邮件服务器配置：最佳实践和故障排除指南

1.1 启用 TLS 1.2（Office 365 集成必需）

问题： 由于安全协议过时或不受支持，邮件服务器认证失败。

原因： Endpoint Central 服务器未启用 TLS 1.2 或未将其设为默认协议。

解决方案：

确保以下注册表项设置正确：

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\DisabledByDefault → 0
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client\Enabled → 1

此外，对于 Windows Server 2008 R2、Windows Server 2012 和 Windows 7：

• 检查是否已安装 Microsoft 更新 'kb3140245'。
• 检查以下注册表项是否包含值 '0x00000A00' 或 '0x00000800'：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DefaultSecureProtocols
• 如果是 64 位机器，也检查 'Wow6432Node' 路径：HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\DefaultSecureProtocols
• 如果注册表项不存在，请按 Microsoft 文档添加该注册表项。

2.1 Office 365（美国政府云 – .us）

问题： smtp.office365.us 的授权和令牌 URL 不会自动填充。

原因： Endpoint Central 不会自动填写政府云域的 OAuth URL。

解决方案：

登录至 https://portal.azure.us 并按照 本文档 中提到的步骤在 Azure 门户创建客户端 ID 和客户端密钥。

在邮件服务器设置中配置以下内容：

• 服务器名称：smtp.office365.us
• 端口：587
• 授权 URL：https://login.microsoftonline.us/common/oauth2/v2.0/authorize
• 令牌 URL：https://login.microsoftonline.us/common/oauth2/v2.0/token
• 范围：offline_access https://outlook.office.com/SMTP.Send

2.2 Office 365 中国账户

问题： 标准 OAuth 配置在中国地区的 Office 365 域名下失败。

原因： 中国租户需要专用的身份验证终端。

解决方案：

登录至 https://portal.azure.cn 并按照 本文档 中提到的步骤在 Azure 门户创建客户端 ID 和客户端密钥。

注册 Azure 应用并配置以下设置：

• 服务器名称：smtp.partner.outlook.cn
• 端口：587
• 授权 URL：https://login.chinacloudapi.cn/common/oauth2/authorize
• 令牌 URL：https://login.chinacloudapi.cn/common/oauth2/token
• 范围：https://partner.outlook.cn/SMTP.Send

2.3 Azure 应用 – 选择“多租户”

问题： 使用 common URL 对于单租户 Azure 应用时，OAuth 认证失败。

原因： 授权 Azure 应用时我们使用“https://login.microsoftonline.com/common/oauth2/v2.0/authorize”API。但2018年10月15日后创建的单租户应用不支持此 Microsoft API。建议配置 Azure 应用以支持任何组织目录账户（多租户）和个人 Microsoft 账户（例如 Skype、Xbox）。详情 请参阅链接.

解决方案：

注册 Azure 应用时选择：

“任何组织目录中的账户（多租户）”

如果想使用单租户应用：请在以下地址中将<common>替换为你的租户 ID：

• 授权 URL：https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize
• 令牌 URL：https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token

3.1 认证失败 – Office 365

问题： 错误信息：“无法发送邮件；认证失败”，发生在 Office 365 设置过程中。

原因： 常见原因包括缺少 SMTP 认证、发送者/用户名权限不正确或凭据过期。

解决方案：

确认你已按照正确的 Office 365 配置指南操作。

核实以下内容：

• 使用的用户名有权代表发件人地址发送邮件。
• Endpoint Central 需要启用 Office 365 中的 SMTP 客户端认证以成功发送邮件。此设置必须在 Office 365 管理门户启用。请参阅链接- 启用 SMTP Auth – Microsoft.
• 用户名拥有 Exchange Online 许可证，且是注册 Azure 应用的账户。
• Azure 应用已添加必要的 API 权限：
  • SMTP.Send、offline_access、User.Read
• 如果使用中继服务器，请检查其是否有问题。

如问题仍存在，请参考：

• Microsoft 的邮件流故障排除指南

3.2 “SendAsDenied” 异常

问题： 发送邮件失败，错误信息：SMTPSendFailedException: 554 5.2.252 SendAsDenied

原因： 认证用户无权限作为指定发件人地址发送邮件。

解决方案：

在 Office 365 中，每个用户账户绑定特定登录凭据，用户仅允许从自己的邮箱访问和发送邮件。未经授权，使用其他用户凭据发送邮件（如“代表发送”或“作为发送”）既不支持也不推荐。此限制用于保障安全，防止未经授权访问用户邮箱。

SMTPSendFailedException: 554 5.2.252 SendAsDenied 特指 “SendAsDenied” 错误，表明邮件服务器拒绝了作为指定发件人（发件人地址）发送邮件的尝试，因为权限不足。

解决此问题请在 Microsoft 365 管理中心为指定用户（即“发件人”地址中的用户）授予“代表发送”或“作为发送”权限。

3.3 管理员审核的 OAuth 同意请求

问题： 邮件服务器设置触发 Office 365 中的管理员同意请求。

原因： 用户名字段中使用的账户缺少管理权限或无权从指定发件人地址发送邮件。

解决方案：

用户名应在 Office 365 管理中心被分配管理员角色。如果无法为支持邮箱地址分配管理员角色，请在用户名字段使用全局管理员账户，且在发件人邮箱地址字段指定支持邮箱地址。

如果发件人邮箱地址和用户名不同，确保用于认证的用户名有权代表发件人邮箱地址发送邮件。

此外，用户名必须拥有有效的 Exchange Online 许可证。

3.4 错误：不支持的参数actionName

问题： 错误信息：“errorMsg”：“请求中检测到不支持的参数 actionName。”

原因： 产品通过 Tomcat 端口访问，未使用 HTTPS 连接端口。

解决方案：

• 使用端口 8383 访问产品。
• 若无效，打开 <server-path>/DesktopCentral_Server/conf/websettings.xml，检查配置的连接器端口，使用该端口访问产品控制台。

3.5 授权请求被拒绝（O365）

问题： 错误：“授权请求被拒绝”，发生在邮件服务器设置期间。

原因： 该错误发生在用于认证的邮箱（即用户名字段）无权访问客户端 ID 和密钥，或应用注册时未授予第三方租户访问权限。

解决方案：

• 确保使用的邮箱有权查看客户端 ID。
• 确认应用注册时已启用第三方租户访问权限。

3.6 为什么生成新的访问令牌时会出现 INVALID_GRANT 错误？

问题： 错误信息：com.me.ems.onpremise.common.oauth.OauthException: INVALID_GRANT

原因：

在 Office 365 OAuth 中，INVALID_GRANT 错误通常在刷新令牌流程中出现，原因是刷新令牌不再有效或无法用于获取新的访问令牌。

Office 365 支持以下 OAuth 2.0 授权类型：