Delen via


Uitgaande bezorgingspools

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Email servers in de Microsoft 365-datacenters zijn mogelijk tijdelijk schuldig aan het verzenden van spam. Bijvoorbeeld een malware- of schadelijke spamaanval in een on-premises e-mailorganisatie die uitgaande e-mail verzendt via Microsoft 365 of gecompromitteerde Microsoft 365-accounts. Aanvallers proberen ook detectie te voorkomen door berichten door te sturen via Microsoft 365 doorsturen.

Deze scenario's kunnen ertoe leiden dat het IP-adres van de betrokken Microsoft 365-datacenterservers worden weergegeven op bloklijsten van derden. Doel-e-mailorganisaties die deze blokkeringslijsten gebruiken, weigeren e-mail van deze Microsoft 365-berichtenbronnen.

Leveringspool met hoog risico

Om te voorkomen dat onze IP-adressen worden geblokkeerd, worden alle uitgaande berichten van Microsoft 365-datacenterservers waarvan wordt vastgesteld dat ze spam zijn, verzonden via de bezorgingspool met een hoog risico.

De bezorgingsgroep met een hoog risico is een afzonderlijke IP-adresgroep voor uitgaande e-mail die alleen wordt gebruikt voor het verzenden van berichten van 'lage kwaliteit' (bijvoorbeeld spam en backscatter). Het gebruik van de bezorgingsgroep met een hoog risico helpt voorkomen dat de normale IP-adresgroep voor uitgaande e-mail spam verzendt. De normale IP-adresgroep voor uitgaande e-mail onderhoudt de reputatie die berichten van 'hoge kwaliteit' verzendt, waardoor de kans wordt verkleind dat deze IP-adressen worden weergegeven op IP-bloklijsten.

De mogelijkheid dat IP-adressen in de leveringsgroep met een hoog risico op IP-bloklijsten worden geplaatst, blijft bestaan, maar dit gedrag is standaard. Bezorging aan de beoogde geadresseerden is niet gegarandeerd, omdat veel e-mailorganisaties geen berichten van de bezorgingsgroep met een hoog risico accepteren.

Zie Uitgaande spam beheren voor meer informatie.

Opmerking

Berichten waarbij het bron-e-maildomein geen A-record heeft en geen MX-record die is gedefinieerd in openbare DNS, worden altijd gerouteerd via de bezorgingsgroep met een hoog risico, ongeacht de spam of het verzenden van de limiet.

Berichten die de volgende limieten overschrijden, worden geblokkeerd, zodat ze niet worden verzonden via de bezorgingsgroep met een hoog risico:

Berichten weerkaatsen

De uitgaande bezorgingspool met een hoog risico beheert de bezorging van alle niet-bezorgingsrapporten (ook wel NDR's of niet-bezorgde berichten genoemd). Mogelijke oorzaken voor een piek in NDR's zijn:

  • Een spoofing-campagne die van invloed is op een van de klanten die de service gebruiken.
  • Een directory harvest-aanval.
  • Een spamaanval.
  • Een rogue e-mailserver.

Elk van deze problemen kan leiden tot een plotselinge toename van het aantal NDR's dat door de service wordt verwerkt. Deze NDR's lijken vaak spam te zijn op andere e-mailservers en -services (ook wel backscatter genoemd).

Relay-pool

In bepaalde scenario's worden berichten die worden doorgestuurd of doorgegeven via Microsoft 365 verzonden via een speciale relaygroep, omdat de bestemming Microsoft 365 niet als de werkelijke afzender mag beschouwen. Het is belangrijk dat we dit e-mailverkeer isoleren, omdat er legitieme en ongeldige scenario's zijn voor het automatisch doorsturen of doorsturen van e-mail uit Microsoft 365. Net als bij de bezorgingsgroep met een hoog risico wordt een afzonderlijke IP-adresgroep gebruikt voor doorgegeven e-mail. Deze adresgroep wordt niet gepubliceerd omdat deze vaak kan worden gewijzigd en geen deel uitmaakt van de gepubliceerde SPF-record voor Microsoft 365.

Microsoft 365 moet controleren of de oorspronkelijke afzender legitiem is, zodat we het doorgestuurde bericht met vertrouwen kunnen afleveren.

Het doorgestuurde of doorgegeven bericht moet voldoen aan een van de volgende criteria om het gebruik van de relaygroep te voorkomen:

  • De uitgaande afzender bevindt zich in een geaccepteerd domein.
  • SPF wordt doorgegeven wanneer het bericht naar Microsoft 365 komt.
  • DKIM op het domein van de afzender wordt doorgegeven wanneer het bericht naar Microsoft 365 komt.

In gevallen waarin we de afzender kunnen verifiëren, gebruiken we Sender Rewriting Scheme (SRS) om het e-mailsysteem van de ontvanger te helpen weten dat het doorgestuurde bericht afkomstig is van een vertrouwde bron. U kunt meer lezen over hoe dat werkt en wat u kunt doen om ervoor te zorgen dat het verzendende domein verificatie doorstaat in SRS (Sender Rewriting Scheme) in Office 365.

DKIM werkt alleen als u DKIM inschakelt voor het verzenden van een domein. fabrikam.com maakt bijvoorbeeld deel uit van contoso.com en wordt gedefinieerd in de geaccepteerde domeinen van de organisatie. Als de afzender van het bericht is sender@fabrikam.com, moet DKIM worden ingeschakeld voor fabrikam.com. U kunt lezen hoe u inschakelen op DKIM gebruiken om uitgaande e-mail te valideren die vanuit uw aangepaste domein wordt verzonden.

Als u een aangepast domein wilt toevoegen, volgt u de stappen in Een domein toevoegen aan Microsoft 365.

Als de MX-record voor uw domein verwijst naar een service van derden of een on-premises e-mailserver, moet u Uitgebreid filteren voor connectors gebruiken. Verbeterde filtering zorgt ervoor dat SPF-validatie juist is voor inkomende e-mail en voorkomt dat e-mail via de relaygroep wordt verzonden.

Nagaan welke uitgaande pool is gebruikt

Als Exchange-servicebeheerder of globale beheerder* wilt u misschien weten welke uitgaande pool is gebruikt om een bericht van Microsoft 365 naar een externe geadresseerde te verzenden.

Belangrijk

* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Hiervoor kunt u Berichttracering gebruiken en zoeken naar de OutboundIpPoolName eigenschap in de uitvoer. Deze eigenschap bevat een beschrijvende naamwaarde voor de uitgaande pool die is gebruikt.