"550 5.7.64 TenantAttribution" beim externen Senden von E-Mails in Microsoft 365
Symptome
Wenn Benutzer E-Mails (die über Microsoft 365 weitergeleitet werden) extern senden, erhalten sie die folgende Fehlermeldung:
550 5.7.64 TenantAttribution; Relayzugriff verweigert SMTP.
Ursache
Dieses Problem hat einen der folgenden Gründe:
- Sie verwenden einen eingehenden Connector in Microsoft 365, der für die Verwendung eines Lokalen Zertifikats konfiguriert ist, um die Identität des übermittelnden Servers zu überprüfen. (Dies ist die empfohlene Methode. Die Alternative ist die IP-Adresse). Das lokale Zertifikat entspricht jedoch nicht mehr dem in Microsoft 365 angegebenen Zertifikat. Dies kann auf eine lokale Konfigurationsänderung oder ein neues/erneuertes Zertifikat zurückzuführen sein, das einen anderen Namen verwendet.
- Die im Microsoft 365-Connector konfigurierte IP-Adresse stimmt nicht mehr mit der IP-Adresse überein, die vom übermittelnden Server verwendet wird.
Lösung
Um den übermittelnden Server zu identifizieren und relay zu autorisieren, muss ein Connector vorhanden sein, der in Microsoft 365 ordnungsgemäß konfiguriert ist, und der Connector muss mit dem übermittelnden Server übereinstimmen.
Option 1: Erneutes Ausführen des HCW zum Aktualisieren des eingehenden Connectors (empfohlen für Hybridkunden)
Führen Sie den Hybridkonfigurations-Assistenten (HCW) erneut aus, um den eingehenden Connector in Exchange Online zu aktualisieren. Beachten Sie, dass alle manuellen Anpassungen an einer Hybridkonfiguration (was ungewöhnlich ist) nach Abschluss des Assistenten wiederholt werden müssen. Informationen zu den Werten für das TLS-Absenderzertifikat und den vorgenommenen Änderungen finden Sie in den HCW-Protokollen. Weitere Informationen finden Sie unter Assistent für die Hybridkonfiguration.
- Laden Sie den Hybridkonfigurations-Assistenten aus dem Exchange Online Admin Center herunter, und führen Sie sie aus.
- Stellen Sie sicher, dass das neue Zertifikat auf der Seite Transportzertifikat ausgewählt ist.
Wenn der Assistent erfolgreich abgeschlossen wurde, sollte der Wert für den TLSSenderCertificate Namen mit dem Zertifikat übereinstimmen, das vom lokalen Server verwendet wird. Es kann einige Zeit dauern, bis Änderungen wirksam werden.
Option 2: Ändern des eingehenden Connectors ohne Ausführung von HCW
Stellen Sie sicher, dass das neue Zertifikat vom lokalen Exchange an Exchange Online Protection (EOP) gesendet wird, wenn Benutzer externe E-Mails senden. Wenn das neue Zertifikat nicht vom lokalen Exchange an EOP gesendet wird, liegt möglicherweise ein Problem mit der Zertifikatkonfiguration vor. Bestätigen Sie das Problem, indem Sie die Protokollierung für den Sendeconnector aktivieren, der zum Weiterleiten von E-Mails an Microsoft 365 verwendet wird, und diese Protokolle überprüfen. Um den Speicherort der Sendeconnectorprotokolle zu ermitteln, führen Sie das folgende Cmdlet für die Quellserver aus, die in diesem Sendeconnector aufgeführt sind. (Hier wird davon ausgegangen, dass der Name des Sendeconnectors, der für die Weiterleitung an externe Domänen über EOP verwendet wird, "ausgehend an Microsoft 365" lautet.)
Für Exchange 2010
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath
Für Exchange 2013 und höhere Versionen
(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath
Im Sendeconnectorprotokoll können Sie den Fingerabdruck des Zertifikats überprüfen, das Exchange Online. Es folgt ein Codebeispiel aus Sendeconnectorprotokollen.
Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprintAn diesem Punkt können Sie den übereinstimmenden eingehenden Connector in Microsoft 365 suchen und überprüfen, ob der Zertifikatwert übereinstimmt. In diesem Beispiel muss der
TlsSenderCertificateNameWert auf *.contoso.com festgelegt werden.Hinweis
Zum Weiterleiten von Nachrichten über Microsoft 365 muss die Domäne des Absenders oder die Domäne von contoso.com im Microsoft 365-Mandanten überprüft werden. Andernfalls wird möglicherweise ein Fehler ähnlich dem unter Symptome beschriebenen angezeigt, aber auch ein expliziter ATT36-Fehler. (Informationen zum ATT36-Fehler finden Sie unter Konfigurieren eines zertifikatbasierten Connectors zum Weiterleiten von E-Mail-Nachrichten über Microsoft 365.)
Weitere Informationen
Benötigen Sie weitere Hilfe? Besuchen Sie die Microsoft Community oder die Exchange-TechNet-Foren.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für