"550 5.7.64 TenantAttribution" při externím odesílání pošty v Microsoft 365

• Platí pro:

  Exchange Online

Příznaky

Když uživatelé posílají poštu (která se předává přes Microsoft 365) externě, zobrazí se jim následující chybová zpráva:

550 5.7.64 TenantAttribution; Protokol SMTP byl odepřen přístup k přenosu.

Příčina

Příčinou tohoto problému je jeden z následujících důvodů:

• V Microsoftu 365 použijete příchozí konektor, který je nakonfigurovaný tak, aby k ověření identity odesílajícího serveru používal certifikát z místního prostředí. (Toto je doporučená metoda. Alternativou je IP adresa). Místní certifikát už ale neodpovídá certifikátu zadanému v Microsoftu 365. Příčinou může být místní změna konfigurace nebo nový/obnovený certifikát, který používá jiný název.
• IP adresa nakonfigurovaná v konektoru Microsoft 365 už neodpovídá IP adrese používané odesílajícím serverem.

Řešení

K identifikaci odesílajícího serveru a autorizaci přenosu musí existovat správně nakonfigurovaný konektor v Microsoftu 365 a konektor musí odpovídat odesílajícímu serveru.

Možnost 1: Znovu spusťte HCW a aktualizujte příchozí konektor (doporučeno pro hybridní zákazníky)

Znovu spusťte Průvodce hybridní konfigurací (HCW) a aktualizujte příchozí konektor v Exchange Online. Mějte na paměti, že jakékoli ruční přizpůsobení hybridní konfigurace (což je neobvyklé) může být nutné znovu provést po dokončení průvodce. Informace o hodnotách certifikátu odesílatele TLS a provedených změnách najdete v protokolech HCW. Další informace najdete v průvodci hybridní konfigurací.

1. Stáhněte a spusťte Průvodce hybridní konfigurací z Centra pro správu Exchange Online.
2. Ujistěte se, že je na stránce transportní certifikát vybraný nový certifikát.

Po úspěšném dokončení průvodce by se hodnota názvu TLSSenderCertificate měla shodovat s certifikátem používaným místním serverem. Změny se můžou nějakou dobu projevit.

Možnost 2: Změna příchozího konektoru bez spuštění HCW

Ujistěte se, že se nový certifikát odesílá z místního Exchange do Exchange Online Protection (EOP), když uživatelé odesílají externí poštu. Pokud se nový certifikát neodesílají z místního Exchange do EOP, může dojít k problému s konfigurací certifikátu v místním prostředí. Potvrďte problém tím, že povolíte protokolování na konektoru pro odesílání, který se používá ke směrování pošty do Microsoftu 365, a zkontrolujte tyto protokoly. Pokud chcete zjistit umístění protokolů odesílaného konektoru, spusťte následující rutinu na zdrojových serverech, které jsou uvedené v tomto konektoru pro odesílání. (Tady předpokládáme, že název konektoru pro odesílání, který se používá pro přenos do externích domén prostřednictvím EOP, je odchozí do Microsoftu 365.)

Pro Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Pro Exchange 2013 a novější verze

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. V protokolu odeslání konektoru můžete zkontrolovat kryptografický otisk certifikátu, který se předá Exchange Online. Následuje příklad kódu z odesílání protokolů konektoru.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. V tomto okamžiku můžete najít odpovídající příchozí konektor v Microsoftu 365 a ověřit, že hodnota certifikátu odpovídá. V tomto příkladu TlsSenderCertificateName musí být hodnota nastavena na *.contoso.com.

   Poznámka

   Pokud chcete předávat zprávy přes Microsoft 365, musí být doména odesílatele nebo doména contoso.com ověřená v tenantovi Microsoftu 365. V opačném případě se může zobrazit chyba podobná té, která je popsaná v části Příznaky, ale také explicitní chyba ATT36. (Informace o chybě ATT36 najdete v tématu Konfigurace konektoru založeného na certifikátech pro předávání e-mailových zpráv přes Microsoft 365.)

Další informace

Stále potřebujete pomoc? Přejděte na Komunita Microsoft nebo ExchangeTechNet fórum.