运行混合配置向导时，你会收到有关可能的电子邮件 NDR 的警告

• 适用于:

  Exchange Online

原始 KB 编号： 4019940

症状

请考虑以下情况：

• 你正在运行 Microsoft Exchange 混合配置向导。
• 正在创建邮件流连接器。
• 你会收到一条警告消息。

在此方案中，如果忽略警告，混合配置向导允许你使用从本地获取的值继续。 但是，本地环境无法代表未在 Microsoft 365 租户中验证为接受域的任何域发送消息。

此外，还会收到以下未送达报告 (NDR) ：

550 5.7.64 中继访问被拒绝 ATTR36。 有关更多详细信息，请参阅： https://support.microsoft.com/kb/3169958

原因

如果满足以下条件之一，则会生成“症状”部分中提到的警告消息：

• 本地使用的证书具有一个使用者名称 (主机名的证书值，) 与 Microsoft 365 租户中的任何接受域都不匹配。

  例如，证书使用者为 <S>CN=contoso.com。 但是， contoso.com 域未在 Microsoft 365 租户中验证。

• 在本地使用的证书具有一个使用者名称，该名称包含的主机名不属于在 Microsoft 365 租户中验证的立即接受的域名。

  例如，证书使用者为 <S>CN=hostname.contoso.com。 但是， contoso.com 域未在 Microsoft 365 租户中验证。 另一个示例是证书使用者名称 S <>CN=hostname.subdomain.contoso.com。 但是，onlycontoso.com 注册为租户的接受域。

解决方案

若要使本地环境能够发送消息，请使用以下方法之一：

• (首选) 将证书上使用的域添加到 Microsoft 365 租户。 如果你拥有该域，请使用管理员权限登录到 Microsoft 365，找到“设置域”>，然后按照说明进行操作。 如果证书使用者名称 hostname.subdomain.contoso.com，则只需添加 subdomain.contoso.com。

• 使用与 Microsoft 365 租户中接受的域匹配的其他名称重新颁发证书。 你仍然可以指定所需的任何使用者可选名称。 通配符证书已启用，但不是必需的。

  注意

  如果执行此操作，则必须在用于混合邮件流的Exchange Server上安装新颁发的证书。 可能还必须确保在 Exchange Server 连接器上正确设置 FQDN) (完全限定的域名。

完成任一选项后，请重新运行混合配置向导，以便正确设置Exchange Online连接器。

更多信息

确保建立传输层安全性 (TLS) 时提供的客户端证书与 (入站) 连接器上的 参数值 TlsSenderCertificateName 匹配。 然后，将证书作为已验证的接受域进行身份验证。 可以使用此方法验证在 SMTP 对话期间提交的邮件是否属于 Microsoft 365 租户。 通过这种方式，可以验证消息是否仅存在于租户上。

有关详细信息，请参阅Identifying email from your email server。

仍然需要帮助？ 转到 Microsoft 社区或 Exchange TechNet 论坛。