在 Microsoft 365 外部傳送郵件時，“550 5.7.64 TenantAttribution”

• 適用於:

  Exchange Online

徵狀

當使用者傳送透過 Microsoft 365) 外部轉送的郵件 (時，他們會收到下列錯誤訊息：

550 5.7.64 TenantAttribution;轉送存取遭拒 SMTP。

原因

此問題是因為下列其中一個原因所造成：

• 您在 Microsoft 365 中使用設定為使用內部部署憑證來驗證提交伺服器身分識別的輸入連接器。 (這是建議的方法。替代方式是依IP位址) 。 不過，內部部署憑證不再符合 Microsoft 365 中指定的憑證。 這可能是因為內部部署的組態變更，或是使用不同名稱的新/更新憑證所造成。
• 在 Microsoft 365 連接器中設定的 IP 位址不再符合提交伺服器所使用的 IP 位址。

解決方案

若要識別送出伺服器並授權轉送，必須在 Microsoft 365 中設定正確的連接器，而且連接器必須符合提交伺服器。

選項 1：重新執行 HCW 以更新針對混合式客戶建議的輸入連接器 ()

重新執行混合式設定精靈 (HCW) ，以更新 Exchange Online 中的輸入連接器。 請注意，任何對混合式組態 (的手動自定義，) 在精靈完成之後，可能必須重新完成。 如需 TLS 發件者憑證值和所做變更的相關信息，請參閱 HCW 記錄。 如需詳細資訊，請參閱 混合組態精靈。

1. 從 Exchange Online 系統管理中心下載並執行混合式設定精靈。
2. 請確定已在傳輸憑證頁面上選取新的憑證。

當精靈成功完成時，名稱的 TLSSenderCertificate 值應該符合內部部署伺服器所使用的憑證。 變更可能需要一些時間才會生效。

選項 2：變更輸入連接器而不執行 HCW

當使用者傳送外部郵件時，請確定新的憑證是從內部部署 Exchange 傳送至 Exchange Online Protection (EOP) 。 如果新憑證未從內部部署 Exchange 傳送至 EOP，內部部署可能會發生憑證設定問題。 在用來將郵件路由傳送至 Microsoft 365 的傳送連接器上啟用記錄，並檢查這些記錄，以確認問題。 若要尋找傳送連接器記錄的位置，請針對該傳送連接器中所列的來源伺服器執行下列 Cmdlet。 (在這裡，我們假設用來透過EOP轉送至外部網域的傳送連接器名稱是「輸出至 Microsoft 365」。)

針對 Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

適用於 Exchange 2013 和更新版本

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. 在傳送連接器記錄中，您可以檢查提供給 Exchange Online 的憑證指紋。 以下是來自傳送連接器記錄的程式代碼範例。

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. 此時，您可以在 Microsoft 365 中找出相符的輸入連接器，並確認憑證值相符。 在此範例中， TlsSenderCertificateName 此值必須設定為 *.contoso.com。

   注意事項

   若要透過 Microsoft 365 轉送訊息，必須在 Microsoft 365 租使用者中驗證發件者網域或 contoso.com 網域。 否則，您可能會看到類似徵兆中所述的錯誤，但也會看到明確的 ATT36 錯誤。 (如需 ATT36 錯誤的相關信息，請參閱設定 憑證式連接器以透過 Microsoft 365 轉送電子郵件訊息 )

其他相關資訊

是否仍需要協助？ 請前往 Microsoft 社群或 Exchange TechNet 論壇。