Grupos de entrega de salida
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
Email servidores de los centros de datos de Microsoft 365 podrían ser temporalmente culpables de enviar correo no deseado. Por ejemplo, un malware o un ataque de correo no deseado malintencionado en una organización de correo electrónico local que envía correo saliente a través de Microsoft 365 o cuentas de Microsoft 365 en peligro. Los atacantes también intentan evitar la detección retransmitiendo mensajes a través del reenvío de Microsoft 365.
Estos escenarios pueden dar lugar a que la dirección IP de los servidores del centro de datos de Microsoft 365 afectados aparezca en listas de bloqueo de terceros. Las organizaciones de correo electrónico de destino que usan estas listas de bloqueo rechazarán el correo electrónico de esos orígenes de mensajes de Microsoft 365.
Grupo de entrega de alto riesgo
Para evitar que nuestras direcciones IP se bloqueen, todos los mensajes salientes de los servidores del centro de datos de Microsoft 365 que se determinan como correo no deseado se envían a través del grupo de entrega de alto riesgo.
El grupo de entrega de alto riesgo es un grupo de direcciones IP independiente para el correo electrónico saliente que solo se usa para enviar mensajes de "baja calidad" (por ejemplo, correo no deseado y backscatter). El uso del grupo de entrega de alto riesgo ayuda a evitar que el grupo de direcciones IP normal para el correo electrónico saliente envíe correo no deseado. El grupo de direcciones IP normal para el correo electrónico saliente mantiene la reputación de enviar mensajes de "alta calidad", lo que reduce la probabilidad de que estas direcciones IP aparezcan en listas de direcciones IP bloqueadas.
La posibilidad de que las direcciones IP del grupo de entrega de alto riesgo se coloquen en listas de bloqueo de IP permanece, pero este comportamiento es por diseño. No se garantiza la entrega a los destinatarios previstos, ya que muchas organizaciones de correo electrónico no aceptan mensajes del grupo de entrega de alto riesgo.
Para obtener más información, consulte Control del correo no deseado saliente.
Nota:
Los mensajes en los que el dominio de correo electrónico de origen no tiene registro A y ningún registro MX definido en DNS público siempre se enrutan a través del grupo de entrega de alto riesgo, independientemente de su eliminación de límite de correo no deseado o envío.
Los mensajes que superan los límites siguientes se bloquean, por lo que no se envían a través del grupo de entrega de alto riesgo:
- Límites de envío del servicio.
- Directivas de correo no deseado saliente en las que los remitentes tienen restringido el envío de correo.
Mensajes de rebote
El grupo de entrega de alto riesgo de salida administra la entrega de todos los informes de no entrega (también conocidos como NDR o mensajes de devolución). Entre las posibles causas de un aumento de los NDR se incluyen las siguientes:
- Una campaña de suplantación de identidad que afecta a uno de los clientes que usan el servicio.
- Un ataque de recopilación de directorios.
- Un ataque de correo no deseado.
- Un servidor de correo electrónico no autorizado.
Cualquiera de estos problemas puede dar lugar a un aumento repentino del número de NDR que procesa el servicio. Estos NDR a menudo parecen ser correo no deseado para otros servidores de correo electrónico y servicios (también conocidos como backscatter).
Grupo de retransmisiones
En determinados escenarios, los mensajes que se reenvía o retransmiten a través de Microsoft 365 se envían mediante un grupo de retransmisión especial, ya que el destino no debe considerar Microsoft 365 como el remitente real. Es importante para nosotros aislar este tráfico de correo electrónico, ya que hay escenarios legítimos y no válidos para el reenvío automático o la retransmisión de correo electrónico fuera de Microsoft 365. De forma similar al grupo de entrega de alto riesgo, se usa un grupo de direcciones IP independiente para el correo retransmitido. Este grupo de direcciones no se publica porque puede cambiar a menudo y no forma parte del registro SPF publicado para Microsoft 365.
Microsoft 365 debe comprobar que el remitente original es legítimo para poder entregar con confianza el mensaje reenviado.
El mensaje reenviado o retransmitido debe cumplir uno de los siguientes criterios para evitar el uso del grupo de retransmisión:
- El remitente saliente está en un dominio aceptado.
- SPF pasa cuando el mensaje llega a Microsoft 365.
- DKIM en el dominio del remitente pasa cuando el mensaje llega a Microsoft 365.
En los casos en los que podemos autenticar al remitente, usamos el esquema de reescritura del remitente (SRS) para ayudar al sistema de correo electrónico del destinatario a saber que el mensaje reenviado procede de un origen de confianza. Puede obtener más información sobre cómo funciona y qué puede hacer para asegurarse de que el dominio de envío pasa la autenticación en esquema de reescritura de remitentes (SRS) en Office 365.
Para que DKIM funcione, asegúrese de habilitar DKIM para enviar dominio. Por ejemplo, fabrikam.com forma parte de contoso.com y se define en los dominios aceptados de la organización. Si el remitente del mensaje es sender@fabrikam.com, DKIM debe estar habilitado para fabrikam.com. puede leer cómo habilitar en Usar DKIM para validar el correo electrónico saliente enviado desde el dominio personalizado.
Para agregar un dominio personalizado, siga los pasos descritos en Agregar un dominio a Microsoft 365.
Si el registro MX del dominio apunta a un servicio de terceros o a un servidor de correo electrónico local, debe usar el filtrado mejorado para conectores. El filtrado mejorado garantiza que la validación de SPF es correcta para el correo entrante y evita el envío de correo electrónico a través del grupo de retransmisión.
Averiguar qué grupo de salida se usó
Como administrador de servicios de Exchange o administrador* global, es posible que quiera averiguar qué grupo de salida se usó para enviar un mensaje de Microsoft 365 a un destinatario externo.
Importante
* Microsoft recomienda usar roles con los permisos más mínimos. El uso de cuentas con permisos inferiores ayuda a mejorar la seguridad de su organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Para ello, puede usar seguimiento de mensajes y buscar la OutboundIpPoolName
propiedad en la salida. Esta propiedad contiene un valor de nombre descriptivo para el grupo de salida que se usó.