เมลภายนอกไปยัง Office 365 ล้มเหลว SPF ทำเครื่องหมายเป็นขยะโดย EOP ในการปรับใช้แบบไฮบริด

กล่าวโดยย่อ: อีเมลที่ถูกต้องเชื่อมโยงไปถึงในโฟลเดอร์ขยะเนื่องจาก EOP (การป้องกันการแลกเปลี่ยนออนไลน์) ประทับตราข้อความอีเมลเป็นอีเมลขยะ (SCL5) และ SPF ล้มเหลว สิ่งนี้เกิดขึ้นกับโดเมนภายนอกทั้งหมด (เช่น gmail.com/hp.com/microsoft.com) ไปยังโดเมนของลูกค้า (contoso.com)

ข้อมูลความเป็นมา:

เราอยู่ที่จุดเริ่มต้นของการโยกย้ายกล่องจดหมายไปยัง Office 365 (Exchange Online) นี่คือการกำหนดค่า Hybrid Deployment / Rich-Coexistence โดยที่:

• ในสถานที่ = Exchange 2003 (ดั้งเดิม) และ 2010 (ติดตั้งสำหรับการปรับใช้แบบไฮบริด)
• สถานที่ปิด = Office 365 (แลกเปลี่ยนออนไลน์)
• EOP ได้รับการกำหนดค่าสำหรับการตรวจสอบค่า SPF
• เรคคอร์ด MX ชี้ไปที่สถานที่เนื่องจากเรายังไม่ย้ายข้อมูลกล่องจดหมายทั้งหมดจากสถานที่ไปยัง Exchange Online

ปัญหาคือเมื่อผู้ใช้ภายนอกส่งอีเมลไปยังกล่องจดหมาย Office 365 ในองค์กร (ลำดับจดหมาย: ภายนอก -> เกตเวย์จดหมาย -> เซิร์ฟเวอร์อีเมลในสถานที่ -> EOP -> Office 365) EOP ทำการค้นหา SPF และแข็ง / อ่อน ข้อความที่ล้มเหลวโดยมีที่อยู่ IP หันหน้าไปทางภายนอกของ Mail Gateway ที่รับจดหมาย

(กล่องจดหมายในสถานที่ไม่แสดงปัญหานี้เฉพาะกล่องจดหมายที่ย้ายไปยัง Office 365 เท่านั้น)

ภาพประกอบ:

ตัวอย่างที่ 1: จาก Microsoft ถึง O365

Authentication-Results: spf=fail (sender IP is 23.1.4.9) 
smtp.mailfrom=microsoft.com; contoso.mail.onmicrosoft.com;
dkim=none (message not signed) header.d=none;
Received-SPF: Fail (protection.outlook.com: domain of microsoft.com does not designate
23.1.4.9 as permitted sender) receiver=protection.outlook.com; client-ip=23.1.4.9; 
helo=exchange2010.contoso.com; X-MS-Exchange-Organization-SCL: 5

ตัวอย่างที่ 2: จาก HP ถึง O365

Authentication-Results: spf=none (sender IP is 23.1.4.9) 
smtp.mailfrom=hp.com; contoso.mail.onmicrosoft.com; dkim=none 
(message not signed) header.d=none; Received-SPF: None 
(protection.outlook.com: hp.com does not designate permitted sender hosts) 
X-MS-Exchange-Organization-SCL: 5

ตัวอย่างที่ 3: จาก Gmail ถึง O365

Authentication-Results: spf=softfail (sender IP is 23.1.4.9) 
smtp.mailfrom=gmail.com; contoso.mail.onmicrosoft.com; 
dkim=fail (signature did not verify) header.d=gmail.com; 
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning 
gmail.com discourages use of 23.1.4.9 as permitted sender)  
X-MS-Exchange-Organization-SCL: 5

สำหรับส่วนหัวของข้อความที่มี X-Forefront-Antispam-Report อ้างถึงhttp://pastebin.com/sgjQETzM

หมายเหตุ: 23.1.4.9 เป็นที่อยู่ IP สาธารณะของตัวเชื่อมต่อเซิร์ฟเวอร์ Exchange 2010 แบบไฮบริดภายในองค์กรไปยัง Exchange Online

เราจะหยุดอีเมลภายนอกจากการถูกทำเครื่องหมายว่าเป็นขยะโดย EOP ในขั้นตอนการอยู่ร่วมกันของการปรับใช้แบบไฮบริดได้อย่างไร

[อัพเดตล่าสุด 2015-12-12]

ปัญหานี้ได้รับการแก้ไขโดยฝ่ายสนับสนุน Office 365 (ทีมงานที่เลื่อนระดับ / แบ็กเอนด์) เนื่องจากไม่มีส่วนเกี่ยวข้องกับการตั้งค่าของเรา

เราได้รับการแนะนำดังต่อไปนี้:

1. รายการ IP สาธารณะที่อนุญาตในรายการอนุญาต EOP (พยายามแล้วไม่ได้ช่วย)
2. เพิ่มระเบียน SPF สำหรับโดเมนของเรา: "v = spf1 ip4: XXX.XXX.XXX.XXX ip4: YYY.YYY.YYY.YYY รวมถึง: spf.protection.outlook.com - ทั้งหมด" (อย่าคิดว่าคำแนะนำนี้ถูกต้อง เนื่องจาก EOP ไม่ควรตรวจสอบ gmail.com กับที่อยู่ IP SMTP ของเราเนื่องจากไม่ได้ระบุไว้ในบันทึก SPF ของ gmail.com ซึ่งดูเหมือนว่าวิธีการทำงานของ SPF จะไม่ปรากฏขึ้น)
3. ตรวจสอบให้แน่ใจว่าเปิดใช้งาน TLS แล้ว (ดูด้านล่าง)

ส่วนสำคัญคือจุดที่สาม "หากไม่ได้เปิดใช้งาน TLS อีเมลขาเข้าจาก Local Exchange จะไม่ถูกทำเครื่องหมายเป็นอีเมลภายใน / ความน่าเชื่อถือและ EOP จะตรวจสอบบันทึกทั้งหมด" ฝ่ายสนับสนุนกล่าว

ฝ่ายสนับสนุนได้พิจารณาปัญหา TLS จากส่วนหัวจดหมายของเราตามบรรทัดด้านล่าง:

• X-MS-Exchange-Organization-AuthAs: ไม่ระบุตัวตน

สิ่งนี้บ่งชี้ว่า TLS ไม่ได้เปิดใช้งานเมื่อ EOP ได้รับอีเมล EOP ไม่ถือว่าอีเมลที่เข้ามาเป็นอีเมลที่เชื่อถือได้ สิ่งที่ถูกต้องควรเป็นเช่น:

• X-MS-Exchange-Organization-AuthAs: ภายใน

อย่างไรก็ตามสิ่งนี้ไม่ได้เกิดจากการตั้งค่าของเรา ฝ่ายสนับสนุนช่วยเราตรวจสอบให้แน่ใจว่าการตั้งค่าของเรานั้นถูกต้องโดยการตรวจสอบบันทึก SMTP verbose จากเซิร์ฟเวอร์ Exchange 2010 Hybrid ของเรา

ในเวลาเดียวกันทีมแบ็กเอนด์ของพวกเขาได้แก้ไขปัญหาโดยไม่แจ้งให้เราทราบว่าอะไรเป็นสาเหตุ (แน่นอน)

หลังจากที่แก้ไขแล้วเราพบว่าส่วนหัวของข้อความมีการเปลี่ยนแปลงที่สำคัญดังนี้

สำหรับจดหมายที่มาจาก Exchange 2003 ถึง Office 365:

• X-MS-Exchange-Organization-AuthAs: ภายใน (เป็น "ไม่ระบุชื่อ")

• SCL = -1 (มันคือ SCL = 5)

• ได้รับ -SPF: SoftFail (เหมือนเดิม)

และสำหรับอีเมลภายนอก (เช่น gmail.com) ไปยัง Office 365:

• X-MS-Exchange-Organization-AuthAs: ไม่ระบุตัวตน (เหมือนกัน)

• SCL = 1 (มันคือ SCL = 5)

• ได้รับ -SPF: SoftFail (เหมือนเดิม)

ถึงแม้ว่าการตรวจสอบ SPF ยังคงนุ่มนวลสำหรับ gmail.com (ภายนอก) ไปยัง Office 365 ผู้ให้การสนับสนุนกล่าวว่าใช้ได้และอีเมลทั้งหมดจะไปที่กล่องจดหมายเข้าแทนที่จะเป็นโฟลเดอร์ขยะ

ในด้านการแก้ไขปัญหาทีมงานแบ็คเอนด์พบปัญหาการกำหนดค่าเล็กน้อยดูเหมือนว่าเรามี IP จากตัวเชื่อมต่อขาเข้าของเรา (เช่น IP สาธารณะของเซิร์ฟเวอร์ Exchange 2010 Hybrid) ที่กำหนดไว้ในรายการอนุญาต IP ของเรา (แนะนำโดยการสนับสนุน Office 365 อื่น คนเป็นขั้นตอนการแก้ไขปัญหา) พวกเขาแจ้งให้เราทราบว่าเราไม่จำเป็นต้องทำเช่นนี้และในความเป็นจริงการทำเช่นนั้นอาจทำให้เกิดปัญหาการกำหนดเส้นทาง พวกเขาแสดงความคิดเห็นว่าเมื่อผ่านครั้งแรกอีเมลไม่ได้รับการทำเครื่องหมายว่าเป็นสแปมดังนั้นจึงมีปัญหาที่เป็นไปได้ที่นี่ จากนั้นเราจะลบ IP ออกจากรายการอนุญาต IP (อย่างไรก็ตามปัญหาสแปมมีอยู่ก่อนการตั้งค่ารายการอนุญาต IP เราไม่คิดว่ารายการอนุญาตเป็นสาเหตุของ)

โดยสรุปว่า "ควรเป็นกลไก EOP" ผู้สนับสนุนกล่าว ดังนั้นสิ่งทั้งหมดควรเกิดจากกลไกของพวกเขา

สำหรับผู้ที่สนใจสามารถดูหัวข้อการแก้ไขปัญหาพร้อมกับหนึ่งในผู้สนับสนุนของพวกเขาได้ที่นี่: https://community.office365.com/en-us/f/156/t/403396

คุณแน่ใจหรือไม่ว่าโฟลว์เมลกำลังดำเนินการโดยตรงจากเซิร์ฟเวอร์ไฮบริดของคุณไปยัง O365

เมื่อคุณเรียกใช้ตัวช่วยสร้างไฮบริดคุณควรสร้างตัวเชื่อมต่อภายในและใน O365 ซึ่งจะทำให้การรับส่งจดหมายระหว่างฟอเรสต์เป็นเมลภายใน ซึ่งหมายความว่าจะข้ามการตรวจสอบ EOP / สแปมและคุณไม่ควรเห็นข้อความ SPF เหล่านั้น

หากอุปกรณ์ขอบของคุณกำลังแก้ไขส่วนหัวนี่อาจทำให้เกิดปัญหาของคุณ - ระหว่างเซิร์ฟเวอร์ของคุณกับ O365 ไม่มีอะไรควรแก้ไขส่วนหัวของข้อความ ตรวจสอบให้แน่ใจว่าคุณไม่มีตัวเชื่อมต่อที่มีอยู่ซึ่งอาจแทนที่สิ่งที่สร้างขึ้นโดยตัวช่วยสร้างไฮบริด คุณสามารถลบตัวเชื่อมต่อที่มีอยู่ที่สร้างขึ้นและเรียกใช้ตัวช่วยสร้างอีกครั้งเพื่อสร้างตัวเชื่อมต่อเหล่านั้นใหม่

ตรวจสอบกฎการขนส่งของคุณใน Exchange และตรวจสอบให้แน่ใจว่าพวกเขาจะไม่แก้ไขข้อความก่อนที่จะไปที่ O365 หากพวกเขาถูกปิดใช้งานพวกเขาและทดสอบอีกครั้งเพื่อให้แน่ใจว่าพวกเขาไม่ใช่ปัญหาของคุณ

ตรวจสอบล่าสุด (หรืออาจก่อน) ว่าสหพันธรัฐของคุณได้รับการกำหนดค่าอย่างถูกต้อง หากไม่ใช่นั่นอาจเป็นสาเหตุที่ทำให้เมลของคุณไม่ได้รับการปฏิบัติอย่างถูกต้อง นี่คือที่ที่การเรียกใช้ตัวช่วยสร้างไฮบริดใหม่สามารถช่วยคุณได้เช่นกัน

ไม่ใช่ผู้เชี่ยวชาญที่นี่มานานแล้วตั้งแต่ฉันเล่นกับ Exchange แต่ฉันจะพยายามตอบความสามารถที่ดีที่สุดของฉัน

ให้การออกแบบมีลักษณะเป็นวินาทีทำไมคุณไม่กำหนดเส้นทางการรับส่งข้อมูลทั้งหมดไปที่ EOP ก่อนแล้วจึงไปยังเซิร์ฟเวอร์ Exchange ในสถานที่ของคุณ คุณกำลังสูญเสียฟังก์ชันการทำงานที่ดีที่นั่นมันจะช่วยให้คุณควบคุมสแปมได้ง่ายขึ้นจากที่เดียว (สมมติว่าคุณกำลังแลกเปลี่ยนในพื้นที่นั้นมีตัวกรองต่อต้านสแปมด้วย)

ตอนนี้ให้ย้ายไปที่ปัญหาสแปม:

1. การรับส่งจดหมายและตัวเชื่อมต่อ : ฉันรู้สึกว่าตัวเชื่อมต่อนั้นไม่ได้ตั้งค่าอย่างถูกต้องหากอีเมลขาเข้าทั้งหมดของคุณดูเหมือนว่ามาจากที่อยู่ IP 23.1.4.9 เดียวกันแทนที่จะเป็นที่อยู่ IP ของเซิร์ฟเวอร์อีเมลของผู้ส่ง เนื่องจากจุดประสงค์ของมันคือการตรวจสอบ IP ของผู้ส่งและชื่อโดเมนของ IP ของผู้ส่งนั้น ฉันจะใช้เวลาทบทวนการเชื่อมต่ออย่างแน่นอนนี่คือลิงค์ที่ดีสำหรับสิ่งนั้น: https://technet.microsoft.com/en-us/library/ms.exch.eac.connectorselection(v=exchg.150 ) .aspx
2. ตัวกรองสแปม EOP และตัวกรองการเชื่อมต่อ : หากการตั้งค่า IP ของตัวเชื่อมต่อดำเนินการอย่างถูกต้องอาจถึงเวลาที่คุณดูตัวกรองสแปม / การเชื่อมต่อภายใต้ EOP ฉันจะสร้างตัวกรองเพื่อเลี่ยงการตรวจสอบอีเมลขาเข้าจาก IP 23.1.4.9 แต่นั่นจะทำให้อีเมลขาเข้าทั้งหมดผ่านรายการตรวจสอบตัวกรองสแปมซึ่งจะนำคุณไปสู่ปัญหาที่กล่าวถึงในจุดก่อนหน้าตรวจสอบตัวเชื่อมต่อของคุณ