¿Tu buzón de Microsoft 365 dejó de recibir correos desde Internet, pero los internos sí llegan? Aquí tienes una guía práctica y profunda para diagnosticar y resolver el problema en Exchange Online, desde comprobaciones rápidas hasta ajustes avanzados de flujo de correo, DNS y seguridad.

Síntomas y contexto

Este escenario suele presentarse así: un buzón o varios dejan de recibir mensajes de remitentes externos; algunos remitentes obtienen un NDR (Non-Delivery Report o “mensaje de no entrega”); los mensajes internos continúan funcionando; y, en ocasiones, la cuenta afectada pertenece a Outlook.com/msn sin privilegios de administración. La clave es aislar si el fallo está en el cliente, en la organización de Microsoft 365, en reglas/antispam o en el DNS del dominio.

Ruta de solución recomendada

Sigue el orden de menor a mayor complejidad. No saltes pasos: cada uno descarta una causa entera.

Aísla el problema

• Prueba en Outlook en la web (OWA). Si en OWA tampoco llega el correo, el problema no es el cliente de escritorio: está en el servidor/organización o en el DNS.
• Comprueba el alcance: ¿fallan todos los remitentes externos o solo algunos dominios/cuentas?
• Pide el NDR completo al remitente: código, mensaje y texto detallado. El NDR revela la causa exacta del rechazo (por ejemplo, autenticación, reputación, política antispam, DMARC, tamaño, etc.).

Revisa restricciones en el buzón

Con un rol de administrador de Exchange Online:

• Centro de administración de Exchange (EAC) → Destinatarios → Buzones → [buzón afectado] → Message delivery restrictions.
• Quita “Require that all senders are authenticated” si necesitas recibir desde Internet. Este ajuste, si está marcado, bloquea a todos los externos.
• Revisa Accept messages from / Reject messages from: evita listas que limiten a externos, dominios o grupos inesperados.
• En Outlook/OWA del usuario: inspecciona Reglas de bandeja de entrada, Remitentes bloqueados y Remitentes seguros. Elimina bloqueos accidentales y reglas que mueven/eliminan mensajes.

Comprueba el flujo de correo y el antispam

• EAC → Mail flow → Message trace: traza los mensajes problemáticos para ver si entran, quedan en cuarentena o se rechazan. Fíltralos por remitente, destinatario y marco temporal. Exporta el resultado para adjuntarlo a soporte si hiciera falta.
• Microsoft Defender (si está activo) → Cuarentena: libera y Reporta como seguro lo que corresponda. Observa el Reason (p. ej., Phish, High confidence spam, Bulk) para ajustar políticas.
• Reglas de transporte: valida que ninguna regla esté bloqueando externos por error (condiciones por dominio, cabeceras, tamaño o adjuntos).
• Grupos y moderación: revisa si hay moderación de mensajes o permisos “solo remitentes autenticados” en grupos/distribuciones.

Verifica el DNS del dominio (MX)

El registro MX determina a dónde se entregan los mensajes. Para Exchange Online, el MX debe apuntar al perímetro de Microsoft, con un valor que termina en .mail.protection.outlook.com (EOP).

• Si el MX apunta a un proveedor antiguo, el tráfico puede estar desviándose a ese servicio.
• Si usas un filtro de terceros (p. ej., Proofpoint, Mimecast), es normal que el MX apunte a ese filtro; en ese caso, verifica sus conectores y la ruta hacia Microsoft 365.
• Considera la propagación DNS: cambios en MX y SPF dependen del TTL; espera el tiempo de propagación antes de dar por válido un cambio.

Cuando es un remitente concreto

• Tenant Allow/Block List (TAL): revisa si el dominio/IP del remitente está bloqueado; si procede, permítelo de forma temporal para confirmar diagnóstico.
• SPF, DKIM y DMARC del remitente: solicita que validen su autenticación y que compartan el código del NDR (p. ej., 550 5.7.1, 451, 552, 553).
• Mitigación temporal: añade el remitente o su dominio a Remitentes seguros del buzón, sabiendo que no es una solución definitiva.

Cuando no eres administrador (Outlook.com/msn)

• Configuración → Correo → Correo no deseado: quita el remitente/dominio de Bloqueados y añádelo a Remitentes seguros.
• Revisa Reglas y carpetas: asegúrate de que no haya reglas moviendo o eliminando mensajes.
• Solicita el NDR al remitente: si no recibe NDR, su entrega puede estar fallando antes de llegar a Microsoft (filtros silenciosos). Pídeles validar SPF/DKIM/DMARC o que prueben desde otro dominio temporal.

Qué mirar exactamente en el registro MX

La verificación de MX es crítica porque, si está mal, no existe ajuste dentro de Microsoft 365 que arregle la recepción.

• Debe existir un MX activo (prioridad más baja: 0/10) que apunte a Exchange Online con formato tu-dominio.tld.mail.protection.outlook.com.
• No debe haber MX antiguos con igual o mayor prioridad que desvíen el correo.
• Si usas antispam externo, el MX puede apuntar a ese servicio; valida que desde ahí el enrutamiento hacia Microsoft 365 esté operativo mediante conectores.
• Cómo comprobarlo:

# Windows
nslookup -type=MX midominio.com

macOS / Linux

dig +short MX midominio.com 

En el Centro de administración de Microsoft 365, en Dominios, el dominio debe aparecer “correctamente configurado”.

Árbol de decisión express

• OWA no recibe → problema de servidor/organización o DNS.
  • Si el Message trace no ve el mensaje → mira MX/terceros.
  • Si el Message trace lo ve en cuarentena → revisa antispam/políticas.
  • Si el Message trace muestra rechazo → NDR dará el motivo (código 5.x.x; reputación; tamaño; autenticación).
• OWA sí recibe pero el cliente no → problema del cliente (modo sin conexión, perfiles, complementos, reglas locales, PST/OST, vista filtrada).

Tabla de códigos NDR habituales y acciones

Código	Mensaje típico	Interpretación	Acción recomendada
550 5.1.1	User unknown	El buzón/dirección no existe o el alias cambió.	Confirma la dirección, alias y políticas de direcciones. Revisa Accepted Domains y destinatarios.
550 5.7.1	Relaying denied / Not authorized	Política o autenticación impide la entrega.	Comprueba “Require auth”, reglas de transporte, moderación y allow/block lists. Para externos, debe estar desmarcado.
550 5.7.26	DMARC policy failure	DMARC del remitente falla y la política exige rechazo.	El remitente debe alinear SPF/DKIM con su From y corregir su DMARC. Como receptor, evita whitelists amplias.
451 4.7.650/751	Throttling/Temp block	Bloqueo temporal o reputación/volumen inusual.	Esperar y reintentar; revisar reputación, volumen y TAL.
552 5.2.3	Message too large	Supera el tamaño permitido.	Ajusta límites de tamaño en el tenant/reglas o reduce adjuntos.
554 5.7.1	Message rejected as spam	Clasificado como spam/alto riesgo.	Revisa políticas antispam, cuarentena y listas de permitidos; pide al emisor mejorar autenticación y contenido.

Controles clave en Exchange Online

Dónde	Qué revisar	Qué buscar
EAC → Destinatarios → Buzones	Message delivery restrictions	“Require that all senders are authenticated” desactivado; sin listas de rechazo a externos.
EAC → Mail flow → Rules	Reglas de transporte	Condiciones por dominio/cabeceras que bloqueen externos o pongan SCL alto.
Defender → Policies & Rules	Anti-spam/Anti-phish	Umbrales muy agresivos; cuarentenas silenciosas.
Defender → Review → Quarantine	Cuarentena	Mensajes retenidos para los usuarios afectados.
EAC → Mail flow → Message trace	Trazas	Estado: Delivered, Quarantined, Rejected; detalles de rechazo.
Microsoft 365 → Dominios	MX/SPF/DKIM/DMARC	MX a EOP o al filtro externo (correctamente enrutado); SPF alineado; DKIM habilitado.

Checklist rápida para empresa

1. OWA: ¿llegan o no?
2. Message delivery restrictions: “Require that all senders are authenticated” desmarcado; sin bloqueos en Accept/Reject.
3. Message trace y Cuarentena revisados.
4. MX correcto (*.mail.protection.outlook.com) o ruta externa válida, sin MX obsoletos.
5. Reglas de transporte y listas de bloqueo/permisos bajo control.
6. Para remitentes concretos: TAL, pedir NDR + validar SPF/DKIM/DMARC.
7. Si sigue igual: estado del servicio y caso a soporte con evidencias.

Pruebas y evidencias que aceleran el soporte

• Tres ejemplos con fecha/hora UTC, remitente y asunto (dos fallidos y uno que sí llegó).
• NDR completo del remitente, sin recortar.
• Export de Message trace (CSV/PDF) de los intentos fallidos.
• Capturas de Cuarentena con el motivo y la política aplicada.
• Registros DNS actuales (MX y SPF) y fecha de último cambio/TTL.
• Lista de reglas de transporte potencialmente involucradas.

Diagnóstico con PowerShell de Exchange Online

Si administras por PowerShell, estos comandos ayudan a identificar bloqueos y configuración relevante:

# Conectarse a Exchange Online (módulo EXO V3)
Connect-ExchangeOnline

Ver restricciones de entrega en un buzón

Get-Mailbox -Identity [usuario@midominio.com](mailto:usuario@midominio.com) | Format-List DeliverToMailboxAndForward,AcceptMessagesOnlyFrom\,RejectMessagesFrom\,RequireSenderAuthenticationEnabled

Reglas de transporte activas

Get-TransportRule | Select Name,State,Mode,Priority,Comments | Sort Priority

Ver Accepted Domains y su tipo (Authoritative/External Relay/Internal Relay)

Get-AcceptedDomain | Select Name,DomainName,DomainType

Revisar Remote Domains (p. ej., si se forzó SCL alto o se bloquea auto-respuesta)

Get-RemoteDomain | Select Name,DomainName,AllowedOOFType,ContentType,AutoReplyEnabled,AutoForwardEnabled

Límites de tamaño de mensajes (org y buzón)

Get-TransportConfig | Select MaxReceiveSize,MaxSendSize
Get-Mailbox [usuario@midominio.com](mailto:usuario@midominio.com) | Select MaxReceiveSize,MaxSendSize

Comprobar política de filtro de conexión (IP allow/block)

Get-HostedConnectionFilterPolicy | Format-List IPAllowList,IPBlockList

Comprobar listas de permitido/bloqueo a nivel de tenant

Get-TenantAllowBlockListItems -ListType Sender
Get-TenantAllowBlockListItems -ListType Domain
Get-TenantAllowBlockListItems -ListType Url
Get-TenantAllowBlockListItems -ListType FileHash

Ver si DKIM está habilitado en los dominios

Get-DkimSigningConfig | Select Domain,Enabled,RotateOnDate 

Revisión de DNS y autenticación de correo

Un dominio bien configurado minimiza falsos positivos y rechazos:

• MX: apunta a EOP (*.mail.protection.outlook.com) o a tu filtro externo legítimo.
• SPF: incluye a los remitentes autorizados (p. ej., v=spf1 include:spf.protection.outlook.com -all si solo envías desde Microsoft 365). Si envías desde terceros, agrégalos explícitamente.
• DKIM: habilita la firma para tus dominios en Microsoft 365 y rota periódicamente las claves.
• DMARC: publica una política acorde a tu madurez (p=none para observación; p=quarantine o p=reject cuando ya está todo alineado).

Nota: si un remitente externo falla DMARC y su política exige rechazo, verás códigos como 5.7.26. En ese caso, el remitente debe corregir su alineación. Evita “permitir todo” en tu tenant: resolvería el síntoma pero abriría la puerta a suplantaciones.

Errores comunes que bloquean correo externo

• “Require that all senders are authenticated” activado en el buzón, grupo o regla de transporte.
• MX obsoleto con mayor o igual prioridad que desvía el tráfico a un proveedor antiguo.
• Accepted Domain mal configurado (p. ej., “Internal Relay” cuando debía ser “Authoritative”).
• Regla de transporte agresiva que pone SCL alto o rechaza por asunto/palabras clave.
• Política antispam muy estricta sin exclusiones ajustadas, que termina en cuarentena silenciosa.
• Moderación de grupos sin moderadores activos o con bypass solo para internos.
• Límites de tamaño insuficientes para adjuntos frecuentes en la organización.

Escenarios con filtros de terceros

Si usas un servicio antispam externo delante de Microsoft 365:

• MX → Filtro externo: debe aceptar tu dominio y encaminar hacia Microsoft 365.
• Conectores: configura el conector entrante en Microsoft 365 para aceptar desde las IP/salidas del filtro.
• Allow/Block en el filtro: evita permitir por dominio genérico; prefiere autenticación (SPF/DKIM/DMARC) y reputación.
• Prueba end-to-end: envía desde fuera del filtro, verifica logs y comprueba el Message trace en Microsoft 365.

Entornos híbridos

En híbrido, el correo puede entrar por EOP y luego bajar a Exchange on-premises:

• MX en EOP: comúnmente preferido; conector de EOP hacia on-prem con TLS y certificados válidos.
• Accepted Domains: consistentes entre on-prem y nube.
• Rutas asimétricas: evita que el inbound entre por on-prem si este no está disponible o mal publicado.
• Pruebas: envíos a buzones puros en la nube vs. buzones on-prem para identificar el eslabón que falla.

Guía práctica para Message trace

1. Define el intervalo que cubra intentos fallidos (añade margen).
2. Filtra por destinatario afectado y por remitente si lo conoces.
3. Observa el “Event type” (Submit, Deliver, Expand, Fail, Quarantine).
4. Abre el detalle para revisar: RecipientStatus, Action, Message-ID, Connector, Directionality y Diagnostic code.
5. Si no hay rastro, el mensaje no tocó tu tenant: revisa MX y/o filtros previos.

Plantillas de solicitud al remitente

Cuando pidas datos al remitente que rebota, envía un mensaje como este:

Asunto: Información técnica sobre el rebote al enviar a [tu dominio]

Hola, ¿podrías compartir el NDR completo (código 5.x.x incluido), la Message-ID de tu mensaje, la fecha/hora UTC del intento y tu dominio de envío? Si es posible, también el resultado de tus validaciones SPF/DKIM/DMARC para ese mensaje. Gracias.

Buenas prácticas para prevenir recidivas

• DKIM habilitado en todos tus dominios activos y rotación periódica.
• DMARC en modo supervisión antes de aplicar cuarentena/rechazo.
• Revisiones mensuales de reglas de transporte y cuarentenas para evitar “creep de políticas”.
• Auditoría de Accepted Domains y limpieza de MX antiguos en DNS públicos.
• Documentar cambios de DNS con fecha y TTL para rastrear efectos de propagación.

Ejemplos de diagnóstico por síntoma

• Nadie externo puede enviar pero internos sí: revisa “Require auth” en el buzón/grupo, reglas que limiten a remitentes autenticados, y si el dominio está en modo Internal Relay sin rutas adecuadas.
• Un dominio específico rebota con 5.7.26: el remitente falla DMARC. Pídeles corregir alineación SPF/DKIM con el From.
• Solo llegan algunos externos y otros desaparecen: mira cuarentena y políticas; si el trace no muestra nada, revisa MX a proveedor antiguo.
• Mensajes grandes fallan con 552: aumenta límites de tamaño si el negocio lo requiere o instruye a usar vínculos/OneDrive.

Resumen accionable

• Descarta el cliente con OWA.
• Traza el mensaje. Si no aparece, revisa MX; si aparece, mira rechazo/cuarentena.
• Revisa “Require auth”, reglas y grupos.
• Confirma MX y SPF, habilita DKIM, valida DMARC.
• Para remitentes concretos: TAL, NDR y autenticación del emisor.

Nota: problemas del cliente Outlook conectando a servidores de terceros (por ejemplo, un ISP) son un caso distinto al de “no recibir correo externo en Exchange Online”. Se solucionan revisando la configuración de la cuenta/puertos/seguridad de ese proveedor o usando su webmail para descartar el cliente de escritorio.

---

Apéndice técnico

Tabla de verificación de DNS

Registro	Ejemplo	Objetivo	Errores típicos
MX	midominio.com. 0 tu-dominio.tld.mail.protection.outlook.com.	Dirigir el correo entrante al perímetro correcto.	MX antiguo con igual/mayor prioridad; CNAME en lugar de MX; faltan puntos finales.
SPF (TXT)	v=spf1 include:spf.protection.outlook.com -all	Autorizar los orígenes de envío legítimos.	Múltiples SPF; uso de ~all sin control; falta de terceros legítimos.
DKIM (CNAME)	selector1.domainkey → selector1-tu-dominio.domainkey.tu-dominio.onmicrosoft.com	Firmar salientes para autenticidad de dominio.	Registro incompleto; selector no publicado; DKIM deshabilitado en M365.
DMARC (TXT)	v=DMARC1; p=none; rua=mailto:dmarc@midominio.com	Política y telemetría de autenticación.	Ausente; políticas estrictas sin alineación previa; sin RUA/RUF.

Comandos útiles para comparar cambios de DNS

# Consultar múltiples resolvers (ejecutar desde distintas ubicaciones si es posible)
nslookup -type=MX midominio.com 1.1.1.1
nslookup -type=MX midominio.com 8.8.8.8
nslookup -type=TXT midominio.com 8.8.4.4

Validar tamaño máximo de mensajes desde PowerShell (org)

Get-TransportConfig | fl MaxReceiveSize,MaxSendSize

Ver usuarios con “RequireSenderAuthenticationEnabled”

Get-Mailbox -ResultSize Unlimited | Where {$\_.RequireSenderAuthenticationEnabled -eq \$true} | Select UserPrincipalName 

Guía de buenas prácticas al ajustar políticas

• Sube umbrales de spam de forma gradual y monitoriza cuarentenas.
• Evita whitelists permanentes por dominio; prioriza autenticación y reputación.
• Documenta cada cambio (quién, qué, cuándo, por qué) y conserva “antes/después”.
• Programa auditorías trimestrales de reglas y conectores.

Cierre

La resolución de “no recibo correos externos” en Microsoft 365 pasa por comprobar primero OWA, usar Message trace y cuarentena para localizar el destino del mensaje, y después validar restricciones, reglas y DNS. Con una estrategia ordenada, el 90% de los casos se resuelve sin abrir soporte; el resto se acelera si aportas evidencias claras.

---

FAQ condensada

• ¿Dónde miro primero? OWA y Message trace.
• ¿Qué debe decir mi MX? Debe apuntar a *.mail.protection.outlook.com o a tu filtro externo con ruta correcta a M365.
• ¿Por qué algunos externos sí y otros no? Cuarentena/políticas, reglas de transporte o autenticación fallida del remitente.
• ¿Puedo “permitir” todo temporalmente? Solo para aislar, con alcance limitado y plazo corto. Corrige la causa de fondo.