Cuando Microsoft 365 devuelve el mensaje “5.7.520 Access denied, Your organization does not allow external forwarding. AS(7555)”, suele deberse a la protección secure by default que bloquea el reenvío automático a dominios externos. Este artículo explica en detalle el origen del error y ofrece un procedimiento exhaustivo —con PowerShell incluido— para restablecer el reenvío sin comprometer la seguridad del inquilino.

Error 5.7.520 Access denied al intentar reenviar correo externo

Resumen de la incidencia

Un usuario corporativo crea una regla de Outlook o configura el reenvío automático en Configuración ▶ Correo ▶ Reenvío. Al llegar el primer mensaje, el sistema genera un NDR (Non‑Delivery Report) con el texto:

5.7.520 Access denied, Your organization does not allow external forwarding. AS(7555)

Aunque un administrador confirma que la política de reenvío “Automatic forwarding rules” está en estado On, el error persiste en todos los envíos salientes.

Causas técnicas

• Prioridad de las directivas anti‑spam. Exchange Online procesa las políticas de salida (Outbound) de mayor a menor prioridad (número menor = mayor prioridad). Si una política situada por encima de la suya está en Off o System‑controlled, anulará a las inferiores.
• Valor System‑controlled. Por diseño, Microsoft interpreta hoy ese valor como Off; es decir, bloquea el reenvío externo para reducir fugas de información. El cambio se aplicó de forma progresiva entre 2020 y 2022.
• Bloqueos adicionales. Conectores salientes, reglas de transporte, dominios remotos, etiquetas de retención o políticas de Prevención de Pérdida de Datos (DLP) también pueden impedir la entrega aún cuando la política primaria permita el reenvío.

Procedimiento recomendado

Paso	Acción	Detalle
1	Revisar la directiva de reenvío externo	Inicie sesión como Global Admin o Security Admin y navegue a Microsoft Defender portal ▶ Políticas y reglas ▶ Políticas anti‑spam ▶ Outbound ▶ Automatic forwarding rules.
2	Confirmar prioridades	Compruebe que ninguna directiva con prioridad más alta (lower number) esté en Off o System‑controlled. Si existe, edítela o bájele la prioridad.
3	Ajustar el ámbito	Verifique que el usuario, grupo o dominio afectado está dentro de la política en On. De lo contrario: • Edite la directiva existente, o • Cree una nueva directiva con prioridad alta, delimítela al usuario/grupo y active el reenvío.
4	Guardar y esperar propagación	Los cambios tardan hasta 30 min en replicarse globalmente. Espere ese plazo antes de nuevas pruebas.
5	Si el problema continúa…	• Busque mail flow rules, conectores o dominios remotos que filtren el destino. • Revise listas de bloqueo y alineación SPF/DKIM/DMARC del dominio externo. • Use Compliance center ▶ Informes ▶ Reenvío de correo para auditar eventos.

Explicación paso a paso

Revisión de políticas. Las directivas se consultan usando el cmdlet Get‑HostedOutboundSpamFilterPolicy. Ordene por Priority y confirme el campo AutoForwardingMode.

Get-HostedOutboundSpamFilterPolicy | Sort-Object Priority |
 Select-Object Name,Priority,AutoForwardingMode

Creación de una política específica. Para habilitar el reenvío solo a un usuario concreto se recomienda una política dedicada; así se evita exponer el resto del dominio. Ejemplo en PowerShell:

# Crear política
New-HostedOutboundSpamFilterPolicy -Name "Reenvio-UsuarioX" -AutoForwardingMode On

Crear ambito
New-HostedOutboundSpamFilterRule -Name "Regla-Reenvio-UsuarioX" `
 -HostedOutboundSpamFilterPolicy "Reenvio-UsuarioX" `
 -RecipientDomainIs "contoso.com" `
 -Priority 0  # Máxima prioridad

Propagación. Exchange distribuye la política a todos los centros de datos. Si el usuario prueba antes de 30 min, el bloque seguirá activo.

Ventajas y riesgos de habilitar el reenvío externo

✔ Ventajas	✖ Riesgos
• Consolidación de buzones en migraciones o fusiones. • Derivación a cuentas personales como alias temporal. • Flujos multiparte (Help Desk, CRM) que requieran copia externa.	• Superficie ampliada de pérdida de datos. • Riesgo de spam o spoofing si SPF/DKIM/DMARC no están alineados. • Posible creación involuntaria de bucles de reenvío.

Verificación y seguimiento

• Centro de cumplimiento. Informe “Reenvío de correo” muestra intentos Permitidos y Bloqueados. Filtro por Action = Blocked para validar la corrección.
• Message Trace. Busque eventos con RejectType = Policy y código 5.7.520.
• Azure AD Sign‑in logs. Identifique inicios de sesión atípicos que puedan haber modificado reglas de bandeja de entrada.
• Alertas automatizadas. Active la regla de alerta “Se detectó un cambio en la configuración de reenvío” para recibir correos cuando un usuario edite la opción sin aprobación.

Solución alternativa temporal

Si el negocio requiere el reenvío de inmediato y la política tarda en replicar, conceda al usuario el rol Mail Recipients por PowerShell y ejecute:

Set-Mailbox -Identity usuario@contoso.com -ForwardingSmtpAddress external@ejemplo.net -DeliverToMailboxAndForward $true

Una vez verificado el funcionamiento, retire el rol para no dejar privilegios permanentes.

Preguntas frecuentes (FAQ)

• ¿System‑controlled equivale a Off? Sí. Microsoft declaró en 2021 que, salvo entornos migrados, System‑controlled bloquea todo reenvío externo.
• ¿Afecta a reenvío manual? No. Reenviar desde Outlook pulsando “Reenviar” no se considera automático y no dispara la regla.
• ¿Las licencias Exchange Online Plan 1 tienen el mismo comportamiento? Sí. La característica se aplica por igual en EOP, E1, E3, E5 y Business Premium.
• ¿Cómo pruebo sin enviar correo real? Use Test‑MailFlow con un archivo EML simulado y revise el resultado en MessageTrace.
• ¿Existe API Graph para auditar? Sí. Security alerts y AuditLogs permiten extraer eventos asociados a ExternalForwarding.

Buenas prácticas para administradores

1. Habilite el reenvío solo bajo solicitud justificada y documentada.
2. Audite cada 90 días las políticas Outbound y elimine las que ya no sean necesarias.
3. Exija autenticación multifactor (MFA) a usuarios con reglas de reenvío externo.
4. Active Spoof intelligence y Mail flow insight para detectar envíos sospechosos.
5. Implemente supervisión DLP en mensajes con información sensible antes de permitir el reenvío saliente.

Consideraciones en entornos híbridos

En coexistencia Exchange Server on‑premises ↔ Exchange Online:

• Las directivas de reenvío se aplican solo a los buzones hospedados en la nube. Para buzones locales, use Set‑RemoteDomain y TransportRules en el servidor on‑premises.
• Si el buzón está migrado pero el flujo de correo sigue pasando por el servidor local, la política en línea puede no actuar. Asegúrese de que el conector híbrido marque los mensajes como internos (X‑MS‑Exchange‑Organization‑AuthAs=Anonymous) para evitar falsos positivos.

Ejemplo avanzado de script completo

# Script: enableexternalforwarding.ps1
param(
    [Parameter(Mandatory)]
    [string]$UserPrincipalName,
    [Parameter(Mandatory)]
    [string]$ExternalAddress
)

Connect-ExchangeOnline -UserPrincipalName [admin@contoso.com](mailto:admin@contoso.com)

\$policyName = "Forward-" + \$UserPrincipalName
if (-not (Get-HostedOutboundSpamFilterPolicy -Identity \$policyName -ErrorAction SilentlyContinue)) {
New-HostedOutboundSpamFilterPolicy -Name \$policyName -AutoForwardingMode On
}

if (-not (Get-HostedOutboundSpamFilterRule -Identity \$policyName -ErrorAction SilentlyContinue)) {
New-HostedOutboundSpamFilterRule -Name \$policyName `        -HostedOutboundSpamFilterPolicy $policyName`
-RecipientIs \$UserPrincipalName -Priority 0
}

Set-Mailbox -Identity \$UserPrincipalName -ForwardingSmtpAddress \$ExternalAddress -DeliverToMailboxAndForward \$true
Write-Host "Reenvío habilitado para \$UserPrincipalName a \$ExternalAddress"
Disconnect-ExchangeOnline -Confirm:\$false

El script crea una política individual, la vincula al usuario y configura el reenvío para una dirección externa específica. Aporta trazabilidad y minimiza el alcance.

Conclusiones

El error 5.7.520 no indica un fallo técnico sino una medida de seguridad predeterminada. Solucionarlo implica comprender la jerarquía de políticas anti‑spam y ajustar selectivamente los ámbitos y prioridades. Siguiendo el procedimiento de este artículo, podrá restablecer el reenvío externo sin abrir brechas de filtrado de datos y manteniendo la integridad de los ya estrictos controles de Microsoft 365.