Exchange 2013 IPBlockListProvider bloqueando alguns (mas não todos) IPs correspondentes

Configurei nosso servidor Exchange 2013 Edge Transport para utilizar vários IPBlockListProviders, incluindo Spamhaus. Embora funcionem muito bem na maioria das vezes, ainda existem alguns e-mails que, apesar de serem correspondidos por um dos provedores da lista de bloqueio, são enviados.

Tomando por exemplo um e-mail recebido recentemente do IP 66.248.197.240 que certamente está no Spamhaus SBL, bem como em alguns outros (http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a66.248.197.240&run=toolpage) e corretamente identificado pelo servidor Edge como tal:

[PS] C:\Users\Administrator>Test-IPBlockListProvider -Identity "Spamhaus" -IPAddress 66.248.197.240

Provider                                ProviderResult                                                          Matched
--------                                --------------                                                          -------
Spamhaus                                {127.0.0.3}                                                                True

Verifiquei que não estou usando nenhum encaminhador de DNS público (como o do Google), portanto, não é um problema de bloqueio de tudo ou nada.

O que é mais confuso é que esta configuração funciona para a maioria das mensagens recebidas que estão em um SBL:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>.\get-AntispamTopRBLProviders.ps1

Name                                                                                                              Value
----                                                                                                              -----
Spamhaus                                                                                                           4594
SpamCop                                                                                                              48

Curiosamente, uma coisa que parece ter feito uma diferença significativa é modificar a prioridade dos agentes de transporte de forma que o Agente de Filtragem de Conexão seja o primeiro. Esta é minha configuração atual caso seja pertinente:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>Get-TransportAgent

Identity                                           Enabled         Priority
--------                                           -------         --------
Connection Filtering Agent                         True            1
Sender Id Agent                                    True            2
Sender Filter Agent                                True            3
Recipient Filter Agent                             True            4
Content Filter Agent                               True            5
Address Rewriting Inbound Agent                    True            6
Edge Rule Agent                                    True            7
Attachment Filtering Agent                         True            8
Address Rewriting Outbound Agent                   True            9
Protocol Analysis Agent                            True            10

Estou incluindo os cabeçalhos completos das mensagens (com as identidades do meu servidor redigidas) de um e-mail de um endereço IP que está em um SBL abaixo. É claro que a inclusão de toda a filtragem de SPAM que tenho está impactando o tempo que uma mensagem leva para chegar ao servidor da caixa de correio (neste caso, 8 segundos entre o envio e a entrega), mas não parece. seja suficiente.

X-Ms-Exchange-Organization-Network-Message-Id: 32388ce4-005a-4090-a363-08d2612d1e23
X-Ms-Exchange-Organization-Authas: Anonymous
Pm-Xs: 15766241f_7460962er.x15766241
X-Ms-Exchange-Organization-Avstamp-Enterprise: 1.0
Vr-Yhkrg: 15766241s-15766241e_i7460962
X-Ms-Exchange-Organization-Prd: heliq240.emited.work
X-Ms-Exchange-Organization-Pcl: 2
Return-Path: [email protected]
X-Ms-Exchange-Organization-Scl: 1
Mime-Version: 1.0
Ybu-Efa: c3195284488a449ed165c2c50f18376bb-ec3195284488a449ed165c2c50f18376b.u15766241
Okul-Lfp: 15766241y.15766241n_c7460962
X-Ms-Exchange-Organization-Senderidresult: None
X-Ms-Exchange-Organization-Antispam-Report: DV:3.3.14519.472;SID:SenderIDStatus None;OrigIP:66.248.197.240
Message-Id: <c3195284488a449ed165c2c50f18376b.15766241.7460962@heliq240.emited.work>
X-Ms-Exchange-Organization-Authsource: edgeserver.mydomain.com
Content-Type: multipart/alternative; boundary="15766241"
Received-Spf: None (edgeserver.mydomain.com: [email protected] does not designate permitted sender hosts)
Received: from mailboxserver.mydomain.com (192.168.1.2) by mailboxserver.mydomain.com (192.168.1.2) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Mailbox Transport; Wed, 20 May 2015 10:59:49 -0500
Received: from mailboxserver.mydomain.com (192.168.1.49) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 20 May 2015 10:59:43 -0500
Received: from edgeserver.mydomain.com (192.168.1.4) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend Transport; Wed, 20 May 2015 10:59:43 -0500
Received: from heliq240.emited.work (66.248.197.240) by edgeserver.mydomain.com (192.168.1.4) with Microsoft SMTP Server id 15.0.847.32; Wed, 20 May 2015 10:59:41 -0500
New telecommuting opportunities available today - 05/20/15

Alguma sugestão?

Além disso, esta é minha primeira postagem em qualquer site do Stack Exchange. Espero que esta pergunta seja merecida e esteja no site correto. Se não, por favor me avise!