Пулы доставки исходящей почты

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Email серверы в центрах обработки данных Microsoft 365 могут временно быть виновными в отправке спама. Например, вредоносные или вредоносные атаки со спамом в локальной почтовой организации, которая отправляет исходящую почту через Microsoft 365 или скомпрометированные учетные записи Microsoft 365. Злоумышленники также пытаются избежать обнаружения путем ретрансляции сообщений через переадресацию Microsoft 365.

Эти сценарии могут привести к тому, что IP-адрес затронутых серверов центра обработки данных Microsoft 365 будет отображаться в сторонних списках блокировок. Целевые почтовые организации, использующие эти списки блокировок, отклоняют сообщения из этих источников сообщений Microsoft 365.

Пул доставки с высоким риском

Чтобы предотвратить блокировку наших IP-адресов, все исходящие сообщения с серверов центров обработки данных Microsoft 365, которые считаются нежелательными, отправляются через пул доставки с высоким риском.

Пул доставки с высоким уровнем риска — это отдельный пул IP-адресов для исходящей электронной почты, который используется только для отправки сообщений "низкого качества" (например, спама и backscatter). Использование пула доставки с высоким риском помогает предотвратить отправку спама обычным пулом IP-адресов для исходящей электронной почты. Обычный пул IP-адресов для исходящей электронной почты поддерживает репутацию отправки сообщений "высокого качества", что снижает вероятность того, что эти IP-адреса будут отображаться в списках блокировок IP-адресов.

Вероятность того, что IP-адреса в пуле доставки с высоким риском помещаются в списки блокировок IP-адресов, сохраняется, но это поведение является конструктивным. Доставка предполагаемым получателям не гарантируется, так как многие почтовые организации не принимают сообщения из пула доставки с высоким риском.

Дополнительные сведения см. в разделе Управление исходящим спамом.

Примечание.

Сообщения, в которых исходный домен электронной почты не содержит записи A и записи MX, определенные в общедоступной службе DNS, всегда направляются через пул доставки с высоким риском, независимо от нежелательной почты или удаления лимита отправки.

Сообщения, превышающие указанные ниже ограничения, блокируются, поэтому они не отправляются через пул доставки с высоким риском.

• Ограничения отправки службы.
• Политики исходящей нежелательной почты , в которых отправителям запрещено отправлять почту.

Сообщения о отказе

Исходящий пул доставки с высоким риском управляет доставкой всех отчетов о недоставке (также известных как NDR или сообщения о отказе). Возможные причины всплеска NDR:

• Кампания спуфингов, которая затрагивает одного из клиентов, использующих службу.
• Атака на сбор данных в каталоге.
• Атака со спамом.
• Несанкционированный почтовый сервер.

Любая из этих проблем может привести к внезапному увеличению числа NDR, обрабатываемых службой. Эти NDR часто кажутся спамом для других почтовых серверов и служб (также известных как backscatter).

Пул ретранслятора

В некоторых сценариях сообщения, пересылаемые или ретранслированные через Microsoft 365, отправляются с помощью специального пула ретрансляторов, так как назначение не должно рассматривать Microsoft 365 в качестве фактического отправителя. Для нас важно изолировать этот трафик электронной почты, так как существуют допустимые и недопустимые сценарии для автоматической пересылки или ретрансляции электронной почты из Microsoft 365. Как и в случае с пулом доставки с высоким риском, для ретрансляции почты используется отдельный пул IP-адресов. Этот пул адресов не публикуется, так как он может часто меняться и не является частью опубликованной записи SPF для Microsoft 365.

Microsoft 365 необходимо убедиться, что исходный отправитель является допустимым, чтобы мы могли уверенно доставить пересылаемое сообщение.

Переадресованное или ретрансляемое сообщение должно соответствовать одному из следующих условий, чтобы избежать использования пула ретрансляторов:

• Исходящий отправитель находится в принятом домене.
• SPF проходит, когда сообщение приходит в Microsoft 365.
• DKIM в домене отправителя проходит, когда сообщение поступает в Microsoft 365.

Вы можете определить, что сообщение было отправлено через пул ретранслятора, посмотрев IP-адрес исходящего сервера (пул ретранслятора находится в диапазоне 40.95.0.0/16).

В случаях, когда мы можем проверить подлинность отправителя, мы используем схему перезаписи отправителей (SRS), чтобы помочь почтовой системе получателя узнать, что пересылаемое сообщение из надежного источника. Дополнительные сведения о том, как это работает и что можно сделать, чтобы убедиться, что отправляющий домен проходит проверку подлинности, см. в статье Схема перезаписи отправителей (SRS) в Office 365.

Чтобы DKIM работал, убедитесь, что вы включили DKIM для отправки домена. Например, fabrikam.com является частью contoso.com и определяется в обслуживаемых доменах организации. Если отправитель сообщения — sender@fabrikam.com, DKIM необходимо включить для fabrikam.com. О том, как включить, см. в статье Использование DKIM для проверки исходящей электронной почты, отправляемой из личного домена.

Чтобы добавить личный домен, выполните действия, описанные в статье Добавление домена в Microsoft 365.

Если запись MX для вашего домена указывает на стороннюю службу или локальный почтовый сервер, следует использовать расширенную фильтрацию для соединителей. Расширенная фильтрация обеспечивает правильную проверку SPF для входящей почты и позволяет избежать отправки электронной почты через пул ретранслятора.

Узнайте, какой исходящий пул использовался

Администратору служб Exchange или глобальному администратору может потребоваться выяснить, какой исходящий пул использовался для отправки сообщения из Microsoft 365 внешнему получателю.

Для этого можно использовать трассировку сообщений и найти OutboundIpPoolName свойство в выходных данных. Это свойство содержит понятное значение имени для используемого исходящего пула.