出站传递池

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft 365 数据中心内的Email服务器可能暂时犯有发送垃圾邮件罪。 例如,通过 Microsoft 365 发送出站邮件的本地电子邮件组织中的恶意软件或恶意垃圾邮件攻击,或Microsoft 365 个帐户遭到入侵。 攻击者还试图通过Microsoft 365 转发来中继消息来避免检测。

这些方案可能会导致受影响的 Microsoft 365 数据中心服务器的 IP 地址显示在第三方阻止列表中。 使用这些阻止列表的目标电子邮件组织将拒绝来自这些Microsoft 365 封邮件源的电子邮件。

高风险传递池

为了防止 IP 地址被阻止,来自Microsoft 365 数据中心服务器(被确定为垃圾邮件)的所有出站邮件都将通过 高风险传递池发送。

高风险传递池是出站电子邮件的单独 IP 地址池,仅用于发送“低质量”邮件 (垃圾邮件和 反散信。 使用高风险传递池有助于防止出站电子邮件的正常 IP 地址池发送垃圾邮件。 出站电子邮件的正常 IP 地址池可维护发送“高质量”消息的信誉,从而降低这些 IP 地址出现在 IP 阻止列表中的可能性。

高风险传递池中的 IP 地址被置于 IP 阻止列表的可能性仍然存在,但此行为是设计造成的。 无法保证传递到目标收件人,因为许多电子邮件组织不接受来自高风险传递池的邮件。

有关详细信息,请参阅 控制出站垃圾邮件

注意

源电子邮件域没有 A 记录且公共 DNS 中未定义的 MX 记录的邮件始终通过高风险传递池进行路由,无论其垃圾邮件或发送限制处置如何。

超过以下限制的消息将被阻止,因此不会通过高风险传递池发送它们:

退回邮件

出站高风险传递池管理所有未送达报告 (也称为NDR或退回邮件) 的传递。 出现NDR激增的可能原因包括:

  • 一个欺骗活动,影响使用该服务的客户之一。
  • 目录收获攻击。
  • 垃圾邮件攻击。
  • 恶意电子邮件服务器。

这些问题中的任何一个都可能导致服务正在处理的NDR 数量突然增加。 这些NDR通常显示为对其他电子邮件服务器和服务 (也称为 反散文) 垃圾邮件。

中继池

在某些情况下,通过 Microsoft 365 转发或中继的消息使用特殊的中继池发送,因为目标不应将 Microsoft 365 视为实际发送方。 对我们来说,隔离此电子邮件流量非常重要,因为自动转发或中继Microsoft 365 的电子邮件存在合法和无效的方案。 与高风险传递池类似,将单独的 IP 地址池用于中继邮件。 此地址池不会发布,因为它可能会经常更改,并且不是 Microsoft 365 的已发布 SPF 记录的一部分。

Microsoft 365 需要验证原始发件人是否合法,以便我们可以自信地传递转发的邮件。

转发或中继的消息应满足以下条件之一,以避免使用中继池:

  • 出站发件人位于 接受的域中
  • 当消息Microsoft 365 时 SPF 通过。
  • 当邮件Microsoft 365 时,发件人域上的 DKIM 通过。

在可以对发件人进行身份验证的情况下,我们使用发件人重写方案 (SRS) 来帮助收件人电子邮件系统知道转发的邮件来自受信任的源。 可以阅读有关其工作原理的详细信息,以及如何帮助确保发送域通过身份验证,请参阅发件人重写方案 (Office 365 中的 SRS)

若要使 DKIM 正常工作,请确保启用 DKIM 以发送域。 例如,fabrikam.com 是 contoso.com 的一部分,在组织的接受域中定义。 如果消息发件人为 sender@fabrikam.com,则需要为 fabrikam.com 启用 DKIM。 有关如何启用,请参阅 使用 DKIM 验证从自定义域发送的出站电子邮件

若要添加自定义域,请按照 将域添加到 Microsoft 365 中的步骤操作。

如果域的 MX 记录指向第三方服务或本地电子邮件服务器,则应 使用连接器的增强筛选。 增强筛选可确保入站邮件的 SPF 验证正确,并避免通过中继池发送电子邮件。

找出使用了哪个出站池

作为 Exchange 服务管理员或全局管理员*,你可能想要了解哪个出站池用于将邮件从 Microsoft 365 发送到外部收件人。

重要

* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

为此,可以使用 消息跟踪 并在输出中查找 OutboundIpPoolName 属性。 此属性包含使用的出站池的友好名称值。