"550 5.7.64 TenantAttribution;透過 Exchange Online Protection 傳送郵件時出現「中繼存取拒絕」 SMTP」錯誤

原始 KB 編號:   3212877

問題

請試想下列案例:

  • 您可以透過 Exchange Online Protection 從您的內部部署 Exchange 環境或從網際網路資訊服務轉送電子郵件, (IIS) SMTP 伺服器。
  • 您的輸入連接器已設定為內部部署,且已啟用憑證驗證。

在此案例中,郵件不會透過 Exchange Online Protection 進行轉送。 此外,您收到下列錯誤訊息:

550 5.7.64 TenantAttribution;拒絕中繼存取 SMTP

寄件者會收到未傳遞回報 (NDR) 包含此錯誤碼。 或者,您會看到記錄在 IIS SMTP 記錄檔或傳送連接器記錄檔中的錯誤。

此外,如果您已在事件檢視器中啟用 CAPI2 操作記錄,則會記錄下列專案:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
 <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
 <EventID>30</EventID>
 <Version>0</Version>
 <Level>2</Level>
 <Task>30</Task>
 <Opcode>0</Opcode>
 <Keywords>0x4000000000000001</Keywords>
 <TimeCreated SystemTime="2016-12-01T03:09:55.456180600Z" />
 <EventRecordID>3156</EventRecordID>
 <Correlation />
 <Execution ProcessID="544" ThreadID="1996" />
 <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
 <Computer>CORP-SMTP1.ServerName.com</Computer>
 <Security UserID="S-1-5-18" />
 </System>
 <UserData>
 <CertVerifyCertificateChainPolicy>
 <Policy type="CERT_CHAIN_POLICY_SSL" constant="4" />
 <Certificate fileRef="EC53EBC94A796C42E5B4E5851F961874F013D94C.cer" subjectName="*.ServerName.com" />
 <CertificateChain chainRef="{8729A893-3D34-49D1-8030-8513DE8E8897}" />
 <Flags value="0" />
 <SSLAdditionalPolicyInfo authType="server">
 <IgnoreFlags value="280" SECURITY_FLAG_IGNORE_REVOCATION="true" SECURITY_FLAG_IGNORE_WRONG_USAGE="true" />
 </SSLAdditionalPolicyInfo>
 <Status chainIndex="0" elementIndex="-1" />
 <EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-18" />
 <CorrelationAuxInfo TaskId="{AD28C3AB-7CFE-4CF0-A623-F6CAC805A73C}" SeqNumber="1" />
 <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
 </CertVerifyCertificateChainPolicy>
 </UserData>
</Event>

原因

如果內部部署伺服器在傳輸層安全性 (TLS) 握手 to Exchange Online 時未傳送必要的憑證鏈,便會發生此問題。

解決方案

若要解決此問題,請遵循下列步驟:

  1. 從協力廠商憑證的發行人取得中級憑證的清單。

  2. 從受影響的伺服器匯出中級憑證。

    1. 開啟受影響伺服器上的「憑證」嵌入式管理單元。
    2. 選取 [ 電腦帳戶],然後按一下 [ 本機電腦]。
    3. 在主控台樹中,展開 [ 個人],然後按一下 [ 憑證]。
    4. 按兩下與 SMTP 服務相關聯的協力廠商憑證,然後按一下 [ 憑證路徑 ] 索引標籤。
    5. 選取列出之憑證路徑中的 [中級] 憑證,按一下 [查看憑證],然後按一下 [詳細資料] 索引標籤上的 [複製到檔案]。
    6. 在 [匯出檔案格式] 頁面上,選取 [DER 編碼二位元 X.509 (.CER)],再按 [下一步]。
    7. 在 [ 要匯出的 檔案] 頁面上,選取檔案名和路徑,按 [下一步],然後按一下 [完成]
    8. 如果憑證路徑中有多個中級憑證,請對路徑中的每個中級憑證重複步驟2C 到步驟2F。
  3. 將您在步驟2中匯出的中級憑證匯入至傳送伺服器的「中級憑證授權單位 (CAs) 。 若要這麼做,請在已提升許可權的 Windows PowerShell 會話中執行下列命令:

    Get-ChildItem -Path c:\import\intermediateca.cer | Import-Certificate -CertStoreLocation cert:\LocalMachine\CA
    

其他相關資訊

是否仍需要協助? 前往 Microsoft Community