"550 5.7.64 TenantAttribution" ao enviar emails externamente no Microsoft 365

• Aplica-se a:

  Exchange Online

Sintomas

Quando os usuários enviam emails (que são transmitidos pelo Microsoft 365) externamente, eles recebem a seguinte mensagem de erro:

550 5.7.64 TenantAttribution; Retransmissão de acesso negado SMTP.

Motivo

Esse problema se deve a um dos seguintes motivos:

• Você usa um conector de entrada no Microsoft 365 configurado para usar um certificado do local para verificar a identidade do servidor de envio. (Este é o método recomendado. A alternativa é por endereço IP). No entanto, o certificado local não corresponde mais ao certificado especificado no Microsoft 365. Isso pode ser devido a uma alteração de configuração no local ou a um certificado novo/renovado que usa um nome diferente.
• O endereço IP configurado no conector do Microsoft 365 não corresponde mais ao endereço IP que está sendo usado pelo servidor de envio.

Resolução

Para identificar o servidor de envio e autorizar o retransmissão, deve haver um conector configurado corretamente no Microsoft 365 e o conector deve corresponder ao servidor de envio.

Opção 1: executar novamente o HCW para atualizar o conector de entrada (recomendado para clientes híbridos)

Execute novamente o HCW (Assistente de Configuração Híbrida) para atualizar o conector de entrada no Exchange Online. Lembre-se de que qualquer personalização manual para uma configuração híbrida (o que é incomum) pode ter que ser refeito após a conclusão do Assistente. Para obter informações sobre quais foram os valores do certificado do Remetente TLS e as alterações feitas, consulte os logs do HCW. Para mais informações, confira Assistente de Configuração Híbrida.

1. Baixe e execute o Assistente de Configuração Híbrida do centro de administração Exchange Online.
2. Verifique se o novo certificado está selecionado na página certificado de transporte.

Quando o Assistente tiver concluído com êxito, o valor do TLSSenderCertificate nome deverá corresponder ao certificado usado pelo servidor local. As alterações podem levar algum tempo para entrar em vigor.

Opção 2: alterar o conector de entrada sem executar o HCW

Verifique se o novo certificado é enviado do Exchange local para Proteção do Exchange Online (EOP) quando os usuários enviam emails externos. Se o novo certificado não for enviado do Exchange local para o EOP, poderá haver um problema de configuração de certificado local. Confirme o problema habilitando o registro em log no conector de envio usado para rotear emails para o Microsoft 365 e verificar esses logs. Para localizar o local dos logs do conector de envio, execute o cmdlet a seguir em relação aos servidores de origem listados nesse conector de envio. (Aqui assumimos que o nome do conector de envio usado para retransmissão para domínios externos por meio do EOP é "saída para o Microsoft 365".

Para o Exchange 2010

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Para o Exchange 2013 e versões posteriores

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. No log do conector de envio, você pode marcar para a impressão digital do certificado que é dado a Exchange Online. A seguir está um exemplo de código de enviar logs do conector.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. Neste ponto, você pode localizar o conector de entrada correspondente no Microsoft 365 e verificar se o valor do certificado corresponde. Neste exemplo, o TlsSenderCertificateName valor deve ser definido como *.contoso.com.

   Observação

   Para retransmitir mensagens por meio do Microsoft 365, o domínio do remetente ou do domínio de contoso.com deve ser verificado no locatário do Microsoft 365. Caso contrário, você poderá ver um erro semelhante ao descrito em Sintomas, mas também um erro explícito do ATT36. (Para obter informações sobre o erro ATT36, consulte Configurar um conector baseado em certificado para retransmitir mensagens de email por meio do Microsoft 365.)

Mais informações

Ainda precisa de ajuda? Acesse a Comunidade da Microsoft ou os Fóruns do Exchange no TechNet.