Cuando un mensaje legítimo de Microsoft 365 es rechazado con el error “554 5.7.1 Service unavailable; Client host [40.107.20.x] blocked using bl.spamcop.net”, la productividad se detiene y la reputación del dominio corre peligro. A continuación encontrarás una guía completa y accionable para limpiar tu IP y evitar que el problema se repita.
Resumen del problema
Los rangos 40.107.20.0/24 pertenecen a los pools de salida de Exchange Online. Cuando SpamCop detecta picos anómalos de correo sospechoso o recibe suficientes denuncias de “spam” provenientes de cualquiera de esas IP, coloca la dirección en su lista temporal (RBL). Microsoft identifica la causa como “blocked by IP” y genera NDR 550/554 para todos los destinatarios externos que consultan la RBL. Aunque la lista suele actualizarse automáticamente en 24–48 h, permanecer en ella más tiempo daña la entregabilidad e impide la comunicación con clientes y proveedores.
Por qué ocurre la inclusión en SpamCop
- Cuentas comprometidas o phishing interno: un atacante envía malware o correo masivo desde el tenant usando credenciales robadas.
- Marketing mal segmentado: campañas a listas de contactos desactualizadas provocan un elevado índice de quejas.
- Falsificación de dominio: SPF, DKIM o DMARC mal configurados facilitan el spoofing y derivan reclamos a la IP legítima.
- Aplicaciones o dispositivos mal configurados: servidores híbridos, impresoras o CRM generan grandes volúmenes de correo con encabezados pobres o falta de autenticación.
- Uso compartido de IP: otro cliente de Microsoft con actividad dudosa puede originar la inclusión, ya que los pools son multi‑tenant.
Solución paso a paso recomendada
| Paso | Acción | Detalle clave |
|---|---|---|
| 1. Verificar la causa | 1) Confirma en SpamCop si la IP sigue listada. 2) Revisa los detalles del NDR 550/554 en el Centro de administración de Exchange (EAC) o con Message Trace. | Asegúrate de que no exista flujo de spam saliente desde tu tenant que prolongue la inclusión. |
| 2. Revisar la guía oficial | Consulta el artículo “Fix NDR 550 5.7.1 in Exchange Online” y valida SPF, DKIM, DMARC, reputación del remitente y volumen de envío. | Estos controles, si están mal configurados, provocan bloqueos en listas externas. |
| 3. Abrir un ticket con Soporte de Microsoft 365 | El administrador global crea una solicitud de servicio: Centro de administración > Soporte > Nueva solicitud (o Get support si eres partner). | El equipo de back‑end revisa telemetría, coordina la des‑lista con SpamCop y confirma que la infraestructura de Microsoft quede limpia. |
| 4. Colaborar con SpamCop si procede | Si la IP es dedicada (híbrida, SMTP relay) llena el formulario de des‑listado de SpamCop una vez corregida la causa raíz. | La lista se refresca cada 24–48 h; la petición prospera solo si cesa el flujo sospechoso. |
| 5. Mitigar futuras inclusiones | • Activa Outbound spam notifications para alertas tempranas. • Configura alertas en Defender for Office 365. • Limita envíos masivos y usa bulk sender. • Revisa políticas de antispam saliente y pon en cuarentena cuentas comprometidas. | La reputación mejora cuando el volumen, autenticación y contenido cumplen las directrices de Microsoft y de las RBL. |
Detalles ampliados por paso
Verificar la causa en profundidad
Ejecuta nslookup -type=TXT 20.107.40.40.bl.spamcop.net o usa portales de consulta RBL para confirmar la entrada. Luego rastrea envíos sospechosos en el EAC filtrando por “Outbound spam” y por la cuenta que aparece en el NDR. Analiza encabezados enviados (X‑MS‑Exchange‑Antispam‑Report) para ver puntajes CIP y SCL. Si detectas un patrón (archivos adjuntos ejecutables, URLs truncadas, lenguaje urgente), procede a resetear la contraseña y habilitar MFA.
Corroborar la configuración de autenticación
Las consultas DNS públicas deben devolver:
- SPF:
v=spf1 include:spf.protection.outlook.com -all - DKIM: dos registros CNAME “selector1” y “selector2” apuntando a
domain-key.microsoft.com - DMARC: política
p=quarantineop=rejectconruf/ruapara informes agregados y forenses
Si utilizas dominios subdelegados o servicios de terceros, extiende el SPF con include: adicionales y configura firmas DKIM independientes.
Apertura y seguimiento del ticket
Describe en el formulario de soporte:
- Fecha y hora aproximada del primer NDR
- IP afectada (ej.: 40.107.20.123)
- Errores textuales del NDR
- Medidas ya implementadas (contraseñas reiniciadas, campañas detenidas)
- Impacto empresarial (p. ej., “no podemos enviar facturación”)
Un ingeniero de Microsoft revisará los Message IDs fallidos, verificará telemetría de spam saliente y abrirá un canal interno con el equipo de entrega de correo (Mail Flow). De ser necesario, contactarán a SpamCop para acelerar la retirada.
Interacción directa con SpamCop (solo IPs dedicadas)
Accede al portal “SpamCop Blocking List” y solicita el desbloqueo indicando:
- IP
- Dominio asociado
- Acción correctiva realizada (p. ej., “cuenta X comprometida ha sido bloqueada”)
No solicites el desbloqueo antes de mitigar la fuente. SpamCop analiza nueva evidencia y rechazará peticiones repetitivas si percibe tráfico sospechoso.
Buenas prácticas continuas para proteger tu reputación
- Activar políticas de detección de envío masivo con umbrales realistas (por defecto 500 destinos/hora).
- Suscribirse a informes de seguridad diarios en Defender for Office 365.
- Aplicar la regla “Regenerate Authentication Tokens” para invalidar sesiones obsoletas tras un incidente.
- Desplegar campañas de capacitación de usuario sobre suplantación y spam.
- Configurar alertas de Cloud App Security para actividad sospechosa (geolocalización atípica, sucesos OAuth).
- Auditar registros de envío SMTP autenticado en dispositivos multifunción y ERPs; migrar a Modern Authentication o Send mail API.
- Separar el correo transaccional en un subdominio (p. ej.,
notificaciones.ejemplo.com) con su propio registro SPF para aislar reputaciones.
Errores frecuentes que prolongan el bloqueo
- Deshabilitar temporalmente SPF/DKIM para “probar” entregabilidad.
- Reenviar mensajes rechazados sin cambiar el contenido ofensivo.
- Permitir reintentos automáticos desde aplicaciones que envían miles de retries en minutos.
- Solicitar el desbloqueo varias veces sin esperar el ciclo de 24 h de SpamCop.
- No limpiar listas de contactos y seguir enviando a direcciones inactivas.
Preguntas frecuentes (FAQ)
¿La inclusión en SpamCop afecta a otros destinos además de los que consultan esta RBL?
Sí. Muchos proveedores combinan datos de varias RBL; una mala puntuación en SpamCop puede bajar la reputación a nivel global y activar filtros heurísticos.
¿Puedo solicitar una IP dedicada para evitar problemas causados por otros inquilinos?
Microsoft ofrece “Customer Dedicated IP” bajo acuerdos Enterprise; sin embargo, requiere volumen estable y cumplimiento estricto de políticas.
¿Cuánto tarda Microsoft en resolver el ticket?
El primer análisis suele completarse en menos de 8 h hábiles. El tiempo total depende de la gravedad y de la respuesta de SpamCop, pero en la mayoría de los casos la IP queda fuera en 24–48 h.
¿Qué herramientas internas ayudan a prever inclusiones futuras?
El panel “Mail flow dashboard” del EAC y el informe “Threat Protection Status” de Defender son fundamentales para vigilar picos de spam saliente y autenticación.
Conclusión
Un bloqueo de SpamCop puede parecer crítico, pero con un proceso riguroso—verificación técnica, corrección de autenticación, apertura de ticket y saneamiento de listas—la reputación de tu dominio se recupera rápidamente. Implementa controles proactivos, educa a los usuarios y supervisa de forma continua para que tus correos legítimos nunca vuelvan a ser rechazados.