"550 5.7.64 TenantAttribution" al enviar correo externamente en Microsoft 365
Síntomas
Cuando los usuarios envían correo (que se retransmite a través de Microsoft 365) externamente, reciben el siguiente mensaje de error:
550 5.7.64 TenantAttribution; SMTP denegado de acceso de retransmisión.
Causa
Este problema se debe a una de las siguientes razones:
- Use un conector de entrada en Microsoft 365 que esté configurado para usar un certificado local para comprobar la identidad del servidor que envía. (Este es el método recomendado. La alternativa es por dirección IP). Sin embargo, el certificado local ya no coincide con el certificado especificado en Microsoft 365. Esto puede deberse a un cambio de configuración local o a un certificado nuevo o renovado que usa un nombre diferente.
- La dirección IP configurada en el conector de Microsoft 365 ya no coincide con la dirección IP que usa el servidor que envía.
Solución
Para identificar el servidor de envío y autorizar la retransmisión, debe haber un conector configurado correctamente en Microsoft 365 y el conector debe coincidir con el servidor de envío.
Opción 1: Vuelva a ejecutar hcw para actualizar el conector de entrada (recomendado para clientes híbridos)
Vuelva a ejecutar el Asistente para configuración híbrida (HCW) para actualizar el conector de entrada en Exchange Online. Tenga en cuenta que cualquier personalización manual de una configuración híbrida (que no es habitual) puede tener que volver a crearse una vez finalizado el asistente. Para obtener información sobre cuáles son los valores del certificado de remitente TLS y los cambios realizados, consulte los registros de HCW. Para obtener más información, vea Asistente de configuración híbrida.
- Descargue y ejecute el Asistente para configuración híbrida desde el centro de administración de Exchange Online.
- Asegúrese de que el nuevo certificado está seleccionado en la página del certificado de transporte.
Cuando el Asistente se haya completado correctamente, el valor del TLSSenderCertificate nombre debe coincidir con el certificado que usa el servidor local. Los cambios pueden tardar algún tiempo en surtir efecto.
Opción 2: Cambiar el conector de entrada sin ejecutar HCW
Asegúrese de que el nuevo certificado se envía desde Exchange local a Exchange Online Protection (EOP) cuando los usuarios envían correo externo. Si el nuevo certificado no se envía desde Exchange local a EOP, puede haber un problema de configuración de certificado local. Confirme el problema habilitando el registro en el conector de envío que se usa para enrutar el correo a Microsoft 365 y comprobar esos registros. Para buscar la ubicación de los registros del conector de envío, ejecute el siguiente cmdlet en los servidores de origen que aparecen en ese conector de envío. (Aquí se supone que el nombre del conector de envío que se usa para retransmitir a dominios externos a través de EOP es "saliente a Microsoft 365").
Para Exchange 2010
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath
Para Exchange 2013 y versiones posteriores
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath
En el registro del conector de envío, puede comprobar la huella digital del certificado que se da a Exchange Online. A continuación se muestra un ejemplo de código de envío de registros de conectores.
Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprintEn este momento, puede encontrar el conector de entrada coincidente en Microsoft 365 y comprobar que el valor del certificado coincide. En este ejemplo, el
TlsSenderCertificateNamevalor debe establecerse en *.contoso.com.Nota:
Para retransmitir mensajes a través de Microsoft 365, el dominio del remitente o el dominio de contoso.com debe comprobarse en el inquilino de Microsoft 365. De lo contrario, es posible que vea un error similar al descrito en Síntomas, pero también un error ATT36 explícito. (Para obtener información sobre el error ATT36, consulte Configuración de un conector basado en certificados para retransmitir mensajes de correo electrónico a través de Microsoft 365).
Más información
¿Aún necesita ayuda? Vaya a Microsoft Community o a los foros de Exchange TechNet.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de