"550 5.7.64 TenantAttribution" när du skickar e-post externt i Microsoft 365

• Gäller för:

  Exchange Online

Symptom

När användarna skickar e-post (som vidarebefordras via Microsoft 365) externt får de följande felmeddelande:

550 5.7.64 TenantAttribution; Reläåtkomst nekad SMTP.

Orsak

Det här problemet beror på någon av följande orsaker:

• Du använder en inkommande anslutningsapp i Microsoft 365 som är konfigurerad för att använda ett certifikat från en lokal plats för att verifiera identiteten för den skickande servern. (Det här är den rekommenderade metoden. Alternativet är per IP-adress). Certifikatet lokalt matchar dock inte längre certifikatet som anges i Microsoft 365. Detta kan bero på en lokal konfigurationsändring eller ett nytt/förnyat certifikat som använder ett annat namn.
• IP-adressen som konfigureras i Microsoft 365-anslutningsappen matchar inte längre den IP-adress som används av den skickande servern.

Åtgärd

För att identifiera den sändande servern och auktorisera reläet måste det finnas en anslutningsapp som är korrekt konfigurerad i Microsoft 365 och anslutningsappen måste matcha den sändande servern.

Alternativ 1: Kör HCW igen för att uppdatera den inkommande anslutningsappen (rekommenderas för hybridkunder)

Kör hybridkonfigurationsguiden (HCW) igen för att uppdatera den inkommande anslutningsappen i Exchange Online. Tänk på att manuell anpassning till en hybridkonfiguration (vilket är ovanligt) kan behöva göras om när guiden är klar. Information om vad värdena för TLS-avsändarcertifikatet var och vilka ändringar som görs finns i HCW-loggarna. Mer information finns i guiden Hybridkonfiguration.

1. Ladda ned och kör hybridkonfigurationsguiden från Exchange Online administrationscenter.
2. Kontrollera att det nya certifikatet är markerat på sidan transportcertifikat.

När guiden har slutförts ska värdet för TLSSenderCertificate namnet matcha certifikatet som används av den lokala servern. Det kan ta en stund innan ändringarna börjar gälla.

Alternativ 2: Ändra den inkommande anslutningsappen utan att köra HCW

Kontrollera att det nya certifikatet skickas från lokal Exchange till Exchange Online Protection (EOP) när användarna skickar extern e-post. Om det nya certifikatet inte skickas från lokal Exchange till EOP kan det finnas ett certifikatkonfigurationsproblem lokalt. Bekräfta problemet genom att aktivera loggning på anslutningsappen send som används för att dirigera e-post till Microsoft 365 och kontrollera dessa loggar. Om du vill hitta platsen för loggarna för att skicka anslutningsappen kör du följande cmdlet mot källservrarna som anges i den skickande anslutningsappen. (Här förutsätter vi att namnet på skicka anslutningsappen som används för att vidarebefordra till externa domäner via EOP är "utgående till Microsoft 365".)

För Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

För Exchange 2013 och senare versioner

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. I loggen skicka anslutningsappen kan du söka efter tumavtrycket för certifikatet som ges till Exchange Online. Följande är ett kodexempel från skicka anslutningsloggar.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. Nu kan du hitta den matchande inkommande anslutningsappen i Microsoft 365 och kontrollera att certifikatvärdet matchar. I det här exemplet TlsSenderCertificateName måste värdet anges till *.contoso.com.

   Obs!

   Om du vill vidarebefordra meddelanden via Microsoft 365 måste avsändarens domän eller domänen för contoso.com verifieras i Microsoft 365-klientorganisationen. Annars kan du se ett fel som liknar det som beskrivs i Symptom men också ett explicit ATT36-fel. (Information om ATT36-felet finns i Konfigurera en certifikatbaserad anslutningsapp för att vidarebefordra e-postmeddelanden via Microsoft 365.)

Mer information

Behöver du fortfarande hjälp? Gå till Microsoft Community eller Exchange TechNet-forum.