"550 5.7.64 TenantAttribution" ao enviar correio externamente no Microsoft 365

• Aplica-se a:

  Exchange Online

Sintomas

Quando os utilizadores enviam correio (que é reencaminhado através do Microsoft 365) externamente, recebem a seguinte mensagem de erro:

550 5.7.64 TenantAttribution; Acesso ao Reencaminhamento Negado SMTP.

Causa

Este problema deve-se a um dos seguintes motivos:

• Utilize um conector de entrada no Microsoft 365 configurado para utilizar um certificado no local para verificar a identidade do servidor de submissão. (Este é o método recomendado. A alternativa é o endereço IP). No entanto, o certificado no local já não corresponde ao certificado especificado no Microsoft 365. Isto pode dever-se a uma alteração de configuração no local ou a um certificado novo/renovado que utiliza um nome diferente.
• O endereço IP configurado no conector do Microsoft 365 já não corresponde ao endereço IP que está a ser utilizado pelo servidor de submissão.

Resolução

Para identificar o servidor de submissão e autorizar o reencaminhamento, tem de existir um conector configurado corretamente no Microsoft 365 e o conector tem de corresponder ao servidor de submissão.

Opção 1: executar novamente o HCW para atualizar o conector de entrada (recomendado para clientes híbridos)

Execute novamente o Assistente de Configuração Híbrida (HCW) para atualizar o conector de entrada no Exchange Online. Tenha em atenção que qualquer personalização manual para uma configuração híbrida (o que é incomum) poderá ter de ser refeita após a conclusão do Assistente. Para obter informações sobre quais eram os valores do certificado do Remetente TLS e as alterações efetuadas, veja os registos do HCW. Para obter mais informações, veja Assistente de Configuração Híbrida.

1. Transfira e execute o Assistente de Configuração Híbrida a partir do centro de administração do Exchange Online.
2. Certifique-se de que o novo certificado está selecionado na página do certificado de transporte.

Quando o Assistente for concluído com êxito, o valor do TLSSenderCertificate nome deve corresponder ao certificado utilizado pelo servidor no local. As alterações podem demorar algum tempo a entrar em vigor.

Opção 2: Alterar o conector de entrada sem executar o HCW

Confirme que o novo certificado é enviado do Exchange no local para Proteção do Exchange Online (EOP) quando os utilizadores enviam correio externo. Se o novo certificado não for enviado do Exchange no local para a EOP, poderá existir um problema de configuração de certificados no local. Confirme o problema ao ativar o registo no conector de envio utilizado para encaminhar e-mails para o Microsoft 365 e verificar esses registos. Para localizar a localização dos registos do conector de envio, execute o seguinte cmdlet nos servidores de origem listados nesse conector de envio. (Aqui, partimos do princípio de que o nome do conector de envio utilizado para reencaminhamento para domínios externos através da EOP é "saída para o Microsoft 365".)

Para o Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Para o Exchange 2013 e versões posteriores

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. No registo enviar conector, pode verificar o thumbprint do certificado que é fornecido ao Exchange Online. Segue-se um exemplo de código a partir do envio de registos do conector.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. Neste momento, pode localizar o conector de entrada correspondente no Microsoft 365 e verificar se o valor do certificado corresponde. Neste exemplo, o TlsSenderCertificateName valor tem de ser definido como *.contoso.com.

   Nota

   Para reencaminhar mensagens através do Microsoft 365, o domínio do remetente ou do domínio de contoso.com tem de ser verificado no inquilino do Microsoft 365. Caso contrário, poderá ver um erro semelhante ao descrito em Sintomas, mas também um erro ATT36 explícito. (Para obter informações sobre o erro ATT36, consulte Configurar um conector baseado em certificado para reencaminhar mensagens de e-mail através do Microsoft 365.)

Mais informações

Ainda necessita de ajuda? Aceda à Comunidade Microsoft ou os fóruns do Exchange TechNet.