Переадресация почты на внешние email адреса в Microsoft 365 (Exchange Online)

Облачный Exchange Online (Microsoft 365) по умолчанию запрещает автоматически пересылать письма на внешние email адреса с помощью автоматических правил Outlook или принудительной переадресации на почтовом ящике.

Если вы создадите почтовое правило в ящике Exchange Online (с помощью Outlook или из PowerShell), которое должно автоматически пересылать входящие письма из вашего почтового ящика на внешний email, то при попытке переслать сообщение по этому правилу вы получите NDR отбойник:

Your message wasn't delivered because the recipient's email provider rejected it._x000D_Remote Server returned '550 5.7.520 Access denied, Your organization does not allow external forwarding. Please contact your administrator for further assistance. AS(7555)'

Это же сообщение можно увидеть при трассировке письма в Microsoft 365 .

Office 365 received the message that you specified, but couldn't deliver it to the recipient (‎[email protected]‎) due to the following error:_x000D__x000D_Error: ‎550 5.7.520 Access denied, Your organization does not allow external forwarding. Please contact your administrator for further assistance. AS(7555)‎

Вы можете разрешить автоматическую пересылку писем для всей организации или определенных почтовых ящиков в настройках Security and Compliance для вашего тенанта Microsoft 365. Перейдите в https://protection.office.com -> Threat Management -> Policy -> Anti-Spam Policy .

Если вы хотите разрешить пересылку для всех ящиков Microsoft 365, вам нужно отредактировать политику Anti-spam outbound policy (Default) . В нашем примере мы разрешим пересылку только для определенных пользователей или групп вашего тенанта. Этот вариант более предпочтителен с точки зрения безопасности.

1. Создайте новую политику для исходящей почты (anti-spam outbound policy);
2. Укажите имя политики;
3. Затем выберите пользователей и/или группы, которым вы хотите разрешить пересылку на внешние адреса;
   
4. В настройках политики в секции Forwarding rulers выберите опцию Automatic forwarding rules -> On Forwarding is enabled .
   
5. Сохраните антиспам политику.

Теперь все указанные пользователи смогут настроить в своих ящиках Microsoft 365 правила автоматический переадресации на любые внешние email адреса.

В Exchange Online есть еще одна политика, которая позволяет настроить доверенные домены для отправки отбойников OutOfOffice и настройки автоматической переадресации. Речь о Remote Domain . И хотя настройки антиспам политики будут иметь приоритет, вы можете использовать настройки Remote Domain для составления списка доверенных и недоверенных внешних доменов.

По умолчанию политика Default для Remote Domain не запрещает ничего. Но вы можете изменить ее настройки, или добавить собственные правила для определенных доменов:

1. В Exchange Admin Center перейдите в Mail flow -> Remote domains -> Add a remote domain;
2. Укажите имя домена;
3. Укажите какие типы автоматических ответов разрешены. Включите опцию Allow automatic forwarding.

Также можно добавить доверенные домены и настроить разрешенные правила с помощью PowerShell.

Подключитесь к своему тенанту Microsoft 365 с помощью модуля Exchange Online PowerShell v2 (EXO V2) . Следующие команды разрешат для домена remontka.com и всех поддоменов все типы автоматических ответов и пересылок:

New-RemoteDomain -Name "Winitpro and subdomains" -DomainName *.remontka.com
Set-RemoteDomain -Identity "Winitpro and subdomains" -AutoReplyEnabled $true -AutoForwardEnabled $true -AllowedOOFType InternalLegacy

Полный список настроенных правил для Remote Domain можно вывести так:

Get-RemoteDomain Default | fl AllowedOOFType, AutoReplyEnabled, AutoForwardEnabled

Для контроля за правилами автоматической переадресации в Office 365 вы можете использовать следующий PowerShell скрипт, который найдет и выведет все правила переадресации Outlook во всех почтовых ящиков организации:

$mailboxes=get-mailbox –resultSize unlimited
$rules = $mailboxes | foreach { get-inboxRule –mailbox $_.alias }
$rules | where { ( $_.forwardAsAttachmentTo –ne $NULL ) –or ( $_.forwardTo –ne $NULL ) –or ( $_.redirectTo –ne $NULL ) }  | ft name, MailboxOwnerId, ForwardTo, Description

Не забывайте про то, что администратор также может включать правила переадресации почты Exchange на внешний email на уровне всего ящика:

Set-Mailbox  kbuldogov -ForwardingsmtpAddress [email protected] -DeliverToMailboxAndForward $true

Найти пользователей с включенной переадресацией почты можно так:

Get-Mailbox -ResultSize Unlimited -Filter "ForwardingAddress -like '*' -or ForwardingSmtpAddress -like '*'" | Select-Object Name,ForwardingAddress,ForwardingSmtpAddress

В on-prem версиях Exchange можно было создать в домене AD контакт или mail-enabled пользователя с внешним адресом и настроить на него пересылку. Для организации exchange такой контакт будет доверенным. В Exchange Online такой подход не работает. Хотя вы можете создать контакт с помощью EAC ( https://admin.exchange.microsoft.com/ -> Recipients -> Contacts -> Add a contact) или PowerShell ( New-MailContact -Name "ext-Dmitriy.Semenov" -ExternalEmailAddress [email protected] ), при отправке на него все равно будет появляться NDR “ '550 5.7.520 ”.