"550 5.7.64 TenantAttribution" при отправке почты извне в Microsoft 365

• Применяется к:

  Exchange Online

Симптомы

Когда пользователи отправляют почту (которая ретранслируется через Microsoft 365) извне, они получают следующее сообщение об ошибке:

550 5.7.64 TenantAttribution; Ретранслятор доступ запрещен SMTP.

Причина

Эта проблема связана с одной из следующих причин:

• В Microsoft 365 используется входящий соединитель, настроенный для проверки удостоверения отправляющего сервера с помощью локального сертификата. (Это рекомендуемый метод. Альтернатива — по IP-адресу). Однако локальный сертификат больше не соответствует сертификату, указанному в Microsoft 365. Это может быть вызвано изменением конфигурации в локальной среде или новым или обновленным сертификатом, использующим другое имя.
• IP-адрес, настроенный в соединителе Microsoft 365, больше не соответствует IP-адресу, используемому отправляющим сервером.

Разрешение

Чтобы определить отправляющий сервер и ретранслятор авторизации, должен быть соединитель, правильно настроенный в Microsoft 365, и соединитель должен соответствовать серверу отправки.

Вариант 1. Повторно запустите HCW, чтобы обновить входящий соединитель (рекомендуется для гибридных клиентов)

Повторно запустите мастер гибридной конфигурации (HCW), чтобы обновить входящий соединитель в Exchange Online. Имейте в виду, что после завершения работы мастера может потребоваться переделать любую ручную настройку гибридной конфигурации (которая является редкой). Сведения о значениях сертификата отправителя TLS и внесенных изменениях см. в журналах HCW. Дополнительные сведения см. в разделе Мастер гибридной конфигурации.

1. Скачайте и запустите мастер гибридной конфигурации из Центра администрирования Exchange Online.
2. Убедитесь, что на странице сертификата транспорта выбран новый сертификат.

После успешного завершения работы мастера значение TLSSenderCertificate имени должно соответствовать сертификату, используемому локальным сервером. Внесение изменений в силу может занять некоторое время.

Вариант 2. Изменение входящего соединителя без запуска HCW

Убедитесь, что новый сертификат отправляется из локальной службы Exchange в Exchange Online Protection (EOP), когда пользователи отправляют внешнюю почту. Если новый сертификат не отправляется из локальной службы Exchange в EOP, может возникнуть проблема с конфигурацией сертификата в локальной среде. Подтвердите проблему, включив ведение журнала в соединителе отправки, используемом для маршрутизации почты в Microsoft 365, и проверив эти журналы. Чтобы найти расположение журналов соединителя отправки, выполните следующий командлет на исходных серверах, перечисленных в этом соединителе отправки. (Здесь предполагается, что имя соединителя отправки, используемое для ретрансляции во внешние домены через EOP, — "исходящий в Microsoft 365.")

Для Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Для Exchange 2013 и более поздних версий

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. В журнале отправки соединителя можно проверка отпечаток сертификата, который предоставляется Exchange Online. Ниже приведен пример кода из отправки журналов соединителя.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. На этом этапе можно найти соответствующий входящий соединитель в Microsoft 365 и убедиться, что значение сертификата совпадает. В этом примере TlsSenderCertificateName необходимо задать значение *.contoso.com.

   Примечание.

   Для ретрансляции сообщений через Microsoft 365 домен отправителя или домен contoso.com должен быть проверен в клиенте Microsoft 365. В противном случае может появиться ошибка, аналогичная описанной в разделе Симптомы, но и явная ошибка ATT36. (Сведения об ошибке ATT36 см. в статье Настройка соединителя на основе сертификата для ретрансляции сообщений электронной почты через Microsoft 365.)

Дополнительная информация

Требуется дополнительная помощь? Обратитесь в сообщество Майкрософт или на форумы Exchange TechNet.