchange-Organization-SCL: 5

Ví dụ 3: từ Gmail đến O365

Authentication-Results: spf=softfail (sender IP is 23.1.4.9) 
smtp.mailfrom=gmail.com; contoso.mail.onmicrosoft.com; 
dkim=fail (signature did not verify) header.d=gmail.com; 
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning 
gmail.com discourages use of 23.1.4.9 as permitted sender)  
X-MS-Exchange-Organization-SCL: 5

Để biết các tiêu đề thư có X-Forefront-Antispam-Báo cáo, hãy tham khảo http://pastebin.com/sgjQETzM

Lưu ý: 23.1.4.9 là địa chỉ IP công cộng của trình kết nối máy chủ Exchange 2010 tại chỗ với Exchange Online.

Làm cách nào để chúng tôi ngăn chặn các email bên ngoài bị đánh dấu là rác bởi EOP trong giai đoạn cùng tồn tại của Triển khai kết hợp?


[Cập nhật 2015-12-12]

Sự cố này đã được khắc phục bởi hỗ trợ Office 365 (nhóm leo thang / phụ trợ) vì nó không liên quan gì đến cài đặt của chúng tôi.

Chúng tôi đã đề nghị như sau:

  1. Danh sách trắng công khai IP trong Danh sách cho phép EOP (Đã thử. Nó không giúp ích gì.)
  2. Thêm bản ghi SPF cho tên miền của chúng tôi: "v = spf1 ip4: XXX.XXX.XXX.XXX ip4: YYY.YYY.YYY.YYY bao gồm: spf.protection.outlook.com -all" (Đừng nghĩ đề xuất này là hợp lệ vì EOP không nên kiểm tra gmail.com đối với địa chỉ IP SMTP của chúng tôi vì nó không được chỉ định trong các bản ghi SPF của gmail.com. Điều đó dường như không giống như cách hoạt động của SPF.)
  3. Đảm bảo TLS được bật (Xem bên dưới)

Phần quan trọng là điểm thứ ba. "Nếu TLS không được bật, email đến từ Exchange cục bộ sẽ không được đánh dấu là email nội bộ / tin cậy và EOP sẽ kiểm tra tất cả các hồ sơ", bộ phận hỗ trợ cho biết.

Bộ phận hỗ trợ đã xác định sự cố TLS từ các tiêu đề thư của chúng tôi theo dòng dưới đây:

  • X-MS-Exchange-OrganisAs: Ẩn danh

Điều này cho thấy TLS không được kích hoạt khi EOP nhận được email. EOP không coi email đến là email tin cậy. Câu trả lời đúng phải như sau:

  • X-MS-Exchange-Organis-AuthAs: Internal

Tuy nhiên, điều này không phải do cài đặt của chúng tôi; người hỗ trợ đã giúp chúng tôi đảm bảo các cài đặt của chúng tôi là chính xác bằng cách xác minh nhật ký SMTP dài dòng từ máy chủ Exchange 2010 Hybrid của chúng tôi.

Đồng thời, nhóm phụ trợ của họ đã khắc phục sự cố mà không cho chúng tôi biết chính xác nguyên nhân gây ra sự cố (không may).

Sau khi họ sửa nó, chúng tôi thấy rằng các tiêu đề thư có một số thay đổi đáng kể như dưới đây.

Đối với thư có nguồn gốc nội bộ từ Exchange 2003 đến Office 365:

  • X-MS-Exchange-Organis-AuthAs: Internal (Đó là "Ẩn danh")

  • SCL = -1 (Đó là SCL = 5)

  • Đã nhận-SPF: SoftFail (Tương tự)

Và đối với các thư bên ngoài (ví dụ: gmail.com) tới Office 365:

  • X-MS-Exchange-Organis-AuthAs: Chưa xác định (Nó giống nhau)

  • SCL = 1 (Đó là SCL = 5)

  • Đã nhận-SPF: SoftFail (Tương tự)

Mặc dù kiểm tra SPF vẫn không thành công đối với gmail.com (bên ngoài) đối với Office 365, nhưng người hỗ trợ cho biết điều đó vẫn ổn và tất cả các thư sẽ chuyển đến Hộp thư đến thay vì thư mục Rác.

Một lưu ý phụ, trong quá trình khắc phục sự cố, nhóm phụ trợ đã phát hiện một sự cố cấu hình có vẻ nhỏ - chúng tôi đã có IP từ Trình kết nối gửi đến (tức là IP công khai của máy chủ kết hợp Exchange 2010) được xác định trong Danh sách cho phép IP của chúng tôi (được đề xuất bởi hỗ trợ Office 365 khác người như một bước xử lý sự cố). Họ cho chúng tôi biết rằng chúng tôi không cần phải làm điều này và trên thực tế làm như vậy có thể gây ra sự cố định tuyến. Họ nhận xét rằng trên đường chuyền ban đầu, email không bị đánh dấu là thư rác nên cũng có một vấn đề có thể xảy ra ở đây. Sau đó chúng tôi đã xóa IP khỏi Danh sách cho phép IP. (Tuy nhiên, sự cố thư rác đã tồn tại trước khi cài đặt Danh sách cho phép IP được tạo. Chúng tôi không nghĩ Danh sách cho phép là nguyên nhân.)

Để kết luận, "nó nên là cơ chế EOP," người hỗ trợ nói. Do đó, toàn bộ điều nên được gây ra bởi cơ chế của họ.

Đối với bất kỳ ai quan tâm, có thể xem chủ đề khắc phục sự cố với một trong những người hỗ trợ của họ tại đây: https://community.office365.com/en-us/f/156/t/403396

Câu trả lời:


2

Bạn có chắc chắn luồng thư sẽ đi trực tiếp từ máy chủ Hybrid của bạn đến O365 không?

Khi bạn chạy trình hướng dẫn kết hợp, nó sẽ tạo các trình kết nối cục bộ và trong O365, nó sẽ chuyển luồng thư giữa các khu rừng dưới dạng thư nội bộ. Điều này có nghĩa là nó sẽ bỏ qua kiểm tra EOP / Spam và bạn sẽ không bao giờ thấy các tin nhắn SPF đó.

Nếu thiết bị cạnh của bạn đang sửa đổi các tiêu đề, điều này có thể gây ra sự cố của bạn - giữa máy chủ của bạn và O365, không có gì phải sửa đổi các tiêu đề thư. Đảm bảo rằng bạn không có trình kết nối hiện có có thể ghi đè lên trình kết nối được tạo bởi trình hướng dẫn Kết hợp. Bạn luôn có thể xóa các trình kết nối hiện có đã được tạo và chạy lại trình hướng dẫn để tạo lại chúng.

Kiểm tra quy tắc vận chuyển của bạn trong Exchange và đảm bảo rằng chúng không sửa đổi tin nhắn trước khi đến O365, nếu chúng vô hiệu hóa chúng và kiểm tra lại để đảm bảo rằng đó không phải là vấn đề của bạn.

Cuối cùng (hoặc có thể đầu tiên) kiểm tra xem liên kết của bạn có được cấu hình đúng không. Nếu đó không phải là lý do tại sao thư của bạn không được xử lý chính xác. Đây là nơi chạy lại trình hướng dẫn Kết hợp, bạn cũng có thể giúp bạn.


Cảm ơn bạn. Tôi chấp nhận đây là câu trả lời vì nó đưa ra một số gợi ý chắc chắn phù hợp nhất với trường hợp đó là thiết lập lai / đồng tồn tại. (Tôi tin rằng nó sẽ hữu ích hơn, nếu nguyên nhân gốc rễ của chúng tôi không phải là cơ chế EOP - hãy tham khảo các cập nhật câu hỏi của tôi.)
Wandersick

1

Không phải là một chuyên gia ở đây, đã rất lâu kể từ khi tôi chơi với Exchange nhưng tôi sẽ cố gắng trả lời hết khả năng của mình.

Hãy bỏ qua thiết kế trong một giây, tại sao bạn không định tuyến tất cả lưu lượng truy cập đến EOP trước rồi sau đó đến các máy chủ Exchange tại chỗ của bạn? Bạn đang mất một chức năng tốt ở đó, điều đó chắc chắn sẽ giúp bạn kiểm soát thư rác từ một vị trí dễ dàng hơn (giả sử rằng Exchange cục bộ của bạn cũng có bộ lọc chống thư rác).

Bây giờ hãy chuyển sang vấn đề thư rác:

  1. Lưu lượng và Trình kết nối Thư : Tôi có cảm giác rằng các trình kết nối không được thiết lập chính xác, nếu tất cả các email đến của bạn dường như được bắt nguồn từ cùng một địa chỉ IP 23.1.4.9 thay vì địa chỉ IP của máy chủ thư, chắc chắn việc kiểm tra SPF sẽ thất bại , vì mục đích của nó là kiểm tra IP của người gửi và tên miền của IP người gửi đó. Tôi chắc chắn sẽ dành một chút thời gian để xem xét cách các trình kết nối được thiết lập, đây là một liên kết tốt cho điều đó: https://technet.microsoft.com/en-us/l Library / ms.exch.eac.connectorselection (v = exchg.150 ) .aspx
  2. Bộ lọc kết nối và bộ lọc thư rác EOP : nếu thiết lập IP của trình kết nối được thực hiện chính xác, có lẽ đã đến lúc bạn xem bộ lọc thư rác / kết nối của mình trong EOP, tôi sẽ tạo bộ lọc để bỏ qua việc kiểm tra email đến từ IP 23.1.4.9, nhưng điều đó sẽ làm cho tất cả các email đến bỏ qua danh sách kiểm tra bộ lọc thư rác, điều này đưa bạn đến vấn đề được đề cập ở điểm trước, kiểm tra trình kết nối của bạn và tốt nhất là, định tuyến email đến EOP trước.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.