在 Microsoft 365 中向外部发送邮件时出现“550 5.7.64 TenantAttribution”

• 适用于:

  Exchange Online

症状

当用户在外部发送通过 Microsoft 365) 中继的邮件 (时，他们会收到以下错误消息：

550 5.7.64 TenantAttribution;中继访问被拒绝的 SMTP。

原因

此问题由以下原因之一导致：

• 在 Microsoft 365 中使用入站连接器，该连接器配置为使用来自本地的证书来验证提交服务器的标识。 (这是建议的方法。另一种方法是按 IP 地址) 。 但是，本地证书不再与 Microsoft 365 中指定的证书匹配。 这可能是由于本地配置更改或使用不同名称的新/续订证书所致。
• 在 Microsoft 365 连接器中配置的 IP 地址不再与提交服务器正在使用的 IP 地址匹配。

解决方案

若要标识提交服务器并授权中继，必须在 Microsoft 365 中正确配置连接器，并且连接器必须与提交服务器匹配。

选项 1：重新运行 HCW 以更新 (建议混合客户的入站连接器)

(HCW) 重新运行混合配置向导以更新Exchange Online中的入站连接器。 请注意，对混合配置 (的任何手动自定义) 可能必须在向导完成后重新进行。 有关 TLS 发件人证书的值以及所做的更改的信息，请参阅 HCW 日志。 有关详细信息，请参阅 "混合配置"向导。

1. 从 Exchange Online 管理中心下载并运行混合配置向导。
2. 确保在传输证书页上选择了新证书。

向导成功完成后，名称的值 TLSSenderCertificate 应与本地服务器使用的证书匹配。 更改可能需要一些时间才能生效。

选项 2：在不运行 HCW 的情况下更改入站连接器

确保在用户发送外部邮件时，新证书从本地 Exchange 发送到Exchange Online Protection (EOP) 。 如果新证书未从本地 Exchange 发送到 EOP，则本地可能存在证书配置问题。 通过在用于将邮件路由到 Microsoft 365 的发送连接器上启用日志记录并检查这些日志来确认问题。 若要查找发送连接器日志的位置，请针对该发送连接器中列出的源服务器运行以下 cmdlet。 (此处假定用于通过 EOP 中继到外部域的发送连接器名称是“出站到 Microsoft 365”。)

对于 Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

对于 Exchange 2013 及更高版本

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. 在发送连接器日志中，可以检查提供给Exchange Online的证书指纹。 下面是发送连接器日志中的代码示例。

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. 此时，可以在 Microsoft 365 中找到匹配的入站连接器，并验证证书值是否匹配。 在此示例中， TlsSenderCertificateName 值必须设置为 *.contoso.com。

   注意

   若要通过 Microsoft 365 中继消息，必须在 Microsoft 365 租户中验证发件人的域或 contoso.com 域。 否则，你可能会看到类似于症状中所述的错误，但也会看到显式 ATT36 错误。 (有关 ATT36 错误的信息，请参阅 配置基于证书的连接器以通过 Microsoft 365.)

更多信息

仍然需要帮助？ 转到 Microsoft 社区或 Exchange TechNet 论坛。