"550 5.7.64 TenantAttribution" quando si invia posta esternamente in Microsoft 365

• Si applica a:

  Exchange Online

Sintomi

Quando gli utenti inviano messaggi di posta elettronica (inoltrati tramite Microsoft 365) esternamente, ricevono il messaggio di errore seguente:

550 5.7.64 TenantAttribution; Smtp negato per l'accesso di inoltro.

Causa

Questo problema è dovuto a uno dei motivi seguenti:

• Si usa un connettore in ingresso in Microsoft 365 configurato per l'uso di un certificato dall'ambiente locale per verificare l'identità del server di invio. Questo è il metodo consigliato. L'alternativa è l'indirizzo IP). Tuttavia, il certificato locale non corrisponde più al certificato specificato in Microsoft 365. Ciò può essere dovuto a una modifica della configurazione locale o a un certificato nuovo/rinnovato che usa un nome diverso.
• L'indirizzo IP configurato nel connettore Microsoft 365 non corrisponde più all'indirizzo IP usato dal server di invio.

Risoluzione

Per identificare il server di invio e autorizzare l'inoltro, deve essere presente un connettore configurato correttamente in Microsoft 365 e il connettore deve corrispondere al server di invio.

Opzione 1: eseguire di nuovo HCW per aggiornare il connettore in ingresso (consigliato per i clienti ibridi)

Eseguire di nuovo la Configurazione guidata ibrida (HCW) per aggiornare il connettore in ingresso in Exchange Online. Tenere presente che qualsiasi personalizzazione manuale di una configurazione ibrida (non comune) potrebbe dover essere rieseguita al termine della procedura guidata. Per informazioni sui valori del certificato mittente TLS e sulle modifiche apportate, vedere i log di HCW. Per ulteriori informazioni, vedere Procedura guidata di configurazione ibrida.

1. Scaricare ed eseguire la Configurazione guidata ibrida dall'interfaccia di amministrazione Exchange Online.
2. Assicurarsi che il nuovo certificato sia selezionato nella pagina del certificato di trasporto.

Al termine della procedura guidata, il valore del TLSSenderCertificate nome deve corrispondere al certificato usato dal server locale. L'applicazione delle modifiche potrebbe richiedere del tempo.

Opzione 2: Modificare il connettore in ingresso senza eseguire HCW

Assicurarsi che il nuovo certificato venga inviato da Exchange locale a Exchange Online Protection (EOP) quando gli utenti inviano posta esterna. Se il nuovo certificato non viene inviato da Exchange locale a EOP, potrebbe verificarsi un problema di configurazione del certificato in locale. Verificare il problema abilitando la registrazione nel connettore di invio usato per il routing della posta a Microsoft 365 e controllando tali log. Per trovare il percorso dei log del connettore di invio, eseguire il cmdlet seguente sui server di origine elencati in tale connettore di invio. In questo caso si presuppone che il nome del connettore di invio usato per l'inoltro a domini esterni tramite EOP sia "in uscita a Microsoft 365".

Per Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Per Exchange 2013 e versioni successive

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. Nel log del connettore di invio è possibile verificare la presenza dell'identificazione personale del certificato assegnato a Exchange Online. Di seguito è riportato un esempio di codice dai log del connettore di invio.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. A questo punto, è possibile individuare il connettore in ingresso corrispondente in Microsoft 365 e verificare che il valore del certificato corrisponda. In questo esempio il TlsSenderCertificateName valore deve essere impostato su *.contoso.com.

   Nota

   Per inoltrare i messaggi tramite Microsoft 365, il dominio del mittente o del dominio di contoso.com deve essere verificato nel tenant di Microsoft 365. In caso contrario, potrebbe essere visualizzato un errore simile a quello descritto in Sintomi, ma anche un errore ATT36 esplicito. Per informazioni sull'errore ATT36, vedere Configurare un connettore basato su certificato per inoltrare i messaggi di posta elettronica tramite Microsoft 365.

Ulteriori informazioni

Ulteriore assistenza Visitare community Microsoft o forum TechNet di Exchange.