Defaults.Exposed

Defaults.ExposedИсправленияGuides

Outlook отклоняет вашу почту: 550 5.7.515, 550 5.7.509 и compauth=fail — разбор и исправление (2026)

Опубликовано 2026-07-08

Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн доменов с оценками. См. как мы выставляем оценки.

Почту отклоняют две разные системы Microsoft. Потребительский Outlook.com отбрасывает массовых отправителей, не проходящих аутентификацию (550 5.7.515, применяется с мая 2025 года); Exchange Online отбрасывает почту, не прошедшую вашу собственную политику DMARC reject (550 5.7.509). Из 10 205 070 доменов, авторизующих spf.protection.outlook.com, 85,0% имеют строгий SPF, но лишь 21,7% применяют строгую политику DMARC, по данным переписи Defaults.Exposed из 261 086 232 доменов.

Большинство проблем вида «Outlook отклоняет мою почту» — вовсе не отклонения: почта молча ложится в папку «Нежелательная почта» с compauth=fail в заголовках. Это руководство расшифровывает коды Microsoft, показывает, как читать заголовок Authentication-Results, и проводит по исправлению по порядку: проверить SPF, включить DKIM для собственного домена, опубликовать и ужесточить DMARC, перепроверить.

Какая именно ошибка Microsoft у вас на самом деле?

Microsoft держит две отдельные принимающие площадки, и отклоняют они по разным причинам. Сначала сопоставьте свой симптом — неверный диагноз стоит потерянного дня.

Код / сигналОткуда он приходитЧто он означаетДанные по состоянию на 2026-06-29
550 5.7.515Потребительский Outlook.com / Hotmail / LiveВы отправляете >5 000 писем в день на потребительские адреса Outlook и не проходите требования аутентификации (SPF + DKIM + DMARC), применяемые с мая 2025 года
550 5.7.509Exchange Online / EOP (корпоративные тенанты)Принимающий сервер исполнил политику DMARC p=reject вашего собственного домена — ваша почта не прошла DMARCЛишь 10,59% из всех 261 086 232 доменов с оценками применяют строгую политику DMARC
550 5.7.511Exchange Online / EOPВаш адрес или домен отправителя числится в списке запрещённых отправителей организации-получателя или самой Microsoft
S3140 / S3150Потребительский Outlook.comУ вашего отправляющего IP плохая репутация — это блокировка, а не сбой аутентификации
compauth=fail (в заголовках)Обе площадки — самый частый случайПочта принята, но отправлена в спам: композитная аутентификация Microsoft не пройдена. Ни отказа, ни NDR — только папка со спамомИз 10 205 070 доменов, отправляющих через M365, лишь 21,7% применяют строгую политику DMARC

Точные формулировки NDR меняются; сверяйте цитируемые строки с реальным отказным письмом, прежде чем на них полагаться.

Что означает 550 5.7.515?

Это требование потребительского Outlook.com/Hotmail, а не ошибка тенанта Microsoft 365. С мая 2025 года отправители более 5 000 писем в день на потребительские адреса Outlook обязаны проходить SPF, проходить DKIM и публиковать запись DMARC (как минимум p=none), выровненную с доменом From. Не дотянули до этой планки — потребительский Outlook отклоняет письмо с формулировкой вида:

550 5.7.515 Access denied, sending domain [yourdomain.com] does not meet the required authentication level.

Две вещи, которыми это не является: это не мандат 2026 года (если ваша почта только что начала отскакивать, значит изменился ваш объём или ваш DNS, а не правило), и это не про настройки тенанта M365 получателя. Решение — лестница аутентификации ниже; и учтите: разовые дни кампаний, когда объём переваливает за 5 000 в день, тоже считаются.

Что означает 550 5.7.509?

Эта ошибка приходит от Exchange Online Protection на корпоративных тенантах и означает, что исполняется ваша собственная политика DMARC:

550 5.7.509: Access denied, sending domain [yourdomain.com] does not pass DMARC verification and has a DMARC policy of reject.

Прочитайте внимательно — Microsoft тут ни при чём. Ваш домен публикует p=reject, это письмо не прошло DMARC, и получатель сделал ровно то, о чём вы просили. Если отклонённая почта легитимна, значит какой-то источник отправки (сервис рассылок, CRM, МФУ с функцией «сканировать на почту») не аутентифицирован с выравниванием. Не ослабляйте политику; дайте этому источнику выровненный SPF или DKIM — см. исправить DMARC и от p=none к p=reject.

Почему Outlook кладёт мою почту в спам с compauth=fail, а не отклоняет её?

Большая часть проблем с доставляемостью у Microsoft никогда не порождает отказ. Письмо принимается, оценивается и раскладывается в «Нежелательную почту» — единственная улика находится в заголовке Authentication-Results. В ящике получателя (или в вашем собственном тестовом ящике на outlook.com) откройте письмо, выберите View message source и найдите строку:

Authentication-Results: spf=pass ... dkim=fail ... dmarc=fail action=none ... compauth=fail reason=001

compauth — это вердикт композитной аутентификации Microsoft: даже если домен не публикует запись DMARC, Microsoft применяет неявные, DMARC-подобные проверки. Часто встречающиеся значения:

Вывод: с Microsoft читайте заголовок, а не только NDR. Вердикты spf=, dkim= и dmarc= в той же строке точно показывают, какую ветку чинить.

Как исправить отклонения и попадание в спам у Outlook?

  1. Сначала запустите бесплатную проверку. Она оценивает SPF, DKIM и DMARC за один проход и показывает, какая ветка не проходит, ещё до того, как вы тронете DNS.
  2. Проверьте SPF — на Microsoft 365 он обычно уже в порядке. Стандартная запись — v=spf1 include:spf.protection.outlook.com -all, и настройка M365 её туда ставит: 85,0% из 10 205 070 доменов, авторизующих spf.protection.outlook.com, уже заканчиваются строгим -all (данные по состоянию на 2026-06-29). Один нюанс: получатели проверяют SPF по домену Return-Path (RFC5321.MailFrom), а не по заголовку From — поэтому сервис рассылок может проходить SPF на своём bounce-домене, ничего не давая вашему. Именно поэтому важнее шаги 3 и 4.
  3. Включите DKIM для собственного домена — две CNAME-записи селекторов. Пока вы не включите подписание собственным доменом, M365 подписывает невыровненной подписью с домена onmicrosoft.com по умолчанию: опубликуйте CNAME-записи selector1._domainkey и selector2._domainkey, указывающие на ключи вашего тенанта, затем включите подписание на портале Defender. Полный путь по кликам: настроить DKIM в Microsoft 365. Если DKIM показывает «pass», а DMARC всё равно не проходит, вы в ловушке подписи по умолчанию.
  4. Опубликуйте DMARC, затем ужесточите политику. Начните с v=DMARC1; p=none; rua=mailto:..., чтобы пошли отчёты, устраните все легитимные источники, которые они выявят, затем поэтапно переходите к p=quarantine и p=reject — поэтапный путь описан в исправить DMARC. Именно этот шаг большинство контор на Microsoft пропускают: строгую политику DMARC применяют лишь 21,7% доменов, отправляющих через M365.
  5. Перепроверьте, читая заголовок. Отправьте письмо на потребительский ящик outlook.com, откройте исходник сообщения и убедитесь, что там spf=pass, dkim=pass, dmarc=pass и compauth=pass.
  6. Массовым отправителям: соответствуйте планке потребительского Outlook. Свыше 5 000 писем в день вам также нужны действующий, отслеживаемый адрес From/reply-to, работающая отписка и чистые списки: аутентификация снимает 5.7.515, а низкая доля жалоб удерживает вас вне IP-блокировок S3140/S3150. Если ваш IP уже заблокирован, исправление SPF/DKIM/DMARC блокировку не снимет: запросите исключение из списка через поддержку отправителей Microsoft, а аутентификацию считайте гарантией того, что вы туда не вернётесь.

Почему столько доменов на Microsoft 365 всё ещё проваливаются?

Потому что настройка по умолчанию делает за вас первый шаг — и ни одного из остальных. Среди 10 205 070 доменов, авторизующих spf.protection.outlook.com, 85,0% несут строгий SPF — запись, которую M365 выдаёт при настройке, — но лишь 21,7% применяют строгую политику DMARC, по данным переписи Defaults.Exposed из 261 086 232 доменов. M365 даёт строгий SPF по умолчанию, и большинство тенантов на этом останавливаются — ровно та популяция, для которой и был создан compauth (хотя это всё же лучше, чем 10,59% строгого применения DMARC среди всех доменов с оценками). Полное сравнение провайдеров: наша лига SPF почтовых провайдеров.

Часто задаваемые вопросы

550 5.7.515 — это ошибка Microsoft 365? Нет. Она приходит от потребительского Outlook.com/Hotmail и нацелена на отправителей >5 000 писем в день; применяется с мая 2025 года. Отклонения корпоративного Exchange Online используют другие коды — чаще всего 550 5.7.509 (ваша политика DMARC reject) или 5.7.511 (запрещённый отправитель).

Мы получили 550 5.7.509, но письмо было легитимным — отказаться от p=reject? Нет — ваша политика поймала неаутентифицированный источник, то есть она работает. Найдите источник в заголовке или в отчётах DMARC и дайте ему выровненный DKIM (или выровненный SPF). Ослабление до p=none заново открывает подделку точного домена для всех.

compauth=fail значит, что кто-то нас подделывает? Не обязательно. reason=001 обычно означает, что ваша собственная почта не может доказать, что она ваша: нет выровненного DKIM, нет DMARC. Строгую политику DMARC применяют лишь 21,7% из 10 205 070 доменов, отправляющих через M365 (данные по состоянию на 2026-06-29), поэтому ко всем остальным Microsoft применяет неявные проверки — и неаутентифицированная легитимная почта тоже их проваливает.

Я отправляю меньше 5 000 писем в день — могу это игнорировать? Вы избежите 550 5.7.515, но не папки со спамом: compauth действует при любом объёме. Gmail разыгрывает ту же партию — см. руководство по Gmail 550 5.7.26. Исправления бесплатны; барьер — осведомлённость, а не деньги.

Отправьте владельцу отчёт

Если вы чините почту для кого-то другого — клиента, начальника, фирмы, чьи счета отскакивали, — завершите работу доказательством. Когда DNS устоится, заново запустите бесплатную проверку и перешлите отчёт с оценкой. Он показывает, как SPF, DKIM и DMARC становятся зелёными, простым языком, понятным владельцу бизнеса, — и именно этот артефакт понадобится, когда при продлении киберстраховки или в анкете безопасности клиента спросят, аутентифицирована ли их почта. Починено — хорошо; доказуемо починено — вот за что платят вам и что покрывает их.

Проверьте свой домен бесплатно

Посмотрите, на какой ветке Microsoft вас заваливает — SPF, DKIM или DMARC, — приватно и только для владельца.

Проверьте свой домен → · Исправить DMARC → · DKIM проходит, а DMARC нет → · Как мы выставляем оценки → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.