Một đối tác gửi email quan trọng nhưng người nhận trong tổ chức không thấy đâu — kiểm cả thư mục Junk cũng không có. Rất có thể email đã bị Microsoft 365 (Exchange Online Protection) chấm là spam ở mức cao nhất rồi đưa vào khu cách ly (Quarantine) hoặc bỏ thẳng (Drop) — nên Message Trace hiện trạng thái Failed / Quarantined.
Bài này hướng dẫn admin cách xác minh bằng Message Trace và cho phép (trust) người gửi để email vào lại được hộp thư.

Bài này dành cho ai
Người quản trị Microsoft 365 / Exchange Online của tổ chức (có quyền vào Exchange admin center hoặc Microsoft Defender portal). Các thao tác thực hiện ở cấp tổ chức, không phải trong Outlook của từng người.
Hiện tượng: email biến mất không dấu vết
- Người gửi khẳng định đã gửi, thường không nhận được thông báo lỗi (NDR) rõ ràng.
- Người nhận không thấy trong Inbox lẫn Junk.
- Hay gặp với email từ hệ thống tự động (no-reply), email gửi hàng loạt, hoặc domain người gửi cấu hình xác thực chưa chuẩn.

SCL là gì và vì sao email bị “Drop”?
SCL (Spam Confidence Level) là điểm từ -1 đến 9 mà Exchange Online Protection chấm cho mỗi email: điểm càng cao, khả năng là spam càng lớn. Hành động tương ứng:
| SCL | Ý nghĩa | Hành động mặc định |
|---|---|---|
| -1 | Bỏ qua lọc spam (từ allow-list / safe sender / mail flow rule) | Vào Inbox |
| 0 – 1 | Không phải spam | Vào Inbox |
| 5 – 6 | Spam | Thư mục Junk |
| 9 | Spam độ tin cậy cao (high confidence spam) | Tuỳ policy: Junk / Quarantine / Reject / Drop |
Email trong tình huống này bị chấm SCL 9. Tuỳ cấu hình, Microsoft 365 đưa thư vào Quarantine hoặc bỏ thẳng (Drop) — trong Message Trace trạng thái thường hiện Quarantined hoặc Failed, còn bảng Message events ghi rõ sự kiện Drop kèm Reason: LED=550.
“Drop” nghĩa là mất hẳn
Khác với Junk (vẫn còn trong thư mục Junk ~30 ngày) hay Quarantine (còn trong khu cách ly, admin/người dùng xem lại được), Drop nghĩa là email bị bỏ, không lưu ở đâu cả. Người nhận không thể tự lấy lại — bắt buộc phải xử lý phía admin rồi nhờ gửi lại.
Bước 1 — Xác minh bằng Message Trace
Trước khi trust, hãy xác nhận đúng nguyên nhân bằng công cụ theo dấu thư:
1. Vào Exchange admin center (admin.cloud.microsoft/exchange) → Mail flow → Message trace.

2. Đặt điều kiện: Sender = địa chỉ đối tác, chọn khoảng thời gian phù hợp → Search.


3. Mở dòng kết quả → xem bảng Message events.

Chuỗi sự kiện điển hình của một email bị bộ lọc chặn:
- Receive — máy chủ đã nhận email.
- Spam — bị chấm Spam confidence level: 9.
- Drop — Reason: [LED=550 …] → thư bị chặn (đưa vào Quarantine hoặc bỏ hẳn).
LED=550 là mã trạng thái SMTP cho biết máy chủ chặn thư (kèm lý do “high confidence spam”); trạng thái tổng có thể là Quarantined (còn cứu được trong khu cách ly) hoặc Failed. Thấy SCL 9 đi cùng Drop/Quarantine là đủ khẳng định email bị bộ lọc spam của tổ chức chặn — không phải lỗi mất kết nối hay sai địa chỉ.
Bước 2 — Cho phép (trust) người gửi
“Safe Senders” trong Outlook không cứu được SCL 9
Thêm địa chỉ vào Safe Senders trong Outlook của người dùng không có tác dụng với high confidence spam bị chặn ở cấp tổ chức. Phải trust ở cấp admin bằng một trong hai cách dưới.
Cách 1 (khuyến nghị) — Tạo Mail flow rule
Chắc chắn nhất: buộc thư từ domain/địa chỉ đối tác bỏ qua bộ lọc spam của Exchange Online.
1. Đăng nhập Exchange admin center: admin.exchange.microsoft.com.
2. Vào Mail flow → Rules → Add a rule → Create a new rule.

3. Set rule conditions:
- Name: Đặt tên gợi nhớ, ví dụ “Allow đối tác tin cậy”.
- Apply this rule if → The sender → domain is → doitac.com.vn (hoặc The sender is → no-reply@doitac.com.vn nếu chỉ muốn tin cậy một địa chỉ).

- Specify domain: Khai báo tên miền của các đối tác bạn tin tưởng.

4.Do the following → Modify the message properties

5.Set the spam confidence level (SCL) → Bypass spam filtering


6. Rule mode: Chọn Enforce → Next

Từ lúc này, thư từ domain hoặc địa chỉ đã chỉ định sẽ bỏ qua bộ lọc spam và vào thẳng Inbox.

7. Mặc định, sau khi tạo, rule sẽ không được kích hoạt tự động.

8. Chọn rule vừa tạo và kích hoạt rule.

Cách 2 — Anti-spam Allow List (Defender)
1. Truy cập Microsoft Defender portal: security.microsoft.com.
2. Vào Email & collaboration → Policies & rules → Threat policies.

3. Trong trang Threat policies → Anti-spam policies.

4. Chỉnh sửa Anti-spam inbound policy (Default) cho người dùng.

5. Trong cửa sổ mở ra, chọn Edit allowed and blocked senders and domains.

6. Thêm Allowed senders: no-reply@doitac.com.vn — hoặc Allowed domains: doitac.com.vn.

Trust hẹp hay rộng?
Nếu đối tác chỉ có một hệ thống gửi, hãy trust đúng một địa chỉ (no-reply@doitac.com.vn). Nếu nhiều dịch vụ của họ đều gửi email hợp lệ, có thể trust cả domain (doitac.com.vn). Không đặt quy tắc quá rộng (bỏ qua kiểm tra cho mọi email) khi chưa xác minh được danh tính domain gửi.

Nếu vẫn bị Drop
Đã trust nhưng thư vẫn bị bỏ? Message Trace hiển thị SCL 9 + Drop đôi khi không chỉ do spam thông thường, mà còn có thể đến từ:
- High Confidence Spam — hành động riêng trong anti-spam policy.
- Anti-phishing — chính sách chống giả mạo (spoof/impersonation).
- Tenant Allow/Block List — có một mục Block đang chặn domain/địa chỉ này.
- Hoặc một Transport Rule (mail flow rule) khác đang tác động.
Để xác định chính xác nguyên nhân:
- Mở chi tiết sự kiện Drop trong Message Trace và đọc đầy đủ dòng Reason: 550 ….
- Hoặc chọn Prepare and email extended report để nhận báo cáo chi tiết rồi phân tích.
Bước 3 — Kiểm tra lại
1. Nhờ đối tác gửi lại email (hoặc chờ email định kỳ tiếp theo).
2. Chạy lại Message trace với cùng người gửi.
3. Lần này chuỗi sự kiện phải là Receive → Deliver với Status: Delivered — email đã vào Inbox.
Giải pháp triệt để
Allow-list chỉ là giải pháp tình thế phía nhận. Gốc rễ của việc email bị đánh spam thường nằm ở người gửi chưa cấu hình xác thực chuẩn. Nếu được, đề nghị đối tác kiểm tra:
- SPF — bản ghi DNS khai báo máy chủ nào được phép gửi thư thay cho domain.
- DKIM — chữ ký số chứng minh thư đúng nguồn và không bị sửa trên đường truyền.
- DMARC — chính sách xử lý khi SPF/DKIM thất bại, kèm báo cáo.
Khi ba yếu tố này đạt, email hầu như không còn bị chấm SCL cao và bạn không cần allow-list nữa — vừa an toàn hơn.
Đừng lạm dụng allow-list
Mỗi mục trust là một lỗ hổng tiềm tàng: kẻ xấu giả mạo đúng domain đã được trust sẽ vượt qua bộ lọc. Chỉ trust nguồn thật sự cần, đặt hạn rà soát, và ưu tiên sửa xác thực phía gửi.
Tóm tắt
- Email biến mất, không có cả trong Junk → nghi bị Drop do spam.
- Message Trace thấy SCL 9 kèm Drop/Quarantine (LED=550), trạng thái Failed/Quarantined — là xác nhận.
- Trust: Mail flow rule đặt SCL -1 (khuyến nghị) hoặc Anti-spam Allow List.
- Vẫn bị Drop → kiểm High Confidence Spam / Anti-phishing / Tenant Allow-Block List / Transport rule khác; đọc Reason: 550 hoặc lấy extended report.
- Kiểm lại bằng Message Trace → Delivered.
- Bền vững: đề nghị người gửi chuẩn hoá SPF / DKIM / DMARC.
