Office 365 / Outlook.com: impossibile ricevere email da mittenti esterni – guida completa a MX, antispam e NDR

Se la posta interna funziona ma le email provenienti da indirizzi esterni non arrivano (o rimbalzano con un NDR), la causa è quasi sempre un’impostazione lato Exchange Online/EOP o un record MX errato. Questa guida pratica ti aiuta a diagnosticare e correggere il problema in pochi passaggi chiari.

Indice

Panoramica del problema

Negli ambienti Microsoft 365 (Exchange Online) e negli account consumer Outlook.com può capitare che, all’improvviso, la cassetta postale smetta di ricevere messaggi da mittenti esterni mentre lo scambio interno continua a funzionare senza intoppi. Talvolta i mittenti ricevono un NDR (non‑delivery report) con codici di errore, in altri casi i messaggi vengono filtrati o persi lungo il percorso (ad esempio in quarantena) e il destinatario non vede nulla.

Quasi sempre si tratta di:

  • Restrizioni lato mailbox (richiesta autenticazione dei mittenti o blocchi “Rifiuta messaggi da”).
  • Regole di trasporto o criteri antispam che quarantinano/rifiutano la posta.
  • Record DNS MX errato o obsoleto, con consegna diretta a un host che non accetta il dominio o a un vecchio gateway.
  • Problemi locali di client (cache/visualizzazione) che fanno sembrare mancante la posta mentre in OWA è presente.
  • Errori SPF/DKIM/DMARC lato mittente che inducono rimbalzi verso Microsoft 365.

Sintomi tipici e segnali da osservare

  • I messaggi interni arrivano puntuali; quelli da Gmail/Yahoo/altre aziende no.
  • Alcuni mittenti esterni specifici falliscono sempre; altri mittenti esterni funzionano.
  • I messaggi non appaiono neppure in OWA (Outlook sul Web) e non ci sono tracce nel client desktop.
  • Il mittente riferisce un NDR con codici 5.x (errore permanente) o 4.x (temporaneo).
  • Il trace mostra “Quarantined”, “FilteredAsSpam”, “Policy block” o un handoff a un host non Microsoft.

Cause più frequenti individuate (con verifiche e correzioni)

AreaPossibile causaCome verificarla / correggerla
Exchange OnlineL’opzione Require that all senders are authenticated è abilitata sulla cassetta postale, bloccando i mittenti esterni.In qualità di amministratore: apri l’Exchange admin center → RecipientsMailboxes → seleziona la mailbox → Mailbox features / Message delivery restrictions. Disattiva l’opzione oppure aggiungi eccezioni esplicite.
Regole di filtroMail flow rules, liste di rifiuto o criteri antispam/quarantena intercettano la posta in ingresso.Nel portale Microsoft 365 Defender usa Message trace per seguire il percorso; controlla la Quarantine, i criteri antispam e il Tenant Allow/Block List. Rilascia i messaggi legittimi e crea eccezioni.
DNS / MX recordRecord MX del dominio puntato a host errato/obsoleto (vecchio provider, gateway terzo, on‑prem dismesso).Verifica via nslookup o dig che l’MX corrisponda a quanto indicato nel portale Microsoft 365 per quel dominio, tipicamente <tenant>.mail.protection.outlook.com. Correggi e attendi la propagazione (TTL).
Client localeOutlook in modalità cache, profilo corrotto o componenti aggiuntivi alterano la visualizzazione.Confronta con OWA. Se sul Web il messaggio c’è, ricrea il profilo o avvia Outlook in modalità provvisoria; disabilita add‑in non essenziali.
Mittente specificoServer sorgente presente in blocklist o SPF/DMARC non allineati; il messaggio rimbalza lato Microsoft.Richiedi l’NDR completo al mittente. Analizza i codici (es. 550 5.7.x/521). Il mittente deve allineare SPF, DKIM e DMARC.

Guida rapida alla diagnosi (per amministratori e power user)

  1. Conferma in OWA: accedi alla stessa mailbox via Outlook sul Web. Se il messaggio non appare, il problema è lato server/trasporto.
  2. Controlla “Message delivery restrictions”: disattiva la richiesta di autenticazione dei mittenti e verifica le liste “Accetta da” / “Rifiuta da”.
  3. Esegui un Message trace: individua lo stato (“Delivered”, “Quarantined”, “FilteredAsSpam”, “Failed”, “Expanded” per i gruppi) e l’hop di consegna.
  4. Ispeziona la Quarantena: ricerca per destinatario/dominio, rilascia i messaggi legittimi e crea regole di bypass sicure.
  5. Verifica i record MX: confronta l’MX pubblico con quello atteso; se non coincide, aggiorna i DNS del dominio.
  6. Chiedi l’NDR ai mittenti colpiti: i codici chiariscono se si tratta di rifiuto per autenticazione, reputazione, DMARC o routing.
  7. Controlla connettori/ETR: se usi gateway di terze parti o connettori partner, verifica che instradino correttamente la posta in ingresso.
  8. Escludi il client: se OWA mostra la posta, ricrea il profilo Outlook, svuota cache OST, avvia in modalità provvisoria.
  9. Pulisci DNS locali: se vedi MX vecchi, svuota la cache DNS della macchina (ipconfig /flushdns).
  10. Monitora: abilita Extended message tracing per catturare eventi intermittenti e raccogliere evidenze.

Verifica via Outlook sul Web (OWA)

OWA è la cartina tornasole: se il messaggio non è presente sul Web, non è un problema del client desktop. In questo caso concentra le verifiche lato Exchange Online (restrizioni, regole, antispam, MX). Se invece in OWA il messaggio c’è ma Outlook non lo mostra, ripara o ricrea il profilo.

Controllo delle restrizioni di recapito

Per ciascuna mailbox interessata:

  • Apri la mailbox in Exchange admin center e individua la sezione Message delivery restrictions.
  • Disattiva “Richiedi che tutti i mittenti siano autenticati”. Questa singola opzione impedisce la consegna da Internet.
  • Rivedi “Accetta messaggi da” / “Rifiuta messaggi da”. Rimozione temporanea di eventuali blocchi consente di escludere falsi positivi.

Nota: anche i gruppi di distribuzione hanno l’impostazione “Consenti solo mittenti all’interno dell’organizzazione”: se gli esterni scrivono a un gruppo, verifica che sia abilitato l’inoltro da Internet.

Message trace e Quarantena

Nel portale Microsoft 365 Defender (area Email & collaboration):

  • Usa Message trace per cercare per destinatario, mittente o subject; imposta l’intervallo temporale corretto e valuta lo stato.
  • Apri Quarantina e filtra per Recipient o Policy type (spam, high confidence spam, bulk, phishing, malware) per individuare messaggi legittimi intrappolati.
  • Se la posta è in quarantena, rilascia i messaggi autorizzandoli e valuta la creazione di voci nel Tenant Allow/Block List o eccezioni nei criteri.

Valori tipici di stato nel trace:

  • Delivered: consegnato alla mailbox (se non visibile in Outlook, è la cache).
  • Quarantined / FilteredAsSpam: intercettato dai criteri antispam.
  • Failed: rifiutato (controlla dettaglio con codici SMTP).
  • Expanded: consegna a gruppo espanso; verifica le regole del gruppo.

Analisi dei record MX

Un MX sbagliato è la causa più subdola: la posta arriva altrove e non raggiunge Microsoft 365. Accade tipicamente dopo migrazioni o modifiche DNS “a metà”.

Controlli rapidi:

nslookup -type=mx tuodominio.tld
dig +short MX tuodominio.tld    (macOS/Linux)

Il record pubblicato deve puntare al valore indicato nel portale Microsoft 365 per il dominio, solitamente del tipo <tenant>.mail.protection.outlook.com. Evita MX multipli che includano ancora vecchi gateway. Se hai appena corretto l’MX, considera il TTL: la propagazione può richiedere ore; nel frattempo i test da reti diverse possono dare esiti discordanti.

Best practice DNS:

  • Un solo MX verso Exchange Online (o verso il tuo gateway scelto, se presente, ma senza duplicazioni legacy).
  • Elimina MX verso host non più attivi o provider dismessi.
  • TTL non eccessivamente elevati (es. 1 ora) per agilità in caso di emergenze.

Mittenti singoli che rimbalzano: come leggere l’NDR

Quando il problema riguarda un mittente specifico, fai inviare l’NDR completo (idealmente completo di header diagnostici). Ecco i codici più comuni e come interpretarli:

Codice NDRSignificatoAzioni consigliate
550 5.7.1, 550 5.7.23Rifiuto per policy/autenticazione; spesso SPF/DMARC non allineati o reputazione negativa.Il mittente deve verificare l’SPF (includere host/gateway legittimi), firmare DKIM e allineare DMARC.
550 5.4.1, 550 5.1.10Dominio/indirizzo non risolto o destinatario inesistente.Confermare l’indirizzo, controllare alias, forwarding e presenza della mailbox.
521 5.2.1Servizio non disponibile per quel percorso/host.Controllare l’MX e l’eventuale gateway intermedio; verificare i connettori.
451 4.7.x, 421 4.7.0Errore temporaneo (throttling, greylisting, reputazione variabile).Tentare nuovamente; se persistente, valutare reputazione IP del mittente o code di gateway intermedi.
550 5.7.708Rifiuto per “Tenant block list” o blocco reputazionale.Chiedere sblocco tramite procedure ufficiali e rivedere la configurazione del mittente.

Promemoria per il mittente: un record SPF tipico include il provider usato per inviare, ad esempio v=spf1 ip4:203.0.113.0/24 include:sendgrid.net include:spf.protection.outlook.com -all. DKIM deve essere attivato sulla piattaforma di invio e DMARC allineato, ad esempio v=DMARC1; p=quarantine; rua=mailto:dmarc@tuodominio.tld; adkim=s; aspf=s.

Utenti consumer (Outlook.com/MSN)

Gli account Outlook.com non hanno Exchange Admin Center. Possono comunque:

  • Aprire Impostazioni della posta e rivedere le sezioni su posta indesiderata (mittenti sicuri e bloccati), regole e inoltri.
  • Controllare la cartella Posta indesiderata e la quarantena/filtri lato servizio (se disponibili).
  • Contattare il supporto fornendo l’NDR o gli header completi del messaggio bloccato.

Procedure dettagliate per amministratori

Controlli in Exchange Admin Center

  • Mailbox: rivedi “Message delivery restrictions”. Disattiva la richiesta di autenticazione mittenti per mailbox che devono ricevere da Internet.
  • Mail flow → Rules: cerca regole con condizioni tipo “Il mittente è all’esterno dell’organizzazione” o “Il dominio del mittente corrisponde a…”. Valuta la disattivazione temporanea o l’esclusione per i destinatari impattati.
  • Accepted domains: assicurati che il dominio sia “Authoritative” o “Internal relay” secondo l’architettura prevista. Errori qui possono portare a rimbalzi inaspettati.
  • Connectors: se usi un gateway terzo (Proofpoint, Barracuda, ecc.), verifica che i connettori Inbound e Outbound siano coerenti con i record MX.

Criteri antispam e Tenant Allow/Block List

  • Anti-spam inbound policy: rivedi le soglie (ad es. Bulk mail) e la destinazione dei messaggi (quarantena vs consegna con prefisso).
  • Tenant Allow/Block List: utilizza le voci Allow con parsimonia; preferisci eccezioni mirate (mittente, dominio, hash) solo per casi confermati.
  • Quarantine policy: consenti ai destinatari o agli admin il rilascio di certe categorie (spam, high confidence spam, phishing simulazioni, ecc.).

PowerShell: comandi utili

Connesso a Exchange Online PowerShell, questi comandi aiutano a diagnosticare e risolvere rapidamente:

# Verifica restrizioni di recapito su una mailbox
Get-Mailbox -Identity utente@dominio.tld | 
  Format-List RequireSenderAuthenticationEnabled,AcceptMessagesOnlyFromSendersOrMembers,RejectMessagesFromSendersOrMembers

Disabilita la richiesta di autenticazione dei mittenti esterni

Set-Mailbox -Identity [utente@dominio.tld](mailto:utente@dominio.tld) -RequireSenderAuthenticationEnabled:$false

Elenco regole di trasporto che toccano i mittenti esterni

Get-TransportRule | Where-Object {$_.FromScope -eq "NotInOrganization"} |
Format-Table Name,Mode,Enabled,Priority

Trace rapido (ultime 48 ore)

Get-MessageTrace -RecipientAddress [utente@dominio.tld](mailto:utente@dominio.tld) -StartDate (Get-Date).AddDays(-2) -EndDate (Get-Date)

Dettagli evento/azione su messaggi specifici

Get-MessageTraceDetail -MessageTraceId  -RecipientAddress [utente@dominio.tld](mailto:utente@dominio.tld)

Quarantena (se abilitato nel tuo ambiente)

Get-QuarantineMessage -RecipientAddress [utente@dominio.tld](mailto:utente@dominio.tld)

E rilascio (con i necessari permessi)

Release-QuarantineMessage -Identity  -ReleaseToAll

Connettori attivi

Get-InboundConnector | Format-Table Name,ConnectorType,Enabled
Get-OutboundConnector | Format-Table Name,SmartHosts,Enabled 

DNS: controlli e best practice operative

  • MX unico e pulito: punta solo a Exchange Online (o al tuo gateway ufficiale). Niente MX residui verso server on‑prem dismessi.
  • SPF coerente: includi i servizi che inviano per tuo conto (marketing cloud, CRM, helpdesk). Evita più record SPF; usa un’unica stringa con include: corretti e termina con -all o ~all secondo la tua tolleranza.
  • DKIM: attivalo su Microsoft 365 e su eventuali piattaforme esterne che inviano per il tuo dominio.
  • DMARC: inizia con p=none per monitorare; poi passa a quarantine o reject quando l’allineamento è stabile.

Connettori e gateway di terze parti

Se la tua posta in ingresso passa da un email gateway (Proofpoint, Mimecast, Barracuda, ecc.) o da un MTA on‑prem, assicurati che:

  • I record MX puntino solo al gateway, non anche a Exchange Online, per evitare percorsi incoerenti.
  • Il connettore Inbound su EXO riconosca gli IP del gateway come attendibili e salti i controlli duplicati quando opportuno.
  • Il gateway sia autorizzato nell’SPF del mittente se invia in rappresentanza; in caso contrario, alcuni messaggi potrebbero fallire i controlli DMARC a valle.

Gruppi di distribuzione, caselle condivise e applicazioni

  • Distribution group: abilita “Consenti mittenti esterni” se il gruppo deve ricevere da Internet.
  • Shared mailbox: valgono le stesse restrizioni delle mailbox utente; verifica la richiesta di autenticazione mittenti.
  • Caselle applicative (es. ricezione ordini): evita regole aggressive che scartano allegati o protocolli; usa invece criteri mirati e quarantena con revisione.

Checklist operativa (copia/incolla per l’intervento)

  1. Conferma in OWA: messaggi assenti → problema lato server.
  2. Mailbox: disattiva “Require sender authentication”, ripulisci liste “Rifiuta/Accetta”.
  3. Trace: controlla stato, hop e azione; verifica Quarantena.
  4. Antispam: allenta temporaneamente la policy o aggiungi eccezioni mirate.
  5. DNS: verifica MX pubblicato; correggi e monitora propagazione.
  6. Connettori/gateway: coerenza fra MX e routing, niente doppie strade.
  7. Mittenti colpiti: richiedi NDR, guida alla correzione SPF/DKIM/DMARC.
  8. Client: ricrea profilo se il problema è solo in Outlook desktop.
  9. Raccogli evidenze: abilita extended tracing se il problema è intermittente.
  10. Prevenzione: monitora quarantina e reputazione, automatizza report.

Strumenti e comandi di supporto

  • Flush DNS locale: ipconfig /flushdns (Windows), sudo dscacheutil -flushcache e sudo killall -HUP mDNSResponder (macOS).
  • Outlook in modalità provvisoria: outlook.exe /safe, quindi disabilita add‑in sospetti.
  • Controllo MX via CLI: nslookup -type=mx o dig +short MX.
  • Verifica SMTP a mano (avanzato): connessione STARTTLS al tuo MX per controlli di banner/routing (solo per personale tecnico).

Errori comuni da evitare

  • Lasciare attiva la richiesta di autenticazione dei mittenti su mailbox che devono ricevere da Internet.
  • Mantenere MX duplici (gateway e EXO) durante una migrazione, creando percorsi incoerenti.
  • Creare regole globali “rifiuta se mittente esterno” senza eccezioni per caselle funzionali o partner.
  • Usare indiscriminatamente l’Allow nel Tenant Allow/Block List invece di correggere la causa a monte.

Domande frequenti (FAQ)

È possibile che il problema sia solo del mio client Outlook?
Sì, se in OWA vedi i messaggi: in tal caso ricrea il profilo, svuota la cache OST e disattiva gli add‑in.

Quanto impiega la correzione dell’MX a fare effetto?
Dipende dal TTL e dalla propagazione globale. In media da pochi minuti a qualche ora.

Se vedo “Quarantined” nel trace, cosa faccio?
Rilascia il messaggio, segna il mittente come consentito in modo mirato e rivedi la policy antispam per ridurre i falsi positivi.

Gli NDR riportano sempre la causa reale?
Non sempre; sono indicativi. Incrocia l’NDR con il Message trace e gli header SPF/DKIM/DMARC.

Ho un gateway esterno: dove deve puntare l’MX?
All’unico punto d’ingresso ufficiale (il gateway). Evita percorsi paralleli verso EXO a meno di architetture attentamente progettate.

Prevenzione e monitoraggio continuo

  • Report periodici della quarantina e dei falsi positivi/negativi.
  • Onboarding dei nuovi fornitori: verifica preventivamente SPF/DKIM/DMARC prima di autorizzare invii verso i tuoi domini.
  • TTL ragionevoli per i record DNS critici (MX, SPF, DKIM).
  • Documentazione aggiornata dei connettori e dei range IP dei partner.
  • Formazione all’helpdesk per riconoscere subito i sintomi e raccogliere NDR e header completi.

Soluzioni proposte (riassunto operativo)

  1. Verifica immediata via OWA: se non vedi il messaggio sul Web, indaga lato server.
  2. Controllo “Message delivery restrictions”: disattiva la richiesta di mittenti autenticati; rivedi accetta/rifiuta.
  3. Analisi dei record MX: allinea l’MX a <tenant>.mail.protection.outlook.com come da portale; considera la propagazione.
  4. Message trace e quarantena: verifica lo stato e rilascia/consenti se necessario.
  5. Mittenti singoli: leggi i codici NDR; fai correggere SPF/DKIM/DMARC al mittente.
  6. Utenti Outlook.com: usa impostazioni di posta indesiderata e il canale di supporto allegando NDR/header.

Consigli operativi aggiuntivi

  • Aggiorna Outlook desktop e disabilita add‑in non essenziali.
  • Pulisci la cache DNS locale (ipconfig /flushdns) quando la macchina vede MX vecchi.
  • Abilita “Extended message tracing” per casi intermittenti e conserva i log delle decisioni.
  • In periodi critici, valuta un alias su un dominio alternativo per continuità operativa.

In sintesi: la mancata ricezione di email esterne è quasi sempre riconducibile a un filtro lato Exchange (restrizioni mittente o antispam) oppure a un record MX errato. Confermato che OWA non riceve, il primo passo è disabilitare Require sender authentication, il secondo è verificare i record MX; se il problema riguarda mittenti specifici, occorre analizzare gli NDR e correggere SPF/DMARC sul lato mittente.

Esempi di esclusioni sicure (modelli)

Usa whitelist mirate, con scadenza e motivazione, evitando aperture globali:

  • Transport rule limitata a un dominio partner: condizione “mittente è partner.tld” → azione “bypass anti-spam” → scadenza tra 30 giorni.
  • Tenant Allow/Block per un indirizzo specifico che genera falsi positivi ricorrenti; ricontrollo settimanale.
  • Quarantine policy che consenta il rilascio agli owner di mailbox funzionali critiche (ordini, supporto).

Playbook di comunicazione con il mittente

Quando chiedi supporto ai mittenti che rimbalzano:

  1. Richiedi NDR completo (inclusi codici e host coinvolti).
  2. Fatti inviare un messaggio di test con header completi e senza allegati pesanti.
  3. Indica che il tuo dominio riceve su Microsoft 365/Exchange Online e che l’MX è aggiornato.
  4. Segnala che i loro invii devono superare SPF/DKIM e rispettare l’allineamento DMARC.

Quando coinvolgere il supporto

Coinvolgi il supporto quando:

  • Il trace indica errori non interpretabili o mancano del tutto gli eventi di recapito.
  • Hai confermato MX corretto, nessuna quarantena e nessuna regola di blocco, ma la posta esterna continua a non arrivare.
  • Hai necessità di sbloccare voci reputazionali a livello di infrastruttura.

Conclusione

Con un percorso strutturato – OWA per discriminare client/server, restrizioni di recapito, trace/quarantena, MX e infine NDR – la diagnosi diventa rapida e ripetibile. Una volta rimossa la causa (spunta infelice, regola troppo aggressiva, MX errato, o errori SPF/DMARC del mittente), la ricezione da mittenti esterni torna stabile. Mantieni criteri antispam efficaci ma con eccezioni mirate, monitora la quarantina e documenta i connettori: sono le tre leve che prevengono il ripetersi del problema.

Indice