Muitos falsos positivos são gerados quando a opção de filtragem avançada de spam "SPF: hard fail" é ativada

Nota

O Office 365 ProPlus está a ser renomeado para Aplicações do Microsoft 365 para empresas. Para obter mais informações sobre essa alteração, leia este post no blog.

Número KB original:   3089691

Problema

A opção de filtragem de spam avançada (ASF) SPF registra: falha dura gera muitos falsos positivos para utilizadores que têm a opção ativada.

Screenshot do registo SPF: opção de falha dura

Causa

Esta questão ocorre por uma das seguintes razões:

  • O registo mx primário para o seu domínio não aponta para Exchange Online Protection (EOP)

    O domínio de uma organização cujo registo MX aponta para EOP assemelha-se ao seguinte. (O registo MX contém "mail.protection.outlook.com.")

    contoso.com. IN MX 10 contoso-com.mail.protection.outlook.com

    Um registo MX para um domínio cujo registo MX primário não aponta para EOP assemelha-se ao seguinte. (O registo MX não contém "mail.protection.outlook.com.")

    fabrikam.com. IN MX 10 mail.fabrikam.com

    Ou, o domínio pode ter EOP como um registo MX secundário. (O número no registo MX indica a sua prioridade. Números altos indicam menor prioridade. Isto significa que o correio é encaminhado pela primeira vez para o registo MX que tem o número mais baixo e que as retróxicos são feitas em números posteriormente mais elevados.) Considere o seguinte exemplo:

    fabrikam.com. IN MX 10 mail.fabrikam.com.
    fabrikam.com. IN MX 100 contoso-com.mail.protection.outlook.com.
    

    Em qualquer dos casos, fabrikam.com o correio eletrónico para o seu servidor de correio no local primeiro (ou através de um filtro de e-mail hospedado por terceiros) e, em seguida, encaminha o correio para EOP utilizando conectores ou e-mails internos reencaminhando do seu servidor de correio no local.

    A mensagem percorre o seguinte caminho desde a Internet até à caixa de correio:

    Screenshot que mostra o caminho da mensagem da Internet para a caixa de correio

    Dentro do EOP, a verificação SPF é realizada no endereço IP 2. (Este é o endereço IP do servidor de correio no local.) No entanto, a verificação do SPF deveria ter sido efetuada no endereço IP 1. (Este é o endereço IP de ligação original.) Como o EOP utiliza o endereço IP 2 em vez do endereço IP 1, qualquer domínio que publique uma falha dura do SPF falhará no SPF e será marcado incorretamente como spam. Isto ocorre mesmo que o domínio originalmente tivesse passado SPF se as mensagens tivessem sido enviadas primeiro através do EOP e depois para o servidor de correio no local.

    Isto ocorre se o registo MX aponta para os servidores de correio no local ou para um serviço de filtragem de e-mail hospedado por terceiros.

  • O e-mail é encaminhado para fora do EOP e, em seguida, de volta para o EOP

    Algumas organizações encaminham o correio através do EOP, depois para um servidor de correio no local ou serviço de filtragem de terceiros, e depois de volta através do EOP novamente. Neste caso, o registo primário de MX do domínio aponta para EOP. O e-mail é retransmitido para um servidor de correio no local através de conectores de saída e de volta para O EOP através de conectores ou mesmo através do encaminhamento baseado em MX.

    Imagem de tela do caminho da mensagem da Internet para o EOP

    A forma típica de o fazer é através do encaminhamento centralizado de controlo de correio se o servidor de correio no local for um servidor Exchange. Se o servidor de correio no local não for um servidor Exchange, a versão local de um conector é utilizada ou o correio é retransmitido utilizando o encaminhamento baseado em MX.

    Se um conector for configurado de EOP para o servidor de correio no local, e se o conector estiver configurado corretamente do servidor de correio no local de volta para EOP, o veredicto de spam anterior é reutilizado e filtrado em conformidade quando a mensagem é retransmitida de volta para EOP.

    No entanto, se os conectores de saída e de entrada para EOP não estiverem configurados corretamente, a mensagem é novamente digitalizada. A verificação original do SPF que utiliza o endereço IP 1 estará correta. No entanto, a segunda verificação de SPF (a verificação que utiliza o endereço IP 3) estará incorreta, e é essa a verificação SPF que é usada na segunda verificação de spam. Qualquer domínio de envio que publique uma falha dura do SPF será marcado como spam independentemente de a primeira verificação estar correta, o que leva a resultados de filtragem incorretos (isto é, falsos positivos).

Solução

O Microsoft Exchange Online resolve automaticamente ambas as condições sem que os clientes exijam qualquer ação. Fá-lo suprimindo a regra asf para o hard fail do SPF. No entanto, pode certificar-se manualmente de que a regra ASF é aplicada.

Para isso, tome uma das seguintes ações, conforme apropriado para a sua situação:

  • Se o registo MX primário para o seu domínio não apontar para Exchange Online Protection (EOP)

    Certifique-se de que o registo primário de MX do domínio aponta para EOP e não para o servidor de correio no local ou para o filtro de terceiros.

    Se o registo primário de MX do domínio não puder ser apontado para EOP, o EOP detetará automaticamente quando não é o registo MX primário e deixará de impor a opção ASF para falha dura de SPF. Quando o registo MX aponta para EOP, o serviço deteta-o e começa a aplicar a opção ASF.

  • Se o e-mail for encaminhado para fora do EOP e, em seguida, de volta para EOP

    Certifique-se de que os seus conectores estão configurados corretamente para manter os cabeçalhos necessários do EOP para um servidor de correio no local e, em seguida, do servidor de correio no local de volta para EOP. Isto mantém o veredicto original de spam da primeira vez que uma mensagem foi digitalizada em EOP para que seja reutilizada quando é enviada de volta para o EOP pela segunda vez.

    Se os conectores necessários não forem criados, o EOP detetará automaticamente quando esta situação ocorre e deixará de impor a opção ASF para falha dura de SPF. Quando os conectores necessários são criados, o serviço deteta-o e começa a aplicar a opção ASF.

    Para obter mais informações sobre os conectores, consulte o fluxo de correio configure utilizando conectores no Office 365.

    Para obter mais informações sobre as opções centralizadas de controlo de correio, consulte as opções de Transporte em implementações híbridas do Exchange 2013.

Mais informações

Ainda necessita de ajuda? Vá para Comunidade Microsoft