Freigeben über

"550 5.7.64 TenantAttribution" beim Senden von E-Mails über Exchange Online Protection

  • Gilt für:: Exchange Online, Exchange Server 2016 Enterprise Edition, Exchange Server 2016 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2013 Standard Edition, Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Ursprüngliche KB-Nummer: 3212877

Problem

Stellen Sie sich folgendes Szenario vor:

  • Sie leiten E-Mails über Exchange Online Protection von Ihrer lokalen Exchange-Umgebung oder von Ihrem IIS-SMTP-Server (Internet Information Services) weiter.
  • Sie verfügen über einen eingehenden Connector, der lokal festgelegt ist und die Zertifikatüberprüfung aktiviert ist.

In diesem Szenario werden E-Mails nicht über Exchange Online Protection weitergeleitet. Außerdem wird die folgende Fehlermeldung angezeigt:

550 5.7.64 TenantAttribution; Relayzugriff verweigert SMTP

Absender erhalten einen Nichtzustellbarkeitsbericht (Non-Delivery Report, NDR), der diesen Fehlercode enthält. Alternativ wird der Fehler in IIS SMTP-Protokollen oder unter Connectorprotokolle senden protokolliert.

Wenn Sie die CAPI2-Betriebsprotokollierung in Ereignisanzeige aktiviert haben, wird außerdem der folgende Eintrag protokolliert:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
 <Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
 <EventID>30</EventID>
 <Version>0</Version>
 <Level>2</Level>
 <Task>30</Task>
 <Opcode>0</Opcode>
 <Keywords>0x4000000000000001</Keywords>
 <TimeCreated SystemTime="2016-12-01T03:09:55.456180600Z" />
 <EventRecordID>3156</EventRecordID>
 <Correlation />
 <Execution ProcessID="544" ThreadID="1996" />
 <Channel>Microsoft-Windows-CAPI2/Operational</Channel>
 <Computer>CORP-SMTP1.ServerName.com</Computer>
 <Security UserID="S-1-5-18" />
 </System>
 <UserData>
 <CertVerifyCertificateChainPolicy>
 <Policy type="CERT_CHAIN_POLICY_SSL" constant="4" />
 <Certificate fileRef="EC53EBC94A796C42E5B4E5851F961874F013D94C.cer" subjectName="*.ServerName.com" />
 <CertificateChain chainRef="{8729A893-3D34-49D1-8030-8513DE8E8897}" />
 <Flags value="0" />
 <SSLAdditionalPolicyInfo authType="server">
 <IgnoreFlags value="280" SECURITY_FLAG_IGNORE_REVOCATION="true" SECURITY_FLAG_IGNORE_WRONG_USAGE="true" />
 </SSLAdditionalPolicyInfo>
 <Status chainIndex="0" elementIndex="-1" />
 <EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-18" />
 <CorrelationAuxInfo TaskId="{AD28C3AB-7CFE-4CF0-A623-F6CAC805A73C}" SeqNumber="1" />
 <Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
 </CertVerifyCertificateChainPolicy>
 </UserData>
</Event>

Ursache

Dieses Problem tritt auf, wenn der lokale Server während des TLS-Handshakes (Transport Layer Security) nicht die erforderliche Zertifikatkette an Exchange Online sendet.

Lösung

Gehen Sie wie folgt vor, um das Problem zu beheben:

  1. Rufen Sie die Liste der Zwischenzertifikate vom Aussteller des Drittanbieterzertifikats ab.

  2. Exportieren Sie die Zwischenzertifikate vom betroffenen Server.

    1. Öffnen Sie das Zertifikat-Snap-In auf dem betroffenen Server.
    2. Wählen Sie Computerkonto aus, und klicken Sie dann auf Lokaler Computer.
    3. Erweitern Sie in der Konsolenstruktur Persönlich, und klicken Sie dann auf Zertifikat.
    4. Doppelklicken Sie auf das Drittanbieterzertifikat, das dem SMTP-Dienst zugeordnet ist, und klicken Sie dann auf die Registerkarte Zertifizierungspfad .
    5. Wählen Sie das Zwischenzertifikat im aufgeführten Zertifikatpfad aus, klicken Sie auf Zertifikat anzeigen, und klicken Sie dann auf der Registerkarte Detail auf In Datei kopieren.
    6. Wählen Sie auf der Seite Dateiformat exportieren die Option DER-codierte Binärdatei X.509 (. CER) aus, und klicken Sie dann auf Weiter.
    7. Wählen Sie auf der Seite Zu exportierende Datei den Dateinamen und Pfad aus, klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.
    8. Wenn mehr als ein Zwischenzertifikat im Zertifikatpfad vorhanden ist, wiederholen Sie schritt 2C bis Schritt 2F für jedes Zwischenzertifikat im Pfad.

  3. Importieren Sie die in Schritt 2 exportierten Zwischenzertifikate in die Zwischenzertifizierungsstellen (CAs) auf dem sendenden Server. Führen Sie dazu den folgenden Befehl in einer Sitzung mit erhöhten Windows PowerShell aus:

    Get-ChildItem -Path c:\import\intermediateca.cer | Import-Certificate -CertStoreLocation cert:\LocalMachine\CA

Weitere Informationen

Benötigen Sie weitere Hilfe? Navigieren Sie zu Microsoft Community.