Outlook.com: “postmaster/undelivered” em cada e‑mail após invasão — como parar os NDR/DSN e remover encaminhamento malicioso

Receber um e‑mail “postmaster/undelivered” para praticamente cada mensagem que chega ao Outlook.com costuma ser um efeito colateral de encaminhamento/redirect criado durante uma invasão. A boa notícia: dá para identificar e eliminar a causa em poucos minutos, reforçando a segurança.

Visão geral do problema

Depois de um incidente de segurança (ou mesmo sem perceber atividade estranha), alguns utilizadores relatam o seguinte padrão:

• A mensagem legítima chega normalmente à Caixa de Entrada.
• Logo em seguida (ou poucos segundos depois), aparece no Lixo/Spam um segundo e‑mail do postmaster informando que “a mensagem não foi entregue”.
• Outras pessoas que escreveram para você podem também receber um aviso de falha e acham que o seu e‑mail “voltou”, embora a mensagem tenha chegado.

Isso não é um recurso novo. É o que chamamos de NDR ou DSN — Non‑Delivery Report/Delivery Status Notification — disparado por um servidor ao tentar entregar uma cópia automática da sua correspondência para um destino que não aceita ou não existe.

O que realmente está a acontecer

Em quase todos os casos, há uma regra de encaminhamento (ou redirect) ativa na sua conta. Essa regra tenta enviar automaticamente uma cópia de tudo o que você recebe para outro endereço — muitas vezes um endereço controlado pelo invasor. Quando o servidor do destino rejeita ou não encontra aquele endereço, o servidor de envio devolve um postmaster undelivered. É por isso que:

• Você vê a mensagem original na Caixa de Entrada (entrega local bem‑sucedida).
• Você recebe um segundo e‑mail com falha (entrega do encaminhamento falhou).
• Em regras do tipo Redirecionar (que preservam o remetente original), quem enviou às vezes também recebe o NDR, e pensa que o seu e‑mail não chegou — mesmo tendo chegado a você.

Principais indícios no aviso do postmaster

Abra o aviso e procure por campos como Final-Recipient e Diagnostic-Code no cabeçalho técnico. É comum encontrar um domínio ou endereço que não é seu. Os códigos mais frequentes são:

Código	Significado	O que indica
550 5.1.1	Usuário desconhecido	O endereço de encaminhamento não existe
552 5.2.2	Caixa cheia	Destino lotado ou cota excedida
550/554 5.7.1	Bloqueado por política	Bloqueio por antispam/DMARC/endereços externos
5.4.x	Falha de roteamento	Domínio errado, DNS ou caminho inválido

Passo a passo no Outlook.com (web)

Faça os passos na ordem e, terminando, envie um e‑mail de teste a partir de outro endereço para validar.

1. Desativar encaminhamento
   • Abra o Outlook.com no browser e aceda às Configurações (ícone de engrenagem).
   • Clique em Ver todas as configurações do Outlook → E‑mail → Encaminhamento.
   • Desmarque “Ativar encaminhamento” e remova qualquer endereço listado.
   • Guarde as alterações.
2. Apagar regras suspeitas
   • Em E‑mail → Regras, elimine qualquer regra que contenha termos como Encaminhar, Redirecionar, Reenviar, Mover tudo que chegar ou Aplicar a todas as mensagens.
   • Verifique também regras que marquem tudo como lido, movam tudo para o Lixo/Spam ou adicionem etiquetas incomuns.
3. Revisar envios/identidades
   • Em E‑mail → Sincronizar e‑mail (ou Contas conectadas / Enviar e‑mail como): remova contas, aliases e endereços “Enviar como” que você não reconhece.
   • Desconecte POP/IMAP externos que não usa ou não reconhece.
4. Reforçar a segurança da conta Microsoft
   • Troque a palavra‑passe por uma única e forte (16+ caracteres, aleatória; gestor de senhas recomendado).
   • Ative a verificação em duas etapas (2FA) via app autenticadora.
   • Em Segurança da Conta: encerre sessões em todos os dispositivos, revogue acessos de apps desconhecidos e revise a atividade de início de sessão.
   • Atualize informações de segurança (telefone e e‑mail alternativo) e remova métodos antigos.
5. Varredura antimalware
   • Execute uma varredura completa no computador e no telemóvel. Os NDRs são gerados no servidor, mas é prudente excluir malware local.

Como confirmar que resolveu

• Envie um e‑mail de teste para si mesmo a partir de outro provedor (Gmail, Yahoo, domínio próprio, etc.).
• Se não surgir novo aviso do postmaster, o loop de NDR foi interrompido.
• Compare os NDRs antigos: se os códigos eram 5.1.1, 5.2.2 ou 5.7.1, era quase certamente o encaminhamento a falhar no destino secreto.

Por que às vezes o remetente também recebe o erro

Regras do tipo Redirecionar preservam o remetente original quando enviam a cópia. Se a cópia falhar, o NDR pode ser encaminhado ao remetente — e não a você — fazendo a pessoa acreditar que a mensagem não chegou. Para o remetente, o aviso parece “meu e‑mail voltou”; para você, a mensagem original está lá, íntegra.

Como ler o cabeçalho e identificar o destino da falha

Para acelerar o diagnóstico (ou para abrir chamado com o suporte), é útil capturar o cabeçalho completo do aviso do postmaster:

1. Abra o e‑mail do postmaster.
2. Clique nos três pontos (Mais ações) e escolha Ver origem (ou Exibir origem da mensagem).
3. Procure por linhas como Final-Recipient:, Original-Recipient:, Action: e Diagnostic-Code:.

Final-Recipient: rfc822; nome.suspeito@dominio-exemplo.net
Action: failed
Status: 5.1.1
Diagnostic-Code: smtp; 550 5.1.1 The email account that you tried to reach does not exist

O endereço após Final-Recipient costuma ser o destino configurado na sua regra. Se não reconhece, é um forte indício de regra maliciosa.

Outras causas menos comuns

• Encaminhamento no nível do servidor (contas de trabalho/escola – Microsoft 365): pode haver uma regra de transporte criada por alguém com acesso administrativo. O administrador deve verificar regras do Exchange Online, políticas de encaminhamento externo e logs.
• Conta conectada externa: se você conectou outra conta via POP/IMAP com encaminhamento próprio, a falha pode vir “de fora”. Desative o encaminhamento também nessa conta.
• Cliente de e‑mail local com regras: aplicativos como Outlook para Windows ou Mac podem ter regra de encaminhar tudo. Abra o cliente e revise as regras locais.
• Alias/endereços “Enviar como” comprometidos: se um alias foi adicionado e usado em redirecionamentos, remova‑o.

Quando envolver o suporte

• Se você desativou o encaminhamento, removeu todas as regras suspeitas e os NDRs continuam chegando, abra um chamado e anexe o cabeçalho completo de um aviso do postmaster. Os campos Final-Recipient e Diagnostic-Code revelam o destino que está a falhar.
• Em organizações (Microsoft 365), peça ao administrador para rever regras de transporte, conectores, bloqueios por política (por exemplo, proibição de encaminhamento externo) e auditorias de caixa de correio.

Checklist rápido

• Encaminhamento desativado no Outlook.com?
• Regras de caixa de entrada limpas (sem Encaminhar/Redirecionar/Reenviar)?
• Contas conectadas/alias desconhecidos removidos?
• Senha trocada e 2FA ativada?
• Sessões encerradas e apps de terceiros revogados?
• Varredura antimalware feita?
• Teste de envio concluído sem novo postmaster?

Como se proteger no futuro

• 2FA sempre ativa, preferencialmente via aplicativo autenticador em vez de SMS.
• Senhas únicas para cada serviço; use um gestor de senhas.
• Alertas de login e revisões periódicas de atividade: crie o hábito de verificar logins recentes.
• Desconfie de prompts de autenticação repetidos e não aprove solicitações push que você não iniciou.
• Higiene de dispositivos: sistema atualizado, antimalware ativo, extensões do navegador revisadas.
• Educação antiphishing: confirme URLs, evite anexos suspeitos e não digite credenciais em páginas não verificadas.

Perguntas frequentes

“Isso é um novo recurso do Outlook.com?”
Não. São notificações de falha de entrega (NDR/DSN) emitidas por servidores quando um encaminhamento automático não consegue entregar no destino.

“Por que aparece no Lixo/Spam?”
Como muitos NDRs são enviados por servidores automáticos e repetem texto genérico, alguns filtros os classificam como pouco úteis ou potencialmente indesejados, principalmente quando chegam em volume.

“E se o NDR citar DMARC/SPF/‘Policy Rejection’?”
Continua a ser efeito do encaminhamento: o servidor de destino pode rejeitar cópias por política (por exemplo, bloqueio de encaminhamento externo). A solução permanece: remover a regra e reforçar a segurança.

“Tenho certeza de que não criei encaminhamento.”
Encaminhamentos costumam ser adicionados por invasores para ler sua correspondência sem chamar atenção. Eles também podem inserir regras para ocultar os NDRs, movendo‑os para pastas pouco visíveis. Por isso é crucial revisar todas as regras e identidades.

“É vírus no meu PC?”
Raramente. O NDR nasce no servidor. Ainda assim, faça a varredura — principalmente para garantir que suas credenciais não voltem a ser capturadas.

Exemplos de regras maliciosas comuns

• “Aplicar a todas as mensagens” + Encaminhar para usuario123@dominio‑estranho.com.
• “Quando o remetente for qualquer pessoa” + Redirecionar para alias‑externo@outrodominio.net.
• “Marcar como lida e mover para Arquivo” + Encaminhar cópia (para esconder rastros).

Diagnóstico rápido com a tabela de códigos

Sintoma	Código no NDR	Próxima ação
Falha para endereço inexistente	5.1.1	Remover encaminhamento; confirmar se não há regras locais
Falha por caixa cheia	5.2.2	Remover encaminhamento; se legítimo, peça limpeza ao dono
Bloqueio por política/DMARC	5.7.1	Remover encaminhamento; em empresas, validar política com TI
Falha intermitente	4.x.x / 5.4.x	Revisar regras; possível problema no domínio de destino

Boas práticas ao abrir um chamado

• Anexe o cabeçalho completo do aviso do postmaster (não apenas a captura de ecrã).
• Informe a hora aproximada do recebimento do NDR e a hora em que a mensagem original chegou.
• Cite o endereço visto em Final-Recipient e o Diagnostic-Code.
• Liste as ações que você já executou: desativar encaminhamento, apagar regras, trocar senha e ativar 2FA.

Fluxo mental de resolução em cinco minutos

1. Abrir Configurações → E‑mail → Encaminhamento → desativar.
2. E‑mail → Regras → apagar tudo que menciona encaminhar/redirecionar/aplicar a todas.
3. E‑mail → Sincronizar/Contas conectadas → remover identidades estranhas.
4. Conta Microsoft → trocar senha, ativar 2FA, revogar sessões/apps.
5. Enviar e‑mail de teste → verificar se cessou o postmaster.

Resumo em uma linha

O problema é efeito colateral de encaminhamento/redirect criado (provavelmente) durante a invasão. Desative o encaminhamento, apague regras suspeitas e proteja a conta; isso elimina os “postmaster/undelivered” para cada e‑mail recebido.

Apêndice: termos indispensáveis, em linguagem simples

• NDR/DSN: aviso de que uma entrega falhou. Não é “o seu e‑mail que voltou”, é a cópia automática que não foi entregue.
• Encaminhar: envia cópia como “você mesmo” (remetente vira você). Costuma gerar NDRs que chegam a você.
• Redirecionar: repassa a mensagem mantendo o remetente original. Pode gerar NDR para o remetente.
• Alias: endereço adicional ligado à sua conta. Pode ser abusado em regras maliciosas.
• 2FA: segunda verificação além da senha, bloqueando uso indevido mesmo se a senha vazar.

Exemplo de mensagem de NDR “traduzida”

Subject: Undelivered Mail Returned to Sender
O servidor tentou encaminhar a sua mensagem automaticamente para "nome.suspeito@dominio-exemplo.net",
mas o destino rejeitou com 550 5.1.1 (usuário inexistente). A mensagem original para você foi entregue,
mas a cópia automática falhou. Revise suas regras de encaminhamento.

Se você administra contas de trabalho/escola

• Audite regras de transporte e caixas de correio (incluindo regras ocultas) para encaminhamentos externos.
• Considere políticas que bloqueiam encaminhamento externo por padrão e exceções sob aprovação.
• Ative registros e alertas para criação/alteração de regras de caixa.
• Implemente 2FA obrigatório, acesso condicional e alertas de risco.

---

Se você seguiu o guia e ainda recebe o “postmaster/undelivered”, o cabeçalho do aviso é a pista decisiva. Ele apontará o destino (geralmente desconhecido) que está a falhar — e isso confirma que o problema é um encaminhamento/redirect ativo em algum ponto do percurso.