问题背景 #

按照微软的规划，他们正在推进MS365组织的“默认安全”策略，在SMTP层面全局禁用自动转发功能。但这一举措破坏了一些合理的业务场景——比如我们需要将消息源发送到邮箱的邮件自动转发到索引器这类外部服务。
目前微软似乎没有提供选择性允许向外部地址自动转发的解决方案。我尝试过在反垃圾策略中创建自定义规则，但只能按发件人来配置规则，可问题是公司大多数分析师都需要向同一个外部地址设置自动转发，按发件人配置根本不现实。邮件联系人/别名的方式也不管用。
有没有人找到过通过传输规则等方式，既能阻止Exchange Online组织外的自动转发，又能允许特定外部目标正常接收自动转发邮件的方法？

可行解决方案 #

我之前帮不少客户处理过这类场景，分享几个经过验证的方法：

1. 优先级最高的传输规则精准放行

这是最直接的方案，针对目标外部地址单独开绿灯：

• 打开Exchange管理中心（EAC）进入「邮件流」→「规则」，新建规则
• 条件：勾选「邮件被自动转发」+「收件人是[你的目标外部地址]」
• 操作：选择「修改邮件属性」→ 设置「设置SCL」为-1（SCL=-1会让邮件绕过反垃圾和自动转发限制）
• 关键配置：把这条规则的优先级设为最高，确保它在全局禁用自动转发的策略之前执行

2. 远程域配置豁免目标域名

如果你的外部索引器是整个域名都需要放行，用远程域更高效：

• 在EAC的「邮件流」→「远程域」中新建远程域，填入目标域名（比如your-indexer-service.com）
• 在配置页面找到「自动转发」选项，选择「允许自动转发」
• 这样所有发往该域名的自动转发都会被豁免，不需要逐个地址配置

3. 反垃圾策略+传输规则的组合限制

如果不想放宽全局反垃圾策略，用组合方案平衡安全和需求：

1. 先在反垃圾策略的「自动转发规则」中保持全局禁用，但添加例外：允许所有内部发件人的自动转发（这里范围看似大，但后续用传输规则收紧）
2. 新建传输规则：条件选「邮件被自动转发」+「收件人不是[目标外部地址]」，操作设为「拒绝邮件并包含说明」
   这样既能阻止大部分外部自动转发，又精准放行需要的目标地址

4. 邮件联系人+传输规则的进阶配置

你之前说邮件联系人没用，可能是配置逻辑不对：

• 先在EAC中创建一个邮件联系人，指向目标外部地址（比如命名为Indexer_Service，对应外部地址indexer@external-domain.com）
• 让员工把自动转发设置到这个内部联系人，而不是直接转发到外部地址
• 新建传输规则：当邮件被自动转发到Indexer_Service时，设置SCL为-1并允许发送
  这样Exchange会识别为内部转发请求，绕过全局的外部自动转发限制

注意事项 #

• 也可以用PowerShell执行配置，比如用New-TransportRule创建规则，Set-RemoteDomain修改远程域设置
• 配置完成后一定要多测试：用不同内部账号测试向目标地址的自动转发，同时测试向其他外部地址的转发是否被拦截
• 微软的安全策略可能会更新，建议定期检查规则是否依然生效

备注：内容来源于stack exchange，提问作者Thomas Ward