Pools de entrega de saída

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Email servidores nos datacenters do Microsoft 365 podem ser temporariamente culpados de enviar spam. Por exemplo, um malware ou ataque de spam mal-intencionado em uma organização de email local que envia emails de saída por meio do Microsoft 365 ou contas comprometidas do Microsoft 365. Os invasores também tentam evitar a detecção retransmitindo mensagens por meio do encaminhamento do Microsoft 365.

Esses cenários podem resultar no endereço IP dos servidores de datacenter do Microsoft 365 afetados que aparecem em listas de blocos de terceiros. As organizações de email de destino que usam esses blocklists rejeitarão emails dessas fontes de mensagens do Microsoft 365.

Pool de entrega de alto risco

Para impedir que nossos endereços IP sejam bloqueados, todas as mensagens de saída de servidores datacenter do Microsoft 365 que estão determinados a ser spam são enviadas por meio do pool de entrega de alto risco.

O pool de entrega de alto risco é um pool de endereços IP separado para email de saída que só é usado para enviar mensagens de "baixa qualidade" (por exemplo, spam e backscatter. O uso do pool de entrega de alto risco ajuda a impedir que o pool de endereços IP normal para email de saída envie spam. O pool de endereços IP normal para email de saída mantém a reputação enviando mensagens de "alta qualidade", o que reduz a probabilidade de que esses endereços IP apareçam em listas de blocos IP.

A possibilidade de que os endereços IP no pool de entrega de alto risco sejam colocados em listas de blocos IP permanece, mas esse comportamento é por design. A entrega para os destinatários pretendidos não é garantida, pois muitas organizações de email não aceitam mensagens do pool de entrega de alto risco.

Para obter mais informações, consulte Controlar spam de saída.

Observação

As mensagens em que o domínio de email de origem não tem um registro A e nenhum registro MX definido em DNS público sempre são roteadas pelo pool de entrega de alto risco, independentemente de seu spam ou envio de disposição de limite.

As mensagens que excedem os seguintes limites são bloqueadas, portanto, elas não são enviadas pelo pool de entrega de alto risco:

Mensagens de salto

O pool de entrega de alto risco de saída gerencia a entrega de todos os relatórios de não entrega (também conhecidos como NDRs ou mensagens de salto). As possíveis causas para um aumento de NDRs incluem:

  • Uma campanha de falsificação que afeta um dos clientes que usam o serviço.
  • Um ataque de colheita de diretório.
  • Um ataque de spam.
  • Um servidor de email desonesto.

Qualquer um desses problemas pode resultar em um aumento repentino no número de NDRs sendo processados pelo serviço. Esses NDRs geralmente parecem ser spam para outros servidores e serviços de email (também conhecido como backscatter).

Pool de retransmiss

Em determinados cenários, as mensagens encaminhadas ou retransmitidas por meio do Microsoft 365 são enviadas usando um pool de retransmissão especial, pois o destino não deve considerar o Microsoft 365 como o remetente real. É importante isolar esse tráfego de email, pois há cenários legítimos e inválidos para encaminhamento automático ou retransmissão de email do Microsoft 365. Semelhante ao pool de entrega de alto risco, um pool de endereços IP separado é usado para emails retransmitidos. Esse pool de endereços não é publicado porque pode ser alterado com frequência e não faz parte do registro SPF publicado para o Microsoft 365.

O Microsoft 365 precisa verificar se o remetente original é legítimo para que possamos entregar com confiança a mensagem encaminhada.

A mensagem encaminhada ou retransmitida deve atender a um dos seguintes critérios para evitar o uso do pool de retransmissão:

  • O remetente de saída está em um domínio aceito.
  • O SPF passa quando a mensagem chega ao Microsoft 365.
  • O DKIM no domínio do remetente passa quando a mensagem chega ao Microsoft 365.

Você pode dizer que uma mensagem foi enviada por meio do pool de retransmissão examinando o IP do servidor de saída (o pool de retransmissão está no intervalo 40.95.0.0/16).

Nos casos em que podemos autenticar o remetente, usamos o SRS (Sender Rewriting Scheme) para ajudar o sistema de email do destinatário a saber que a mensagem encaminhada é de uma fonte confiável. Você pode ler mais sobre como isso funciona e o que você pode fazer para ajudar a garantir que o domínio de envio passe autenticação no SRS (Esquema de Reescrita do Remetente) em Office 365.

Para que o DKIM funcione, habilite o DKIM para o envio de domínio. Por exemplo, fabrikam.com faz parte do contoso.com e é definido nos domínios aceitos da organização. Se o remetente de mensagens for sender@fabrikam.com, o DKIM precisará ser habilitado para fabrikam.com. você pode ler sobre como habilitar no Use DKIM para validar o email de saída enviado de seu domínio personalizado.

Para adicionar um domínio personalizado, siga as etapas em Adicionar um domínio ao Microsoft 365.

Se o registro MX para seu domínio apontar para um serviço de terceiros ou um servidor de email local, você deverá usar Filtragem Aprimorada para Conectores. A filtragem aprimorada garante que a validação do SPF esteja correta para emails de entrada e evite enviar email por meio do pool de retransmissão.

Descobrir qual pool de saída foi usado

Como Administrador do Serviço de Exchange ou Administrador Global, talvez você queira descobrir qual pool de saída foi usado para enviar uma mensagem do Microsoft 365 para um destinatário externo.

Para fazer isso, você pode usar o rastreamento de mensagem e procurar a OutboundIpPoolName propriedade na saída. Essa propriedade contém um valor de nome amigável para o pool de saída que foi usado.