ハイブリッド構成ウィザードを実行すると、電子メール メッセージの NDR の可能性に関する警告が表示されます

• 適用対象:

  Exchange Online

元の KB 番号: 4019940

現象

次のような状況で問題が発生します。

• Microsoft Exchange ハイブリッド構成ウィザードを実行しています。
• メール フロー コネクタが作成されています。
• 警告メッセージが表示されます。

このシナリオでは、警告を無視した場合、ハイブリッド構成ウィザードを使用すると、オンプレミスから取得した値を使用して続行できます。 ただし、オンプレミス環境では、Microsoft 365 テナントで承認済みドメインとして検証されていないドメインに代わってメッセージを送信することはできません。

また、次の配信不能レポート (NDR) も受け取ります。

550 5.7.64 Relay Access Denied ATTR36。 詳細については、以下を参照してください。 https://support.microsoft.com/kb/3169958

原因

[現象] セクションに記載されている警告メッセージは、次のいずれかの条件が当てはまる場合に生成されます。

• オンプレミスで使用している証明書には、サブジェクト名 (ホスト名の証明書値) があり、Microsoft 365 テナント内の承認済みドメインと一致しません。

  たとえば、証明書のサブジェクトは <S>CN=contoso.com です。 ただし、 contoso.com ドメインは Microsoft 365 テナントでは検証されません。

• オンプレミスで使用している証明書には、Microsoft 365 テナントで検証された、すぐに受け入れられたドメイン名に属していないホスト名を含むサブジェクト名があります。

  たとえば、証明書のサブジェクトは <S>CN=hostname.contoso.com です。 ただし、 contoso.com ドメインは Microsoft 365 テナントでは検証されません。 別の例として、証明書のサブジェクト名は <S>CN=hostname.subdomain.contoso.comです。 ただし、onlycontoso.com はテナントの承認済みドメインとして登録されます。

解決方法

オンプレミス環境でメッセージを送信できるようにするには、次のいずれかの方法を使用します。

• (推奨)証明書で使用されるドメインを Microsoft 365 テナントに追加します。 ドメインを所有している場合は、管理者権限を使用して Microsoft 365 にサインインし、[設定ドメイン]> を見つけて、指示に従います。 証明書のサブジェクト名が hostname.subdomain.contoso.com されている場合は、 subdomain.contoso.com のみを追加する必要があります。

• Microsoft 365 テナントの承認済みドメインと一致する別の名前を使用して、証明書を再発行します。 引き続き、必要なサブジェクトの別名を指定できます。 ワイルドカード証明書は有効ですが、必須ではありません。

  注:

  これを行う場合は、ハイブリッド メール フローに使用されるExchange Serverに新しく発行された証明書をインストールする必要があります。 また、Exchange Server コネクタで完全修飾ドメイン名 (FQDN) が正しく設定されていることを確認する必要がある場合もあります。

いずれかのオプションを完了したら、ハイブリッド構成ウィザードを再実行して、Exchange Online コネクタを正しく設定できるようにします。

詳細

トランスポート層セキュリティ (TLS) を確立するときに提供されるクライアント証明書が、(受信) コネクタのパラメーターの TlsSenderCertificateName 値と一致していることを確認します。 次に、検証済みの承認済みドメインとして証明書を認証します。 このメソッドを使用して、SMTP 会話中に送信されたメッセージが Microsoft 365 テナントに属していることを確認できます。 この方法では、メッセージがテナントにのみ存在することを確認できます。

詳しくは、「Identifying email from your email server」を参照してください。

さらにヘルプが必要ですか? Microsoft コミュニティまたは Exchange TechNet フォーラムにアクセスしてください。