Defaults.Exposed

Defaults.ExposedBehebungenGuides

Outlook weist Ihre E-Mail ab: 550 5.7.515, 550 5.7.509 und compauth=fail, erklärt und behoben (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.

Zwei verschiedene Microsoft-Systeme weisen Mail ab. Consumer-Outlook.com weist Massenversender ab, die die Authentifizierung nicht bestehen (550 5.7.515, durchgesetzt seit Mai 2025); Exchange Online weist Mail ab, die Ihre eigene DMARC-Reject-Richtlinie nicht besteht (550 5.7.509). Von 10.205.070 Domains, die spf.protection.outlook.com autorisieren, haben 85,0% striktes SPF, aber nur 21,7% setzen DMARC durch, laut dem Defaults.Exposed-Zensus über 261.086.232 Domains.

Die meisten „Outlook weist meine E-Mail ab“-Probleme sind gar keine Abweisungen — es ist Mail, die still im Junk-Ordner landet, mit compauth=fail in den Headern. Dieser Leitfaden entschlüsselt die Microsoft-Codes, zeigt Ihnen, wie Sie den Authentication-Results-Header lesen, und geht die Lösung der Reihe nach durch: SPF bestätigen, DKIM für Ihre Custom-Domain aktivieren, DMARC veröffentlichen und durchsetzen, erneut testen.

Welchen Microsoft-Fehler haben Sie tatsächlich?

Microsoft betreibt zwei getrennte Empfangsflächen, und sie weisen aus unterschiedlichen Gründen ab. Ordnen Sie zuerst Ihr Symptom zu — die falsche Diagnose verschwendet einen Tag.

Code / SignalWoher es kommtWas es bedeutetDatenstand 2026-06-29
550 5.7.515Consumer Outlook.com / Hotmail / LiveSie senden >5.000 Nachrichten/Tag an Consumer Outlook und erfüllen die Authentifizierungsanforderungen nicht (SPF + DKIM + DMARC), durchgesetzt seit Mai 2025
550 5.7.509Exchange Online / EOP (Business-Tenants)Der empfangende Server hat Ihre eigene DMARC-p=reject-Richtlinie durchgesetzt — Ihre Mail hat DMARC nicht bestandenNur 10,59% aller 261.086.232 bewerteten Domains setzen DMARC durch
550 5.7.511Exchange Online / EOPIhre sendende Adresse oder Domain steht auf der Sperrliste der empfangenden Organisation oder von Microsoft
S3140 / S3150Consumer Outlook.comIhre sendende IP hat schlechte Reputation — eine Blockade, kein Authentifizierungsfehler
compauth=fail (Header)Beide Flächen — der häufigste FallMail wurde angenommen, aber in den Spam einsortiert: Microsofts zusammengesetzte Authentifizierung ist gescheitert. Kein Bounce, kein NDR — nur der Spam-OrdnerVon 10.205.070 M365-sendenden Domains setzen nur 21,7% DMARC durch

Der genaue NDR-Wortlaut ändert sich; prüfen Sie zitierte Zeichenfolgen gegen einen aktuellen Bounce, bevor Sie sich darauf verlassen.

Was bedeutet 550 5.7.515?

Es ist die Consumer-Outlook.com/Hotmail-Anforderung, kein Fehler eines Microsoft-365-Tenants. Seit Mai 2025 müssen Absender von mehr als 5.000 Nachrichten pro Tag an Consumer-Outlook-Adressen SPF bestehen, DKIM bestehen und einen mit der From-Domain aligned DMARC-Eintrag (mindestens p=none) veröffentlichen. Wer diese Messlatte verfehlt, den weist Consumer Outlook mit einem Wortlaut wie diesem ab:

550 5.7.515 Access denied, sending domain [yourdomain.com] does not meet the required authentication level.

Zwei Dinge ist das nicht: Es ist kein Mandat aus 2026 (wenn Ihre Mail gerade erst anfing abzuprallen, hat sich Ihr Volumen oder Ihr DNS geändert, nicht die Regel), und es hat nichts mit den M365-Tenant-Einstellungen des Empfängers zu tun. Die Lösung ist die Authentifizierungsleiter unten — und auch gelegentliche Kampagnentage, die über 5.000/Tag hinausschießen, zählen.

Was bedeutet 550 5.7.509?

Dieser stammt von Exchange Online Protection auf Business-Tenants, und er bedeutet, dass Ihre eigene DMARC-Richtlinie durchgesetzt wird:

550 5.7.509: Access denied, sending domain [yourdomain.com] does not pass DMARC verification and has a DMARC policy of reject.

Lesen Sie das genau — es ist nicht Microsoft, das schwierig ist. Ihre Domain veröffentlicht p=reject, diese Nachricht hat DMARC nicht bestanden, und der Empfänger hat genau das getan, worum Sie gebeten haben. Wenn die abgewiesene Mail legitim ist, ist irgendeine sendende Quelle (ein Newsletter-Tool, ein CRM, ein Scan-to-E-Mail-Gerät) nicht aligned authentifiziert. Schwächen Sie nicht die Richtlinie; geben Sie dieser Quelle aligned SPF oder DKIM — siehe DMARC reparieren und von p=none zu p=reject.

Warum verschiebt Outlook meine Mail mit compauth=fail in den Spam, statt sie abzuweisen?

Die meisten Microsoft-Zustellbarkeitsprobleme erzeugen nie einen Bounce. Die Nachricht wird angenommen, bewertet und im Junk abgelegt — der einzige Beweis ist der Authentication-Results-Header. Öffnen Sie in der Mailbox des Empfängers (oder Ihrer eigenen outlook.com-Testmailbox) die Nachricht, wählen Sie Nachrichtenquelle anzeigen und finden Sie die Zeile:

Authentication-Results: spf=pass ... dkim=fail ... dmarc=fail action=none ... compauth=fail reason=001

compauth ist Microsofts composite-authentication-Urteil: Selbst wenn eine Domain keinen DMARC-Eintrag veröffentlicht, wendet Microsoft implizite, DMARC-ähnliche Prüfungen an. Häufig gesehene Werte:

Die Lehre daraus: Lesen Sie bei Microsoft den Header, nicht nur den NDR. Die spf=-, dkim=- und dmarc=-Urteile auf derselben Zeile sagen Ihnen genau, welches Bein zu reparieren ist.

Wie beheben Sie Outlook-Abweisungen und Junk-Einsortierung?

  1. Führen Sie zuerst den kostenlosen Scan durch. Er bewertet Ihr SPF, DKIM und DMARC in einem Durchgang und zeigt, welches Bein scheitert, bevor Sie DNS anfassen.
  2. Bestätigen Sie SPF — bei Microsoft 365 meist schon in Ordnung. Der Standardeintrag ist v=spf1 include:spf.protection.outlook.com -all, und die M365-Einrichtung setzt ihn dort: 85,0% der 10.205.070 Domains, die spf.protection.outlook.com autorisieren, enden bereits auf striktes -all (Datenstand 2026-06-29). Eine Leitplanke: Empfänger bewerten SPF gegen die Return-Path-Domain (RFC5321.MailFrom), nicht den From-Header — ein Newsletter-Tool kann also SPF auf seiner Bounce-Domain bestehen, ohne dass das Ihrer nützt. Deshalb zählen die Schritte 3 und 4 mehr.
  3. Aktivieren Sie DKIM für Ihre Custom-Domain — zwei Selektor-CNAMEs. M365 signiert mit einem nicht alignten onmicrosoft.com-Standardwert, bis Sie Custom-Domain-Signierung einschalten: Veröffentlichen Sie die CNAMEs selector1._domainkey und selector2._domainkey, die auf die Schlüssel Ihres Tenants zeigen, und aktivieren Sie dann die Signierung im Defender-Portal. Vollständiger Klickpfad: DKIM auf Microsoft 365 einrichten. Zeigt DKIM „pass“, DMARC scheitert aber trotzdem, stecken Sie in der Standardsignatur-Falle.
  4. Veröffentlichen Sie DMARC, dann setzen Sie es durch. Beginnen Sie mit v=DMARC1; p=none; rua=mailto:..., um Berichte zu erhalten, reparieren Sie jede legitime Quelle, die er offenbart, und schalten Sie dann auf p=quarantine und p=reject hoch — der stufenweise Weg steht in DMARC reparieren. Das ist der Schritt, den die meisten Microsoft-Shops auslassen: Nur 21,7% der M365-sendenden Domains setzen DMARC durch.
  5. Testen Sie erneut, indem Sie den Header lesen. Senden Sie an eine Consumer-outlook.com-Mailbox, öffnen Sie die Nachrichtenquelle und bestätigen Sie spf=pass, dkim=pass, dmarc=pass und compauth=pass.
  6. Massenversender: erreichen Sie die Consumer-Outlook-Messlatte. Über 5.000/Tag brauchen Sie zusätzlich eine gültige, überwachte From-/Reply-to-Adresse, funktionierende Abmeldung und saubere Listen — Authentifizierung räumt 5.7.515 aus dem Weg; die Beschwerdequote hält Sie aus S3140/S3150-IP-Blockaden heraus. Sind Sie bereits IP-blockiert, hebt die Reparatur von SPF/DKIM/DMARC die Blockade nicht auf: Beantragen Sie die Entfernung über den Absender-Support von Microsoft, und betrachten Sie Authentifizierung als den Grund, warum es nicht wieder passiert.

Warum scheitern so viele Microsoft-365-Domains immer noch?

Weil der Standardwert den ersten Schritt für Sie erledigt und keinen der übrigen. Unter den 10.205.070 Domains, die spf.protection.outlook.com autorisieren, tragen 85,0% striktes SPF — der Eintrag, den M365 Ihnen bei der Einrichtung gibt —, aber nur 21,7% setzen DMARC durch, laut dem Defaults.Exposed-Zensus über 261.086.232 Domains. M365 gibt Ihnen standardmäßig striktes SPF, dann hören die meisten Tenants dort auf — genau die Population, für deren Erfassung compauth gebaut wurde (wenn auch immer noch vor den 10,59% DMARC-Durchsetzung über alle bewerteten Domains hinweg). Vollständiger Anbietervergleich: unsere E-Mail-Anbieter-SPF-Rangliste.

Häufig gestellte Fragen

Ist 550 5.7.515 ein Microsoft-365-Fehler? Nein. Er kommt von Consumer-Outlook.com/Hotmail und trifft Absender von >5.000 Nachrichten/Tag, durchgesetzt seit Mai 2025. Business-Exchange-Online-Abweisungen nutzen andere Codes — meist 550 5.7.509 (Ihre DMARC-Reject-Richtlinie) oder 5.7.511 (gesperrter Absender).

Wir haben 550 5.7.509 erhalten, aber die Mail war legitim — sollten wir p=reject fallen lassen? Nein — Ihre Richtlinie hat eine unauthentifizierte Quelle gefangen, das heißt, sie funktioniert. Finden Sie die Quelle im Header oder Ihren DMARC-Berichten und geben Sie ihr aligned DKIM (oder aligned SPF). Auf p=none zu lockern öffnet Exact-Domain-Spoofing wieder für alle.

Bedeutet compauth=fail, dass uns jemand spooft? Nicht zwangsläufig. reason=001 bedeutet meist, dass Ihre eigene Mail nicht beweisen kann, dass sie von Ihnen stammt — kein aligned DKIM, kein DMARC. Nur 21,7% der 10.205.070 M365-sendenden Domains setzen DMARC durch (Datenstand 2026-06-29), also wendet Microsoft bei allen anderen implizite Prüfungen an, und auch unauthentifizierte, legitime Mail scheitert daran.

Ich sende weniger als 5.000 E-Mails am Tag — kann ich das ignorieren? Sie entgehen 550 5.7.515, aber nicht dem Junk-Ordner: compauth gilt bei jedem Volumen. Gmail spielt dasselbe Spiel — siehe den Gmail-550-5.7.26-Leitfaden. Die Lösungen sind kostenlos; die Hürde ist Bewusstsein, nicht Kosten.

Senden Sie dem Inhaber den Bericht

Wenn Sie E-Mail für jemand anderen reparieren — einen Kunden, Ihren Chef, die Firma, deren Rechnungen abgeprallt sind —, schließen Sie den Job mit einem Beleg ab. Führen Sie den kostenlosen Scan erneut durch, sobald sich das DNS beruhigt hat, und leiten Sie den bewerteten Bericht weiter. Er zeigt SPF, DKIM und DMARC in klarer Sprache auf Grün, die ein Geschäftsinhaber lesen kann, und es ist das Artefakt, das er beim nächsten Mal braucht, wenn die Cyberversicherungs-Verlängerung oder ein Kunden-Sicherheitsfragebogen fragt, ob ihre E-Mail authentifiziert ist. Repariert ist gut; nachweislich repariert ist das, wofür Sie bezahlt werden und wodurch sie abgesichert sind.

Prüfen Sie Ihre Domain kostenlos

Sehen Sie, bei welchem Bein Microsoft Sie scheitern lässt — SPF, DKIM, DMARC — privat und nur für den Inhaber.

Prüfen Sie Ihre Domain → · DMARC reparieren → · DKIM besteht, aber DMARC scheitert → · Wie wir bewerten → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.