Usamos Office 365 como nuestro principal proveedor de correo. Tenemos un servidor de correo interno que utilizamos para transmitir cosas como informes de nuestro SSRS, escanear a la bandeja de entrada en busca de escáneres antiguos, etc. Es un IIS SMTP en el servidor 2008R2. Este servidor no está expuesto a través del firewall para ningún servicio, y ciertamente no para SMTP, y tiene una conexión restringida y una retransmisión restringida a las pocas direcciones IP internas de nuestra red que lo utilizan como retransmisión. Usamos esto porque no todos los dispositivos que usamos son capaces de usar los servicios de Office 365 directamente (somos una organización sin fines de lucro y algunos de nuestros dispositivos más antiguos son bastante más antiguos), junto con los equipos de control de procesos en nuestra fabricación, cosas que simplemente no permiten para SMTP autenticado/TLS, para hacer la historia corta, hay varias comodidades esenciales que este sistema proporciona a la red local, y no debería haber ninguna razón por la que no podamos utilizarlas. Tomamos todas nuestras precauciones, tenemos entradas DNS adecuadas para el servidor. Tengo registros SPF configurados para su IP, el nombre que anuncia el servidor cuando entrega se resuelve en su IP pública. Todo ha funcionado muy bien durante más de 1,5 años (desde que migré a Office 365) en esta configuración sin problemas.
De repente, un día, todo el correo que llegaba comenzó a ser rechazado, por proxy de estar incluido en spamhaus y CBL.abuseat, spamhaus afirma que están listados por proxy de la entrada CBL, CBL afirma que estábamos incluidos en la lista por enviar "grandes volúmenes asombrosos de spam". ”, citan el nombre DNS de ese servidor como la fuente. A menos que utilicemos protocolos de telepatía, tenemos un promedio de 60 y nunca hemos enviado más de 100 correos electrónicos en un día, y ahora tengo más de tres meses de tráfico capturado que no muestra ni UN SOLO mensaje que no se haya originado en una fuente conocida, y no estaba destinado a una dirección a la que comúnmente enviamos (¡el 99% de las cuales son direcciones internas de todos modos!). Entonces, aparte de la diatriba que la "página de ayuda" arroja sobre todas las causas potenciales de esto, cómo es probable que hayamos sido comprometidos, cómo para buscar infecciones en servicios que ni siquiera ejecutamos, etc…. Sin lugar a dudas, hemos verificado que el reclamo es falso, hemos monitoreado todo el tráfico de red hacia y desde esa máquina desde un puerto de conmutador reflejado utilizando Wireshark, hemos monitoreado todo el tráfico en nuestro firewall fronterizo, nuestro ISP ha confirmado lo mismo desde su lado, simplemente NO enviamos ningún correo que no hayamos deseado enviar explícitamente. Desde esa máquina o esta dirección IP. Sin embargo, esta es la cuarta solicitud de eliminación que he tenido que procesar con ellos. Logré recibir dos correos electrónicos de su sistema, ya que estaba solicitando muestras del correo que dicen haber sido transmitidos por nosotros, uno es una copia literal de su "Página de ayuda" y una solicitud de la IP en cuestión, el otro es alguna respuesta alegre redactada como un robot, firmada "Murray" y que no sirve de nada. Parecía que una era una respuesta enlatada a la solicitud de IP del primero indicando que ya se había enviado para su eliminación.
Nos comunicamos con Microsoft para descubrir que el filtrado de su conexión ocurre antes de nuestro control administrativo, lo que significa que configurar un "remitente aprobado" es inútil si los filtros de reputación de IP nos desconectan antes de llegar a ese nivel. Por lo tanto, no podemos incluirnos en la lista blanca en torno a esto. Y afirman que no tienen ninguna responsabilidad por el uso del servicio, o por el hecho de que controla el flujo de correo entre nuestro servicio pago y nuestra red comercial de una manera que ninguno de nosotros puede modificar. Lo único que podemos siquiera concebir es quetal vezUno de los mensajes escaneados a la bandeja de entrada se reenvía a algún filtro de spam demasiado entusiasta en algún lugar y se nos marca como un método de transporte en la cadena de. Así que no tengo nada con qué seguir, no puedo sacar movimiento del abuso, no puedo lograr que Microsoft ceda, tengo pruebas de que estamos en una lista falsa, y ninguna evidencia de lo contrario para siquiera comenzar a investigar más a fondo, al menos una pérdida total de qué hacer además de comenzar a cambiar mi IP pública y todos los servicios que dependen de ella. Me he ocupado de asegurar relés abiertos en el pasado y de limpiar sus consecuencias, pero se ha confirmado que este es absolutamente falso y no hay nadie con quien abordarlo. Pero nos tienen cogidos de los pelos cortos.