@邮件域名体检

Gmail · SMTP 550 5.7.29

Gmail 550 5.7.29:邮件没有通过 TLS 连接发送

这条永久拒信表示连接 Gmail 的出站 SMTP 跳点没有使用 TLS。网站有 HTTPS、域名有 MTA-STS,或提交端使用 465/587,都不能单独证明最后一跳已加密。

定位真正的明文跳点

从退信时间、队列 ID 和收件地址回查发件平台或 MTA 日志,找到实际连接 Gmail MX 的主机。多级链路可能是应用、内部中继、邮件安全网关、外部服务商再到 Gmail;5.7.29 指向最后连接 Gmail 的那一跳。

  • 确认客户端先发送 EHLO,看到 STARTTLS 后发起协商,并在握手完成后重新 EHLO
  • 检查 TLS 握手失败后是否被配置为自动降级到明文投递。
  • 检查旧版中继、代理、防火墙或邮件网关是否剥离 STARTTLS,或不支持 Gmail 当前接受的协议与密码套件。
  • 若由第三方邮件服务发送,使用其投递日志或工单关联该次连接,而不是只看应用提交成功。

应用到邮件服务商的提交连接已加密,不代表邮件服务商到 Gmail 的服务器间连接也已加密。每一个 SMTP 跳点都要分别确认。

修复与验证顺序

  1. 在出站 MTA 或服务商路由中为 Gmail 投递启用 TLS,并关闭明文回退。
  2. 更新不再支持现代 TLS 的邮件软件和中间设备,检查系统时间、信任链和 SNI/主机名设置。
  3. 从同一路由发送一封新邮件,保存新队列日志中的 TLS 协议、密码套件、对端主机和投递结果。
  4. 若错误仍出现,按发送 IP、路由和时间核对是否有另一台未更新的节点。

MTA-STS 不是这次会话的证明

你域名发布的 MTA-STS policy 用于要求其他发件方安全连接你的入站 MX。它能提升入站传输策略,却不能证明你的出站 MTA 在某次投递 Gmail 时完成了 TLS。5.7.29 的最终证据来自该次 SMTP 会话日志和新的投递结果。

不要通过关闭证书验证或允许明文回退来消除临时握手错误。这样可能让队列继续发送,却仍不满足 Gmail 要求并削弱传输安全。

工具边界

域名体检可以验证 MTA-STS 与 TLS-RPT 的公开 DNS、HTTPS policy 和 MX 模式,但无法观察已经发生的出站 SMTP 会话。扫描通过不等于 5.7.29 已修复,必须以同一路径的新会话日志验证。

官方来源