O recurso Direct Send no Microsoft 365 permite que dispositivos, aplicações ou serviços enviem e-mails diretamente para caixas hospedadas no Exchange Online, utilizando o domínio da organização. No entanto, por não exigir autenticação, esse mecanismo pode representar um risco relevante de segurança, especialmente em cenários de spoofing e phishing .
Mesmo quando não está em uso, o Direct Send permanece habilitado por padrão em muitos ambientes, o que amplia a superfície de ataque. Por isso, é recomendável que administradores avaliem sua real necessidade e, sempre que possível, restrinjam ou desativem esse recurso para fortalecer a postura de segurança da organização.
Preparação do ambiente
Antes de aplicar qualquer alteração, é necessário instalar e conectar o módulo do Exchange Online via PowerShell:
Install-Module -Name ExchangeOnlineManagement -ForceConnect-ExchangeOnlineBloquear o Direct Send
Para reduzir riscos associados ao envio não autenticado de e-mails, é possível desabilitar o Direct Send com o seguinte comando:
Set-OrganizationConfig -RejectDirectSend $true
Essa configuração impede que mensagens sejam aceitas via Direct Send, ajudando a mitigar tentativas de falsificação de remetente e envio malicioso.
Habilitar o Direct Send (quando necessário)
Caso exista uma necessidade operacional específica — como dispositivos legados ou aplicações internas — o recurso pode ser reativado:
Set-OrganizationConfig -RejectDirectSend $falseAinda assim, recomenda-se que seu uso seja controlado e monitorado, preferencialmente combinado com outras camadas de segurança.
Verificar o status da configuração
Para confirmar se o Direct Send está habilitado ou bloqueado no tenant:
Get-OrganizationConfig | Select-Object Identity, RejectDirectSendTestar o bloqueio do Direct Send
Após a alteração, aguarde o período de propagação (aproximadamente 30 minutos). Em seguida, utilize o script abaixo para validar o comportamento:
$Mensagem = @{ To = "chesley.silva@chesley.com.br" From = "teste@chesley.com.br" Subject = "teste Envio" Body = "Enviando e-mail direto" SmtpServer = "chesley-com-br.mail.protection.outlook.com" Port = "25" UseSSL = $true}Send-MailMessage @MensagemSe o bloqueio estiver ativo, a mensagem será rejeitada, indicando que o Direct Send não está permitido para fontes não autorizadas.
550 5.7.68 TenantInboundAttribution; Direct Send not allowed for this organization from unauthorized sources.
Boas práticas adicionais
Caso a desativação completa não seja viável, uma alternativa é restringir o uso por meio de regras de fluxo de e-mail (mail flow rules), permitindo apenas IPs confiáveis. Essa abordagem ajuda a equilibrar continuidade operacional e segurança.
Além disso, sempre que possível, priorize métodos autenticados de envio (como SMTP autenticado ou conectores dedicados), que oferecem maior controle e reduzem a exposição a ataques.
Conclusão
O Direct Send pode ser útil em cenários específicos, mas seu uso sem controle adequado pode abrir brechas importantes na segurança do ambiente. Avaliar sua necessidade, limitar seu uso e aplicar controles adicionais são medidas essenciais para proteger a comunicação corporativa e reduzir riscos associados a ameaças como phishing e spoofing .