Microsoft 365에서 외부에서 메일을 보낼 때 "550 5.7.64 TenantAttribution"

• 적용 대상:

  Exchange Online

증상

사용자가 외부에서 메일(Microsoft 365를 통해 릴레이됨)을 보내면 다음과 같은 오류 메시지가 표시됩니다.

550 5.7.64 TenantAttribution; 릴레이 액세스 거부 SMTP.

원인

이 문제는 다음 이유 중 하나로 인해 발생합니다.

• 온-프레미스의 인증서를 사용하여 제출 서버의 ID를 확인하도록 구성된 Microsoft 365의 인바운드 커넥터를 사용합니다. (권장되는 방법입니다. 대안은 IP 주소를 사용하는 것입니다.) 그러나 온-프레미스 인증서는 더 이상 Microsoft 365에 지정된 인증서와 일치하지 않습니다. 이는 온-프레미스의 구성 변경 또는 다른 이름을 사용하는 새/갱신된 인증서 때문일 수 있습니다.
• Microsoft 365 커넥터에 구성된 IP 주소가 제출 서버에서 사용하는 IP 주소와 더 이상 일치하지 않습니다.

해결 방법

제출 서버를 식별하고 릴레이에 권한을 부여하려면 Microsoft 365에서 올바르게 구성된 커넥터가 있어야 하며 커넥터가 제출 서버와 일치해야 합니다.

옵션 1: HCW를 다시 실행하여 인바운드 커넥터 업데이트(하이브리드 고객에게 권장)

HCW(하이브리드 구성 마법사)를 다시 실행하여 Exchange Online 인바운드 커넥터를 업데이트합니다. 마법사가 완료된 후 하이브리드 구성에 대한 수동 사용자 지정(일반적이지 않음)을 다시 실행해야 할 수 있습니다. TLS 보낸 사람 인증서의 값 및 변경 내용에 대한 자세한 내용은 HCW 로그를 참조하세요. 자세한 내용은 하이브리드 구성 마법사를 참조하세요.

1. Exchange Online 관리 센터에서 하이브리드 구성 마법사를 다운로드하고 실행합니다.
2. 전송 인증서 페이지에서 새 인증서가 선택되어 있는지 확인합니다.

마법사가 성공적으로 완료되면 이름 값 TLSSenderCertificate 이 온-프레미스 서버에서 사용하는 인증서와 일치해야 합니다. 변경 내용을 적용하는 데 다소 시간이 걸릴 수 있습니다.

옵션 2: HCW를 실행하지 않고 인바운드 커넥터 변경

사용자가 외부 메일을 보낼 때 새 인증서가 온-프레미스 Exchange에서 EOP(Exchange Online Protection)로 전송되는지 확인합니다. 새 인증서가 온-프레미스 Exchange에서 EOP로 전송되지 않는 경우 온-프레미스에서 인증서 구성 문제가 있을 수 있습니다. Microsoft 365로 메일을 라우팅하는 데 사용되는 송신 커넥터에서 로깅을 사용하도록 설정하고 해당 로그를 확인하여 문제를 확인합니다. 송신 커넥터 로그의 위치를 찾으려면 해당 송신 커넥터에 나열된 원본 서버에 대해 다음 cmdlet을 실행합니다. 여기서는 EOP를 통해 외부 도메인에 릴레이하는 데 사용되는 송신 커넥터 이름이 "Microsoft 365로 아웃바운드"라고 가정합니다.

Exchange 2010의 경우

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Exchange 2013 이상 버전

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

1. 송신 커넥터 로그에서 Exchange Online 제공된 인증서의 지문을 검사 수 있습니다. 다음은 송신 커넥터 로그의 코드 예제입니다.

   Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint
   

2. 이 시점에서 Microsoft 365에서 일치하는 인바운드 커넥터를 찾고 인증서 값이 일치하는지 확인할 수 있습니다. 이 예제에서는 TlsSenderCertificateName 값을 *.contoso.com 설정해야 합니다.

   참고

   Microsoft 365를 통해 메시지를 릴레이하려면 Microsoft 365 테넌트에서 보낸 사람 또는 contoso.com 도메인의 도메인을 확인해야 합니다. 그렇지 않으면 증상에 설명된 것과 유사한 오류뿐만 아니라 명시적 ATT36 오류도 표시할 수 있습니다. (ATT36 오류에 대한 자세한 내용은 Microsoft 365를 통해 전자 메일 메시지를 릴레이하도록 인증서 기반 커넥터 구성을 참조하세요.)

추가 정보

아직 해결되지 않았습니까? Microsoft 커뮤니티 또는 Exchange TechNet 포럼으로 이동합니다.