Defaults.Exposed

Defaults.Exposed修复Guides

Gmail 550 5.7.26 "The Sender Is Unauthenticated":按要求顺序排列的修复方案(2026)

发布于 2026-07-08

数据截至 2026-06-29 · 方法论 v7。 基于 261 百万个已评分域名的汇总普查数据。参见我们如何评分

当你的邮件未通过 SPF 和 DKIM 认证检查时,Gmail 会返回 550 5.7.26。修法是让你发信域名的 SPF 或 DKIM 至少有一项通过——大多数发件方就缺这一步:根据 Defaults.Exposed 对 261,086,232 个域名的普查,在通过 _spf.google.com 授权 Google 服务器的 12,145,313 个域名中,只有 18.5% 强制执行 DMARC。

修法是 DNS 层面的工作,不是提工单:先确认你的发信 IP 有反向 DNS,让 Gmail 实际检查的那个域名的 SPF 或 DKIM 通过,然后让 DKIM 与你的 From 地址对齐,并发布一条 DMARC 记录。以下是完整的要求顺序,外加 550 5.7.26 系列及其相邻代码的解码表。

Gmail 错误 550 5.7.26 是什么意思?

自 Google 2024 年发件方要求生效以来,每一个给 Gmail 发信的发件方——不只是大宗发件方——都必须让发信域名的 SPF 或 DKIM 至少有一项通过。如果两项都失败,Gmail 会在 SMTP 阶段直接以 550 5.7.26 拒收,而不是投进垃圾箱。

目前的完整文本版本是:“This email has been blocked because the sender is unauthenticated. Gmail requires all senders to authenticate with either SPF or DKIM. Authentication results: DKIM = did not pass, SPF [domain] with ip: [ip] = did not pass.” 外面流传的一些旧退信可能仍带着 Google 之前的措辞(“This mail is unauthenticated, which poses a security risk…”),还有一个限速版的近亲——421 4.7.26 This email has been rate limited because it is unauthenticated——原因相同。

550 5.7.26 不是单一一条消息,而是一个代码系列,措辞会告诉你到底是哪条腿失败了:Google 目前的参考文档保留了三种 5.7.26 字符串(未认证、SPF 硬失败、DMARC 策略),并把大宗发件方专属的“仅 SPF”和“仅 DKIM”失败挪到了各自独立的代码 5.7.27 和 5.7.30。动 DNS 之前先把确切文本读一遍——这是你的第一手诊断依据。

这种差距的规模正是这类退信如此常见的原因:全球 138,927,207 个发布 SPF 的域名中,有 12,145,313 个在 SPF 记录里授权了 Google 的邮件服务器,但其中只有 18.5% 有强制执行的 DMARC 策略,只有 8.0% 使用严格 SPF(-all)。大多数托管在 Google 上的发件方,连 Google 自己给大宗发件方定的规则都没达标——而现在 Gmail 已经把这些基本要求套用到所有人身上。

你遇到的是 550 5.7.26 的哪种变体——还是相邻代码?

把收到的退信文本对照下表比对。引用的片段依据 Google 目前的 SMTP 错误参考文档——请一定对照你实际收到的 NDR 核实,因为 Google 会定期修订措辞。

代码退信文本大意(片段)失败的是什么修法在哪里
550 5.7.26(未认证)“This email has been blocked because the sender is unauthenticated … authenticate with either SPF or DKIM”SPF 和 DKIM 都没通过本指南第 2–4 步
550 5.7.26(SPF 硬失败)“has an SPF record with a hard fail policy (-all) but it fails to pass SPF checks”你的严格 SPF 记录没有授权发信的 IP下方第 3 步 + 修复 SPF
550 5.7.26(DMARC 策略)“Unauthenticated email from [domain] is not accepted due to domain’s DMARC policy”你自己的 DMARC 策略拒收了未对齐的邮件下方第 4 步
550 5.7.27(大宗,SPF)“didn’t pass SPF authentication … Gmail requires bulk email senders to authenticate their email with SPF”SPF 失败,且你处于大宗发件方档位下方第 3 步 + 修复 SPF
550 5.7.30(大宗,DKIM)“didn’t pass DKIM authentication … Gmail requires bulk email senders to authenticate their email with DKIM”没有有效的 DKIM 签名,且你处于大宗发件方档位下方第 3 步 + 修复 DKIM
550 5.7.29(大宗,TLS)“wasn’t sent over a TLS connection”批量邮件没走 TLS 发送下方第 6 步
550 5.7.25“doesn’t have a PTR record”发信 IP 没有反向 DNS(PTR)下方第 2 步
421-4.7.0“try again later” / 异常流量临时延迟——信誉或速率问题,不是永久拦截重试;检查第 2–3 步和第 8 步
550 5.7.28“unusual rate of unsolicited email”发信速率/垃圾邮件率限制下方第 8 步
550-5.7.1“message blocked” / 策略文本策略、垃圾邮件,或没有 PTR 的 IPv6 拒收Gmail 550-5.7.1 指南

怎么按要求顺序修复 550 5.7.26?

Google 没有公布字面意义上的“检查顺序”——但它的各项要求在逻辑上是层层递进的,所以按这个要求顺序逐项处理。大多数发件方在第 3 步之后就已经解除拦截了;但仍建议把整份清单走完,因为后面的步骤才是让你脱离拒收后、继续留在收件箱而不是垃圾箱的关键。

  1. 先运行免费扫描 它会读取你实时的 SPF、DKIM、DMARC 和 DNS 配置,准确显示哪一条腿在失败——先诊断,再动 DNS。
  2. 为你的发信 IP 配上反向 DNS(PTR)。 连接用的 IP 必须有一条 PTR 记录,其主机名能解析回同一个 IP。主流服务商通常会替你处理好这一点;这一步常在自建服务器发信的人身上出问题(也是相邻代码 550 5.7.25 背后的全部故事)。
  3. 让 SPF DKIM 通过。 先提醒一句:接收方是对照 Return-Path(RFC5321.MailFrom)域名,而不是 From 标头来检查 SPF 的——在断定 SPF“应该”通过之前,先确认你的邮件实际退信到的是哪个域名。把你真正的发信服务加进那个域名的 SPF 记录(完整 SPF 操作指南),或者在服务商那边启用 DKIM 签名(完整 DKIM 操作指南)。任何一项通过,就能解除基础的 550 5.7.26 拦截。
  4. 让 DKIM 与你的 From 域名对齐。 对于大宗发件——以及 DMARC 而言,Gmail 要的是针对 From 地址里那个域名的认证,而不是服务商的默认值。Google Workspace 用户:发布你自己的 DKIM 密钥(Workspace DKIM 设置);默认的 gappssmtp.com 签名能通过 DKIM,但对不上齐——这是个陷阱,有自己的指南。对齐的 DKIM 还能扛住转发,SPF 从来做不到这点。
  5. 发布一条 DMARC 记录。 Google 的发件方要求至少要有 p=none 加一个报告地址。这是五分钟的 DNS 编辑——见“DMARC 策略未启用” 了解诚实的第一步,以及 p=none 能做到和做不到的事。
  6. 用 TLS 发信。 任何现代邮件服务器或服务商默认都会这样做;如果你自己搭了 MTA,确认外发 TLS 已开启——没走 TLS 的批量邮件现在会收到自己专属的代码,550 5.7.29。
  7. 给营销邮件和订阅邮件加上 RFC 8058 一键退订List-Unsubscribe + List-Unsubscribe-Post 标头)。
  8. 把垃圾邮件率控制在 Google Postmaster Tools 里的 0.10% 以下——绝不能碰到 0.30%。 Google 的要求上限是 0.3%;它的建议是保持在 0.10% 以下。在那里注册你的域名;这是 Google 自己给你打的成绩单,垃圾邮件率这道门槛是任何 DNS 记录都修不了的。

这份清单做不到的一件事:把你从第三方黑名单上摘下来。认证只能阻止 Gmail 因未认证而做的拒收;有垃圾邮件历史的 IP 是一个有自己一套清理路径的信誉问题——修好认证能防止再犯,但本身不能让你脱离黑名单。

如果每天发信量不到 5000 封,大宗发件方规则也适用吗?

完整清单——对齐认证、发布 DMARC、一键退订、垃圾邮件率——正式生效的门槛是每天给 Gmail 发 5000 封以上邮件,仅限大宗发件方的代码(5.7.27、5.7.29、5.7.30)也来自这个档位。但认证的基本要求(SPF 或 DKIM 通过、有效 PTR)是套用在所有人身上的,这就是为什么小发件方也会碰到 550 5.7.26。把第 1–5 步当成任何发信量下都必须做的,把第 7–8 步当成一旦开始批量发信就必须做的。两家服务商完整的要求清单见我们的 Google 与 Yahoo 发件方要求 数据文章。

常见问题

550 5.7.26 是不是意味着我的域名或 IP 被拉黑了? 不是。这是一次认证失败,不是信誉判断——Gmail 是在说“证明你是谁”,不是在说“我们知道你是垃圾邮件发送者”。这算是好消息:完全可以在 DNS 里修好。坏消息是这有多常见——在普查的 261,086,232 个域名中(截至 2026-06-29),只有 10.59% 有强制执行的 DMARC 策略。

只修好 SPF 能止住退信吗? 对基础变体来说,通常可以——Gmail 要求的是 SPF 或 DKIM 至少一项通过。但 SPF 是对照 Return-Path 域名评估的,转发场景下会失效,所以对齐的 DKIM(第 4 步)才是持久的修法。在 12,145,313 个托管在 Google 上的发件域名中,只有 8.0% 使用严格 SPF(数据截至 2026-06-29),所以不管走哪条路,你都已经领先大多数人了。

我用的是 Google Workspace——为什么 Google 会拦截我自己的邮件? 因为 Gmail 认证的是域名,不是邮箱服务商。一个没有 SPF 记录、也没有自定义 DKIM 密钥的 Workspace 域名,发出的邮件连 Google 自己都验证不了——在授权了 Google 服务器的 12,145,313 个域名中,只有 18.5% 有强制执行的 DMARC(数据截至 2026-06-29)。是 Google 的客户和符合 Google 的规则,是两回事。

DNS 修好之后,Gmail 多久会接受我的邮件? 新记录一旦生效就会立即起效——通常是几分钟到几小时,TTL 较慢的情况下最多 48 小时。认证方面的修复对 550 5.7.26 检查会立即生效;垃圾邮件率和信誉的恢复(421-4.7.0、5.7.28)则需要几天到几周的干净发信记录。

把报告发给老板

如果你是在替客户修这个问题,别用“退信已解决”就结束工单。修改 DNS 后重新运行免费扫描,把评分报告转发给企业负责人。它会用大白话说明他们的域名现在能认证邮件了,以及还有哪些不足——这正是网络保险续保和供应商安全问卷需要的凭证。你修好了退信;报告证明了这一点。

免费检查你的域名

私密、仅域名所有者可见地看看 Gmail 是在 SPF、DKIM、DMARC 的哪一条腿上拦住了你。

检查你的域名 → · 修复 SPF → · Gmail “550-5.7.1 message blocked” → · 我们如何评分 → · 仅使用汇总数据。数据在欧盟境内存储和处理。