共用方式為


輸出傳遞集區

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款

Microsoft 365 數據中心的電子郵件伺服器可能暫時無法傳送垃圾郵件。 例如,內部部署電子郵件組織中的惡意代碼或惡意垃圾郵件攻擊,透過 Microsoft 365 傳送輸出郵件,或入侵Microsoft 365 帳戶。 攻擊者也會嘗試透過Microsoft 365 轉送來轉送訊息,以避免偵測。

這些案例可能會導致受影響Microsoft 365 數據中心伺服器的IP位址出現在第三方封鎖清單上。 使用這些封鎖清單的目的地電子郵件組織會拒絕來自這些Microsoft 365 訊息來源的電子郵件。

高風險傳遞集區

為了避免封鎖我們的IP位址,來自365資料中心伺服器Microsoft判斷為垃圾郵件的所有輸出訊息,都會透過 高風險的傳遞集區傳送。

高風險傳遞集區是輸出電子郵件的個別IP位址池,僅用來傳送「低品質」訊息 (例如垃圾郵件和 退信攻擊。 使用高風險傳遞集區有助於防止輸出電子郵件的一般IP位址池傳送垃圾郵件。 輸出電子郵件的一般IP位址池會維持傳送「高品質」訊息的信譽,這可降低這些IP位址出現在IP封鎖清單上的可能性。

高風險傳遞集區中的IP位址會放在IP封鎖清單上的可能性仍然存在,但這種行為是根據設計。 無法保證傳遞給預定的收件者,因為許多電子郵件組織不接受來自高風險傳遞集區的郵件。

如需詳細資訊,請 參閱控制輸出垃圾郵件

注意事項

來源電子郵件網域沒有 A 記錄,且公用 DNS 中未定義任何 MX 記錄的郵件,一律會透過高風險傳遞集區路由傳送,不論其垃圾郵件或傳送限制處置為何。

超過下列限制的訊息會遭到封鎖,因此不會透過高風險傳遞集區傳送:

退回的訊息

輸出高風險傳遞集區會管理所有非傳遞報告的傳遞, (也稱為 NDR 或退回的訊息) 。 RDR 激增的可能原因包括:

  • 會影響其中一個使用服務之客戶的詐騙活動。
  • 目錄收集攻擊。
  • 垃圾郵件攻擊。
  • Rogue 電子郵件伺服器。

上述任何問題都可能導致服務所處理的 DDR 數目突然增加。 這些 DDR 通常會對其他電子郵件伺服器和服務進行垃圾郵件 (也稱為 退 信) 。

轉送集區

在某些情況下,透過 Microsoft 365 轉送或轉送的訊息會使用特殊的轉送集區來傳送,因為目的地不應該將Microsoft 365 視為實際的寄件者。 請務必隔離此電子郵件流量,因為自動轉寄或轉送電子郵件的案例合法且無效,Microsoft 365。 與高風險傳遞集區類似,轉送郵件會使用個別的IP位址池。 此位址池不會發佈,因為它可以經常變更,而且不屬於Microsoft 365 的已發行SPF記錄。

Microsoft 365 必須確認原始發件者是否合法,以便我們可以放心地傳遞轉寄的郵件。

轉送或轉送的訊息應符合下列其中一個準則,以避免使用轉送集區:

  • 輸出寄件者位於 可接受的網域中。
  • SPF 會在訊息傳送至 Microsoft 365 時傳遞。
  • 傳送者網域上的 DKIM 會在訊息傳送至 Microsoft 365 時傳遞。

您可以查看轉送集區位於 40.95.0.0/16 範圍) (輸出伺服器 IP,以判斷訊息是透過轉送集區傳送。

如果我們可以驗證寄件者,我們會使用寄件者重寫配置 (SRS) 來協助收件者電子郵件系統知道轉寄的郵件來自信任的來源。 您可以在 Office 365 中深入瞭解其運作方式,以及如何協助確保傳送網域通過驗證, 請參閱發件者重寫配置 (SRS)

若要讓 DKIM 能夠運作,請確定您啟用 DKIM 以傳送網域。 例如,fabrikam.com 是 contoso.com 的一部分,且定義於組織的可接受網域中。 如果訊息傳送者為 sender@fabrikam.com,則必須啟用 DKIM 以進行 fabrikam.com。 您可以在 使用 DKIM 驗證從自訂網域傳送的輸出電子郵件中瞭解如何啟用。

若要新增自定義網域,請遵循將網 域新增至 Microsoft 365 中的步驟。

如果您網域的 MX 記錄指向第三方服務或內部部署電子郵件伺服器,您應該使用 連接器的增強篩選。 增強的篩選可確保輸入郵件的SPF驗證正確無誤,並避免透過轉送集區傳送電子郵件。

找出使用的輸出集區

身為 Exchange 服務管理員或全域管理員*,您可能想要找出哪些輸出集區用來將訊息從 Microsoft 365 傳送給外部收件者。

重要事項

* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應該僅限於緊急案例。

若要這樣做,您可以 使用訊息追蹤 ,並在輸出中尋找 OutboundIpPoolName 屬性。 此屬性包含所使用輸出集區的易記名稱值。