Relay SMTP

Enviar correo a través de Microsoft 365 sin asignar una licencia a un usuario

Opciones

SMTP relay (Exchange Online SMTP relay) — recomendado para impresoras/aplicaciones: no requiere buzón con licencia. Requiere un conector en Exchange Online y una IP pública estática desde la que hagas el envío. Permite enviar a destinatarios externos y tiene límites más altos que la opción 3.
Direct Send: no requiere autenticación ni licencia, pero solo entrega a buzones dentro de tu organización (no fiable para enviar a externos). Usa puerto 25 y puede necesitar cambios SPF. Útil si solo necesitas que el correo llegue a usuarios Exchange Online del mismo tenant.
SMTP client submission (smtp.office365.com, puerto 587 con TLS): requiere una cuenta con licencia y autenticación (SMTP AUTH). No sirve si no quieres licencia.
Microsoft Graph API (app-only / permisos de aplicación): una aplicación registrada puede enviar correo “en nombre de” o “como” cuentas usando permisos de aplicación (Mail.Send). Técnicamente permite envío sin usar credenciales interactivas de un usuario, pero la entrega y restricciones pueden exigir buzones existentes y configuración en el tenant (y en algunos escenarios/planes puede haber requisitos de licencia). Para controlar a qué buzones puede enviar la app, se usan Application Access Policies

En tu firewall/ISP: asegúrate de tener IP pública estática desde donde saldrá el correo.
En el Exchange admin center (o Centro de Administración de Microsoft 365): crea un Connector para correo saliente desde tu organización (On-premises → Office 365) y configúralo para aceptar conexiones desde tu IP pública. Limita el conector por IP y por dominio remitente.
Configura tu dispositivo/aplicación para conectar a tu servidor SMTP local (o directamente a Exchange Online vía conector) usando puerto 25, sin autenticación (la autenticación la realiza el conector por IP).
Actualiza SPF (añade la IP o registra apropiado) y configura DKIM/DMARC si procede para evitar que los mensajes acaben en spam.
Prueba enviando mensajes a externas e internas y revisa límites y reportes en el Centro de Seguridad/Exchange

IP pública fija de la red/aplicación/dispositivo que enviará correos.
- Esa IP será la que Microsoft 365 validará.
Dominio verificado en Microsoft 365 (por ejemplo, midominio.com).
Puerto 25 abierto en tu firewall y por tu ISP (a veces lo bloquean por spam).
Acceso al Exchange Admin Center (EAC).

Crear un conector en Exchange Online:
- Ve al Exchange Admin Center → Mail flow → Connectors.
- Click en + Add a connector.
- From: Your organization’s email server → To: Office 365.
- Dale un nombre, por ejemplo: SMTP Relay desde app/impresora.
- En la configuración, selecciona By verifying that the IP address… y pon la IP pública fija desde la que enviarás.
- Guarda y habilita el conector.
Configurar SPF en tu DNS:
- Tu registro SPF debe incluir include:spf.protection.outlook.com y tu IP pública.
- Ejemplo:
  
  v=spf1 ip4:XXX.XXX.XXX.XXX include:spf.protection.outlook.com -all
- Sustituye XXX.XXX.XXX.XXX por tu IP pública.
(Opcional pero recomendable) Habilitar DKIM y DMARC en tu dominio para mejorar la reputación.

Servidor SMTP: yourdomain-com.mail.protection.outlook.com
(ejemplo: si tu dominio es midominio.com, sería midominio-com.mail.protection.outlook.com).
Puerto: 25
Autenticación: Ninguna (se valida por IP).
Cifrado: STARTTLS (si tu equipo lo soporta, se recomienda).
Remitente (From): Usa una dirección de tu dominio verificado (aunque no exista buzón con licencia, ej. no-reply@midominio.com).

Límites de envío: hasta 10,000 destinatarios por día por organización.
Seguridad: asegúrate de que solo tu IP está autorizada en el conector, de lo contrario cualquiera podría abusar.
Reputación: aunque no uses buzón con licencia, tu dominio sigue aplicando políticas SPF/DKIM/DMARC.