Condividi tramite


Pool di recapito in uscita

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Email server nei data center di Microsoft 365 potrebbero essere temporaneamente colpevoli dell'invio di posta indesiderata. Ad esempio, un attacco di malware o posta indesiderata dannoso in un'organizzazione di posta elettronica locale che invia posta in uscita tramite Microsoft 365 o account Microsoft 365 compromessi. Gli utenti malintenzionati tentano anche di evitare il rilevamento inoltrando i messaggi tramite l'inoltro di Microsoft 365.

Questi scenari possono comportare la visualizzazione dell'indirizzo IP dei server del data center microsoft 365 interessati negli elenchi di blocchi di terze parti. Le organizzazioni di posta elettronica di destinazione che usano questi elenchi di blocchi rifiuteranno la posta elettronica da tali origini di messaggi di Microsoft 365.

Pool di recapiti ad alto rischio

Per impedire il blocco degli indirizzi IP, tutti i messaggi in uscita dai server del data center di Microsoft 365 che sono determinati come posta indesiderata vengono inviati tramite il pool di recapiti ad alto rischio.

Il pool di recapito ad alto rischio è un pool di indirizzi IP separato per la posta elettronica in uscita che viene usato solo per inviare messaggi di "bassa qualità", ad esempio posta indesiderata e backscatter. L'uso del pool di recapito ad alto rischio consente di evitare che il pool di indirizzi IP normale per la posta elettronica in uscita invii posta indesiderata. Il pool di indirizzi IP normale per la posta elettronica in uscita mantiene la reputazione inviando messaggi di "alta qualità", riducendo la probabilità che questi indirizzi IP vengano visualizzati negli elenchi di blocchi IP.

Rimane la possibilità che gli indirizzi IP nel pool di recapito ad alto rischio vengano inseriti negli elenchi di blocchi IP, ma questo comportamento è per impostazione predefinita. Il recapito ai destinatari previsti non è garantito, perché molte organizzazioni di posta elettronica non accettano messaggi dal pool di recapito ad alto rischio.

Per altre informazioni, vedere Controllare la posta indesiderata in uscita.

Nota

I messaggi in cui il dominio di posta elettronica di origine non ha record A e nessun record MX definito nel DNS pubblico vengono sempre indirizzati attraverso il pool di recapito ad alto rischio, indipendentemente dalla posta indesiderata o dall'invio del limite di eliminazione.

I messaggi che superano i limiti seguenti vengono bloccati, quindi non vengono inviati tramite il pool di recapito ad alto rischio:

Messaggi di rimbalzo

Il pool di recapiti ad alto rischio in uscita gestisce il recapito di tutti i report di mancato recapito (noti anche come messaggi di mancato recapito o messaggi di mancato recapito). Le possibili cause di un aumento delle richieste di recapito includono:

  • Campagna di spoofing che interessa uno dei clienti che usano il servizio.
  • Attacco di raccolta directory.
  • Un attacco di spam.
  • Un server di posta elettronica non autorizzato.

Uno di questi problemi può comportare un aumento improvviso del numero di richieste di recapito elaborate dal servizio. Questi rapporti di mancato recapito spesso sembrano essere posta indesiderata per altri server e servizi di posta elettronica (noto anche come backscatter).

Pool di inoltro

In alcuni scenari, i messaggi inoltrati o inoltrati tramite Microsoft 365 vengono inviati usando un pool di inoltro speciale, perché la destinazione non deve considerare Microsoft 365 come mittente effettivo. È importante isolare questo traffico di posta elettronica, perché esistono scenari legittimi e non validi per l'inoltro automatico o l'inoltro di messaggi di posta elettronica da Microsoft 365. Analogamente al pool di recapiti ad alto rischio, per la posta inoltrata viene usato un pool di indirizzi IP separato. Questo pool di indirizzi non viene pubblicato perché può cambiare spesso e non fa parte del record SPF pubblicato per Microsoft 365.

Microsoft 365 deve verificare che il mittente originale sia legittimo in modo da poter recapitare il messaggio inoltrato in modo sicuro.

Il messaggio inoltrato o inoltrato deve soddisfare uno dei criteri seguenti per evitare di usare il pool di inoltro:

  • Il mittente in uscita si trova in un dominio accettato.
  • SPF passa quando il messaggio arriva a Microsoft 365.
  • DKIM nel dominio del mittente passa quando il messaggio arriva a Microsoft 365.

Nei casi in cui è possibile autenticare il mittente, viene usato lo schema di riscrittura del mittente (SRS) per consentire al sistema di posta elettronica del destinatario di sapere che il messaggio inoltrato proviene da un'origine attendibile. È possibile leggere altre informazioni sul funzionamento e sulle operazioni che è possibile eseguire per assicurarsi che il dominio di invio superi l'autenticazione in Sender Rewriting Scheme (SRS) in Office 365.

Per il funzionamento di DKIM, assicurarsi di abilitare DKIM per l'invio del dominio. Ad esempio, fabrikam.com fa parte di contoso.com ed è definito nei domini accettati dell'organizzazione. Se il mittente del messaggio è sender@fabrikam.com, DKIM deve essere abilitato per fabrikam.com. è possibile leggere come abilitare in Usare DKIM per convalidare la posta elettronica in uscita inviata dal dominio personalizzato.

Per aggiungere un dominio personalizzato, seguire la procedura descritta in Aggiungere un dominio a Microsoft 365.

Se il record MX per il dominio punta a un servizio di terze parti o a un server di posta elettronica locale, è consigliabile usare filtro avanzato per i connettori. Il filtro avanzato garantisce che la convalida SPF sia corretta per la posta in ingresso ed evita di inviare messaggi di posta elettronica tramite il pool di inoltro.

Scoprire quale pool in uscita è stato usato

In qualità di amministratore del servizio Exchange o amministratore* globale, è possibile scoprire quale pool in uscita è stato usato per inviare un messaggio da Microsoft 365 a un destinatario esterno.

Importante

* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

A tale scopo, è possibile usare Traccia messaggio e cercare la OutboundIpPoolName proprietà nell'output. Questa proprietà contiene un valore di nome descrittivo per il pool in uscita utilizzato.