Ao tentar ativar o encaminhamento automático do Outlook (Exchange Online) para uma conta Gmail, muitos utilizadores corporativos esbarram no temido NDR “550 5.7.520 Access Denied – External Forwarding Disallowed”. Neste guia completo, explico por que o erro ocorre, como diagnosticá‑lo e todas as formas seguras de o contornar sem comprometer a segurança do Microsoft 365.
Contexto do problema
O cenário parece simples: no Outlook Web ou no cliente desktop o utilizador vai a Definições ▶ Encaminhamento (ou cria uma regra “Reencaminhar para”) e activa o envio de cópias para o Gmail. O banner “O e‑mail está a ser encaminhado para …” surge de imediato, mas nenhuma mensagem aparece no Gmail. Pouco depois, regressa um relatório de não‑entrega (NDR) com a seguinte síntese:
550 5.7.520 Access denied, Your organization doesn’t allow external forwarding
É importante notar que:
- O utilizador consegue encaminhar manualmente mensagens específicas.
- O erro surge apenas para encaminhamento total/automático.
- Não existe bloqueio no Gmail: a causa está no lado Microsoft.
Por que a Microsoft bloqueia o encaminhamento externo por predefinição?
Desde meados de 2020, a Microsoft ajustou as políticas de segurança padrão do Exchange Online para travar ameaças de BEC, phishing e exfiltração automática de dados. O encaminhamento externo constante é um vetor clássico nestes ataques: o invasor compromete uma caixa, cria uma regra que copia todos os e‑mails para um domínio pessoal e passa despercebido.
Por isso, a política Anti‑Spam Outbound (default) inclui a definição Automatic forwarding rules em Off ou Automatic – System controlled, o que resulta no NDR 550 5.7.520 sempre que o domínio de destino não faz parte do próprio inquilino.
Estados possíveis da política
| Opção | Descrição | Quando usar |
|---|---|---|
| Off (Disabled) | Bloqueia todo o encaminhamento externo automático. | Inquilinos com dados sensíveis ou sem necessidade de forwarding. |
| Automatic – System controlled | A Microsoft decide caso a caso (baseado em reputação, heurística e ML). | Boa escolha de equilíbrio entre segurança e flexibilidade. |
| On – Forwarding is enabled | Permite sempre encaminhar para qualquer domínio. | Ambientes onde o requisito de negócio se sobrepõe ao risco. |
Diagnóstico passo a passo
- Confirmar o NDR: abra o relatório e verifique se contém a assinatura 5.7.520.
- Executar um Message Trace: em Microsoft 365 Defender ▶ Email & collaboration ▶ Explorer ▶ Email filtre pela mensagem falhada. Na coluna “Event” aparecerá Fail Policy Match.
- Inspeccionar a política aplicada: clique na mensagem no Trace e verifique o campo Applied Transport Rule/Policy; deverá indicar “Anti‑Spam Outbound (Default)”.
- Verificar se há regras de transporte (mail flow rules): outra regra personalizada também pode bloquear, mas o NDR seria diferente (ex.: 5.7.1).
Com esses dados confirma‑se que o bloqueio é de facto a política de spam de saída.
Resolução: activar o encaminhamento externo
É necessário um administrador global ou de Exchange. O procedimento via interface gráfica é o mais rápido; contudo, incluo o equivalente em PowerShell para cenários de automação ou scripts de conformidade.
Via portal Microsoft 365 Defender
- Aceda a
https://security.microsoft.comcom uma conta de administrador. - Navegue até Email & collaboration ▶ Policies & rules ▶ Threat policies ▶ Anti‑Spam.
- Clique em Anti‑Spam outbound policies (Default).
- Escolha Edit protection settings.
- Em Automatic forwarding rules seleccione:
- On – Forwarding is enabled ou
- Automatic – System controlled (se preferir delegar a decisão dinâmica à Microsoft).
- Grave as alterações.
- Peça ao utilizador para reenviar alguns e‑mails ou aguarde pelo ciclo de sincronização (normalmente segundos).
Via PowerShell
Connect-ExchangeOnline Visualizar estado actual Get-HostedOutboundSpamFilterPolicy -Identity "Default" Permitir encaminhamento externo Set-HostedOutboundSpamFilterPolicy -Identity "Default" -AutoForwardingMode On
Nota: para aplicar apenas a um subconjunto de utilizadores, crie uma Outbound Spam Filter Policy nova e utilize -RecipientDomains ou grupos do Azure AD como scoping.
Garantindo segurança pós‑alteração
Quando se derruba uma barreira de segurança, é crucial compensar com monitorização e boas práticas. Eis algumas sugestões:
| Boa prática | Motivo |
|---|---|
| Manter o auto‑forward desactivado para contas de directores, finanças e RH. | Reduz o risco de BEC e exposição de dados críticos. |
| Pedir justificação de negócio para cada pedido de activação. | Documentação auxilia auditorias e investigações futuras. |
| Criar políticas direccionadas a grupos, não ao inquilino inteiro. | Segmentação minimiza a superfície de ataque. |
| Configurar alertas de Mail Forwarding no Microsoft Defender. | Permite detecção rápida de encaminhamentos inesperados. |
| Executar Message Trace mensal para contas com forward activo. | Verifica volumes anómalos de envio para domínios externos. |
FAQs – Perguntas frequentes
Desactivar a regra no Outlook resolve?
Não. A regra no Outlook apenas tenta executar o encaminhamento; quem bloqueia é o serviço Exchange Online, portanto a resolução precisa ocorrer na política.
O Gmail precisa de configuração adicional?
Não. Depois de liberado o outbound, as mensagens chegam normalmente. Se houver filtragem do lado Google (ex.: DKIM falhado), verifique cabeçalhos e SPF.
Posso permitir só para um domínio específico?
Sim. Use uma política outbound dedicada e, na secção de Recipient Domains, adicione apenas o domínio pretendido. Alternativamente, crie uma regra de transporte que reencaminhe para esse domínio antes da verificação antispam (mais complexo).
E se eu quiser bloquear o remetente original mas enviar uma cópia mascarada?
Pode usar transport rules do Exchange para reenviar com alteração de remetente ou adicionar etiquetas, mas certifique‑se de que não viola políticas de privacidade ou requisitos de arquivo legal.
Monitorização contínua e auditoria
Depois de activar o encaminhamento, recomenda‑se:
- Microsoft Purview Audit: pesquisar a operação Set-InboxRule para detectar alterações futuras em regras de encaminhamento.
- Relatórios de segurança: em Defender, utilizar o Forwarding reports para ver estatísticas e tendências.
- Alert policies: criar um alerta que dispare quando AutoForwardCreated aparecer nos logs.
Resumo
O NDR 550 5.7.520 é, na prática, um lembrete de que o encaminhamento automático externo está bloqueado por predefinição no Exchange Online como medida anti‑phishing. Para restaurar a funcionalidade, um administrador deve alterar a Anti‑Spam Outbound Policy ou criar políticas granuladas. Siga os passos descritos neste artigo, implemente controlos de monitorização e mantenha a postura de segurança da organização intacta – agora com os e‑mails a chegarem sem obstáculos ao Gmail.