Defaults.Exposed

Defaults.ExposedOpravyGuides

Outlook odmítá váš e-mail: 550 5.7.515, 550 5.7.509 a compauth=fail, vysvětleno a opraveno (2026)

Publikováno 2026-07-08

Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.

Dva různé systémy Microsoft odmítají poštu. Spotřebitelský Outlook.com odmítá odesílatele s velkým objemem, kteří selžou v ověřování (550 5.7.515, vymáháno od května 2025); Exchange Online odmítá poštu, která selže vaší vlastní politice reject DMARC (550 5.7.509). Z 10,205,070 domén autorizujících spf.protection.outlook.com, 85.0% má přísné SPF, ale pouze 21.7% vymáhá DMARC, podle sčítání Defaults.Exposed zahrnujícího 261,086,232 domén.

Většina problémů „Outlook odmítá můj e-mail” vůbec nejsou odmítnutí — jsou to pošta tiše přistávající v nevyžádané poště s compauth=fail v záhlavích. Tento průvodce dekóduje kódy Microsoftu, ukazuje, jak číst záhlaví Authentication-Results a prochází opravu v pořadí: potvrzení SPF, povolení DKIM pro vlastní doménu, publikování a vymáhání DMARC, znovu otestování.

Jakou chybu Microsoftu vlastně máte?

Microsoft provozuje dvě oddělené přijímací plochy a odmítají z různých důvodů. Nejprve porovnejte svůj příznak — špatná diagnóza přijde o den.

Kód / signálOdkud pocházíCo to znamenáData k 2026-06-29
550 5.7.515Spotřebitelský Outlook.com / Hotmail / LiveOdesíláte >5 000 zpráv/den na spotřebitelský Outlook a nesplňujete požadavky ověřování (SPF + DKIM + DMARC), vymáhány od května 2025
550 5.7.509Exchange Online / EOP (firemní tenanti)Přijímající server respektoval vlastní DMARC p=reject vaší domény — vaše pošta selhala DMARCPouze 10.59% ze všech 261,086,232 hodnocených domén vymáhá DMARC
550 5.7.511Exchange Online / EOPVaše odesílající adresa nebo doména je na seznamu zakázaných odesílatelů přijímající organizace nebo Microsoftu
S3140 / S3150Spotřebitelský Outlook.comVaše odesílající IP má špatnou reputaci — blok, ne selhání ověřování
compauth=fail (záhlaví)Obě plochy — nejčastější případPošta byla přijata, ale zařazena do nevyžádané: složené ověřování Microsoftu selhalo. Žádný odraz, žádný NDR — jen složka se spamemZ 10,205,070 odesílajících domén M365, pouze 21.7% vymáhá DMARC

Přesná formulace NDR se mění; před spoléháním na ně ověřte řetězce, které citujete, vůči živému odrazu.

Co znamená 550 5.7.515?

Je to požadavek spotřebitelského Outlook.com/Hotmail, nikoli chyba tenanta Microsoft 365. Od května 2025 musí odesílatelé více než 5 000 zpráv denně na spotřebitelské adresy Outlook projít SPF, projít DKIM a publikovat záznam DMARC (alespoň p=none) zarovnaný s doménou From. Nesplníte tuto laťku a spotřebitelský Outlook odmítne s formulací jako:

550 5.7.515 Access denied, sending domain [vasadomena.cz] does not meet the required authentication level.

Dvě věci, které toto není: není to mandát z roku 2026 (pokud vaše pošta právě začala odrážet, změnil se váš objem nebo DNS, nikoli pravidlo) a není to o nastavení M365 tenanta příjemce. Opravou je žebřík ověřování níže — a příležitostné dny kampaně, které překročí 5 000/den, se počítají.

Co znamená 550 5.7.509?

Tento pochází z Exchange Online Protection na firemních tenantech a znamená, že vaše vlastní politika DMARC je respektována:

550 5.7.509: Access denied, sending domain [vasadomena.cz] does not pass DMARC verification and has a DMARC policy of reject.

Přečtěte to pozorně — to není Microsoft, který dělá potíže. Vaše doména publikuje p=reject, tato zpráva selhala DMARC a příjemce udělal přesně to, co jste požadovali. Pokud odražená pošta je legitimní, nějaký odesílající zdroj (newsletterový nástroj, CRM, zařízení scan-to-email) není ověřen zarovnaným způsobem. Neoslabujte politiku; dejte tomu zdroji zarovnaný SPF nebo DKIM — viz opravit DMARC a z p=none na p=reject.

Proč Outlook třídí moji poštu do nevyžádané s compauth=fail namísto odmítnutí?

Většina bolesti s doručitelností Microsoftu nikdy neprodukuje odraz. Zpráva je přijata, ohodnocena a zařazena do nevyžádané pošty — jediným důkazem je záhlaví Authentication-Results. V poštovní schránce příjemce (nebo vaší vlastní testovací schránce outlook.com), otevřete zprávu, zvolte Zobrazit zdroj zprávy a najděte řádek:

Authentication-Results: spf=pass ... dkim=fail ... dmarc=fail action=none ... compauth=fail reason=001

compauth je verdikt složeného ověřování Microsoftu: i když doména nepublikuje žádný záznam DMARC, Microsoft aplikuje implicitní, DMARC-podobné kontroly. Běžně pozorované hodnoty:

Poučení: na Microsoftu čtěte záhlaví, nejen NDR. Verdikty spf=, dkim= a dmarc= na tomtéž řádku vám přesně říkají, kterou nohu opravit.

Jak opravit odmítnutí Outlooku a třídění do nevyžádané?

  1. Nejprve spusťte bezplatnou kontrolu. Ohodnotí vaše SPF, DKIM a DMARC v jednom průchodu a ukáže, která noha selhává před dotykem DNS.
  2. Potvrďte SPF — na Microsoft 365 obvykle již v pořádku. Standardní záznam je v=spf1 include:spf.protection.outlook.com -all a nastavení M365 ho tam umístí: 85.0% z 10,205,070 domén autorizujících spf.protection.outlook.com již končí přísným -all (data k 2026-06-29). Jeden guardrail: příjemci vyhodnocují SPF vůči doméně Return-Path (RFC5321.MailFrom), nikoli záhlaví From — takže newsletterový nástroj může projít SPF na své bounce doméně, aniž by dělal cokoliv pro vaší. Proto kroky 3 a 4 záleží více.
  3. Povolte DKIM pro vaší vlastní doménu — dva CNAME záznamy selektorů. M365 podepisuje nezarovnaným výchozím nastavením onmicrosoft.com, dokud nezapnete podepisování vlastní domény: publikujte CNAME záznamy selector1._domainkey a selector2._domainkey ukazující na klíče vašeho tenanta, poté povolte podepisování na portálu Defender. Úplná cesta klikáním: nastavit DKIM na Microsoft 365. Pokud DKIM zobrazuje „pass”, ale DMARC stále selhává, jste v pasti výchozího podpisu.
  4. Publikujte DMARC a poté ho vymáhejte. Začněte s v=DMARC1; p=none; rua=mailto:..., abyste dostávali zprávy, opravte každý legitimní zdroj, který odhalí, poté navyšujte na p=quarantine a p=reject — postupná cesta je v opravit DMARC. To je krok, který většina provozoven Microsoftu přeskočí: pouze 21.7% odesílajících domén M365 vymáhá DMARC.
  5. Znovu otestujte čtením záhlaví. Odešlete na spotřebitelskou poštovní schránku outlook.com, otevřete zdroj zprávy a potvrďte spf=pass, dkim=pass, dmarc=pass a compauth=pass.
  6. Odesílatelé s velkým objemem: splňte požadavky spotřebitelského Outlooku. Přes 5 000/den také potřebujete platnou, monitorovanou adresu From/reply-to, funkční odhlášení a čisté seznamy — ověřování vymaže 5.7.515; míra stížností vás drží mimo blokování IP S3140/S3150. Pokud jste již IP-blokováni, oprava SPF/DKIM/DMARC blok neodstraní: požádejte o vyřazení ze seznamu přes podporu odesílatelů Microsoftu a považujte ověřování za důvod, proč se tam nevrátíte.

Proč tolik domén Microsoft 365 stále selhává?

Protože výchozí nastavení udělá za vás první krok a nic ze zbytku. Z 10,205,070 domén, které autorizují spf.protection.outlook.com, 85.0% nese přísné SPF — záznam, který M365 předává při nastavení — ale pouze 21.7% vymáhá DMARC, podle sčítání Defaults.Exposed zahrnujícího 261,086,232 domén. M365 vám dá přísné SPF ve výchozím nastavení, poté se tam většina tenantů zastaví — přesně populace, pro kterou byl compauth vybudován (ačkoliv stále napřed oproti 10.59% vymáhání DMARC napříč všemi hodnocenými doménami). Úplné porovnání poskytovatele: naše tabulka SPF liga poskytovatelů e-mailu.

Nejčastější dotazy

Je 550 5.7.515 chybou Microsoft 365? Ne. Pochází ze spotřebitelského Outlook.com/Hotmail a cílí na odesílatele >5 000 zpráv/den, vymáháno od května 2025. Odmítnutí firemního Exchange Online používají jiné kódy — nejčastěji 550 5.7.509 (vaše politika reject DMARC) nebo 5.7.511 (zakázaný odesílatel).

Dostali jsme 550 5.7.509, ale pošta byla legitimní — máme snížit p=reject? Ne — vaše politika chytila neověřený zdroj, takže funguje. Najděte zdroj v záhlaví nebo svých DMARC zprávách a dejte mu zarovnaný DKIM (nebo zarovnaný SPF). Oslabení na p=none znovu otevírá spoofing přesné domény pro všechny.

Znamená compauth=fail, že nás někdo spoofuje? Nenutně. reason=001 obvykle znamená, že vaše vlastní pošta nemůže prokázat, že je vaše — žádný zarovnaný DKIM, žádný DMARC. Pouze 21.7% z 10,205,070 odesílajících domén M365 vymáhá DMARC (data k 2026-06-29), takže Microsoft aplikuje implicitní kontroly na všechny ostatní a neověřená legitimní pošta jimi také selže.

Odesílám méně než 5 000 e-mailů denně — mohu to ignorovat? Vyhnete se 550 5.7.515, ale ne složce nevyžádané pošty: compauth platí při jakémkoliv objemu. Gmail hraje stejnou hru — viz průvodce Gmail 550 5.7.26. Opravy jsou zdarma; bariérou je povědomí, nikoli náklady.

Pošlete vlastníkovi zprávu

Pokud opravujete e-mail pro někoho jiného — klienta, šéfa, firmu, jejíž faktury odrážely — dokončete práci s důkazem. Znovu spusťte bezplatnou kontrolu po ustálení DNS a přepošlete ohodnocenou zprávu. Ukáže SPF, DKIM a DMARC zelenající v přímé řeči, kterou obchodní vlastník může číst a je to artefakt, který budou potřebovat příště, když obnovení kybernetického pojištění nebo dotazník bezpečnosti zákazníka se ptá, zda je jejich e-mail ověřen. Opraveno je dobré; prokazatelně opraveno je to, za co vám zaplatí a co je pokryje.

Zkontrolujte svou doménu zdarma

Zjistěte, na které noze vás Microsoft selhává — SPF, DKIM, DMARC — soukromě a pouze pro vlastníky.

Zkontrolujte svou doménu → · Opravit DMARC → · DKIM prochází, ale DMARC selhává → · Jak hodnotíme → · Pouze souhrnná data. Data uložena a zpracována v EU.