Defaults.Exposed

Defaults.ExposedNaprawyGuides

Outlook odrzuca Twoją pocztę: 550 5.7.515, 550 5.7.509 i compauth=fail — wyjaśnione i naprawione (2026)

Opublikowano 2026-07-08

Dane z 2026-06-29 · metodologia v7. Zagregowane dane ze spisu 261 milionów ocenianych domen. Zobacz jak oceniamy.

Dwa różne systemy Microsoft odrzucają pocztę. Konsumencki Outlook.com odbija nadawców masowych, którzy nie przechodzą uwierzytelniania (550 5.7.515, egzekwowane od maja 2025); Exchange Online odbija pocztę, która nie przechodzi własnej polityki DMARC reject (550 5.7.509). Spośród 10 205 070 domen autoryzujących spf.protection.outlook.com, 85,0% ma ścisłe SPF, ale tylko 21,7% wymusza DMARC, według spisu Defaults.Exposed obejmującego 261 086 232 domen.

Większość problemów z „Outlook odrzuca moją pocztę” to wcale nie odrzucenia — to poczta po cichu trafiająca do Śmieci z compauth=fail w nagłówkach. Ten przewodnik dekoduje kody Microsoft, pokazuje, jak odczytać nagłówek Authentication-Results, i opisuje naprawę w kolejności: potwierdź SPF, włącz DKIM dla własnej domeny, opublikuj i wymuś DMARC, przetestuj ponownie.

Który błąd Microsoft faktycznie masz?

Microsoft prowadzi dwie oddzielne powierzchnie odbierające, które odrzucają z różnych powodów. Najpierw dopasuj objaw — zła diagnoza marnuje dzień.

Kod / sygnałSkąd pochodziCo to oznaczaDane z 2026-06-29
550 5.7.515Konsumencki Outlook.com / Hotmail / LiveWysyłasz >5 000 wiadomości/dzień do konsumenckiego Outlooka i nie spełniasz wymagań uwierzytelniania (SPF + DKIM + DMARC), egzekwowanych od maja 2025
550 5.7.509Exchange Online / EOP (dzierżawcy biznesowi)Serwer odbierający respektował DMARC p=reject własnej domeny — Twoja poczta nie przeszła DMARCTylko 10,59% ze wszystkich 261 086 232 ocenianych domen wymusza DMARC
550 5.7.511Exchange Online / EOPTwój adres wysyłający lub domena jest na liście zablokowanych nadawców organizacji odbiorcy lub Microsoftu
S3140 / S3150Konsumencki Outlook.comTwoje IP wysyłkowe ma złą reputację — blokada, nie błąd uwierzytelniania
compauth=fail (nagłówki)Obie powierzchnie — najczęstszy przypadekPoczta została przyjęta, ale trafiła do Śmieci: złożone uwierzytelnianie Microsoftu nie powiodło się. Brak zwrotu, brak NDR — tylko folder spamSpośród 10 205 070 domen wysyłających przez M365, tylko 21,7% wymusza DMARC

Dokładne sformułowania NDR zmieniają się; zweryfikuj cytowane ciągi względem aktualnego zwrotu przed poleganiem na nich.

Co oznacza 550 5.7.515?

To wymaganie konsumenckiego Outlook.com/Hotmail, a nie błąd dzierżawcy Microsoft 365. Od maja 2025 roku nadawcy ponad 5 000 wiadomości dziennie do konsumenckich adresów Outlook muszą zaliczać SPF, zaliczać DKIM i publikować rekord DMARC (przynajmniej p=none) wyrównany z domeną From. Niespełnienie tego progu powoduje, że konsumencki Outlook odrzuca z komunikatem podobnym do:

550 5.7.515 Access denied, sending domain [yourdomain.com] does not meet the required authentication level.

Dwie rzeczy, którymi to nie jest: nie jest to mandat z 2026 roku (jeśli Twoja poczta właśnie zaczęła odbijać, zmienił się Twój wolumen lub DNS, nie zasada), i nie dotyczy ustawień dzierżawcy M365 odbiorcy. Naprawą jest drabina uwierzytelniania poniżej — a okazjonalne dni kampanii przekraczające 5 000/dzień się liczą.

Co oznacza 550 5.7.509?

Ten pochodzi z Exchange Online Protection na dzierżawcach biznesowych i oznacza, że Twoja własna polityka DMARC jest respektowana:

550 5.7.509: Access denied, sending domain [yourdomain.com] does not pass DMARC verification and has a DMARC policy of reject.

Przeczytaj to uważnie — to nie Microsoft jest trudny. Twoja domena publikuje p=reject, ta wiadomość nie przeszła DMARC, a odbiorca zrobił dokładnie to, o co prosiłeś. Jeśli odbita poczta jest legalna, jakieś źródło wysyłkowe (narzędzie do newsletterów, CRM, urządzenie skanowania do e-mail) nie jest uwierzytelnione w wyrównany sposób. Nie osłabiaj polityki; daj temu źródłu wyrównane SPF lub DKIM — patrz napraw DMARC i od p=none do p=reject.

Dlaczego Outlook trafia moją pocztę do Śmieci z compauth=fail zamiast odbijać?

Większość bólu dostarczalności Microsoft nigdy nie produkuje zwrotu. Wiadomość jest przyjmowana, oceniana i trafia do Śmieci — jedynym dowodem jest nagłówek Authentication-Results. W skrzynce odbiorcy (lub własnej testowej skrzynce outlook.com), otwórz wiadomość, wybierz Wyświetl źródło wiadomości i znajdź linię:

Authentication-Results: spf=pass ... dkim=fail ... dmarc=fail action=none ... compauth=fail reason=001

compauth to werdykt złożonego uwierzytelniania Microsoftu: nawet gdy domena nie publikuje rekordu DMARC, Microsoft stosuje niejawne, podobne do DMARC sprawdzenia. Często spotykane wartości:

Lekcja: na Microsoft, czytaj nagłówek, nie tylko NDR. Werdykty spf=, dkim= i dmarc= w tej samej linii mówią Ci dokładnie, którą nogę naprawić.

Jak naprawić odrzucenia i trafienie do Śmieci w Outlooku?

  1. Najpierw uruchom bezpłatne skanowanie. Ocenia Twoje SPF, DKIM i DMARC jednym przejściem i pokazuje, która noga nie działa, zanim dotkniesz DNS.
  2. Potwierdź SPF — zazwyczaj już w porządku w Microsoft 365. Standardowy rekord to v=spf1 include:spf.protection.outlook.com -all, a konfiguracja M365 go tam umieszcza: 85,0% z 10 205 070 domen autoryzujących spf.protection.outlook.com kończy się już na ścisłym -all (dane z 2026-06-29). Jedno zastrzeżenie: odbiorcy oceniają SPF względem domeny Return-Path (RFC5321.MailFrom), nie nagłówka From — więc narzędzie do newsletterów może zaliczać SPF na swojej domenie bounce, nie robiąc nic dla Twojej. Dlatego kroki 3 i 4 mają większe znaczenie.
  3. Włącz DKIM dla własnej domeny — dwa CNAME selektorów. M365 podpisuje z wyrównanym domyślnym onmicrosoft.com, dopóki nie włączysz podpisywania własną domeną: opublikuj CNAME selector1._domainkey i selector2._domainkey wskazujące na klucze Twojego dzierżawcy, następnie włącz podpisywanie w portalu Defender. Pełna ścieżka kliknięć: skonfiguruj DKIM w Microsoft 365. Jeśli DKIM pokazuje „pass”, ale DMARC nadal nie przechodzi, jesteś w pułapce domyślnego podpisu.
  4. Opublikuj DMARC, następnie go wymuś. Zacznij od v=DMARC1; p=none; rua=mailto:... żeby uzyskać raporty, napraw każde legalne źródło, które ujawniają, następnie zaostrzaj do p=quarantine i p=reject — stopniowa ścieżka jest w naprawie DMARC. To krok, który większość firm Microsoft pomija: tylko 21,7% domen wysyłających przez M365 wymusza DMARC.
  5. Przetestuj ponownie, czytając nagłówek. Wyślij do konsumenckiej skrzynki outlook.com, otwórz źródło wiadomości i potwierdź spf=pass, dkim=pass, dmarc=pass i compauth=pass.
  6. Nadawcy masowi: spełnij wymogi konsumenckiego Outlooka. Powyżej 5 000/dzień potrzebujesz też prawidłowego, monitorowanego From/reply-to, działającego wypisania i czystych list — uwierzytelnianie usuwa blokadę 5.7.515; wskaźnik skarg utrzymuje Cię poza blokadami IP S3140/S3150. Jeśli już jesteś zablokowany IP, naprawienie SPF/DKIM/DMARC nie usuwa blokady: zażądaj usunięcia z listy przez wsparcie nadawców Microsoft i traktuj uwierzytelnianie jako powód, dla którego nie wrócisz.

Dlaczego tak wiele domen Microsoft 365 nadal nie spełnia wymagań?

Ponieważ ustawienie domyślne robi za Ciebie pierwszy krok, ale żadnego z pozostałych. Wśród 10 205 070 domen autoryzujących spf.protection.outlook.com, 85,0% nosi ścisłe SPF — rekord, który M365 daje przy konfiguracji — ale tylko 21,7% wymusza DMARC, według spisu Defaults.Exposed obejmującego 261 086 232 domen. M365 daje domyślnie ścisłe SPF, a większość dzierżawców zatrzymuje się tam — dokładnie populacja, do przechwytywania której zbudowano compauth (choć nadal przed 10,59% egzekwowania DMARC wśród wszystkich ocenianych domen). Pełne porównanie dostawców: nasza tabela ligowa SPF dostawców poczty.

Często zadawane pytania

Czy 550 5.7.515 to błąd Microsoft 365? Nie. Pochodzi z konsumenckiego Outlook.com/Hotmail i celuje w nadawców >5 000 wiadomości/dzień, egzekwowanych od maja 2025. Odrzucenia biznesowego Exchange Online używają innych kodów — najczęściej 550 5.7.509 (polityka odrzutu DMARC) lub 5.7.511 (zablokowany nadawca).

Dostaliśmy 550 5.7.509, ale poczta była legalna — czy powinniśmy porzucić p=reject? Nie — Twoja polityka złapała nieuwierzytelnione źródło, co oznacza, że działa. Znajdź źródło w nagłówku lub raportach DMARC i daj mu wyrównany DKIM (lub wyrównane SPF). Osłabienie do p=none ponownie otwiera podszywanie pod dokładną domenę dla wszystkich.

Czy compauth=fail oznacza, że ktoś się pod nas podszywa? Niekoniecznie. reason=001 zazwyczaj oznacza, że Twoja własna poczta nie może udowodnić, że jest Twoja — brak wyrównanego DKIM, brak DMARC. Tylko 21,7% z 10 205 070 domen wysyłających przez M365 wymusza DMARC (dane z 2026-06-29), więc Microsoft stosuje niejawne sprawdzenia do wszystkich pozostałych, i nieuwierzytelniona legalna poczta też je nie przechodzi.

Wysyłam mniej niż 5 000 e-maili dziennie — czy mogę to zignorować? Unikniesz 550 5.7.515, ale nie folderu Śmieci: compauth dotyczy każdego wolumenu. Gmail robi to samo — patrz przewodnik Gmail 550 5.7.26. Naprawy są bezpłatne; barierą jest świadomość, nie koszt.

Wyślij właścicielowi raport

Jeśli naprawiasz pocztę dla kogoś innego — klienta, szefa, firmy, której faktury odbijały — dokończ pracę dowodem. Ponów bezpłatne skanowanie po ustabilizowaniu się DNS i prześlij oceniony raport. Pokazuje SPF, DKIM i DMARC przechodzące na zielono w prostym języku, który może przeczytać właściciel firmy, i to artefakt, którego będą potrzebować następnym razem, gdy odnowienie ubezpieczenia cybernetycznego lub kwestionariusz bezpieczeństwa klienta zapyta, czy poczta jest uwierzytelniona. Naprawione jest dobre; udowodnione naprawione to to, za co Ci płacą, a oni mają ochronę.

Sprawdź swoją domenę bezpłatnie

Zobacz, którą nogę Microsoft nie przechodzi — SPF, DKIM, DMARC — prywatnie i tylko dla właściciela.

Sprawdź swoją domenę → · Napraw DMARC → · DKIM przechodzi, ale DMARC nie → · Jak oceniamy → · Tylko dane zagregowane. Dane przechowywane i przetwarzane w UE.