Ao enviar e-mails por meio de nosso serviço Exchange 365, esses e-mails são enviados com êxito, mas se olharmos os cabeçalhos dos e-mails, vemos que onde o remetente e o destinatário estão em nosso locatário, o SPF do e-mail realmente falhou; enquanto que se enviamos e-mails para terceiros (por exemplo, para um endereço do Gmail), o SPF está correto.
Especificamente, vemos que o e-mail enviado internamente mostra ter um IP no ip6:2603:1000::/24intervalo (por exemplo 2603:10a6:400:49::16... e esse IP não está listado em spf.protection.outlook.com.
Da mesma forma, ao verificar os cabeçalhos dos e-mails enviados a terceiros, vemos que um seletor DKIM está incluído no cabeçalho do e-mail. Para aqueles enviados para outras caixas de correio dentro do nosso locatário, esse cabeçalho não existe.
Outros têm relatado o mesmo há vários anos. Como os outros, falei com o suporte da MS, mas esse cenário está fora do roteiro para eles, então isso não me levou a lugar nenhum.
Meu palpite é que a MS não se importa com SPF/DKIM quando as mensagens estão dentro do locatário, pois sabem que esses e-mails são válidos e não os filtram. No entanto, não consigo encontrar nenhuma documentação para confirmar isso, e isso parece errado (por exemplo, se o seu cliente de e-mail tiver sua própria lógica para validá-los, como ele saberia confiar neles). Este é um problema frustrante, pois ao investigar problemas reais de e-mail, é mais difícil dizer se os e-mails que falham nessas verificações indicam um problema real ou, como e-mails válidos também falham nessas verificações, estamos procurando no lugar errado.
Normalmente, essas verificações de autenticação são realizadas na borda da rede da organização, portanto faria sentido que esses cabeçalhos estivessem ausentes no fluxo interno de emails.
Outros cabeçalhos oferecem pistas sobre o e-mail ser um e-mail interno. Por exemplo, o
X-MS-Exchange-Organization-AuthAs: Internalcabeçalho informa que o email se origina do seu locatário ou do Exchange Server local por meio do uso de um conector de entrada do Exchange Online correspondente do tipoOnPremisesno caso de um ambiente híbrido (se configurado corretamente).X-MS-Exchange-Organization-MessageDirectionality: Originatingé outro.Na verdade, esta é uma postagem muito abrangente sobre o fluxo de mensagens em um ambiente híbrido do Exchange, mas é aplicável à sua pergunta.
Sua especulação sobre o SPF/DKIM da Microsoft pode estar parcialmente correta. Como o email está localizado nas mesmas residências alugadas, a Microsoft pode confiar nesses emails por padrão e não aplicará as mesmas regras de triagem que os emails externos. DMARC, DKIM, SPF não são usados em e-mails internos, apenas para eletrônicos externos, apenas para correio eletrônico externo, e concordo com a sugestão de Reinto. Também há algumas discussões aqui: https://community.spiceworks.com/topic/2461253 -e-mails internos-não têm autenticação dmarc-dkim-spf