Exchange 2013混合部署后无法发送邮件到Online

问题描述：

========

使用一台exchange 2013 混合部署成功，但是迁移邮箱后，发送邮件到该邮箱失败，云到本地邮件流正常，未启用边缘服务器。verisign的证书

错误信息：

"[42.159.161.202],[42.159.33.202]" SmartHostConnectorDelivery 重试 3 "2016年3月12日 15:04:07" "[{LRT=2016/3/12 14:59:07};{LED=450 4.7.0 Proxy session setup failed on Frontend with  '451 4.4.0 Primary target IP address responded with: ""451 5.7.3 STARTTLS is required to send mail."" Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts. The last endpoint attempted was 42.159.161.202:25'};{FQDN=shao365.contoso.com.cn};{IP=192.168.x.x}]"
condenast.partner.mail.onmschina.cn DnsConnectorDelivery 重试 3 "2016年3月12日 15:23:12" "[{LRT=2016/3/12 15:22:06};{LED=450 4.7.0 Proxy session setup failed on Frontend with  '451 4.4.0 Primary target IP address responded with: ""451 5.7.3 STARTTLS is required to send mail."" Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts. The last endpoint attempted was 42.159.33.202:25'};{FQDN=shao365.contoso.com.cn};{IP=192.168.x.x}]"

原因分析：

=========

根据报错的信息“451 5.7.3 STARTTLS is required to send mail”，提示STARTTLS丢失。在混合部署中，可以具有既驻留在本地 Exchange 组织中也驻留在 Exchange Online 组织中的邮箱。为了使这两个单独组织对用户及在他们之间交换的邮件表现为一个合并的组织，关键组件是混合传输。为了帮助保护本地和 Exchange Online 组织中的收件人，并帮助确保不会截获和读取组织之间发送的邮件，本地组织与 EOP 之间的传输会配置为使用强制 TLS。安全邮件传输使用受信任第三方证书颁发机构 (CA) 提供的 TLS/SSL 证书。EOP 与 Exchange Online 组织之间的邮件也使用 TLS。所以这个问题造成的原因是本地往Exchange online 服务器发送邮件时STARTTLS丢失。

解决方案：

=========

验证方法如下：

1.在您本地Exchange 服务器上telnet 25端口到云端域的MX记录或者MX记录对应的IP (21V Office365的话，您可以Telnet 42.159.161.202或者42.159.33.202)

2.Telnet成功连接后，输入EHLO

3.看返回结果中是否有STARTTLS，如果没有此反馈，就说明您的防火墙过滤掉了STARTTLS

一般情况下，造成这个问题的原因是防火墙将TLS过滤导致。类似于Cisco PIX或者Cisco ASA等防火墙中有MailGuard或者SMTPFixup等设置会限制ESMTP，所以您需要关闭此类设置来确保混合邮件流的正常流通。

Billy Wang - 王成

Partner Technical Consultant

Customer Service & Support, Asia Pacific & Greater China Region