4
Exchange Online - Recipient address rejected: Access denied
Hi,
wir sind gerade dabei, das MS Teams für uns zu evaluieren. Peu à peu kommen wir da voran. z.Z. hängen wir beim Mailflow.
Wir haben grundsätzlich alles fertig eingerichtet. Mit AADC wird synchronisert. Wir haben Lizenzen zugewiesen. Der HCW ist erfolgreich gelaufen. Der offizielle Verbindungstest für Teams läuft erfolgreich durch.
Wir haben erfolgreich einen M365-Benutzer mit Online-Postfach erstellt. (Obwohl wir sowas gar nicht brauchen. Das ist nur zum Testen.) Dieser kann Mails an interne Postfächer senden und diese kommen auch an.
--> Die Standard-Domäne haben wir auf "unserecloud.onmicrosoft.com" gestellt. Dieses Postfach hat eine Adresse aus dieser: hans.muster@unserecloud.onmicrosoft.com.
Azure kann auch Mails an interne Empfänger senden. Wenn z.B. jemand einer M365-Gruppe hinzugefügt wurde, dann bekommt er ne entsprechende eMail: "You've joined the Test group 2".
Die M365-Gruppen, welche beim Erstellen eines Teams erstellt werden, werden durch den AADC mit allen Informationen ins AD zurückgeschrieben. Name, Mitglieder, Mail-Adresse, Gruppentyp und -bereich - alles stimmt.
Das Problem ist:
Wir können von intern keine Mails an diese M365-Gruppen versenden.
Die Mails kommen beim Tenant an. Im Message Trace des Exchange Online steht als Status für die Mails:
Aber egal, ob die Mitglieder dieser Gruppe (Team) nun synchronisierte Benutzer (Mailbox on premise) oder nur in der Cloud existierende (Mailbox online) sind - man bekommt einen NDR mit
Sowohl an der Gruppe als auch an der Online Mailbox ist eingestellt, dass diese von allen Absendern Mails annehmen und von keinen blockieren sollen.
Woran kann es jetzt noch liegen, dass die Mails nicht im Postfach landen?
E.
PS:
Mails von einem externen Absender (anderer Provider) an diese Gruppe werden auch im Message Trace gelistet, ebenfalls mit "expanded". Aber sie kommen beim Online-Postfach nicht an. Es kommt noch nicht einmal ein NDR zurück.
wir sind gerade dabei, das MS Teams für uns zu evaluieren. Peu à peu kommen wir da voran. z.Z. hängen wir beim Mailflow.
Wir haben grundsätzlich alles fertig eingerichtet. Mit AADC wird synchronisert. Wir haben Lizenzen zugewiesen. Der HCW ist erfolgreich gelaufen. Der offizielle Verbindungstest für Teams läuft erfolgreich durch.
Wir haben erfolgreich einen M365-Benutzer mit Online-Postfach erstellt. (Obwohl wir sowas gar nicht brauchen. Das ist nur zum Testen.) Dieser kann Mails an interne Postfächer senden und diese kommen auch an.
--> Die Standard-Domäne haben wir auf "unserecloud.onmicrosoft.com" gestellt. Dieses Postfach hat eine Adresse aus dieser: hans.muster@unserecloud.onmicrosoft.com.
Azure kann auch Mails an interne Empfänger senden. Wenn z.B. jemand einer M365-Gruppe hinzugefügt wurde, dann bekommt er ne entsprechende eMail: "You've joined the Test group 2".
Die M365-Gruppen, welche beim Erstellen eines Teams erstellt werden, werden durch den AADC mit allen Informationen ins AD zurückgeschrieben. Name, Mitglieder, Mail-Adresse, Gruppentyp und -bereich - alles stimmt.
Das Problem ist:
Wir können von intern keine Mails an diese M365-Gruppen versenden.
Die Mails kommen beim Tenant an. Im Message Trace des Exchange Online steht als Status für die Mails:
Expanded
The message was sent to the following group: test-group-2@unserecloud.onmicrosoft.com. Office 365 received the message and sent it to the group members.
D.h.: Er bekommt die Mail und akzeptiert diese. Dann sendet er diese an die Gruppenmitglieder.The message was sent to the following group: test-group-2@unserecloud.onmicrosoft.com. Office 365 received the message and sent it to the group members.
Aber egal, ob die Mitglieder dieser Gruppe (Team) nun synchronisierte Benutzer (Mailbox on premise) oder nur in der Cloud existierende (Mailbox online) sind - man bekommt einen NDR mit
Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen:
test-group-2
Ihre Nachricht wurde aufgrund eines Berechtigungs- oder Sicherheitsproblems nicht zugestellt. Sie wurde möglicherweise von einem Moderator zurückgewiesen, über die Adresse können nur E-Mails von bestimmten Absendern empfangen werden, oder eine weitere Einschränkung verhindert die Zustellung der Nachricht.
...
Remote Server returned '554 5.7.1 < #5.7.1 smtp;554 5.7.1 <test-group-2@unserecloud.onmicrosoft.com>: Recipient address rejected: Access denied>'
test-group-2
Ihre Nachricht wurde aufgrund eines Berechtigungs- oder Sicherheitsproblems nicht zugestellt. Sie wurde möglicherweise von einem Moderator zurückgewiesen, über die Adresse können nur E-Mails von bestimmten Absendern empfangen werden, oder eine weitere Einschränkung verhindert die Zustellung der Nachricht.
...
Remote Server returned '554 5.7.1 < #5.7.1 smtp;554 5.7.1 <test-group-2@unserecloud.onmicrosoft.com>: Recipient address rejected: Access denied>'
Sowohl an der Gruppe als auch an der Online Mailbox ist eingestellt, dass diese von allen Absendern Mails annehmen und von keinen blockieren sollen.
Accept messages from: All sender
Block messages from: none
Block messages from: none
Woran kann es jetzt noch liegen, dass die Mails nicht im Postfach landen?
E.
PS:
Mails von einem externen Absender (anderer Provider) an diese Gruppe werden auch im Message Trace gelistet, ebenfalls mit "expanded". Aber sie kommen beim Online-Postfach nicht an. Es kommt noch nicht einmal ein NDR zurück.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3474131310
Url: https://administrator.de/contentid/3474131310
Printed on: May 10, 2024 at 18:05 o'clock
4 Comments
Latest comment
Hi,
Hybrid etabliert?
Gruss
Markus
Hybrid etabliert?
Gruss
Markus
Ja, habe ich doch geschrieben.
Hallo,
was meinst Du mit intern? von unserecloud.onmicrosoft.com oder von eurer Domain eigenedomain.de?
3 Fälle:
1. hans.muster@unserecloud.onmicrosoft.com (MS) schickt an Gruppe
2. hans.muster@eigenedomain.de (eigene Domain Hybrid AADC) schickt an Gruppe
3. hans.muster@web.de (komplett extern) schickt an Gruppe
Hört sich mehr danach an, das Servereinstellungen Online noch fehlen, nicht die Gruppeneinstellungen wenn ihr die gesetzt habt.
Kommen externe Mails in den normalen Userpostfächern .onmicrosoft.com an?
Das smtp in der Meldung fällt mir auf, wie habt ihr das konfiguriert?
-> try to use tls over smtp and not smtps for public mail exchange
Hier wird einiges an Fehlern behandelt, das mal prüfen:
docs.microsoft.com/de-de/exchange/mail-flow-best-practices/non-delivery-reports-in-exchange-online/fix-error-code-550-5-7-1-in-exchange-online
Wird sie als gesund angezeigt?
-> Überprüfen Sie, ob Ihre Domäne als gesund im Microsoft 365 Admin Center bei Einstellungen > Domänen angezeigt wird.
Grüße
Mr.Molochos
Das Problem ist:
Wir können von intern keine Mails an diese M365-Gruppen versenden.
Wir können von intern keine Mails an diese M365-Gruppen versenden.
was meinst Du mit intern? von unserecloud.onmicrosoft.com oder von eurer Domain eigenedomain.de?
M365-Benutzer mit Online-Postfach kann Mails an interne Postfächer senden.
d.h. ein hans.muster@unserecloud.onmicrosoft.com kann an diese Gruppe erfolgreich senden?3 Fälle:
1. hans.muster@unserecloud.onmicrosoft.com (MS) schickt an Gruppe
2. hans.muster@eigenedomain.de (eigene Domain Hybrid AADC) schickt an Gruppe
3. hans.muster@web.de (komplett extern) schickt an Gruppe
Hört sich mehr danach an, das Servereinstellungen Online noch fehlen, nicht die Gruppeneinstellungen wenn ihr die gesetzt habt.
Kommen externe Mails in den normalen Userpostfächern .onmicrosoft.com an?
Das smtp in der Meldung fällt mir auf, wie habt ihr das konfiguriert?
-> try to use tls over smtp and not smtps for public mail exchange
Hier wird einiges an Fehlern behandelt, das mal prüfen:
docs.microsoft.com/de-de/exchange/mail-flow-best-practices/non-delivery-reports-in-exchange-online/fix-error-code-550-5-7-1-in-exchange-online
Wird sie als gesund angezeigt?
-> Überprüfen Sie, ob Ihre Domäne als gesund im Microsoft 365 Admin Center bei Einstellungen > Domänen angezeigt wird.
Grüße
Mr.Molochos
Habt ihr die Connectors zwischen den beiden Organisationen unter https://admin.exchange.microsoft.com/#/ mal genauer angeschaut? Der Hybrid Wizard konfiguriert da manchmal ein bisschen verwirrende Sachen hinein, z.B. als Mailserver nicht den eigentlichen externen FQDN des Mailservers, mail.contoso.com, sondern einfach contoso.com, das kann in eine Richtung funktionieren, wo Autodiscover richtig aufgelöst wird, aber in die andere nicht, weil M365 erst mal im Tenant nach den Settings sucht.
Eventuell gibt es auch Probleme mit der Authentifizierung, standardmäßig wird dort das Zertifikat des Mailservers On-Premise abgefragt, wenn M365 damit nicht klar kommt, wird das Relay auch abgelehnt.
So wie ich das jetzt verstanden habe, sendest du von intern an eine M365 Gruppe, die das ganze wieder zurück an interne User umleitet, also benutzt du im Endeffekt beide Connectors, rein und raus.
Eventuell gibt es auch Probleme mit der Authentifizierung, standardmäßig wird dort das Zertifikat des Mailservers On-Premise abgefragt, wenn M365 damit nicht klar kommt, wird das Relay auch abgelehnt.
So wie ich das jetzt verstanden habe, sendest du von intern an eine M365 Gruppe, die das ganze wieder zurück an interne User umleitet, also benutzt du im Endeffekt beide Connectors, rein und raus.
