Si generano molti falsi positivi quando è abilitata l'opzione del filtro di posta indesiderata "record SPF: non riuscito"

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Numero KB originale:   3089691

Problema

Il record SPF dell'opzione Advanced Spam Filtering (ASF) : hard fail genera molti falsi positivi per gli utenti a cui è abilitata l'opzione.

Schermata del record SPF: opzione non riuscita

Causa

Questo problema si verifica per uno dei motivi seguenti:

  • Il record MX primario per il dominio non punta a Exchange Online Protection (EOP)

    Il dominio di un'organizzazione il cui record MX punta a EOP è simile al seguente. (Il record MX contiene "mail.protection.outlook.com").

    contoso.com. IN MX 10 contoso-com.mail.protection.outlook.com

    Un record MX per un dominio il cui record MX primario non punta a EOP è simile al seguente. (Il record MX non contiene "mail.protection.outlook.com").

    fabrikam.com. IN MX 10 mail.fabrikam.com

    In alternativa, è possibile che il dominio disponga di EOP come record MX secondario. (Il numero nel record MX indica la priorità. I numeri alti indicano una priorità più bassa. Questo significa che la posta viene instradata per la prima volta al record MX con il numero più basso e che i tentativi vengono eseguiti con numeri successivamente più alti. Si consideri l'esempio seguente:

    fabrikam.com. IN MX 10 mail.fabrikam.com.
    fabrikam.com. IN MX 100 contoso-com.mail.protection.outlook.com.
    

    In entrambi i casi, fabrikam.com instrada la posta al server di posta locale per primo (o tramite un filtro di posta elettronica ospitato da terze parti) e quindi instrada la posta a EOP utilizzando i connettori o l'inoltro di posta elettronica interno dal proprio server di posta locale.

    Il messaggio attraversa il percorso seguente da Internet alla cassetta postale:

    Schermata in cui viene visualizzato il percorso del messaggio da Internet alla cassetta postale

    All'interno di EOP, il controllo SPF viene eseguito sull'indirizzo IP 2. (Questo è l'indirizzo IP del server di posta elettronica locale). Tuttavia, il controllo SPF dovrebbe essere stato eseguito sull'indirizzo IP 1. (Questo è l'indirizzo IP di connessione originale). Poiché in EOP viene utilizzato l'indirizzo IP 2 anziché l'indirizzo IP 1, qualsiasi dominio che pubblica un errore SPF rigido avrà esito negativo e verrà contrassegnato erroneamente come posta indesiderata. Ciò si verifica anche se il dominio originariamente ha superato SPF se i messaggi sono stati inviati prima tramite EOP e quindi al server di posta locale.

    Questo problema si verifica se il record MX punta ai server di posta locali o a un servizio di filtraggio della posta elettronica ospitato da terze parti.

  • La posta elettronica viene instradata su EOP e quindi di nuovo in EOP

    Alcune organizzazioni instradano la posta elettronica tramite EOP, quindi si riferiscono a un server di posta locale o a un servizio di filtro di terze parti e quindi di nuovo a EOP. In questo caso, il record MX primario del dominio punta a EOP. La posta elettronica viene inoltrata a un server di posta locale tramite connettori in uscita e di nuovo in EOP tramite i connettori o persino tramite il routing basato su MX.

    Screenshot del percorso del messaggio da Internet a EOP

    Il modo tipico di eseguire questa operazione avviene tramite il routing del controllo della posta centralizzato, se il server di posta locale è un server di Exchange. Se il server di posta in locale non è un server di Exchange, viene utilizzata la versione locale di un connettore oppure la posta viene inoltrata tramite il routing basato su MX.

    Se un connettore è configurato da EOP al server di posta elettronica locale e se il connettore è configurata correttamente dal server di posta locale a EOP, il precedente verdetto di posta indesiderata viene riutilizzato e filtrato di conseguenza quando il messaggio viene inoltrato nuovamente a EOP.

    Tuttavia, se i connettori in uscita e in ingresso per EOP non sono configurati correttamente, il messaggio viene analizzato di nuovo. Il controllo SPF originale che utilizza l'indirizzo IP 1 sarà corretto. Tuttavia, il secondo controllo SPF (il controllo che utilizza l'indirizzo IP 3) non è corretto e questo è il controllo SPF utilizzato nella seconda analisi di posta indesiderata. Qualsiasi dominio di invio che pubblica un errore SPF rigido verrà contrassegnato come posta indesiderata indipendentemente dal fatto che il primo controllo sia corretto e che questo conduca a risultati di filtro non corretti (ovvero falsi positivi).

Soluzione

Microsoft Exchange Online risolve automaticamente entrambe le condizioni senza che vengano apportate azioni da parte dei clienti. Tale operazione viene eseguita sopprimendo la regola ASF per un errore rigido SPF. Tuttavia, è possibile verificare manualmente che la regola ASF sia applicata.

A tale scopo, eseguire una delle operazioni seguenti, a seconda dei casi:

  • Se il record MX primario per il dominio non punta a Exchange Online Protection (EOP)

    Verificare che il record MX primario del dominio punti a EOP e non al server di posta locale o a un filtro di terze parti.

    Se il record MX primario del dominio non può essere sottolineato a EOP, EOP rileverà automaticamente quando non è il record MX primario e smetterà di applicare l'opzione ASF per un errore irreversibile. Quando il record MX punta a EOP, il servizio lo rileva e inizia ad applicare l'opzione ASF.

  • Se la posta elettronica viene instradata da EOP e quindi di nuovo a EOP

    Verificare che i connettori siano configurati correttamente per mantenere le intestazioni richieste da EOP a un server di posta locale e quindi dal server di posta locale a EOP. In questo modo viene mantenuto il verdetto di posta indesiderata originale dal primo momento in cui un messaggio è stato analizzato in EOP per riutilizzarlo quando viene inviato nuovamente a EOP la seconda volta.

    Se i connettori necessari non sono stati creati, EOP rileverà automaticamente quando si verifica questa situazione e smetterà di applicare l'opzione ASF per un errore rigido SPF. Quando vengono creati i connettori necessari, il servizio rileva questo e avvia l'applicazione dell'opzione ASF.

    Per altre informazioni sui connettori, vedere Configurare il flusso di posta elettronica tramite connettori in Office 365.

    Per ulteriori informazioni sulle opzioni di controllo della posta centralizzata, vedere Opzioni di trasporto nelle distribuzioni ibride di Exchange 2013.

Ulteriori informazioni

Ulteriore assistenza Visitare la community Microsoft.