Microsoft 365 でメールを外部に送信する場合の "550 5.7.64 TenantAttribution"

  • [アーティクル]
  • 適用対象:
    Exchange Online

現象

ユーザーがメール (Microsoft 365 経由で中継) を外部に送信すると、次のエラー メッセージが表示されます。

550 5.7.64 TenantAttribution;リレー アクセス拒否 SMTP。

原因

この問題は、次のいずれかの理由が原因です。

  • オンプレミスの証明書を使用して送信サーバーの ID を確認するように構成されている、Microsoft 365 の受信コネクタを使用します。 (これは推奨される方法です。別の方法は IP アドレスです)。 ただし、オンプレミスの証明書は、Microsoft 365 で指定されている証明書と一致しなくなりました。 これは、オンプレミスでの構成の変更、または別の名前を使用する新しい証明書または更新された証明書が原因である可能性があります。
  • Microsoft 365 コネクタで構成されている IP アドレスが、送信サーバーで使用されている IP アドレスと一致しなくなりました。

解決方法

送信サーバーを識別し、リレーを承認するには、Microsoft 365 で正しく構成されているコネクタがあり、コネクタが送信サーバーと一致している必要があります。

ハイブリッド構成ウィザード (HCW) を再実行して、Exchange Onlineの受信コネクタを更新します。 ハイブリッド構成に対する手動カスタマイズ (一般的ではない) は、ウィザードの完了後にやり直す必要があることに注意してください。 TLS 送信者証明書の値と行われた変更の詳細については、HCW ログを参照してください。 詳しくは、「 ハイブリッド構成ウィザード」をご覧ください。

  1. Exchange Online管理センターからハイブリッド構成ウィザードをダウンロードして実行します。
  2. [トランスポート証明書] ページで新しい証明書が選択されていることを確認します。

ウィザードが正常に完了すると、名前の値 TLSSenderCertificate はオンプレミス サーバーで使用される証明書と一致する必要があります。 変更が有効になるには時間がかかる場合があります。

オプション 2: HCW を実行せずに受信コネクタを変更する

ユーザーが外部メールを送信するときに、新しい証明書がオンプレミスの Exchange から Exchange Online Protection (EOP) に送信されていることを確認します。 新しい証明書がオンプレミスの Exchange から EOP に送信されない場合は、オンプレミスで証明書構成の問題が発生する可能性があります。 Microsoft 365 へのメールのルーティングに使用される送信コネクタでログを有効にし、それらのログを確認して、問題を確認します。 送信コネクタ ログの場所を見つけるには、その送信コネクタに一覧表示されているソース サーバーに対して次のコマンドレットを実行します。 (ここでは、EOP を介した外部ドメインへのリレーに使用される送信コネクタ名が "Microsoft 365 への送信" であると仮定します)。

Exchange 2010 の場合

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportserver $_.name} | Select-Object name,SendProtocolLogPath

Exchange 2013 以降のバージョンの場合

(Get-SendConnector "outbound to Microsoft 365").SourceTransportServers | foreach {get-transportservice $_.name} | Select-Object name,SendProtocolLogPath

  1. 送信コネクタ ログでは、Exchange Onlineに渡される証明書の拇印をチェックできます。 送信コネクタ ログのコード例を次に示します。

    Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,<,220 2.0.0 SMTP server ready, Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,,Sending certificate Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CN=*.contoso.com,Certificate subject Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,"CN=CommonName, OU= OrganizationalUnit, O=OrganizationName, L=Location, S=State, C=Country",Certificate issuer name Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateSerialNumber,Certificate serial number Date/Time,Outbound to Microsoft 365,SessionID,SequenceNumber,LocalEndpoint,RemoteEndpoint,*,CertificateThumbprintNumber,Certificate thumbprint

  2. この時点で、Microsoft 365 で一致する受信コネクタを見つけ、証明書の値が一致することを確認できます。 この例では、値を TlsSenderCertificateName *.contoso.com に設定する必要があります。

    注:

    Microsoft 365 を介してメッセージを中継するには、送信者のドメインまたは contoso.com のドメインを Microsoft 365 テナントで確認する必要があります。 それ以外の場合は、「現象」で説明されているエラーと同様のエラーが表示される場合がありますが、明示的な ATT36 エラーもあります。 (ATT36 エラーの詳細については、「 Microsoft 365 を介して電子メール メッセージを中継するように証明書ベースのコネクタを構成する」を参照してください)。

詳細

さらにヘルプが必要ですか? Microsoft コミュニティまたは Exchange TechNet フォーラムにアクセスしてください。