Como solucionar o erro de protocolo SMTP "504 é necessário autenticar primeiro"

Um ou os dois eventos a seguir podem ser registrados nos logs de aplicativo:

Tipo de evento: Erro
Origem do evento: MSExchangeTransport
Categoria: Protocolo SMTP
Identificação do evento: 7004

Data: 1/13/2004
Hora: 17:23:43
Usuário: N/A
Computador: NOME_DO_COMPUTADOR
Descrição: Este é um log de erros do protocolo SMTP para a identificação de servidor virtual 1, conexão 29. O host remoto "E2k3server1.contoso.com" respondeu ao comando SMTP "xexch50" com "504 é necessário autenticar primeiro". O comando inteiro enviado foi "XEXCH50 2336 3". É provável que isso cause a falha na conexão.

Tipo de evento: Erro
Origem: MSExchangeTransport
Categoria: Protocolo SMTP
Identificação do evento: 7010
Data: 1/13/2004
Hora: 17:43:49
Usuário: Computador N/A: NOME_DO_COMPUTADOR
Descrição: Este é um log do protocolo SMTP para a identificação de servidor virtual 1, conexão 30. O cliente em "6.5.2.4" enviou um comando respondido pelo servidor SMTP com "504 é necessário autenticar primeiro". O comando inteiro enviado foi "xexch50 1092 2". É provável que isso cause a falha na conexão. Esses eventos indicam que o coletor de protocolo XEXCH50 foi acionado, mas que houve falha na troca dos blobs entre os servidores listados nos eventos.

Observação Você só verá as identificações de evento 7004 e 7010 se ativar o log de diagnóstico na origem do evento MSExchangeTransport como médio ou superior.

Para solucionar esse problema, execute as seguintes etapas:

1. Verifique se a Autenticação Integrada do Windows está habilitada nos servidores virtuais SMTP dos computadores do Exchange Server na organização. Se não estiver, execute as seguintes etapas:
   1. No Gerenciador do Sistema do Exchange, expanda Administrative Groups (Grupos Administrativos), expanda Servers (Servidores), expanda Nome do servidor do Exchange, expanda Protocolos e SMTP.
   2. Clique com o botão direito do mouse no servidor virtual SMTP. (Por padrão, o s nome é Servidor virtual SMTP padrão.)
   3. Clique em Properties (Propriedades), na guia Access (Acesso) e em Authentication (Autenticação). Certifique-se de que a caixa de seleção Autenticação integrada do Windows esteja marcada.
2. Se a Autenticação integrada do Windows estiver habilitada, mas os eventos persistirem, o servidor de envio nos eventos 7004 ou 7010 pode faltar ou ter o direito SendAs negado no servidor de recebimento. Se os servidores de envio e recebimento estiverem apresentando estes eventos, é sinal de que eles podem não ter os direitos SendAs entre si. O direito SendAs não é definido explicitamente. O direito SendAs é normalmente herdado pela associação no grupo EDS (Exchange Domain Servers). Se o EDS não tiver a ACE (entrada de controle de acesso) DENY, o servidor afetado poderá ser aninhado a um outro grupo que a tenha, ou o EDS pode ser aninhado a outros grupos que tenham a ACE DENY. Para que isso tenha êxito, o comando XEXCH50 precisa ter o direito SendAs para os servidores na organização do Exchange.
3. Verifique se você está usando o protocolo TLS e um canal de segurança entre os servidores na origanização do Exchange. Nesta situação, os coletores de evento de transporte STARTTLS são acionados antes do comando AUTH. O comando XEXCH50 posteriormente falha na sessão devido à ausência do comando AUTH.
4. Se a autenticação EXPS (Exchange Protocol Security) não estiver funcionando corretamente entre os servidores, o comando XEXCH50 não irá funcionar. Os eventos 1704 e 1706 indicam falhas de autenticação EXPS no log do aplicativo.

   Tipo de evento: Aviso
   Origem: Evento MSExchangeTransport
   Categoria: Protocolo SMTP
   Identificação do evento: 1706
   Descrição:
   No momento, o EXPS não pode fornecer a segurança de protocolo com
   "<Nome_do_Servidor>.<Domínio>.com". "CSessionContext::OnEXPSInNegotiate" chamado
   "HrServerNegotiateAuth" que apresentou o código de erro 0x8009030c
   ( i:\transmt\src\smtpsink\exps\expslib\context.cpp@1462 ).
   Dados: 0000:
   0c 03 09 80 ...?

   Observação O código de erro 0x8009030c traduz para SEC_E_LOGON_DENIEDHresult.
   
   Pode ser difícil solucionar esses problemas, pois as credenciais Microsoft Windows do EXPS são necessárias para passar esse comando AUTH. É possível usar várias ferramentas para solucionar a combinação das identificações do evento 7006 e 7004, incluindo as ferramentas NLTEST e NETDOM. Entre as etapas da solução de problemas pode estar a redefinição das senhas de conta de computador.
   
   Se você tiver uma combinação das identificações do evento 7006 e 7004 no log do aplicativo conforme descrito anteriormente e não for possível descobrir a origem do problema usando a autenticação EXPS, contate o Atendimento Microsoft. Se não houver essa combinação das identificações do evento 7006 e 7004 no log do aplicativo, vá para a etapa 5. Se você quiser obter mais informações sobre o EXPS, consulte a seção Mais Informações.
5. Verifique se há um firewall ou antivírus entre os servidores na organização do Exchange. Se houver um firewall entre os servidores da organização, será possível testar se isso está causando o problema. Para fazer isso, desabilite temporariamente o firewall.

Para obter mais informações sobre como ativar o log de diagnóstico para os problemas de transporte, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):

Outras situações em que é possível ver a identificação do evento 7004 com o erro 504

A identificação do evento 7004 com o erro 504 é esperada se o servidor indicado por ela for um computador do Exchange 2000 Server ou do Exchange Server 2003 em uma outra organização do Exchange, caso não haja nenhum conector configurado para uma confiança entre florestas nas organizações do Exchange. Para obter mais informações sobre implementações entre florestas, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Observação No artigo 828770, consulte a seção "Autenticação em situações entre florestas".

A identificação do evento 7004 com o erro 504 também é esperada se o servidor for um servidor de Internet externo (Exchange 2000 Server ou Exchange Server 2003).

Se um servidor Exchange 5.5 tiver a versão 5.5.2657.72 de Msexcimc.exe ou posterior do conector IMS (serviços de email na Internet) e se este servidor Exchange 5.5 estiver em um domínio de email externo ao computador do Exchange 2000 Server de envio ou ao computador do Exchange Server 2003, o conector IMS do Exchange 5.5 de recebimento não entenderá o comando XEXCH50 enviado pelo computador do Exchange Server de envio. O evento 7004 com o erro "505 Autenticação obrigatória" no log do aplicativo no computador do Exchange Server de envio é comum quando o email está sendo enviado de um computador do Exchange 2000 Server ou Exchange Server 2003 para um computador do Exchange 5.5 Server em um domínio de email externo na Internet. Uma forma de resolver este problema é suprimir o envio do comando XEXCH50 fora da organização do Exchange em que reside o computador do Exchange 2000 Server ou Exchange Server 2003.

Para resolver esse comportamento no computador do Exchange 2000 Server ou do Exchange Server 2003, é possível definir a chave do Registro SuppressExternal para 1. Esta configuração impede que o Exchange Server tente enviar o comando XEXCH50 fora da organização do Exchange. Para obter mais informações sobre como criar a chave do Registro SuppressExternal e defini-la para 1, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

Sintomas adicionais que podem acompanhar as identificações do evento 7004 e 7010

Se o comando XEXCH50 não estiver funcionando corretamente, conforme indicado pelos eventos 7004 e 1010, os seguintes sintomas poderão aparecer:

• A replicação da pasta pública para od computadores do Exchange 2000 Server e do Exchange Server 2003 será afetada.
• O envio de emails para as pastas públicas será afetado.
• É possível que as mensagens comuns do diário não funcionem, ou haja mensagens do diário duplicadas. Para obter mais informações sobre como solucionar problemas de diário tipo mensagem, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
  843105  (http://support.microsoft.com/kb/843105/ ) Como solucionar os problemas do diário do tipo mensagen no Exchange Server 2003 e no Exchange 2000 Server
• O diário do tipo envelope pode não responder corretamente se estiver habilitado na organização do Exchange para relatórios.
• As configurações da notificação na entrega para os grupos de distribuição podem não funcionar corretamente.
• A expansão do grupo de distribuição pode não funcionar corretamente.
• As permissões e restrições do grupo de distribuição podem não funcionar como o esperado.
• O envio de email para grupos de distribuição ocultos pode não funcionar como o esperado.
• As mensagens para os destinatários alternativos podem gerar duplicatas.
• O IMF (Intelligent Message Filtering) pode não funcionar como o esperado.

Mais informações sobre XEXCH50

XEXCH50 é uma extensão ESMTP do Exchange usada para retransmitir determinadas propriedades como as de envelope, mensagem e destinatário. O comando XEXCH50 é um comando curto. Um comando XEXCH50 que recebeu uma resposta positiva é seguido de um BLOB (binary large object) com tamanho variável. (O tamanho corresponde ao primeiro argumento do comando XEXCH50).

Mais informações sobre TLS e STARTTLS

O comando STARTTLS é descrito no RFC 2487 chamado SMTP Service Extension for Secure SMTP over TLS. Para exibir o RFC, visite o seguinte site da IETF (em inglês):Observação Para ajudar na proteção da comunicação, é possível configurar o Microsoft SMTP Service para que ele criptografe as transmissões SMTP usando o protocolo TLS. Essa funcionalidade é fornecida pelo comando STARTTLS do protocolo SMTP.

Mais informações sobre EXPS

X-EXPS é um verbo proprietário do Exchange Server, embora seja semelhantea AUTH. A sintaxe dos comandos de dados e das respostas depende do pacote AUTH selecionado, como LOGIN, NTLM, GSSAPI ou outros. Para obter mais informações, consulte o RFC AUTH.

Embora EXPS pare o protocolo EXPS, o único protocolo ao qual ele se refere é o SMTP. Alguns verbos usados no Exchange 2000 Server e no Exchange Server 2003 são de propriedade desses produtos e são usados em conjunto com verbos ESMTP. Eles são conhecidos como verbos ESMTP X. Para obter mais informações sobre os verbos ESMTP X, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

Se não for possível localizar o nome ehlo que está sendo enviado e anunciado na organização do Exchange, os recursos de autenticação GSSAPI (EXPS) do servidor de recebimento persistirão. O nome ehlo será ignorado como se nunca tivesse sido anunciado. Em síntese, o servidor de envio não tentará autenticar.

Os rastreamentos do Monitor de Rede mostraram que o servidor de envio nunca emite a autenticação GSSAPI e registra o erro de protocolo SMTP "504 é necessário autenticar" após o verbo XEXCH50. Para resolver o problema, verifique se o FQDN (nome de domínio totalmente qualificado) está correto nas propriedades do servidor virtual SMTP.

Para verificar as configurações de entrega do servidor virtual SMTP, execute as seguintes etapas:

1. Clique em Iniciar, aponte para Programas, para Microsoft Exchange e clique em System Manager (Gerenciador de sistema).
2. Se a caixa de seleção Display administrative groups (Exibir grupos administrativos) estiver marcada, expanda Administrative Groups (Grupos administrativos) e First Administrative Group.
   
   Para exibir os grupos administrativos, clique com o botão direito do mouse em Sua_organização, clique em Properties (Propriedades), marque a caixa de seleção Display administrative groups (Exibir grupos administrativos), clique em OK duas vezes e reinicie o Gerenciador do Sistema do Exchange.
3. Expanda Servers, expanda Seu_Exchange_Server, expanda Protocols (Protocolos) e clique em SMTP.
4. No painel à direita, clique com o botão direito do mouse em Default SMTP Virtual Server (Servidor virtual SMTP padrão) e clique em Properties (Propriedades).
5. Clique na guia Delivery (Entrega) e em Advanced (Avançado).
6. Verifique se o valor listado na caixa Fully-qualified domain name (Nome de domínio totalmente qualificado) é o FQDN real do servidor.

Observação O valor FQDN pode ser o nome do NetBIOS ou o próprio FQDN.

Se o nome exibido na caixa Fully-qualified domain name ((Nome de domínio totalmente qualificado) foi alterado para tentar falsificar o nome de resposta 220 ou os nomes dos cabeçalhos recebidos de RFC 2821, os sintomas listados na seção "Sintomas" são alguns dos resultados.

Além disso, verifique se não há pacotes ignorados entre os servidores. Certifique-se de que o firewall não bloqueie verbos SMTP estendidos como XEXCH50.