Defaults.Exposed › Исправления › Guides
Outlook отклоняет вашу почту: 550 5.7.515, 550 5.7.509 и compauth=fail — разбор и исправление (2026)
Опубликовано 2026-07-08
Данные по состоянию на 2026-06-29 · методология v7. Агрегированные данные переписи по 261 млн доменов с оценками. См. как мы выставляем оценки.
Почту отклоняют две разные системы Microsoft. Потребительский Outlook.com отбрасывает массовых отправителей, не проходящих аутентификацию (550 5.7.515, применяется с мая 2025 года); Exchange Online отбрасывает почту, не прошедшую вашу собственную политику DMARC reject (550 5.7.509). Из 10 205 070 доменов, авторизующих spf.protection.outlook.com, 85,0% имеют строгий SPF, но лишь 21,7% применяют строгую политику DMARC, по данным переписи Defaults.Exposed из 261 086 232 доменов.
Большинство проблем вида «Outlook отклоняет мою почту» — вовсе не отклонения: почта молча ложится в папку «Нежелательная почта» с compauth=fail в заголовках. Это руководство расшифровывает коды Microsoft, показывает, как читать заголовок Authentication-Results, и проводит по исправлению по порядку: проверить SPF, включить DKIM для собственного домена, опубликовать и ужесточить DMARC, перепроверить.
Какая именно ошибка Microsoft у вас на самом деле?
Microsoft держит две отдельные принимающие площадки, и отклоняют они по разным причинам. Сначала сопоставьте свой симптом — неверный диагноз стоит потерянного дня.
| Код / сигнал | Откуда он приходит | Что он означает | Данные по состоянию на 2026-06-29 |
|---|---|---|---|
| 550 5.7.515 | Потребительский Outlook.com / Hotmail / Live | Вы отправляете >5 000 писем в день на потребительские адреса Outlook и не проходите требования аутентификации (SPF + DKIM + DMARC), применяемые с мая 2025 года | — |
| 550 5.7.509 | Exchange Online / EOP (корпоративные тенанты) | Принимающий сервер исполнил политику DMARC p=reject вашего собственного домена — ваша почта не прошла DMARC | Лишь 10,59% из всех 261 086 232 доменов с оценками применяют строгую политику DMARC |
| 550 5.7.511 | Exchange Online / EOP | Ваш адрес или домен отправителя числится в списке запрещённых отправителей организации-получателя или самой Microsoft | — |
| S3140 / S3150 | Потребительский Outlook.com | У вашего отправляющего IP плохая репутация — это блокировка, а не сбой аутентификации | — |
compauth=fail (в заголовках) | Обе площадки — самый частый случай | Почта принята, но отправлена в спам: композитная аутентификация Microsoft не пройдена. Ни отказа, ни NDR — только папка со спамом | Из 10 205 070 доменов, отправляющих через M365, лишь 21,7% применяют строгую политику DMARC |
Точные формулировки NDR меняются; сверяйте цитируемые строки с реальным отказным письмом, прежде чем на них полагаться.
Что означает 550 5.7.515?
Это требование потребительского Outlook.com/Hotmail, а не ошибка тенанта Microsoft 365. С мая 2025 года отправители более 5 000 писем в день на потребительские адреса Outlook обязаны проходить SPF, проходить DKIM и публиковать запись DMARC (как минимум p=none), выровненную с доменом From. Не дотянули до этой планки — потребительский Outlook отклоняет письмо с формулировкой вида:
550 5.7.515 Access denied, sending domain [yourdomain.com] does not meet the required authentication level.
Две вещи, которыми это не является: это не мандат 2026 года (если ваша почта только что начала отскакивать, значит изменился ваш объём или ваш DNS, а не правило), и это не про настройки тенанта M365 получателя. Решение — лестница аутентификации ниже; и учтите: разовые дни кампаний, когда объём переваливает за 5 000 в день, тоже считаются.
Что означает 550 5.7.509?
Эта ошибка приходит от Exchange Online Protection на корпоративных тенантах и означает, что исполняется ваша собственная политика DMARC:
550 5.7.509: Access denied, sending domain [yourdomain.com] does not pass DMARC verification and has a DMARC policy of reject.
Прочитайте внимательно — Microsoft тут ни при чём. Ваш домен публикует p=reject, это письмо не прошло DMARC, и получатель сделал ровно то, о чём вы просили. Если отклонённая почта легитимна, значит какой-то источник отправки (сервис рассылок, CRM, МФУ с функцией «сканировать на почту») не аутентифицирован с выравниванием. Не ослабляйте политику; дайте этому источнику выровненный SPF или DKIM — см. исправить DMARC и от p=none к p=reject.
Почему Outlook кладёт мою почту в спам с compauth=fail, а не отклоняет её?
Большая часть проблем с доставляемостью у Microsoft никогда не порождает отказ. Письмо принимается, оценивается и раскладывается в «Нежелательную почту» — единственная улика находится в заголовке Authentication-Results. В ящике получателя (или в вашем собственном тестовом ящике на outlook.com) откройте письмо, выберите View message source и найдите строку:
Authentication-Results: spf=pass ... dkim=fail ... dmarc=fail action=none ... compauth=fail reason=001
compauth — это вердикт композитной аутентификации Microsoft: даже если домен не публикует запись DMARC, Microsoft применяет неявные, DMARC-подобные проверки. Часто встречающиеся значения:
compauth=fail reason=000— письмо не прошло явную аутентификацию: политика DMARC вашего домена — quarantine/reject, и письмо её не прошло.compauth=fail reason=001— письмо не прошло неявную аутентификацию: ваш домен не публикует записей аутентификации (или публикует недостаточно), а письмо не выглядело исходящим от вас. Классический почерк случая «мы так и не настроили DKIM/DMARC».compauth=fail reason=6xx— варианты провала неявной аутентификации;601конкретно означает, что домен отправителя — один из принятых доменов вашей же организации (внутриорганизационная подделка, «сам себе»).
Вывод: с Microsoft читайте заголовок, а не только NDR. Вердикты spf=, dkim= и dmarc= в той же строке точно показывают, какую ветку чинить.
Как исправить отклонения и попадание в спам у Outlook?
- Сначала запустите бесплатную проверку. Она оценивает SPF, DKIM и DMARC за один проход и показывает, какая ветка не проходит, ещё до того, как вы тронете DNS.
- Проверьте SPF — на Microsoft 365 он обычно уже в порядке. Стандартная запись —
v=spf1 include:spf.protection.outlook.com -all, и настройка M365 её туда ставит: 85,0% из 10 205 070 доменов, авторизующих spf.protection.outlook.com, уже заканчиваются строгим-all(данные по состоянию на 2026-06-29). Один нюанс: получатели проверяют SPF по домену Return-Path (RFC5321.MailFrom), а не по заголовку From — поэтому сервис рассылок может проходить SPF на своём bounce-домене, ничего не давая вашему. Именно поэтому важнее шаги 3 и 4. - Включите DKIM для собственного домена — две CNAME-записи селекторов. Пока вы не включите подписание собственным доменом, M365 подписывает невыровненной подписью с домена
onmicrosoft.comпо умолчанию: опубликуйте CNAME-записиselector1._domainkeyиselector2._domainkey, указывающие на ключи вашего тенанта, затем включите подписание на портале Defender. Полный путь по кликам: настроить DKIM в Microsoft 365. Если DKIM показывает «pass», а DMARC всё равно не проходит, вы в ловушке подписи по умолчанию. - Опубликуйте DMARC, затем ужесточите политику. Начните с
v=DMARC1; p=none; rua=mailto:..., чтобы пошли отчёты, устраните все легитимные источники, которые они выявят, затем поэтапно переходите кp=quarantineиp=reject— поэтапный путь описан в исправить DMARC. Именно этот шаг большинство контор на Microsoft пропускают: строгую политику DMARC применяют лишь 21,7% доменов, отправляющих через M365. - Перепроверьте, читая заголовок. Отправьте письмо на потребительский ящик outlook.com, откройте исходник сообщения и убедитесь, что там
spf=pass,dkim=pass,dmarc=passиcompauth=pass. - Массовым отправителям: соответствуйте планке потребительского Outlook. Свыше 5 000 писем в день вам также нужны действующий, отслеживаемый адрес From/reply-to, работающая отписка и чистые списки: аутентификация снимает 5.7.515, а низкая доля жалоб удерживает вас вне IP-блокировок S3140/S3150. Если ваш IP уже заблокирован, исправление SPF/DKIM/DMARC блокировку не снимет: запросите исключение из списка через поддержку отправителей Microsoft, а аутентификацию считайте гарантией того, что вы туда не вернётесь.
Почему столько доменов на Microsoft 365 всё ещё проваливаются?
Потому что настройка по умолчанию делает за вас первый шаг — и ни одного из остальных. Среди 10 205 070 доменов, авторизующих spf.protection.outlook.com, 85,0% несут строгий SPF — запись, которую M365 выдаёт при настройке, — но лишь 21,7% применяют строгую политику DMARC, по данным переписи Defaults.Exposed из 261 086 232 доменов. M365 даёт строгий SPF по умолчанию, и большинство тенантов на этом останавливаются — ровно та популяция, для которой и был создан compauth (хотя это всё же лучше, чем 10,59% строгого применения DMARC среди всех доменов с оценками). Полное сравнение провайдеров: наша лига SPF почтовых провайдеров.
Часто задаваемые вопросы
550 5.7.515 — это ошибка Microsoft 365? Нет. Она приходит от потребительского Outlook.com/Hotmail и нацелена на отправителей >5 000 писем в день; применяется с мая 2025 года. Отклонения корпоративного Exchange Online используют другие коды — чаще всего 550 5.7.509 (ваша политика DMARC reject) или 5.7.511 (запрещённый отправитель).
Мы получили 550 5.7.509, но письмо было легитимным — отказаться от p=reject?
Нет — ваша политика поймала неаутентифицированный источник, то есть она работает. Найдите источник в заголовке или в отчётах DMARC и дайте ему выровненный DKIM (или выровненный SPF). Ослабление до p=none заново открывает подделку точного домена для всех.
compauth=fail значит, что кто-то нас подделывает?
Не обязательно. reason=001 обычно означает, что ваша собственная почта не может доказать, что она ваша: нет выровненного DKIM, нет DMARC. Строгую политику DMARC применяют лишь 21,7% из 10 205 070 доменов, отправляющих через M365 (данные по состоянию на 2026-06-29), поэтому ко всем остальным Microsoft применяет неявные проверки — и неаутентифицированная легитимная почта тоже их проваливает.
Я отправляю меньше 5 000 писем в день — могу это игнорировать?
Вы избежите 550 5.7.515, но не папки со спамом: compauth действует при любом объёме. Gmail разыгрывает ту же партию — см. руководство по Gmail 550 5.7.26. Исправления бесплатны; барьер — осведомлённость, а не деньги.
Отправьте владельцу отчёт
Если вы чините почту для кого-то другого — клиента, начальника, фирмы, чьи счета отскакивали, — завершите работу доказательством. Когда DNS устоится, заново запустите бесплатную проверку и перешлите отчёт с оценкой. Он показывает, как SPF, DKIM и DMARC становятся зелёными, простым языком, понятным владельцу бизнеса, — и именно этот артефакт понадобится, когда при продлении киберстраховки или в анкете безопасности клиента спросят, аутентифицирована ли их почта. Починено — хорошо; доказуемо починено — вот за что платят вам и что покрывает их.
Проверьте свой домен бесплатно
Посмотрите, на какой ветке Microsoft вас заваливает — SPF, DKIM или DMARC, — приватно и только для владельца.
Проверьте свой домен → · Исправить DMARC → · DKIM проходит, а DMARC нет → · Как мы выставляем оценки → · Только агрегированные данные. Данные хранятся и обрабатываются в ЕС.