Email đối tác không vào được hộp thư trên Microsoft 365 — nguyên nhân và cách khắc phục

Một đối tác gửi email quan trọng nhưng người nhận trong tổ chức không thấy đâu — kiểm cả thư mục Junk cũng không có. Rất có thể email đã bị Microsoft 365 (Exchange Online Protection) chấm là spam ở mức cao nhất rồi đưa vào khu cách ly (Quarantine) hoặc bỏ thẳng (Drop) — nên Message Trace hiện trạng thái Failed / Quarantined.

Bài này hướng dẫn admin cách xác minh bằng Message Tracecho phép (trust) người gửi để email vào lại được hộp thư.

Kết quả Message trace: các email từ đối tác đều ở trạng thái Failed hoặc Quarantined, không vào được hộp thư

Bài này dành cho ai

Người quản trị Microsoft 365 / Exchange Online của tổ chức (có quyền vào Exchange admin center hoặc Microsoft Defender portal). Các thao tác thực hiện ở cấp tổ chức, không phải trong Outlook của từng người.

Hiện tượng: email biến mất không dấu vết

  • Người gửi khẳng định đã gửi, thường không nhận được thông báo lỗi (NDR) rõ ràng.
  • Người nhận không thấy trong Inbox lẫn Junk.
  • Hay gặp với email từ hệ thống tự động (no-reply), email gửi hàng loạt, hoặc domain người gửi cấu hình xác thực chưa chuẩn.
Chi tiết Message events cho thấy email bị chấm Spam confidence level 9

SCL là gì và vì sao email bị “Drop”?

SCL (Spam Confidence Level) là điểm từ -1 đến 9 mà Exchange Online Protection chấm cho mỗi email: điểm càng cao, khả năng là spam càng lớn. Hành động tương ứng:

SCLÝ nghĩaHành động mặc định
-1Bỏ qua lọc spam (từ allow-list / safe sender / mail flow rule)Vào Inbox
0 – 1Không phải spamVào Inbox
5 – 6SpamThư mục Junk
9Spam độ tin cậy cao (high confidence spam)Tuỳ policy: Junk / Quarantine / Reject / Drop

Email trong tình huống này bị chấm SCL 9. Tuỳ cấu hình, Microsoft 365 đưa thư vào Quarantine hoặc bỏ thẳng (Drop) — trong Message Trace trạng thái thường hiện Quarantined hoặc Failed, còn bảng Message events ghi rõ sự kiện Drop kèm Reason: LED=550.

“Drop” nghĩa là mất hẳn

Khác với Junk (vẫn còn trong thư mục Junk ~30 ngày) hay Quarantine (còn trong khu cách ly, admin/người dùng xem lại được), Drop nghĩa là email bị bỏ, không lưu ở đâu cả. Người nhận không thể tự lấy lại — bắt buộc phải xử lý phía admin rồi nhờ gửi lại.

Bước 1 — Xác minh bằng Message Trace

Trước khi trust, hãy xác nhận đúng nguyên nhân bằng công cụ theo dấu thư:

1. Vào Exchange admin center (admin.cloud.microsoft/exchange) → Mail flowMessage trace.

Mở Message trace trong Exchange admin center qua Mail flow rồi Message trace

2. Đặt điều kiện: Sender = địa chỉ đối tác, chọn khoảng thời gian phù hợp → Search.

Đặt điều kiện Message trace: chọn người gửi và khoảng thời gian rồi bấm Search
Kết quả Message trace hiển thị email cần kiểm tra

3. Mở dòng kết quả → xem bảng Message events.

Bảng Message events: Receive, Drop với Reason LED=550, và Spam confidence level 9

Chuỗi sự kiện điển hình của một email bị bộ lọc chặn:

  • Receive — máy chủ đã nhận email.
  • Spam — bị chấm Spam confidence level: 9.
  • Drop — Reason: [LED=550 …] → thư bị chặn (đưa vào Quarantine hoặc bỏ hẳn).

LED=550 là mã trạng thái SMTP cho biết máy chủ chặn thư (kèm lý do “high confidence spam”); trạng thái tổng có thể là Quarantined (còn cứu được trong khu cách ly) hoặc Failed. Thấy SCL 9 đi cùng Drop/Quarantine là đủ khẳng định email bị bộ lọc spam của tổ chức chặn — không phải lỗi mất kết nối hay sai địa chỉ.

Bước 2 — Cho phép (trust) người gửi

“Safe Senders” trong Outlook không cứu được SCL 9

Thêm địa chỉ vào Safe Senders trong Outlook của người dùng không có tác dụng với high confidence spam bị chặn ở cấp tổ chức. Phải trust ở cấp admin bằng một trong hai cách dưới.

Cách 1 (khuyến nghị) — Tạo Mail flow rule

Chắc chắn nhất: buộc thư từ domain/địa chỉ đối tác bỏ qua bộ lọc spam của Exchange Online.

1. Đăng nhập Exchange admin center: admin.exchange.microsoft.com.

2. Vào Mail flowRulesAdd a ruleCreate a new rule.

Tạo transport rule mới: Mail flow, Rules, Add a rule, Create a new rule

3. Set rule conditions:

  • Name: Đặt tên gợi nhớ, ví dụ “Allow đối tác tin cậy”.
  • Apply this rule ifThe senderdomain is → doitac.com.vn (hoặc The sender is → no-reply@doitac.com.vn nếu chỉ muốn tin cậy một địa chỉ).
Điều kiện transport rule: The sender chọn domain is
  • Specify domain: Khai báo tên miền của các đối tác bạn tin tưởng.
Nhập domain đối tác cho điều kiện The sender domain is

4.Do the followingModify the message properties 

Do the following: Modify the message properties rồi Set the spam confidence level (SCL)

5.Set the spam confidence level (SCL)Bypass spam filtering

Đặt Set the spam confidence level (SCL) sang Bypass spam filtering (-1)
Xem lại và lưu transport rule ở bước Review and finish

6. Rule mode: Chọn Enforce → Next

Transport rule vừa tạo hiển thị trong danh sách Rules

Từ lúc này, thư từ domain hoặc địa chỉ đã chỉ định sẽ bỏ qua bộ lọc spam và vào thẳng Inbox.

Bật transport rule để áp dụng cho luồng thư

7. Mặc định, sau khi tạo, rule sẽ không được kích hoạt tự động.

8. Chọn rule vừa tạo và kích hoạt rule.

Cách 2 — Anti-spam Allow List (Defender)

1. Truy cập Microsoft Defender portal: security.microsoft.com.

2. Vào Email & collaborationPolicies & rulesThreat policies.

Mở Anti-spam policies trong Microsoft Defender: Email & collaboration, Policies & rules, Threat policies

3. Trong trang Threat policiesAnti-spam policies.

Danh sách Anti-spam inbound policy trong Microsoft Defender

4. Chỉnh sửa Anti-spam inbound policy (Default) cho người dùng.

Chỉnh sửa Anti-spam inbound policy đang áp dụng cho người dùng

5. Trong cửa sổ mở ra, chọn Edit allowed and blocked senders and domains.

Mục Allowed senders và Allowed domains trong Anti-spam policy

6. Thêm Allowed senders: no-reply@doitac.com.vn — hoặc Allowed domains: doitac.com.vn.

Bảng Allowed and blocked senders and domains để thêm người gửi hoặc miền vào danh sách cho phép

Trust hẹp hay rộng?

Nếu đối tác chỉ có một hệ thống gửi, hãy trust đúng một địa chỉ (no-reply@doitac.com.vn). Nếu nhiều dịch vụ của họ đều gửi email hợp lệ, có thể trust cả domain (doitac.com.vn). Không đặt quy tắc quá rộng (bỏ qua kiểm tra cho mọi email) khi chưa xác minh được danh tính domain gửi.

Thêm domain đối tác vào danh sách Allowed domains

Nếu vẫn bị Drop

Đã trust nhưng thư vẫn bị bỏ? Message Trace hiển thị SCL 9 + Drop đôi khi không chỉ do spam thông thường, mà còn có thể đến từ:

  • High Confidence Spam — hành động riêng trong anti-spam policy.
  • Anti-phishing — chính sách chống giả mạo (spoof/impersonation).
  • Tenant Allow/Block List — có một mục Block đang chặn domain/địa chỉ này.
  • Hoặc một Transport Rule (mail flow rule) khác đang tác động.

Để xác định chính xác nguyên nhân:

  • Mở chi tiết sự kiện Drop trong Message Trace và đọc đầy đủ dòng Reason: 550 ….
  • Hoặc chọn Prepare and email extended report để nhận báo cáo chi tiết rồi phân tích.

Bước 3 — Kiểm tra lại

1. Nhờ đối tác gửi lại email (hoặc chờ email định kỳ tiếp theo).

2. Chạy lại Message trace với cùng người gửi.

3. Lần này chuỗi sự kiện phải là Receive → Deliver với Status: Delivered — email đã vào Inbox.

Giải pháp triệt để

Allow-list chỉ là giải pháp tình thế phía nhận. Gốc rễ của việc email bị đánh spam thường nằm ở người gửi chưa cấu hình xác thực chuẩn. Nếu được, đề nghị đối tác kiểm tra:

  • SPF — bản ghi DNS khai báo máy chủ nào được phép gửi thư thay cho domain.
  • DKIM — chữ ký số chứng minh thư đúng nguồn và không bị sửa trên đường truyền.
  • DMARC — chính sách xử lý khi SPF/DKIM thất bại, kèm báo cáo.

Khi ba yếu tố này đạt, email hầu như không còn bị chấm SCL cao và bạn không cần allow-list nữa — vừa an toàn hơn.

Đừng lạm dụng allow-list

Mỗi mục trust là một lỗ hổng tiềm tàng: kẻ xấu giả mạo đúng domain đã được trust sẽ vượt qua bộ lọc. Chỉ trust nguồn thật sự cần, đặt hạn rà soát, và ưu tiên sửa xác thực phía gửi.

Tóm tắt

  • Email biến mất, không có cả trong Junk → nghi bị Drop do spam.
  • Message Trace thấy SCL 9 kèm Drop/Quarantine (LED=550), trạng thái Failed/Quarantined — là xác nhận.
  • Trust: Mail flow rule đặt SCL -1 (khuyến nghị) hoặc Anti-spam Allow List.
  • Vẫn bị Drop → kiểm High Confidence Spam / Anti-phishing / Tenant Allow-Block List / Transport rule khác; đọc Reason: 550 hoặc lấy extended report.
  • Kiểm lại bằng Message Trace → Delivered.
  • Bền vững: đề nghị người gửi chuẩn hoá SPF / DKIM / DMARC.

Bình luận

Trường bắt buộc được đánh dấu *