"550 5.7.64 TenantAttribution" ao enviar emails externamente no Microsoft 365
Sintomas
Quando os usuários enviam emails (que são transmitidos pelo Microsoft 365) externamente, eles recebem a seguinte mensagem de erro:
550 5.7.64 TenantAttribution; Retransmissão de acesso negado SMTP.
Motivo
Esse problema se deve a um dos seguintes motivos:
- Você usa um conector de entrada no Microsoft 365 configurado para usar um certificado do local para verificar a identidade do servidor de envio. (Este é o método recomendado. A alternativa é por endereço IP). No entanto, o certificado local não corresponde mais ao certificado especificado no Microsoft 365. Isso pode ser devido a uma alteração de configuração no local ou a um certificado novo/renovado que usa um nome diferente.
- O endereço IP configurado no conector do Microsoft 365 não corresponde mais ao endereço IP que está sendo usado pelo servidor de envio.
Resolução
Para identificar o servidor de envio e autorizar o retransmissão, deve haver um conector configurado corretamente no Microsoft 365 e o conector deve corresponder ao servidor de envio.
Opção 1: executar novamente o HCW para atualizar o conector de entrada (recomendado para clientes híbridos)
Execute novamente o HCW (Assistente de Configuração Híbrida) para atualizar o conector de entrada no Exchange Online. Lembre-se de que qualquer personalização manual para uma configuração híbrida (o que é incomum) pode ter que ser refeito após a conclusão do Assistente. Para obter informações sobre quais foram os valores do certificado do Remetente TLS e as alterações feitas, consulte os logs do HCW. Para mais informações, confira Assistente de Configuração Híbrida.
- Baixe e execute o Assistente de Configuração Híbrida do centro de administração Exchange Online.
- Verifique se o novo certificado está selecionado na página certificado de transporte.
Quando o Assistente tiver concluído com êxito, o valor do TLSSenderCertificate
nome deverá corresponder ao certificado usado pelo servidor local. As alterações podem levar algum tempo para entrar em vigor.
Opção 2: alterar o conector de entrada sem executar o HCW
Verifique se o novo certificado é enviado do Exchange local para Proteção do Exchange Online (EOP) quando os usuários enviam emails externos. Se o novo certificado não for enviado do Exchange local para o EOP, poderá haver um problema de configuração de certificado local. Confirme o problema habilitando o registro em log no conector de envio usado para rotear emails para o Microsoft 365 e verificar esses logs. Para localizar o local dos logs do conector de envio, execute o cmdlet a seguir em relação aos servidores de origem listados nesse conector de envio. (Aqui assumimos que o nome do conector de envio usado para retransmissão para domínios externos por meio do EOP é "saída para o Microsoft 365".
Para o Exchange 2010
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath
Para o Exchange 2013 e versões posteriores
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath
No log do conector de envio, você pode marcar para a impressão digital do certificado que é dado a Exchange Online. A seguir está um exemplo de código de enviar logs do conector.
Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
Neste ponto, você pode localizar o conector de entrada correspondente no Microsoft 365 e verificar se o valor do certificado corresponde. Neste exemplo, o
TlsSenderCertificateName
valor deve ser definido como *.contoso.com.Observação
Para retransmitir mensagens por meio do Microsoft 365, o domínio do remetente ou do domínio de contoso.com deve ser verificado no locatário do Microsoft 365. Caso contrário, você poderá ver um erro semelhante ao descrito em Sintomas, mas também um erro explícito do ATT36. (Para obter informações sobre o erro ATT36, consulte Configurar um conector baseado em certificado para retransmitir mensagens de email por meio do Microsoft 365.)
Mais informações
Ainda precisa de ajuda? Acesse a Comunidade da Microsoft ou os Fóruns do Exchange no TechNet.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de