Se la posta interna funziona ma le email provenienti da indirizzi esterni non arrivano (o rimbalzano con un NDR), la causa è quasi sempre un’impostazione lato Exchange Online/EOP o un record MX errato. Questa guida pratica ti aiuta a diagnosticare e correggere il problema in pochi passaggi chiari.
Panoramica del problema
Negli ambienti Microsoft 365 (Exchange Online) e negli account consumer Outlook.com può capitare che, all’improvviso, la cassetta postale smetta di ricevere messaggi da mittenti esterni mentre lo scambio interno continua a funzionare senza intoppi. Talvolta i mittenti ricevono un NDR (non‑delivery report) con codici di errore, in altri casi i messaggi vengono filtrati o persi lungo il percorso (ad esempio in quarantena) e il destinatario non vede nulla.
Quasi sempre si tratta di:
- Restrizioni lato mailbox (richiesta autenticazione dei mittenti o blocchi “Rifiuta messaggi da”).
- Regole di trasporto o criteri antispam che quarantinano/rifiutano la posta.
- Record DNS MX errato o obsoleto, con consegna diretta a un host che non accetta il dominio o a un vecchio gateway.
- Problemi locali di client (cache/visualizzazione) che fanno sembrare mancante la posta mentre in OWA è presente.
- Errori SPF/DKIM/DMARC lato mittente che inducono rimbalzi verso Microsoft 365.
Sintomi tipici e segnali da osservare
- I messaggi interni arrivano puntuali; quelli da Gmail/Yahoo/altre aziende no.
- Alcuni mittenti esterni specifici falliscono sempre; altri mittenti esterni funzionano.
- I messaggi non appaiono neppure in OWA (Outlook sul Web) e non ci sono tracce nel client desktop.
- Il mittente riferisce un NDR con codici 5.x (errore permanente) o 4.x (temporaneo).
- Il trace mostra “Quarantined”, “FilteredAsSpam”, “Policy block” o un handoff a un host non Microsoft.
Cause più frequenti individuate (con verifiche e correzioni)
| Area | Possibile causa | Come verificarla / correggerla |
|---|---|---|
| Exchange Online | L’opzione Require that all senders are authenticated è abilitata sulla cassetta postale, bloccando i mittenti esterni. | In qualità di amministratore: apri l’Exchange admin center → Recipients → Mailboxes → seleziona la mailbox → Mailbox features / Message delivery restrictions. Disattiva l’opzione oppure aggiungi eccezioni esplicite. |
| Regole di filtro | Mail flow rules, liste di rifiuto o criteri antispam/quarantena intercettano la posta in ingresso. | Nel portale Microsoft 365 Defender usa Message trace per seguire il percorso; controlla la Quarantine, i criteri antispam e il Tenant Allow/Block List. Rilascia i messaggi legittimi e crea eccezioni. |
| DNS / MX record | Record MX del dominio puntato a host errato/obsoleto (vecchio provider, gateway terzo, on‑prem dismesso). | Verifica via nslookup o dig che l’MX corrisponda a quanto indicato nel portale Microsoft 365 per quel dominio, tipicamente <tenant>.mail.protection.outlook.com. Correggi e attendi la propagazione (TTL). |
| Client locale | Outlook in modalità cache, profilo corrotto o componenti aggiuntivi alterano la visualizzazione. | Confronta con OWA. Se sul Web il messaggio c’è, ricrea il profilo o avvia Outlook in modalità provvisoria; disabilita add‑in non essenziali. |
| Mittente specifico | Server sorgente presente in blocklist o SPF/DMARC non allineati; il messaggio rimbalza lato Microsoft. | Richiedi l’NDR completo al mittente. Analizza i codici (es. 550 5.7.x/521). Il mittente deve allineare SPF, DKIM e DMARC. |
Guida rapida alla diagnosi (per amministratori e power user)
- Conferma in OWA: accedi alla stessa mailbox via Outlook sul Web. Se il messaggio non appare, il problema è lato server/trasporto.
- Controlla “Message delivery restrictions”: disattiva la richiesta di autenticazione dei mittenti e verifica le liste “Accetta da” / “Rifiuta da”.
- Esegui un Message trace: individua lo stato (“Delivered”, “Quarantined”, “FilteredAsSpam”, “Failed”, “Expanded” per i gruppi) e l’hop di consegna.
- Ispeziona la Quarantena: ricerca per destinatario/dominio, rilascia i messaggi legittimi e crea regole di bypass sicure.
- Verifica i record MX: confronta l’MX pubblico con quello atteso; se non coincide, aggiorna i DNS del dominio.
- Chiedi l’NDR ai mittenti colpiti: i codici chiariscono se si tratta di rifiuto per autenticazione, reputazione, DMARC o routing.
- Controlla connettori/ETR: se usi gateway di terze parti o connettori partner, verifica che instradino correttamente la posta in ingresso.
- Escludi il client: se OWA mostra la posta, ricrea il profilo Outlook, svuota cache OST, avvia in modalità provvisoria.
- Pulisci DNS locali: se vedi MX vecchi, svuota la cache DNS della macchina (
ipconfig /flushdns). - Monitora: abilita Extended message tracing per catturare eventi intermittenti e raccogliere evidenze.
Verifica via Outlook sul Web (OWA)
OWA è la cartina tornasole: se il messaggio non è presente sul Web, non è un problema del client desktop. In questo caso concentra le verifiche lato Exchange Online (restrizioni, regole, antispam, MX). Se invece in OWA il messaggio c’è ma Outlook non lo mostra, ripara o ricrea il profilo.
Controllo delle restrizioni di recapito
Per ciascuna mailbox interessata:
- Apri la mailbox in Exchange admin center e individua la sezione Message delivery restrictions.
- Disattiva “Richiedi che tutti i mittenti siano autenticati”. Questa singola opzione impedisce la consegna da Internet.
- Rivedi “Accetta messaggi da” / “Rifiuta messaggi da”. Rimozione temporanea di eventuali blocchi consente di escludere falsi positivi.
Nota: anche i gruppi di distribuzione hanno l’impostazione “Consenti solo mittenti all’interno dell’organizzazione”: se gli esterni scrivono a un gruppo, verifica che sia abilitato l’inoltro da Internet.
Message trace e Quarantena
Nel portale Microsoft 365 Defender (area Email & collaboration):
- Usa Message trace per cercare per destinatario, mittente o subject; imposta l’intervallo temporale corretto e valuta lo stato.
- Apri Quarantina e filtra per Recipient o Policy type (spam, high confidence spam, bulk, phishing, malware) per individuare messaggi legittimi intrappolati.
- Se la posta è in quarantena, rilascia i messaggi autorizzandoli e valuta la creazione di voci nel Tenant Allow/Block List o eccezioni nei criteri.
Valori tipici di stato nel trace:
- Delivered: consegnato alla mailbox (se non visibile in Outlook, è la cache).
- Quarantined / FilteredAsSpam: intercettato dai criteri antispam.
- Failed: rifiutato (controlla dettaglio con codici SMTP).
- Expanded: consegna a gruppo espanso; verifica le regole del gruppo.
Analisi dei record MX
Un MX sbagliato è la causa più subdola: la posta arriva altrove e non raggiunge Microsoft 365. Accade tipicamente dopo migrazioni o modifiche DNS “a metà”.
Controlli rapidi:
nslookup -type=mx tuodominio.tld
dig +short MX tuodominio.tld (macOS/Linux)
Il record pubblicato deve puntare al valore indicato nel portale Microsoft 365 per il dominio, solitamente del tipo <tenant>.mail.protection.outlook.com. Evita MX multipli che includano ancora vecchi gateway. Se hai appena corretto l’MX, considera il TTL: la propagazione può richiedere ore; nel frattempo i test da reti diverse possono dare esiti discordanti.
Best practice DNS:
- Un solo MX verso Exchange Online (o verso il tuo gateway scelto, se presente, ma senza duplicazioni legacy).
- Elimina MX verso host non più attivi o provider dismessi.
- TTL non eccessivamente elevati (es. 1 ora) per agilità in caso di emergenze.
Mittenti singoli che rimbalzano: come leggere l’NDR
Quando il problema riguarda un mittente specifico, fai inviare l’NDR completo (idealmente completo di header diagnostici). Ecco i codici più comuni e come interpretarli:
| Codice NDR | Significato | Azioni consigliate |
|---|---|---|
550 5.7.1, 550 5.7.23 | Rifiuto per policy/autenticazione; spesso SPF/DMARC non allineati o reputazione negativa. | Il mittente deve verificare l’SPF (includere host/gateway legittimi), firmare DKIM e allineare DMARC. |
550 5.4.1, 550 5.1.10 | Dominio/indirizzo non risolto o destinatario inesistente. | Confermare l’indirizzo, controllare alias, forwarding e presenza della mailbox. |
521 5.2.1 | Servizio non disponibile per quel percorso/host. | Controllare l’MX e l’eventuale gateway intermedio; verificare i connettori. |
451 4.7.x, 421 4.7.0 | Errore temporaneo (throttling, greylisting, reputazione variabile). | Tentare nuovamente; se persistente, valutare reputazione IP del mittente o code di gateway intermedi. |
550 5.7.708 | Rifiuto per “Tenant block list” o blocco reputazionale. | Chiedere sblocco tramite procedure ufficiali e rivedere la configurazione del mittente. |
Promemoria per il mittente: un record SPF tipico include il provider usato per inviare, ad esempio v=spf1 ip4:203.0.113.0/24 include:sendgrid.net include:spf.protection.outlook.com -all. DKIM deve essere attivato sulla piattaforma di invio e DMARC allineato, ad esempio v=DMARC1; p=quarantine; rua=mailto:dmarc@tuodominio.tld; adkim=s; aspf=s.
Utenti consumer (Outlook.com/MSN)
Gli account Outlook.com non hanno Exchange Admin Center. Possono comunque:
- Aprire Impostazioni della posta e rivedere le sezioni su posta indesiderata (mittenti sicuri e bloccati), regole e inoltri.
- Controllare la cartella Posta indesiderata e la quarantena/filtri lato servizio (se disponibili).
- Contattare il supporto fornendo l’NDR o gli header completi del messaggio bloccato.
Procedure dettagliate per amministratori
Controlli in Exchange Admin Center
- Mailbox: rivedi “Message delivery restrictions”. Disattiva la richiesta di autenticazione mittenti per mailbox che devono ricevere da Internet.
- Mail flow → Rules: cerca regole con condizioni tipo “Il mittente è all’esterno dell’organizzazione” o “Il dominio del mittente corrisponde a…”. Valuta la disattivazione temporanea o l’esclusione per i destinatari impattati.
- Accepted domains: assicurati che il dominio sia “Authoritative” o “Internal relay” secondo l’architettura prevista. Errori qui possono portare a rimbalzi inaspettati.
- Connectors: se usi un gateway terzo (Proofpoint, Barracuda, ecc.), verifica che i connettori Inbound e Outbound siano coerenti con i record MX.
Criteri antispam e Tenant Allow/Block List
- Anti-spam inbound policy: rivedi le soglie (ad es. Bulk mail) e la destinazione dei messaggi (quarantena vs consegna con prefisso).
- Tenant Allow/Block List: utilizza le voci Allow con parsimonia; preferisci eccezioni mirate (mittente, dominio, hash) solo per casi confermati.
- Quarantine policy: consenti ai destinatari o agli admin il rilascio di certe categorie (spam, high confidence spam, phishing simulazioni, ecc.).
PowerShell: comandi utili
Connesso a Exchange Online PowerShell, questi comandi aiutano a diagnosticare e risolvere rapidamente:
# Verifica restrizioni di recapito su una mailbox
Get-Mailbox -Identity utente@dominio.tld |
Format-List RequireSenderAuthenticationEnabled,AcceptMessagesOnlyFromSendersOrMembers,RejectMessagesFromSendersOrMembers
Disabilita la richiesta di autenticazione dei mittenti esterni
Set-Mailbox -Identity [utente@dominio.tld](mailto:utente@dominio.tld) -RequireSenderAuthenticationEnabled:$false
Elenco regole di trasporto che toccano i mittenti esterni
Get-TransportRule | Where-Object {$_.FromScope -eq "NotInOrganization"} |
Format-Table Name,Mode,Enabled,Priority
Trace rapido (ultime 48 ore)
Get-MessageTrace -RecipientAddress [utente@dominio.tld](mailto:utente@dominio.tld) -StartDate (Get-Date).AddDays(-2) -EndDate (Get-Date)
Dettagli evento/azione su messaggi specifici
Get-MessageTraceDetail -MessageTraceId -RecipientAddress [utente@dominio.tld](mailto:utente@dominio.tld)
Quarantena (se abilitato nel tuo ambiente)
Get-QuarantineMessage -RecipientAddress [utente@dominio.tld](mailto:utente@dominio.tld)
E rilascio (con i necessari permessi)
Release-QuarantineMessage -Identity -ReleaseToAll
Connettori attivi
Get-InboundConnector | Format-Table Name,ConnectorType,Enabled
Get-OutboundConnector | Format-Table Name,SmartHosts,Enabled DNS: controlli e best practice operative
- MX unico e pulito: punta solo a Exchange Online (o al tuo gateway ufficiale). Niente MX residui verso server on‑prem dismessi.
- SPF coerente: includi i servizi che inviano per tuo conto (marketing cloud, CRM, helpdesk). Evita più record SPF; usa un’unica stringa con
include:corretti e termina con-allo~allsecondo la tua tolleranza. - DKIM: attivalo su Microsoft 365 e su eventuali piattaforme esterne che inviano per il tuo dominio.
- DMARC: inizia con
p=noneper monitorare; poi passa aquarantineorejectquando l’allineamento è stabile.
Connettori e gateway di terze parti
Se la tua posta in ingresso passa da un email gateway (Proofpoint, Mimecast, Barracuda, ecc.) o da un MTA on‑prem, assicurati che:
- I record MX puntino solo al gateway, non anche a Exchange Online, per evitare percorsi incoerenti.
- Il connettore Inbound su EXO riconosca gli IP del gateway come attendibili e salti i controlli duplicati quando opportuno.
- Il gateway sia autorizzato nell’SPF del mittente se invia in rappresentanza; in caso contrario, alcuni messaggi potrebbero fallire i controlli DMARC a valle.
Gruppi di distribuzione, caselle condivise e applicazioni
- Distribution group: abilita “Consenti mittenti esterni” se il gruppo deve ricevere da Internet.
- Shared mailbox: valgono le stesse restrizioni delle mailbox utente; verifica la richiesta di autenticazione mittenti.
- Caselle applicative (es. ricezione ordini): evita regole aggressive che scartano allegati o protocolli; usa invece criteri mirati e quarantena con revisione.
Checklist operativa (copia/incolla per l’intervento)
- Conferma in OWA: messaggi assenti → problema lato server.
- Mailbox: disattiva “Require sender authentication”, ripulisci liste “Rifiuta/Accetta”.
- Trace: controlla stato, hop e azione; verifica Quarantena.
- Antispam: allenta temporaneamente la policy o aggiungi eccezioni mirate.
- DNS: verifica MX pubblicato; correggi e monitora propagazione.
- Connettori/gateway: coerenza fra MX e routing, niente doppie strade.
- Mittenti colpiti: richiedi NDR, guida alla correzione SPF/DKIM/DMARC.
- Client: ricrea profilo se il problema è solo in Outlook desktop.
- Raccogli evidenze: abilita extended tracing se il problema è intermittente.
- Prevenzione: monitora quarantina e reputazione, automatizza report.
Strumenti e comandi di supporto
- Flush DNS locale:
ipconfig /flushdns(Windows),sudo dscacheutil -flushcacheesudo killall -HUP mDNSResponder(macOS). - Outlook in modalità provvisoria:
outlook.exe /safe, quindi disabilita add‑in sospetti. - Controllo MX via CLI:
nslookup -type=mxodig +short MX. - Verifica SMTP a mano (avanzato): connessione STARTTLS al tuo MX per controlli di banner/routing (solo per personale tecnico).
Errori comuni da evitare
- Lasciare attiva la richiesta di autenticazione dei mittenti su mailbox che devono ricevere da Internet.
- Mantenere MX duplici (gateway e EXO) durante una migrazione, creando percorsi incoerenti.
- Creare regole globali “rifiuta se mittente esterno” senza eccezioni per caselle funzionali o partner.
- Usare indiscriminatamente l’Allow nel Tenant Allow/Block List invece di correggere la causa a monte.
Domande frequenti (FAQ)
È possibile che il problema sia solo del mio client Outlook?
Sì, se in OWA vedi i messaggi: in tal caso ricrea il profilo, svuota la cache OST e disattiva gli add‑in.
Quanto impiega la correzione dell’MX a fare effetto?
Dipende dal TTL e dalla propagazione globale. In media da pochi minuti a qualche ora.
Se vedo “Quarantined” nel trace, cosa faccio?
Rilascia il messaggio, segna il mittente come consentito in modo mirato e rivedi la policy antispam per ridurre i falsi positivi.
Gli NDR riportano sempre la causa reale?
Non sempre; sono indicativi. Incrocia l’NDR con il Message trace e gli header SPF/DKIM/DMARC.
Ho un gateway esterno: dove deve puntare l’MX?
All’unico punto d’ingresso ufficiale (il gateway). Evita percorsi paralleli verso EXO a meno di architetture attentamente progettate.
Prevenzione e monitoraggio continuo
- Report periodici della quarantina e dei falsi positivi/negativi.
- Onboarding dei nuovi fornitori: verifica preventivamente SPF/DKIM/DMARC prima di autorizzare invii verso i tuoi domini.
- TTL ragionevoli per i record DNS critici (MX, SPF, DKIM).
- Documentazione aggiornata dei connettori e dei range IP dei partner.
- Formazione all’helpdesk per riconoscere subito i sintomi e raccogliere NDR e header completi.
Soluzioni proposte (riassunto operativo)
- Verifica immediata via OWA: se non vedi il messaggio sul Web, indaga lato server.
- Controllo “Message delivery restrictions”: disattiva la richiesta di mittenti autenticati; rivedi accetta/rifiuta.
- Analisi dei record MX: allinea l’MX a
<tenant>.mail.protection.outlook.comcome da portale; considera la propagazione. - Message trace e quarantena: verifica lo stato e rilascia/consenti se necessario.
- Mittenti singoli: leggi i codici NDR; fai correggere SPF/DKIM/DMARC al mittente.
- Utenti Outlook.com: usa impostazioni di posta indesiderata e il canale di supporto allegando NDR/header.
Consigli operativi aggiuntivi
- Aggiorna Outlook desktop e disabilita add‑in non essenziali.
- Pulisci la cache DNS locale (
ipconfig /flushdns) quando la macchina vede MX vecchi. - Abilita “Extended message tracing” per casi intermittenti e conserva i log delle decisioni.
- In periodi critici, valuta un alias su un dominio alternativo per continuità operativa.
In sintesi: la mancata ricezione di email esterne è quasi sempre riconducibile a un filtro lato Exchange (restrizioni mittente o antispam) oppure a un record MX errato. Confermato che OWA non riceve, il primo passo è disabilitare Require sender authentication, il secondo è verificare i record MX; se il problema riguarda mittenti specifici, occorre analizzare gli NDR e correggere SPF/DMARC sul lato mittente.
Esempi di esclusioni sicure (modelli)
Usa whitelist mirate, con scadenza e motivazione, evitando aperture globali:
- Transport rule limitata a un dominio partner: condizione “mittente è partner.tld” → azione “bypass anti-spam” → scadenza tra 30 giorni.
- Tenant Allow/Block per un indirizzo specifico che genera falsi positivi ricorrenti; ricontrollo settimanale.
- Quarantine policy che consenta il rilascio agli owner di mailbox funzionali critiche (ordini, supporto).
Playbook di comunicazione con il mittente
Quando chiedi supporto ai mittenti che rimbalzano:
- Richiedi NDR completo (inclusi codici e host coinvolti).
- Fatti inviare un messaggio di test con header completi e senza allegati pesanti.
- Indica che il tuo dominio riceve su Microsoft 365/Exchange Online e che l’MX è aggiornato.
- Segnala che i loro invii devono superare SPF/DKIM e rispettare l’allineamento DMARC.
Quando coinvolgere il supporto
Coinvolgi il supporto quando:
- Il trace indica errori non interpretabili o mancano del tutto gli eventi di recapito.
- Hai confermato MX corretto, nessuna quarantena e nessuna regola di blocco, ma la posta esterna continua a non arrivare.
- Hai necessità di sbloccare voci reputazionali a livello di infrastruttura.
Conclusione
Con un percorso strutturato – OWA per discriminare client/server, restrizioni di recapito, trace/quarantena, MX e infine NDR – la diagnosi diventa rapida e ripetibile. Una volta rimossa la causa (spunta infelice, regola troppo aggressiva, MX errato, o errori SPF/DMARC del mittente), la ricezione da mittenti esterni torna stabile. Mantieni criteri antispam efficaci ma con eccezioni mirate, monitora la quarantina e documenta i connettori: sono le tre leve che prevengono il ripetersi del problema.