No recibes en Gmail los correos que tu buzón de Outlook debería reenviar de forma automática? El informe de entrega menciona “Access denied, Your organization does not allow external forwarding” y el código de error 550 5.7.520? Tranquilo: no es un fallo de Outlook, sino una medida de protección en Microsoft 365 que puedes ajustar con los permisos correctos.
Motivo del rechazo de reenvío externo
Desde 2020 Microsoft protege de forma predeterminada a todos los tenants de Microsoft 365 contra filtraciones y campañas de phishing deshabilitando el reenvío automático a dominios externos. Cuando el sistema detecta que una regla de Outlook intenta reenviar fuera de la organización, detiene el mensaje en el perímetro y genera un Non‑Delivery Report con el código de diagnóstico 550 5.7.520. El rechazo ocurre antes de que el mensaje sea aceptado por Gmail, por lo que no aparece en la carpeta Spam ni en la Papelera; simplemente nunca abandona el centro de datos de Microsoft. Esta lógica se aplica tanto a reglas creadas por el usuario en Outlook como a reenvíos configurados por un administrador en el Centro de administración de Exchange.
Cómo comprobar que no es un problema del cliente de correo
- Envía un mensaje normal desde la misma cuenta de Outlook a Gmail. Si llega, la conectividad SMTP/IMAP no está bloqueada y la restricción es selectiva.
- Crea una nueva regla de reenvío a otro buzón interno (@tu‑empresa.com). Verás que funciona, lo que confirma que el gatillo de seguridad salta solo ante dominios externos.
- Solicita al administrador un Message Trace (Seguimiento de mensajes) o consulta tú mismo si tienes permisos: Centro de administración de Exchange → Flujo de correo → Seguimiento de mensajes → Resultado “Failed” con el evento “Policy block – Auto forwarding”.
Ruta exacta para ajustar la directiva de reenvío en Microsoft 365 Defender
Necesitas derechos de Global Admin o Security Admin. El cambio tarda normalmente menos de cinco minutos en propagarse.
- Accede a Microsoft 365 Defender y abre Email & collaboration.
- En el panel izquierdo selecciona Policies & rules → Threat policies → Anti‑Spam.
- En la sección Anti‑Spam outbound policies (Default) pulsa en Edit protection settings.
- Busca Automatic forwarding rules y elige la opción que mejor encaje
- On – Forwarding is enabled: habilita cualquier reenvío externo. Es la vía más rápida, pero también la menos restrictiva.
- Automatic – System‑controlled: deja la decisión a la IA de Microsoft; solo bloquea patrones que identifique como riesgo.
- Off – Forwarding is disabled: valor predeterminado en la mayoría de tenants nuevos.
- Guarda los cambios y comunica al usuario que pruebe de nuevo (o reactiva tú la regla en el Portal de Outlook).
Comparativa rápida de las tres opciones
| Estado | Permite reenvío externo | Nivel de riesgo | Escenario aconsejado |
|---|---|---|---|
| Off | No | Mínimo | Empresas con datos muy sensibles, sin necesidad operativa de reenvío |
| Automatic | Sí, con análisis | Bajo‑medio | Organizaciones que desean equilibrio entre usabilidad y protección |
| On | Sí, sin filtros | Alto | Caso de uso claro y supervisión continua |
Buenas prácticas antes de abrir el grifo
- Documenta la excepción: deja constancia de quién la solicita y por qué. En auditorías de cumplimiento será la primera pregunta.
- Limita por dominio si es posible: crea un Mail Flow Rule (“Transport rule”) que solo permita reenvío automático hacia
gmail.como a direcciones concretas. - Monitoriza actividad: en Defender → Reports → Email & collaboration → Auto‑forwarded messages encontrarás gráficos de tendencia y destinatarios externos frecuentes.
- Activa autenticación multifactor: la mayoría de filtraciones de correo ocurren tras comprometer una cuenta con MFA deshabilitado.
- Establece caducidad: si el reenvío es temporal (por ejemplo, un proyecto con un proveedor) marca en tu CMDB la fecha de revisión o añade un recordatorio en Planner.
Procedimiento alternativo sin tocar la directiva global
Si el equipo de seguridad se opone a cambiar la política predeterminada, existen dos caminos que cumplen el mismo fin:
- Crear un grupo de destinatarios de confianza y asignarle una excepción en la política Anti‑Spam. Solo las cuentas miembros podrán reenviar externamente.
- Usar Transport Rules para redirigir mensajes salientes a un conector SMTP externo. Configuras la lógica “si remitente = Usuario X y destinatario externo = Dirección Y → redirigir a smarthost”.
Ambas opciones exigen más mantenimiento, pero reducen la superficie de ataque.
Preguntas frecuentes de administradores y usuarios
¿Necesito licencias adicionales para cambiar esta configuración?
No. Forma parte de los planes Exchange Online Plan 1 y superiores, y de cualquier suite Microsoft 365 Business o Enterprise.
¿La opción “Automatic – System‑controlled” envía datos a Microsoft?
El análisis se realiza en la misma infraestructura donde ya se procesan antispam y antimalware. No se transfieren mensajes completos fuera del tenant.
¿Qué ocurre con el reenvío configurado desde un buzón compartido?
Las reglas en buzones compartidos se someten al mismo filtrado. Si la organización bloquea, tampoco saldrán.
¿Puedo habilitar el reenvío únicamente para un dominio asociado, por ejemplo @filial.com?
Sí. Crea una nueva Outbound Spam Policy con ámbito “Domain”, marca On y aplica‑la solo al dominio deseado.
¿Cuánto tarda en propagarse el cambio?
La experiencia habitual es de dos a cinco minutos. Casos aislados pueden requerir hasta una hora por replicación en centros de datos.
Pasos de verificación tras el cambio
- Vuelve a habilitar la regla en Outlook (Configuración → Reenviar correo) o crea una nueva.
- Envía un correo de prueba y comprueba que llega a Gmail. Si no aparece, mira la carpeta Spam y la de Promotions.
- Garantiza que el encabezado
X‑MS‑Exchange‑Organization‑AuthAsseaInternal; indica que el sistema no ha alterado la autenticidad. - Verifica en el Message Trace que el mensaje termina con el evento “Send”.
Scripts de PowerShell útiles
Para administradores avanzados, estas líneas ayudan a automatizar la comprobación:
# Verificar configuración global
Get-HostedOutboundSpamFilterPolicy |
Select-Object Name, AutoForwardingMode
Activar reenvío en modo automático
Set-HostedOutboundSpamFilterPolicy -Identity "Default" \`
-AutoForwardingMode Automatic
Listar usuarios con reglas de reenvío activas
Get-Mailbox -ResultSize Unlimited |
Where-Object {($\_ | Get-InboxRule).ForwardTo -ne \$null} |
Select-Object PrimarySmtpAddress Cómo monitorizar el riesgo tras habilitar reenvío
El hecho de permitir la salida de mensajes fuera del perímetro corporativo abre una potencial vía de fuga de información, por lo que conviene:
- Revisar el informe “Auto‑forwarded messages” al menos una vez por semana.
- Activar alertas de actividad inusual en Defender → Alerts → Alert policy para cualquier pico en reenvíos.
- Integrar los logs con Sentinel o el SIEM que uses: el conector “Office 365” incluye la señal MailSubmission con el campo
ForwardingSmtpAddress. - Educar al usuario sobre la responsabilidad de custodiar correos con datos personales si terminan en una cuenta Gmail no gestionada.
Conclusiones
El bloqueo con código 550 5.7.520 no indica un error de configuración en Outlook ni un problema con Gmail, sino la aplicación estricta de una directiva de seguridad. Ajustar la política de reenvío en Microsoft 365 Defender—bien de forma global, bien mediante reglas específicas—resuelve el síntoma en pocos minutos. No obstante, cada organización debe valorar el equilibrio entre productividad y riesgo antes de abrir por completo el reenvío automático.
Con los pasos y recomendaciones anteriores dispones de un procedimiento claro, repetible y alineado con las buenas prácticas de Microsoft para permitir el reenvío solo cuando sea realmente necesario y con la visibilidad adecuada.