启用"SPF 记录: 硬失败"高级垃圾邮件筛选选项时,将生成大量误报
备注
Office 365 ProPlus 正在重命名为 适用于企业的 Microsoft 365 应用。 有关此更改的详细信息, 请阅读此博客文章。
原始 KB 编号: 3089691
问题
ASF 高级垃圾邮件筛选 (ASF) SPF 记录:硬失败会为已启用此选项的用户生成大量误报。
原因
出现此问题的原因之一如下:
您的域的主 MX 记录不指向 Exchange Online Protection (EOP)
其 MX 记录指向 EOP 的组织域类似于以下内容。 (MX 记录包含"mail.protection.outlook.com"。)
contoso.com. IN MX 10 contoso-com.mail.protection.outlook.com其主 MX 记录不指向 EOP 的域的 MX 记录类似于以下内容。 (MX 记录不包含"mail.protection.outlook.com"。)
fabrikam.com. IN MX 10 mail.fabrikam.com或者,该域可能将 EOP 作为辅助 MX 记录。 (MX 记录中的数字指示其优先级。 数字高表示优先级较低。 这意味着邮件首先路由到编号较低的 MX 记录,然后重试的号码较高。) 请考虑以下示例:
fabrikam.com. IN MX 10 mail.fabrikam.com. fabrikam.com. IN MX 100 contoso-com.mail.protection.outlook.com.在任一情况下,fabrikam.com 先将邮件路由到其本地邮件服务器 (或第三方托管的电子邮件筛选器) ,然后使用连接器或内部电子邮件转发从内部部署邮件服务器将邮件路由到 EOP。
邮件遍历从 Internet 到邮箱的以下路径:
在 EOP 中,SPF 检查在 IP 地址 2(本地邮件服务器的中继 IP 地址)上执行。 但是,应在 IP 地址 1(即原始连接 IP 地址)上执行 SPF 检查。 由于 EOP 使用 IP 地址 2 而不是 IP 地址 1,因此发布 SPF 硬失败的任何域将失败 SPF,并且将被错误地标记为垃圾邮件。 即使域最初已通过 SPF(如果邮件首先通过 EOP 发送,然后发送到内部部署邮件服务器)也会发生此情况。
如果 MX 记录指向本地邮件服务器或第三方托管的电子邮件筛选服务,将发生这种情况。
电子邮件从 EOP 路由,然后重新路由到 EOP
某些组织通过 EOP 将邮件路由到内部部署邮件服务器或第三方筛选服务,然后再次通过 EOP 返回。 在这种情况下,域的主 MX 记录指向 EOP。 电子邮件通过传出连接器中继到内部部署邮件服务器,然后通过连接器甚至基于 MX 的路由重新中继到 EOP。
实现此目标的典型方法为,如果内部部署邮件服务器是一台邮件服务器,则通过集中式邮件Exchange路由。 如果内部部署邮件服务器不是Exchange服务器,则使用连接器的本地版本,或者使用基于 MX 的路由将邮件中继回。
如果将连接器从 EOP 设置为内部部署邮件服务器,并且该连接器从内部部署邮件服务器正确配置回 EOP,则当邮件中继回 EOP 时,会重用并相应地筛选以前的垃圾邮件裁定。
但是,如果 EOP 的传出连接器和传入连接器配置不正确,则再次扫描邮件。 使用 IP 地址 1 的原始 SPF 检查是正确的。 但是,使用 IP 地址 3) 的第二个 SPF 检查 (检查不正确,这是第二次垃圾邮件扫描中使用的 SPF 检查。 发布 SPF 硬失败的任何发送域都将标记为垃圾邮件,而不管第一次检查是否正确,这都会导致筛选 (错误,即误报) 。
解决方案
Microsoft Exchange Online自动解决这两个条件,而无需客户执行任何操作。 它通过禁止 SPF 硬故障的 ASF 规则来达到此要求。 但是,您可以手动确保强制实施 ASF 规则。
为此,请根据你的情况执行下列操作之一:
如果域的主 MX 记录没有指向 EOP Exchange Online Protection (EOP)
确保域的主 MX 记录指向 EOP,而不是本地邮件服务器或第三方筛选器。
如果域的主 MX 记录不能指向 EOP,EOP 将自动检测它何时不是主 MX 记录,并停止对 SPF 硬失败强制执行 ASF 选项。 当 MX 记录指向 EOP 时,服务会检测到此错误并开始强制执行 ASF 选项。
如果电子邮件被路由出 EOP,然后再路由回 EOP
确保正确配置连接器,以维护从 EOP 到内部部署邮件服务器,然后从内部部署邮件服务器返回 EOP 所需的邮件头。 这将在首次在 EOP 中扫描邮件时保留原始垃圾邮件裁定,以便第二次将邮件发送回 EOP 时可以重复使用。
如果未创建必要的连接器,EOP 将自动检测发生此情况的时间,并停止对 SPF 硬失败强制执行 ASF 选项。 创建所需的连接器时,服务会检测这一点并开始强制执行 ASF 选项。
有关这些连接器的详细信息,请参阅在 Office 365 中使用连接器配置邮件流。
有关集中邮件控制选项的详细信息,请参阅transport options in Exchange 2013 hybrid deployments。
更多信息
仍然需要帮助? 请转到 Microsoft 社区。