Loading

Retransmisión de correo electrónico de Salesforce con Office 365

Fecha de publicación: May 7, 2021
Descripción
Debido a la naturaleza multiarrendatario del enrutamiento de correos electrónicos de Office 365 y Salesforce, la retransmisión de correo electrónico no funciona de forma preconfigurada como en las soluciones locales, y no se recomienda. Consulte la asistencia de Microsoft para configurar Exchange y Office 365 para que acepten correos electrónicos de Salesforce.

Debido al enrutamiento interno de Microsoft y la validación de correos electrónicos de arrendatarios que tienen que hacer la retransmisión en Internet, algunas organizaciones pueden encontrar errores como "Relay Access Denied ATTR36" (Acceso de retransmisión denegado ATTR36) cuando se entregan los correos electrónicos al MTA de Microsoft. Esto parece estar relacionado con el enrutamiento de Microsoft del correo electrónico proveniente de IP compartidas. Debido a esto, es posible que la retransmisión de correos electrónicos a través de Office 365 no funcione bien si no se utiliza una pasarela de SMTP independiente para que un dominio de organización pase el correo electrónico al arrendatario de Office 365.
 
 
  • Salesforce envía y retransmite el correo electrónico utilizando su dirección de correo electrónico corporativa como la dirección de correo electrónico del remitente.
  • Office 365 aceptará correo electrónico en el puerto 587 en este escenario, pero requiere autenticación SMTP. Aunque O365 hará la autenticación SMTP a nivel de usuario, Salesforce necesita la función de retransmisión de servidor a servidor al utilizar un arrendatario de Office365.
  • La configuración de una "conexión de socio" utilizando el puerto 25 con IP de Salesforce y TLS debe permitir la retransmisión de correo electrónico desde Salesforce a Office 365 y de ahí a Internet, si se quiere.
  • Para saber más sobre las IP del MTA de Salesforce, consulte la sección "Las direcciones empleadas para la retransmisión del correo incluyen:" en Direcciones IP y dominios de Salesforce que hay que permitir
Solución


Al configurar la retransmisión de correo electrónico, tenga en consideración los siguientes puntos para asegurarse de que la retransmisión es segura:

  1. Configure el MTA de recepción para que solo permita correos electrónicos de las IP de retransmisión de Salesforce (y de las demás IP de las que espere recibir correos electrónicos).
  2. Configure la retransmisión de Salesforce para que utilice TLS (opcionalmente puede requerir TLS o verificación obligatoria para verificar el nombre de host del certificado del destinatario).
  3. Configure el MTA de recepción para que compruebe que el certificado y el nombre de dominio del remitente coinciden con el certificado presentado.
  4. Configure el MTA de recepción para asegurarse de que el dominio de envío es su dominio de correo electrónico.
  5. Configure el MTA de recepción para que verifique que hay un encabezado X-SFDC-LK que incluya la Id. de su organización.
  6. Configure la firma DKIM en Salesforce.
  7. Configure el MTA de recepción para que verifique que DKIM pasa y que el dominio para el que estaba firmado era el suyo.


Si se utiliza Office 365 Exchange, se pueden completar los puntos del 1 al 3 al configurar la retransmisión en Exchange. También es posible crear reglas en Exchange para verificar los puntos del 4 al 7. Sin embargo, que las reglas que configure se apliquen o no dependerá de a dónde se enrute el correo electrónico.

Si solo hace la retransmisión del correo electrónico destinado a su dominio en Exchange, se ejecutarán y aplicarán las reglas que cree para verificar los puntos del 4 al 7. No obstante, si hace la retransmisión de correo electrónico que está dirigido a un dominio que no esté asociado con su arrendatario (en Exchange o en otro sitio de Internet), no se aplicarán sus reglas. En este caso, aunque la retransmisión esté funcionando, es posible que no se esté enrutando como cree (por ejemplo, puede que no esté ejecutando las reglas que haya creado).

¿Por qué no se aplican las reglas configuradas en el arrendatario de Office 365 Exchange?
Cuando el correo electrónico se enruta de esta forma a través de Exchange, debe asignarse a un arrendatario adecuado dentro de su infraestructura. Una manera de hacerlo es mediante la IP de envío. Si Salesforce ofreciera IP dedicadas, estas serían exclusivas de un dominio cliente/correo electrónico, y se podría asignar fácilmente a un arrendatario específico exclusivo que configure su conexión de socio para permitir el correo electrónico de las IP en cuestión. Dado que Salesforce actualmente no ofrece IP dedicadas en el servicio de CRM, las IP que se utilizan para la retransmisión se comparten entre distintos clientes. Por lo tanto, si varios clientes configuran las mismas IP en Exchange, la IP de envío no será exclusiva de un arrendatario específico, y Exchange no podrá asignar el correo electrónico entrante a un arrendatario específico. Se sabe que el correo electrónico viene de las IP desde las que los envían sus clientes actuales, pero no puede vincularse a un único cliente. En esta situación, esto puede significar que el correo electrónico se asigna a un "arrendatario seguro" que utiliza un conjunto de IP compartidas. Cuando se utiliza este "arrendatario seguro", el correo electrónico enviado podría tener una menor entregabilidad. Por otra parte, Microsoft está trabajando para reducir y posiblemente eliminar rutas que hacen que el correo electrónico pase a través de un "arrendatario seguro". Porque el hecho de que su correo electrónico se envíe correctamente un día, no significa que se vaya a enviar siempre bien. El otro problema del enrutamiento a través del "arrendatario seguro" es que no se aplicarán las reglas que haya creado.
 
¿Cómo puedo comprobar que mis reglas se estén ejecutando con un correo electrónico concreto que se retransmite a través de Exchange?
Exchange le permite ejecutar el rastreo de un mensaje con información detallada de los correos electrónicos enviados a través de su arrendatario. Si el rastreo del mensaje no muestra el mensaje, no se enrutó a través de su arrendatario.
 

¿Hay alguna solución para estos problemas?

Si el correo que retransmite desde Salesforce está dirigido solo a un dominio vinculado a su arrendatario de Exchange, todo debería funcionar bien y sus reglas se aplicarán correctamente. Si realiza envíos a otros dominios no asociados con su arrendatario, tendrá que pensar en configurar su propio servidor de retransmisión de correo electrónico o recurrir a otras opciones.

Si necesita más flexibilidad en la retransmisión de correo electrónico, puede ser útil configurar un IIS u otro servidor de retransmisión en su espacio de dominio para aceptar correo electrónico de Salesforce antes de pasarlo a sus implementaciones de 365 tanto para la entrega interna como para la retransmisión a Internet.

Notas:
Número del artículo de conocimiento

000387487

 
Cargando
Salesforce Help | Article