透過 Exchange Online Protection 傳送電子郵件時的 “550 5.7.64 TenantAttribution”
原始 KB 編號: 3212877
請試想下列案例:
- 您可以從內部部署 Exchange 環境或從 Internet Information Services (IIS) SMTP 伺服器,透過 Exchange Online Protection 轉送電子郵件。
- 您的輸入連接器已設定為內部部署,且已啟用憑證驗證。
在此案例中,不會透過 Exchange Online Protection 轉送郵件。 此外,您收到下列錯誤訊息:
550 5.7.64 TenantAttribution;轉送存取遭拒 SMTP
寄件者會 (包含此錯誤碼的 NDR) 接收非傳遞報告。 或者,您會在 IIS SMTP 記錄檔或傳送連接器記錄中看到錯誤。
此外,如果您在 事件檢視器 中啟用 CAPI2 作業記錄,則會記錄下列專案:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
<EventID>30</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>30</Task>
<Opcode>0</Opcode>
<Keywords>0x4000000000000001</Keywords>
<TimeCreated SystemTime="2016-12-01T03:09:55.456180600Z" />
<EventRecordID>3156</EventRecordID>
<Correlation />
<Execution ProcessID="544" ThreadID="1996" />
<Channel>Microsoft-Windows-CAPI2/Operational</Channel>
<Computer>CORP-SMTP1.ServerName.com</Computer>
<Security UserID="S-1-5-18" />
</System>
<UserData>
<CertVerifyCertificateChainPolicy>
<Policy type="CERT_CHAIN_POLICY_SSL" constant="4" />
<Certificate fileRef="EC53EBC94A796C42E5B4E5851F961874F013D94C.cer" subjectName="*.ServerName.com" />
<CertificateChain chainRef="{8729A893-3D34-49D1-8030-8513DE8E8897}" />
<Flags value="0" />
<SSLAdditionalPolicyInfo authType="server">
<IgnoreFlags value="280" SECURITY_FLAG_IGNORE_REVOCATION="true" SECURITY_FLAG_IGNORE_WRONG_USAGE="true" />
</SSLAdditionalPolicyInfo>
<Status chainIndex="0" elementIndex="-1" />
<EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-18" />
<CorrelationAuxInfo TaskId="{AD28C3AB-7CFE-4CF0-A623-F6CAC805A73C}" SeqNumber="1" />
<Result value="800B0109">A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.</Result>
</CertVerifyCertificateChainPolicy>
</UserData>
</Event>
如果內部部署伺服器未在傳輸層安全性 (TLS 期間傳送必要的憑證鏈結,) 交握至 Exchange Online,就會發生此問題。
如果要解決這個問題,請依照下列步驟執行。
從第三方憑證的簽發者取得中繼憑證的清單。
從受影響的伺服器匯出中繼憑證。
- 在受影響的伺服器上開啟 [憑證] 嵌入式管理單元。
- 選取 [計算機帳戶],然後按兩下 [ 本機計算機]。
- 在控制台樹中,展開 [ 個人],然後按兩下 [ 憑證]。
- 按兩下與 SMTP 服務相關聯的第三方憑證,然後按兩下 [ 認證路徑] 索引標籤 。
- 選取所列憑證路徑中的中繼憑證,單擊 [檢視憑證],然後按兩下 [詳細數據] 索引標籤上的 [複製到檔案]。
- 在 [匯出檔案格式] 頁面上,選取 [DER 編碼二位元 X.509 (.CER)],再按 [下一步]。
- 在 [ 要導出的檔案 ] 頁面上,選取檔名和路徑,按兩下 一步],然後按兩下 [ 完成]。
- 如果憑證路徑中有多個中繼憑證,請針對路徑中的每個中繼憑證重複步驟 2C 到步驟 2F。
將您在步驟 2 中導出的中繼憑證匯入至傳送伺服器上的中繼證書頒發機構單位 (CA) 。 若要這樣做,請在提升許可權的 Windows PowerShell 工作階段中執行下列命令:
Get-ChildItem -Path c:\import\intermediateca.cer | Import-Certificate -CertStoreLocation cert:\LocalMachine\CA
是否仍需要協助? 前往 Microsoft Community。