通过我们的 Exchange 365 服务发送邮件时,这些邮件会成功发送,但如果我们查看邮件头,我们会发现发件人和收件人在我们的租户中,邮件的 SPF 实际上失败了;而如果我们将邮件发送给第三方(例如 gmail 地址),SPF 是正确的。
具体来说,我们看到内部发送的邮件显示其 IP 在范围内ip6:2603:1000::/24(例如2603:10a6:400:49::16...并且该 IP 未在 上列出spf.protection.outlook.com。
同样,在检查发送给第三方的邮件头时,我们发现邮件头中包含 DKIM 选择器。对于发送给我们租户内其他邮箱的邮件,不存在这样的头。
其他人已经报告相同几年来。像其他人一样,我也曾与 MS 支持人员交谈过,但这种情况不符合他们的计划,所以我无计可施。
我的猜测是,当邮件在租户内时,MS 不关心 SPF/DKIM,因为他们知道这些邮件是有效的,所以他们不会过滤它们。但是,我找不到任何文档来证实这一点,这似乎是错误的(例如,如果您的邮件客户端有自己的逻辑来验证这些,它怎么会知道要信任它们)。这是一个令人沮丧的问题,因为在调查真正的电子邮件问题时,很难说邮件未通过这些检查是否表示存在真正的问题,或者,由于有效邮件也未通过这些检查,我们找错了地方。
答案1
通常,这些身份验证检查是在组织网络的边缘执行的,因此这些标头在内部电子邮件流中不存在是有道理的。
其他标头确实提供了有关该电子邮件是内部电子邮件的线索。例如,标X-MS-Exchange-Organization-AuthAs: Internal头会告诉您该电子邮件来自您的租户,或者在混合环境中通过使用匹配类型的 Exchange Online 入站连接器来自您的本地 Exchange Server OnPremises(如果设置正确)。
X-MS-Exchange-Organization-MessageDirectionality: Originating是另一个。
这实际上是一篇非常全面的文章关于 Exchange 混合环境中的邮件流,但适用于您的问题。