Como Habilitar ou Bloquear o Envio Direto no Microsoft 365: Reforçando a Segurança no Exchange Online

Publicado em por chesleysilva

O recurso Envio Direto (Direct Send) está habilitado por padrão em todos os locatários do Microsoft 365, inclusive naqueles que não utilizam esse método para envio de e-mails. Embora o Envio Direto exija configuração prévia para funcionar corretamente, sua simples disponibilidade representa um risco potencial à postura de segurança do Exchange Online.

Neste artigo, você vai aprender como verificar, habilitar ou bloquear o Envio Direto via PowerShell e entender por que essa configuração é essencial para proteger sua organização contra envio não autorizado e spoofing interno.

  1. 📧 O que é Envio Direto no Microsoft 365?
  2. 🛡️ Por que o Envio Direto representa um risco?
  3. 🧰 Requisitos e pré-requisitos
  4. 🚫 Como bloquear o Envio Direto no Microsoft 365
  5. ✅ Como permitir o Envio Direto no Microsoft 365
  6. 🔍 Verificando o status atual do Envio Direto
  7. 🧪 Testando a rejeição do Envio Direto
  8. ✅ Conclusão e boas práticas

📧 O que é Envio Direto no Microsoft 365?

O Envio Direto é um método usado para enviar e-mails diretamente para caixas de correio hospedadas no Exchange Online a partir de:

  • Dispositivos locais (como scanners ou impressoras multifuncionais);
  • Aplicações on-premises legadas;
  • Serviços de terceiros hospedados na nuvem.

Esse envio é feito sem autenticação SMTP, utilizando o próprio domínio aceito do locatário — o que imita mensagens anônimas recebidas da internet.

Embora o Envio Direto tenha aplicações válidas, como dispositivos que não suportam autenticação moderna (Modern Auth), ele pode ser explorado para spoofing interno, envio não autorizado de e-mails ou facilitar movimentações laterais de ataques.

🛡️ Por que o Envio Direto representa um risco?

Quando habilitado, o Envio Direto permite que qualquer sistema envie e-mails em nome do seu domínio sem autenticação. Isso pode resultar em:

  • Entrega de mensagens forjadas (spoofing);
  • Falhas no SPF/DKIM/DMARC, prejudicando a reputação do domínio;
  • Bypass de políticas de autenticação e antispam;
  • Dificuldade de rastreabilidade e auditoria.

Portanto, organizações que não dependem do Envio Direto devem bloqueá-lo proativamente para manter uma superfície de ataque reduzida.

🧰 Requisitos e pré-requisitos

Antes de começar, instale o módulo Exchange Online PowerShell:

Install-Module -Name ExchangeOnlineManagement -Force

Conecte-se ao Exchange Online: 

Connect-ExchangeOnline

🚫 Como bloquear o Envio Direto no Microsoft 365

Utilize o comando abaixo para rejeitar mensagens enviadas via Envio Direto:

Set-OrganizationConfig -RejectDirectSend $true

Essa ação força o Exchange Online a rejeitar qualquer tentativa de Envio Direto não autorizado, aumentando sua segurança.

✅ Como permitir o Envio Direto no Microsoft 365

Se sua organização depende deste método por necessidade técnica, você pode reativá-lo com:

Set-OrganizationConfig -RejectDirectSend $false

⚠️ Importante: ao permitir o Envio Direto, avalie controles complementares como IPs confiáveis e regras no Exchange Transport.

🔍 Verificando o status atual do Envio Direto

Para verificar se o recurso está ativo ou bloqueado:

Get-OrganizationConfig | Select-Object Identity, RejectDirectSend

Saída esperada:

Identity RejectDirectSend
-------- ----------------
chesley.com.br  True





🧪 Testando a rejeição do Envio Direto





A propagação da política pode levar até 30 minutos. Após esse tempo, você pode testar se o envio foi corretamente bloqueado com o seguinte script:





powershellCopiarEditar$EmailMessage = @{
    To         = "usuario@seudominio.com"
    From       = "spoofado@seudominio.com"
    Subject    = "Teste de envio direto"
    Body       = "Mensagem de teste para validar o bloqueio de Envio Direto"
    SmtpServer = "seudominio-com.mail.protection.outlook.com"
    Port       = "25"
    UseSSL     = $true
}

Send-MailMessage @EmailMessage






Erro esperado ao bloquear:





550 5.7.68 TenantInboundAttribution; Direct Send not allowed for this organization from unauthorized sources.






✅ Conclusão e boas práticas





O Envio Direto deve ser habilitado apenas quando necessário e com controles adicionais de segurança. Se a sua organização não utiliza esse método de envio, é altamente recomendável bloquear o recurso para evitar riscos desnecessários.





🔒 Boas práticas:





    

  • Mantenha o RejectDirectSend ativado (True);
    • 




  • Implemente autenticação moderna e TLS para todos os dispositivos e sistemas de envio;
    • 




  • Use a retransmissão SMTP autenticada via smtp.office365.com quando possível;
    • 




  • Monitore logs de envio e eventos suspeitos no Microsoft Defender for Office 365.
    • 






A Microsoft já anunciou que o recurso Rejeitar Envio Direto será ativado por padrão em locatários recém-criados. Contudo, locatários mais antigos ainda precisam configurá-lo manualmente.





💬 Quer saber mais sobre como proteger seu ambiente Microsoft 365? Continue acompanhando os artigos aqui no chesley.com.br e compartilhe com sua equipe de segurança!






			


	



			
	
			


			



	
	
	
		

		
Deixe um comentário