Schema di riscrittura del mittente (SRS) in Microsoft 365
Nota
Nell'agosto 2023 verrà implementata una modifica ai messaggi SMTP o inoltrati tramite cassetta postale. In futuro, SRS verrà usato per riscrivere questi messaggi anziché la cassetta postale di inoltro. In questo modo si consolideranno i metodi di inoltro a tutti gli utenti che usano SRS in Exchange Online. Anche se SRS è progettato per evitare interruzioni dei messaggi inoltrati, alcuni casi speciali potrebbero riscontrare problemi. Un caso di questa modifica è che i messaggi inoltrati a Internet tramite server locali non verranno riscritti con SRS. Per evitare questa modifica del comportamento, vedere la nuova impostazione illustrata di seguito: Modifica imminente dello schema di riscrittura del mittente.
La funzionalità pool di inoltro è stata introdotta in Microsoft 365, che influisce sul comportamento di riscrittura SRS. I messaggi idonei per questo pool di inoltro non vengono riscritti da SRS e vengono inviati da indirizzi IP che non fanno parte del record SPF di Microsoft 365. Ciò influisce principalmente sui messaggi che non riescono a controllare SPF quando vengono immessi Exchange Online, in modo che SRS non risolva questi errori. Per altre informazioni, vedere la documentazione del pool di inoltro qui: Pool di recapito in uscita.
La funzionalità Sender Rewriting Scheme (SRS) è stata aggiunta a Microsoft 365 per risolvere un problema in cui l'inoltro automatico non era compatibile con SPF. La funzionalità SRS riscrive l'indirizzo P1 Da (noto anche come indirizzo Envelope From) per tutti i messaggi applicabili inviati esternamente da Microsoft 365.
Nota
L'intestazione From , nota anche come indirizzo Display From o P2 From, visualizzata dai client di posta elettronica rimane invariata.
La funzionalità SRS migliora il recapito dei messaggi applicabili che superano i controlli SPF (Sender Policy Framework) quando arrivano dal mittente originale ma non riescono a controllare SPF nella destinazione esterna finale dopo l'inoltro.
SRS riscrive l'indirizzo P1 Da negli scenari seguenti:
- Messaggi in Microsoft 365 inviati automaticamente (o reindirizzati) a un destinatario esterno usando uno dei metodi seguenti:
- Inoltro SMTP
- Reindirizzamento della regola della cassetta postale (o della regola posta in arrivo)
- Reindirizzamento regole flusso di posta (trasporto)
- Gruppi o elenchi di dominio con membri esterni
- Inoltro dei contatti di posta elettronica
- Inoltro dell'utente di posta elettronica
- Messaggi inoltrati automaticamente (o reindirizzati) dall'ambiente locale di un cliente e inoltrati tramite Exchange Online.
È importante notare che la riscrittura SRS viene usata per impedire lo spoofing di domini non verificati. È consigliabile inviare messaggi solo dai domini di cui si è proprietari e per i quali è stata verificata la proprietà tramite l'elenco Domini accettati. Per altre informazioni sui domini accettati in Microsoft 365, vedere Gestire i domini accettati in Exchange Online.
Nota
La riscrittura SRS non risolve il problema del passaggio di DMARC per i messaggi inoltrati. Anche se un controllo SPF ora passerà a causa dell'indirizzo P1 From riscritto, DMARC richiede anche un controllo di allineamento per il passaggio del messaggio. Per i messaggi inoltrati, DKIM ha sempre esito negativo perché il dominio DKIM firmato non corrisponde al dominio dell'intestazione From . Se un mittente originale imposta i criteri DMARC per rifiutare i messaggi inoltrati, i messaggi inoltrati vengono rifiutati dagli agenti di trasferimento messaggi che rispettano i criteri DMARC. Lo standard ARC è stato sviluppato per risolvere i problemi di DKIM con l'inoltro ed è stato implementato nel servizio per risolvere tali problemi.
Questo scenario di errore e altri errori di recapito causano la restituzione di report di mancato recapito (NDR) a Exchange Online anziché al mittente originale quando non viene usata la riscrittura SRS. Di conseguenza, parte dell'implementazione di SRS consiste nel reindirizzare la restituzione delle richieste di recapito recapito al mittente originale se non è possibile recapitare un messaggio.
Le sezioni seguenti presentano diversi scenari di inoltro automatico e informazioni su come vengono gestiti da SRS.
Invio automatico di messaggi di posta elettronica per una cassetta postale ospitata in Microsoft 365
Per un messaggio inviato a una cassetta postale ospitata e inviato automaticamente tramite meccanismi quali inoltro SMTP, reindirizzamento delle regole cassetta postale o reindirizzamento regola di trasporto, l'indirizzo P1 Da viene riscritto prima che il messaggio lasci Exchange Online. L'indirizzo viene riscritto usando il modello seguente:
<Forwarding Mailbox Username>+SRS=<Hash>=<Timestamp>=<Original Sender Domain>=<Original Sender Username>@<Forwarding Mailbox Domain>
Nell'esempio seguente viene inviato un messaggio da Bob (bob@fabrikam.com) alla cassetta postale di John in Exchange Online (john.work@contoso.com). John ha configurato l'inoltro automatico da questa cassetta postale al suo indirizzo di posta elettronica di casa (john.home@example.com). Si noti che l'indirizzo P1 Da viene riscritto da SRS.
| Messaggio originale | Messaggio autoforwarded | |
|---|---|---|
| Destinatario | john.work@contoso.com |
john.home@example.com |
| P1 Da | bob@fabrikam.com |
john.work+SRS=44ldt=IX=fabrikam.com=bob@contoso.com |
| Dall'intestazione | bob@fabrikam.com |
bob@fabrikam.com |
Quando SRS riscrive l'indirizzo P1 Da , aumenta la lunghezza della parte relativa al nome utente dell'indirizzo di posta elettronica. Tuttavia, l'indirizzo di posta elettronica ha un limite di 64 caratteri. Pertanto, se la lunghezza dell'indirizzo di posta elettronica riscritto supera i 64 caratteri, il formato è il seguente:
bounces+SRS=<Hash>=<Timestamp>@<Default Accepted Domain>
dove <Default Accepted Domain> è il nome del dominio accettato predefinito configurato per il tenant.
Inoltro dal server locale di un cliente
Quando un messaggio proveniente da un dominio non verificato viene inoltrato dal server locale di un cliente o da un'applicazione tramite Exchange Online, l'indirizzo P1 Da viene riscritto prima che lasci Exchange Online. L'indirizzo viene riscritto usando il modello seguente:
bounces+SRS=<Hash>=<Timestamp>@<Default Accepted Domain>
Nell'esempio seguente viene inviato un messaggio da Bob (bob@fabrikam.com) alla cassetta postale di John (john.onprem@contoso.com) che si trova nel server della società che esegue Exchange Server. John ha configurato l'inoltro automatico da questa cassetta postale al suo indirizzo di posta elettronica di casa (john.home@example.com). Si noti che l'indirizzo P1 Da viene riscritto da SRS in questo scenario. I clienti sono invitati a impostare il dominio accettato predefinito su uno dei propri domini.
| Tipo | Messaggio originale | Messaggio inoltrato ricevuto da Exchange Online | Messaggio inoltrato inviato da Exchange Online |
|---|---|---|---|
| Destinatario | john.onprem@contoso.com |
john.home@example.com |
john.home@example.com |
| P1 Da | bob@fabrikam.com |
bob@fabrikam.com |
bounces+SRS=44ldt=IX@contoso.com |
| Dall'intestazione | bob@fabrikam.com |
bob@fabrikam.com |
bob@fabrikam.com |
In alcune situazioni, i messaggi inoltrati riscritti da SRS potrebbero non essere recapitati e potrebbe essere generato un rapporto di mancato recapito.
Per ricevere tali richieste di recapito, l'amministratore del tenant deve creare una cassetta postale denominata "bounces" ospitata in Exchange Online o in locale. Il dominio per questa cassetta postale deve essere impostato sul dominio accettato predefinito per il tenant.
Messaggi inoltrati inviati al server locale di un cliente
Per impostazione predefinita, SRS considera i server locali all'interno del limite di attendibilità e non riscrive i messaggi inoltrati associati all'ambiente locale. Tuttavia, per configurazioni di routing complesse che usano server locali per instradare i messaggi a Internet, i messaggi inoltrati senza riscrittura SRS sono soggetti a rifiuti a causa di un errore SPF. Per risolvere questo problema, gli amministratori possono abilitare SRS per il flusso del traffico attraverso un connettore in uscita locale. A tale scopo, è possibile usare l'impostazione SenderRewritingEnabled ed è configurabile usando i cmdlet New-OutboundConnector o Set-OutboundConnector.
Questa impostazione non si applica ai connettori partner che gestiscono i messaggi ai destinatari esterni ed è obbligatorio che a questi messaggi venga applicato SRS, se necessario. L'impostazione SenderRewritingEnabled verrà visualizzata come true per i connettori partner e viene restituito un errore per tutti i tentativi di impostare il relativo valore.
Messaggi reindirizzati del flusso di posta (trasporto)
Dato che un messaggio può essere reindirizzato da una regola per qualsiasi motivo, non solo a causa di un determinato destinatario, non esiste alcun concetto di cassetta postale di inoltro. Tenendo presente questo aspetto, l'indirizzo riscritto SRS assume il formato seguente:
bouncesEtr+SRS=<Hash>=<Timestamp>=<OrigSenderDomain>=<OrigSenderUser>@<Default Accepted Domain>
Per ricevere IndR, il tenant deve essere in grado di ricevere messaggi indirizzati a un utente denominato "bouncesETR" per poter reindirizzare il messaggio al mittente originale. Ad esempio, Directory-Based blocco di Edge potrebbe interferire con la restituzione delle richieste di recapito se nel tenant non esiste alcuna cassetta postale di questo tipo.
Pool di inoltro e salto SRS
La funzionalità pool di inoltro è stata introdotta in Microsoft 365, che influisce sul comportamento di riscrittura SRS. I messaggi idonei per questo pool di inoltro non vengono riscritti da SRS e vengono inviati da indirizzi IP che non fanno parte del record SPF di Microsoft 365. Ciò influisce principalmente sui messaggi che non riescono a controllare SPF quando vengono inviati per la prima volta a Exchange Online perché SRS non deve correggere questi errori con la riscrittura. Per altre informazioni, vedere la documentazione del pool di inoltro qui: Pool di recapito in uscita