"550 5.7.64 TenantAttribution" når du sender e-post eksternt i Microsoft 365

• Gjelder for:

  Exchange Online

Symptomer

Når brukere sender e-post (som videresendes ut via Microsoft 365) eksternt, får de følgende feilmelding:

550 5.7.64 TenantAttribution; Videresendingstilgang nektet SMTP.

Årsak

Dette problemet skyldes én av følgende årsaker:

• Du bruker en inngående kobling i Microsoft 365 som er konfigurert til å bruke et sertifikat lokalt for å bekrefte identiteten til innsendingsserveren. (Dette er den anbefalte metoden. Alternativet er etter IP-adresse). Sertifikatet lokalt samsvarer imidlertid ikke lenger med sertifikatet som er angitt i Microsoft 365. Dette kan skyldes en konfigurasjonsendring lokalt eller et nytt/fornyet sertifikat som bruker et annet navn.
• IP-adressen som er konfigurert i Microsoft 365-koblingen, samsvarer ikke lenger med IP-adressen som brukes av innsendingsserveren.

Løsning

Hvis du vil identifisere serveren og godkjenne videresending, må det være en kobling som er riktig konfigurert i Microsoft 365, og koblingen må samsvare med innsendingsserveren.

Alternativ 1: Kjør HCW på nytt for å oppdatere den inngående koblingen (anbefales for hybridkunder)

Kjør veiviseren for hybridkonfigurasjon på nytt (HCW) for å oppdatere den inngående koblingen i Exchange Online. Vær oppmerksom på at eventuelle manuelle tilpassinger av en hybridkonfigurasjon (noe som er uvanlig) må gjøres om etter at veiviseren er fullført. Hvis du vil ha informasjon om hva verdiene for TLS-avsendersertifikatet var og endringer som er gjort, kan du se HCW-loggene. Hvis du vil ha mer informasjon, kan du se veiviseren for hybridkonfigurasjon.

1. Last ned og kjør veiviseren for hybridkonfigurasjon fra administrasjonssenteret for Exchange Online.
2. Kontroller at det nye sertifikatet er valgt på transportsertifikatsiden.

Når veiviseren er fullført, skal verdien for TLSSenderCertificate navnet samsvare med sertifikatet som brukes av den lokale serveren. Det kan ta litt tid før endringer trer i kraft.

Alternativ 2: Endre den inngående koblingen uten å kjøre HCW

Kontroller at det nye sertifikatet sendes fra lokal Exchange til Exchange Online Protection (EOP) når brukere sender ekstern e-post. Hvis det nye sertifikatet ikke sendes fra lokal Exchange til EOP, kan det være et sertifikatkonfigurasjonsproblem lokalt. Bekreft problemet ved å aktivere logging på send-koblingen som brukes til å rute e-post til Microsoft 365 og kontrollere disse loggene. Hvis du vil finne plasseringen til send koblingsloggene, kjører du følgende cmdlet mot kildeserverne som er oppført i send-koblingen. (Her antar vi at send koblingsnavnet som brukes til videresending til eksterne domener via EOP, er «utgående til Microsoft 365».)

For Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

For Exchange 2013 og nyere versjoner

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. I loggen for send kobling kan du se etter avtrykket for sertifikatet som er gitt til Exchange Online. Følgende er et kodeeksempel fra send koblingslogger.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. På dette tidspunktet kan du finne den samsvarende inngående koblingen i Microsoft 365 og bekrefte at sertifikatverdien samsvarer. I dette eksemplet TlsSenderCertificateName må verdien settes til *.contoso.com.

   Obs!

   Hvis du vil videresende meldinger via Microsoft 365, må domenet til avsenderen eller domenet til contoso.com bekreftes i Microsoft 365-leieren. Ellers kan du se en feil som ligner på den som er beskrevet i Symptomer, men også en eksplisitt ATT36-feil. (Hvis du vil ha informasjon om ATT36-feilen, kan du se Konfigurere en sertifikatbasert kobling til å videresende e-postmeldinger via Microsoft 365.)

Mer informasjon

Trenger du fremdeles hjelp? Gå til Microsoft Community eller Exchange TechNet-forumer.