« 550 5.7.64 TenantAttribution » lors de l’envoi de messages en externe dans Microsoft 365
Symptômes
Lorsque les utilisateurs envoient des messages (qui sont relayés via Microsoft 365) en externe, ils reçoivent le message d’erreur suivant :
550 5.7.64 TenantAttribution ; Relay Access Denied SMTP.
Cause
Ce problème est dû à l’une des raisons suivantes :
- Vous utilisez un connecteur entrant dans Microsoft 365 configuré pour utiliser un certificat local pour vérifier l’identité du serveur d’envoi. (Il s’agit de la méthode recommandée. L’alternative est par adresse IP). Toutefois, le certificat local ne correspond plus au certificat spécifié dans Microsoft 365. Cela peut être dû à une modification de la configuration locale ou à un certificat nouveau/renouvelé qui utilise un autre nom.
- L’adresse IP configurée dans le connecteur Microsoft 365 ne correspond plus à l’adresse IP utilisée par le serveur d’envoi.
Résolution
Pour identifier le serveur d’envoi et autoriser le relais, il doit y avoir un connecteur configuré correctement dans Microsoft 365, et le connecteur doit correspondre au serveur d’envoi.
Option 1 : Réexécutez hcW pour mettre à jour le connecteur entrant (recommandé pour les clients hybrides)
Réexécutez l’Assistant Configuration hybride (HCW) pour mettre à jour le connecteur entrant dans Exchange Online. N’oubliez pas que toute personnalisation manuelle d’une configuration hybride (ce qui est rare) peut devoir être refaite une fois l’Assistant terminé. Pour plus d’informations sur les valeurs du certificat d’expéditeur TLS et sur les modifications apportées, consultez les journaux HCW. Pour plus d'informations, consultez la rubrique Assistant de configuration hybride.
- Téléchargez et exécutez l’Assistant Configuration hybride à partir du centre d’administration Exchange Online.
- Assurez-vous que le nouveau certificat est sélectionné dans la page certificat de transport.
Une fois l’Assistant terminé, la valeur du TLSSenderCertificate
nom doit correspondre au certificat utilisé par le serveur local. L’application des modifications peut prendre un certain temps.
Option 2 : Modifier le connecteur entrant sans exécuter HCW
Assurez-vous que le nouveau certificat est envoyé d’Exchange local à Exchange Online Protection (EOP) lorsque les utilisateurs envoient des messages externes. Si le nouveau certificat n’est pas envoyé d’Exchange local à EOP, il peut y avoir un problème de configuration de certificat local. Confirmez le problème en activant la journalisation sur le connecteur d’envoi utilisé pour le routage du courrier vers Microsoft 365 et en vérifiant ces journaux. Pour rechercher l’emplacement des journaux d’activité du connecteur d’envoi, exécutez l’applet de commande suivante sur les serveurs sources répertoriés dans ce connecteur d’envoi. (Ici, nous partons du principe que le nom du connecteur d’envoi utilisé pour le relais vers des domaines externes via EOP est « sortant vers Microsoft 365 . »)
Pour Exchange 2010
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath
Pour Exchange 2013 et versions ultérieures
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath
Dans le journal du connecteur d’envoi, vous pouvez case activée pour l’empreinte numérique du certificat fourni à Exchange Online. Voici un exemple de code à partir des journaux d’activité du connecteur d’envoi.
Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
À ce stade, vous pouvez localiser le connecteur entrant correspondant dans Microsoft 365 et vérifier que la valeur du certificat correspond. Dans cet exemple, la
TlsSenderCertificateName
valeur doit être définie sur *.contoso.com.Remarque
Pour relayer des messages via Microsoft 365, le domaine de l’expéditeur ou du domaine de contoso.com doit être vérifié dans le locataire Microsoft 365. Sinon, vous pouvez voir une erreur similaire à celle décrite dans Symptômes, mais également une erreur ATT36 explicite. (Pour plus d’informations sur l’erreur ATT36, consultez Configurer un connecteur basé sur un certificat pour relayer des messages électroniques via Microsoft 365.)
Informations supplémentaires
Encore besoin d’aide ? Accédez à Microsoft Community ou aux forums TechNet sur Exchange.