(550 5.7.64 TenantAttribution;リレー アクセス拒否 SMTP) エラーが発生した場合は、メールを送信Exchange Online Protection

元の KB 番号:   3212877

問題

次のような状況で問題が発生します。

  • メールは、オンプレミスExchange Online Protection環境または IIS (IIS) smtp サーバー Exchange経由インターネット インフォメーション サービス中継します。
  • オンプレミスに設定され、証明書の検証が有効になっている受信コネクタがあります。

このシナリオでは、メールはネットワーク経由でExchange Online Protection。 さらに、以下のエラー メッセージが表示されます。

550 5.7.64 TenantAttribution;リレー アクセス拒否 SMTP

送信者は、このエラー コードを含む配信不可レポート (NDR) を受信します。 または、IIS SMTP ログまたは送信コネクタ ログに記録されたエラーが表示されます。

さらに、イベント ビューアーで CAPI2 操作ログを有効にした場合、次のエントリがログに記録されます。

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
 <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
 <EventID>30</EventID>
 <Version>0</Version>
 <Level>2</Level>
 <Task>30</Task>
 <Opcode>0</Opcode>
 <Keywords>0x4000000000000001</Keywords>
 <TimeCreated SystemTime="2016-12-01T03:09:55.456180600Z" />
 <EventRecordID>3156</EventRecordID>
 <Correlation />
 <Execution ProcessID="544" ThreadID="1996" />
 <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
 <Computer>CORP-SMTP1.ServerName.com</Computer>
 <Security UserID="S-1-5-18" />
 </System>
 <UserData>
 <CertVerifyCertificateChainPolicy>
 <Policy type="CERT_CHAIN_POLICY_SSL" constant="4" />
 <Certificate fileRef="EC53EBC94A796C42E5B4E5851F961874F013D94C.cer" subjectName="*.ServerName.com" />
 <CertificateChain chainRef="{8729A893-3D34-49D1-8030-8513DE8E8897}" />
 <Flags value="0" />
 <SSLAdditionalPolicyInfo authType="server">
 <IgnoreFlags value="280" SECURITY_FLAG_IGNORE_REVOCATION="true" SECURITY_FLAG_IGNORE_WRONG_USAGE="true" />
 </SSLAdditionalPolicyInfo>
 <Status chainIndex="0" elementIndex="-1" />
 <EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-18" />
 <CorrelationAuxInfo TaskId="{AD28C3AB-7CFE-4CF0-A623-F6CAC805A73C}" SeqNumber="1" />
 <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
 </CertVerifyCertificateChainPolicy>
 </UserData>
</Event>

原因

この問題は、トランスポート層セキュリティ (TLS) ハンドシェイク中にオンプレミス サーバーが必要な証明書チェーンを送信していない場合に発生Exchange Online。

ソリューション

この問題を解決するには、次の手順を実行します。

  1. サード パーティ証明書の発行者から中間証明書の一覧を取得します。

  2. 影響を受けるサーバーから中間証明書をエクスポートします。

    1. 影響を受けるサーバーで証明書スナップインを開きます。
    2. [ コンピューター アカウント] を 選択し、[ローカル コンピューター] をクリックします
    3. コンソール ツリーで、[個人用] を 展開し、[証明書] を クリックします
    4. SMTP サービスに関連付けられているサード パーティの証明書をダブルクリックし、[認定パス] タブ をクリック します。
    5. 表示されている証明書パスで中間証明書を選択し、[証明書の表示]をクリックし、[詳細] タブの [ファイルにコピー]をクリック します。
    6. [ファイル形式 のエクスポート] ページ、[DER エンコードバイナリ X.509] (を選択します。CER) をクリックし、[次へ] をクリックします
    7. [エクスポート するファイル] ページで、ファイル名とパスを選択し、[次へ] をクリックし、[完了] を クリックします
    8. 証明書パスに複数の中間証明書がある場合は、パス内のすべての中間証明書について手順 2C ~ 手順 2F を繰り返します。
  3. 手順 2 でエクスポートした中間証明書を、送信側サーバーの中間証明機関 (CA) にインポートします。 これを行うには、管理者特権のセッションで次のコマンドWindows PowerShellします。

    Get-ChildItem -Path c:\import\intermediateca.cer | Import-Certificate -CertStoreLocation cert:\LocalMachine\CA
    

詳細

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。