emeriks
Goto Top

Exchange Online - Recipient address rejected: Access denied

Hi,
wir sind gerade dabei, das MS Teams für uns zu evaluieren. Peu à peu kommen wir da voran. z.Z. hängen wir beim Mailflow.

Wir haben grundsätzlich alles fertig eingerichtet. Mit AADC wird synchronisert. Wir haben Lizenzen zugewiesen. Der HCW ist erfolgreich gelaufen. Der offizielle Verbindungstest für Teams läuft erfolgreich durch.

Wir haben erfolgreich einen M365-Benutzer mit Online-Postfach erstellt. (Obwohl wir sowas gar nicht brauchen. Das ist nur zum Testen.) Dieser kann Mails an interne Postfächer senden und diese kommen auch an.
--> Die Standard-Domäne haben wir auf "unserecloud.onmicrosoft.com" gestellt. Dieses Postfach hat eine Adresse aus dieser: hans.muster@unserecloud.onmicrosoft.com.

Azure kann auch Mails an interne Empfänger senden. Wenn z.B. jemand einer M365-Gruppe hinzugefügt wurde, dann bekommt er ne entsprechende eMail: "You've joined the Test group 2".

Die M365-Gruppen, welche beim Erstellen eines Teams erstellt werden, werden durch den AADC mit allen Informationen ins AD zurückgeschrieben. Name, Mitglieder, Mail-Adresse, Gruppentyp und -bereich - alles stimmt.

Das Problem ist:
Wir können von intern keine Mails an diese M365-Gruppen versenden.

Die Mails kommen beim Tenant an. Im Message Trace des Exchange Online steht als Status für die Mails:
Expanded
The message was sent to the following group: test-group-2@unserecloud.onmicrosoft.com‎. Office 365 received the message and sent it to the group members.
D.h.: Er bekommt die Mail und akzeptiert diese. Dann sendet er diese an die Gruppenmitglieder.

Aber egal, ob die Mitglieder dieser Gruppe (Team) nun synchronisierte Benutzer (Mailbox on premise) oder nur in der Cloud existierende (Mailbox online) sind - man bekommt einen NDR mit
Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen:
test-group-2
Ihre Nachricht wurde aufgrund eines Berechtigungs- oder Sicherheitsproblems nicht zugestellt. Sie wurde möglicherweise von einem Moderator zurückgewiesen, über die Adresse können nur E-Mails von bestimmten Absendern empfangen werden, oder eine weitere Einschränkung verhindert die Zustellung der Nachricht.
...
Remote Server returned '554 5.7.1 < #5.7.1 smtp;554 5.7.1 <test-group-2@unserecloud.onmicrosoft.com>: Recipient address rejected: Access denied>'

Sowohl an der Gruppe als auch an der Online Mailbox ist eingestellt, dass diese von allen Absendern Mails annehmen und von keinen blockieren sollen.
Accept messages from: All sender
Block messages from: none

Woran kann es jetzt noch liegen, dass die Mails nicht im Postfach landen?

E.

PS:
Mails von einem externen Absender (anderer Provider) an diese Gruppe werden auch im Message Trace gelistet, ebenfalls mit "expanded". Aber sie kommen beim Online-Postfach nicht an. Es kommt noch nicht einmal ein NDR zurück.

Content-Key: 3474131310

Url: https://administrator.de/contentid/3474131310

Ausgedruckt am: 27.09.2022 um 06:09 Uhr

Mitglied: mmw2000
mmw2000 28.07.2022 um 22:50:46 Uhr
Goto Top
Hi,
Hybrid etabliert?
Gruss
Markus
Mitglied: emeriks
emeriks 29.07.2022 um 08:11:52 Uhr
Goto Top
Zitat von @mmw2000:
Hybrid etabliert?
Ja, habe ich doch geschrieben.
Mitglied: Mr.Molochos
Mr.Molochos 29.07.2022 um 20:26:46 Uhr
Goto Top
Hallo,

Das Problem ist:
Wir können von intern keine Mails an diese M365-Gruppen versenden.

was meinst Du mit intern? von unserecloud.onmicrosoft.com oder von eurer Domain eigenedomain.de?

M365-Benutzer mit Online-Postfach kann Mails an interne Postfächer senden.
d.h. ein hans.muster@unserecloud.onmicrosoft.com kann an diese Gruppe erfolgreich senden?

3 Fälle:
1. hans.muster@unserecloud.onmicrosoft.com (MS) schickt an Gruppe
2. hans.muster@eigenedomain.de (eigene Domain Hybrid AADC) schickt an Gruppe
3. hans.muster@web.de (komplett extern) schickt an Gruppe

Hört sich mehr danach an, das Servereinstellungen Online noch fehlen, nicht die Gruppeneinstellungen wenn ihr die gesetzt habt.
Kommen externe Mails in den normalen Userpostfächern .onmicrosoft.com an?

Das smtp in der Meldung fällt mir auf, wie habt ihr das konfiguriert?
-> try to use tls over smtp and not smtps for public mail exchange

Hier wird einiges an Fehlern behandelt, das mal prüfen:
docs.microsoft.com/de-de/exchange/mail-flow-best-practices/non-delivery-reports-in-exchange-online/fix-error-code-550-5-7-1-in-exchange-online

Wird sie als gesund angezeigt?
-> Überprüfen Sie, ob Ihre Domäne als gesund im Microsoft 365 Admin Center bei Einstellungen > Domänen angezeigt wird.

Grüße
Mr.Molochos
Mitglied: rzlbrnft
rzlbrnft 10.08.2022 aktualisiert um 14:26:50 Uhr
Goto Top
Habt ihr die Connectors zwischen den beiden Organisationen unter https://admin.exchange.microsoft.com/#/ mal genauer angeschaut? Der Hybrid Wizard konfiguriert da manchmal ein bisschen verwirrende Sachen hinein, z.B. als Mailserver nicht den eigentlichen externen FQDN des Mailservers, mail.contoso.com, sondern einfach contoso.com, das kann in eine Richtung funktionieren, wo Autodiscover richtig aufgelöst wird, aber in die andere nicht, weil M365 erst mal im Tenant nach den Settings sucht.
Eventuell gibt es auch Probleme mit der Authentifizierung, standardmäßig wird dort das Zertifikat des Mailservers On-Premise abgefragt, wenn M365 damit nicht klar kommt, wird das Relay auch abgelehnt.

So wie ich das jetzt verstanden habe, sendest du von intern an eine M365 Gruppe, die das ganze wieder zurück an interne User umleitet, also benutzt du im Endeffekt beide Connectors, rein und raus.
unbenannt