(550 5.7.64 TenantAttribution; 사용자가 Office 365에서 외부에서 메일을 보낼 때 릴레이 액세스 거부 SMTP 오류가 발생 함

증상

사용자가 외부에서 Microsoft Office 365를 통해 릴레이 되는 메일을 보내면 다음과 같은 오류 메시지가 표시 됩니다.

550 5.7.64 TenantAttribution; 릴레이 액세스 거부 SMTP입니다.

원인

이 문제는 다음과 같은 이유로 인해 발생 합니다.

  • 온-프레미스의 인증서를 사용 하도록 구성 된 Office 365의 인바운드 커넥터를 사용 하 여 전송 서버의 id를 확인 합니다. 이 방법이 권장 되는 방법입니다. 대신 IP 주소를 사용할 수 있습니다. 그러나 온-프레미스 인증서가 Office 365에 지정 된 인증서와 더 이상 일치 하지 않습니다. 이는 온-프레미스에 대 한 구성 변경 또는 다른 이름을 사용 하는 새/갱신 된 인증서 때문일 수 있습니다.
  • Office 365 커넥터에 구성 된 IP 주소가 전송 서버에서 사용 중인 IP 주소와 더 이상 일치 하지 않습니다.

해결 방법

전송 서버를 식별 하 고 릴레이에 권한을 부여 하려면 Office 365에서 올바르게 구성 된 커넥터가 있어야 하며 커넥터가 제출 서버와 일치 해야 합니다.

하이브리드 구성 마법사 (HCW)를 다시 실행 하 여 Exchange Online의 인바운드 커넥터를 업데이트 합니다. 마법사가 완료 된 후에는 일반적으로 하이브리드 구성에 대 한 수동 사용자 지정을 다시 실행 해야 할 수 있습니다. TLS 보낸 사람의 인증서에 대 한 값과 변경 되는 항목에 대 한 자세한 내용은 HCW 로그를 참조 하십시오. 자세한 내용은 하이브리드 구성 마법사를 참조하세요.

  1. Exchange Online 관리 센터에서 하이브리드 구성 마법사를 다운로드 하 여 실행 합니다.
  2. 전송 인증서 페이지에서 새 인증서가 선택 되어 있는지 확인 합니다.

마법사가 성공적으로 완료 되 면 이름 값은 TLSSenderCertificate 온-프레미스 서버에서 사용 하는 인증서와 일치 해야 합니다. 변경 내용이 적용 되는 데 시간이 오래 걸릴 수 있습니다.

옵션 2: HCW를 실행 하지 않고 인바운드 커넥터 변경

사용자가 외부 메일을 보낼 때 온-프레미스 Exchange에서 EOP (Exchange Online Protection)로 새 인증서를 전송 하는지 확인 합니다. 새 인증서가 온-프레미스 Exchange에서 EOP으로 전송 되지 않는 경우에는 온-프레미스에 인증서 구성 문제가 있을 수 있습니다. Office 365로 메일을 라우팅하고 해당 로그를 확인 하는 데 사용 되는 송신 커넥터에서 로깅을 사용 하도록 설정 하 여 문제를 확인 합니다. 송신 커넥터 로그의 위치를 확인 하려면 해당 송신 커넥터에 나열 된 원본 서버에 대해 다음 cmdlet을 실행 합니다. 여기서는 EOP를 통해 외부 도메인으로 릴레이 하는 데 사용 되는 송신 커넥터 이름이 "Office 365으로 아웃 바운드" 라고 가정 합니다.

Exchange 2010의 경우

(Get-SendConnector "outbound to office 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Exchange 2013 이상 버전의 경우

(Get-SendConnector "outbound to office 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath
  1. 송신 커넥터 로그에서 Exchange Online에 제공 된 인증서의 지문을 확인할 수 있습니다. 다음은 송신 커넥터 로그의 코드 예제입니다.

    Date/Time,Outbound to office 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to office 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to office 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to office 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to office 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to office 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
    
  2. 이 시점에서 일치 하는 인바운드 커넥터를 Office 365에서 찾고 인증서 값이 일치 하는지 확인할 수 있습니다. 이 예제에서는 값을 TlsSenderCertificateName contoso.com로 설정 해야 합니다.

    참고

    Office 365을 통해 메시지를 릴레이 하려면 보낸 사람의 도메인 또는 contoso.com의 도메인을 Office 365 테 넌 트에서 확인 해야 합니다. 그렇지 않으면 증상에 설명 된 것과 비슷한 오류가 표시 될 수 있지만 명시적인 ATT36 오류가 발생 합니다. ATT36 오류에 대 한 자세한 내용은 인증서 기반 커넥터를 구성 하 여 Office 365를 통해 전자 메일 메시지를 릴레이를 참조 하십시오.

추가 정보

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Exchange TechNet 포럼으로 이동 합니다.