Exchange Online: fluxo de correio e anti-spam sem falhas
Configure fluxo de correio, SPF, DKIM, DMARC e anti-spam no Exchange Online para máxima entregabilidade e proteção contra phishing e spoofing.
O e-mail continua sendo o principal vetor de ataque contra empresas e, ao mesmo tempo, o canal mais crítico de negócio. Configurar o Exchange Online corretamente é o que separa uma caixa de entrada confiável de uma que entrega phishing na frente do usuário — ou que joga faturas legítimas na pasta de lixo. Este guia cobre fluxo de correio, autenticação e anti-spam de ponta a ponta.
Como o correio flui no Exchange Online
Toda mensagem que chega passa pelo Exchange Online Protection (EOP), a camada de segurança incluída em todos os planos com Exchange Online. O EOP faz, em sequência:
- Filtragem de conexão — bloqueia remetentes em listas de reputação ruim.
- Anti-malware — inspeciona anexos.
- Filtragem de políticas — aplica regras de fluxo de correio da organização.
- Filtragem de conteúdo — avalia spam, phishing e spoofing.
Nos planos com Defender for Office 365, entram camadas adicionais: Safe Attachments (detonação de anexos em sandbox) e Safe Links (reescrita e verificação de URLs no momento do clique).
A base de tudo: SPF, DKIM e DMARC
Se você configurar uma única coisa direito, que seja a autenticação de e-mail. Ela impede que golpistas se passem pelo seu domínio e protege sua reputação de envio.
| Registro | O que faz | Onde configurar |
|---|---|---|
| SPF | Lista quais servidores podem enviar em nome do domínio | Registro TXT no DNS |
| DKIM | Assina digitalmente as mensagens, provando integridade | DNS + habilitação no Exchange |
| DMARC | Diz o que fazer com mensagens que falham SPF/DKIM e envia relatórios | Registro TXT no DNS |
A recomendação prática:
- SPF com todos os remetentes legítimos (incluindo serviços de terceiros que enviam por você).
- DKIM habilitado e assinando para o domínio.
- DMARC começando em modo de monitoramento (p=none) para coletar relatórios, evoluindo para quarentena e, por fim, rejeição (p=reject) quando estiver seguro de que nada legítimo será bloqueado.
Pular a fase de monitoramento do DMARC é a receita para bloquear os próprios e-mails de marketing e sistemas.
Regras de fluxo de correio (mail flow rules)
As regras de fluxo de correio (transport rules) são o canivete suíço do administrador. Com elas dá para:
- Adicionar um aviso visual a e-mails de remetentes externos.
- Bloquear ou colocar em quarentena mensagens com certos padrões.
- Forçar criptografia para mensagens com dados sensíveis.
- Redirecionar ou copiar mensagens para arquivamento.
O aviso de "e-mail externo" é simples e eficaz: ajuda os usuários a desconfiar de mensagens que se passam por internas.
Configurando o anti-spam e anti-phishing
As políticas anti-spam do EOP controlam o que fazer com spam, spam de alta confiança, phishing e mensagens em massa. As boas práticas:
- Ajustar o nível de mensagens em massa (BCL) para o equilíbrio entre bloquear excesso e não perder newsletters legítimas.
- Enviar spam para a quarentena em vez da pasta de lixo, com notificações periódicas ao usuário.
- Ativar a proteção anti-phishing com detecção de spoofing e, no Defender, proteção contra representação de usuários e domínios (impersonation).
A proteção contra impersonation é especialmente valiosa contra fraudes do tipo "CEO fraud", em que o golpista imita o nome de um executivo para pedir transferências.
Quarentena e liberação
A quarentena centraliza mensagens retidas. Configure:
- Notificações para que usuários vejam o que foi retido.
- Políticas de quarentena definindo o que o usuário pode fazer sozinho (liberar, solicitar liberação) versus o que exige o administrador.
- Revisão periódica de falsos positivos para calibrar as políticas.
Checklist de higiene de e-mail
- SPF, DKIM e DMARC configurados e validados.
- DMARC evoluindo de monitoramento para rejeição.
- Aviso de remetente externo ativo.
- Anti-phishing com proteção contra impersonation habilitada.
- Spam indo para quarentena com notificações.
- Safe Links e Safe Attachments ativos (planos Defender).
- Revisão mensal de falsos positivos e relatórios DMARC.
Key takeaways
- Todo e-mail passa pelo EOP; planos Defender adicionam Safe Links e Safe Attachments.
- SPF, DKIM e DMARC são a base contra spoofing e para boa entregabilidade.
- Evolua o DMARC gradualmente, começando em monitoramento.
- Regras de fluxo de correio permitem avisos, bloqueios e criptografia sob medida.
- Use quarentena com notificações e revise falsos positivos regularmente.
A RHC configura Exchange Online e Defender for Office 365 como Microsoft Solutions Partner, endereçando autenticação de domínio, anti-spam, anti-phishing e regras de fluxo para máxima segurança e entregabilidade.
Perguntas frequentes
Leia também
Pronto para fazer mais com a Microsoft?
Fale com um especialista e descubra como otimizar licenças, segurança e produtividade.