规则适用于谁
Microsoft 公告针对每日发送超过 5,000 封邮件的域名,接收端范围是 Outlook.com 消费者服务,包括 outlook.com、hotmail.com 和 live.com 地址。不能据此推断所有 Microsoft 365 企业租户采用完全相同的阈值。
三项认证要求
- SPF 必须通过:发送域的 SPF 准确授权实际发送 IP 或服务商,且不会因多条 SPF 或超过查询预算而 PermError。
- DKIM 必须通过:实际邮件带有可验证的 DKIM 签名,selector 对应的公钥可从 DNS 取得。
- DMARC 必须通过:至少发布
p=none,并让可见From:域与通过的 SPF 或 DKIM 域至少一方对齐。
第三方群发平台也必须使用你的域完成认证与对齐。平台自己的 SPF 或 DKIM 通过,并不自动代表你的 From: 域通过 DMARC。
550 5.7.515 表示什么
Microsoft 在更新后的公告中说明,自 2025 年 5 月 5 日起拒绝未满足认证要求的高量邮件,并使用 550 5.7.515 表示发送域未达到所需认证级别。永久错误不应靠持续重试解决,应先检查失败的认证与对齐项。
从 DNS 到真实邮件的修复顺序
- 扫描可见
From:域,确认只有一条 SPF、DMARC 语法有效,并取得真实 DKIM selector。 - 从每个发送平台向 Outlook.com 测试邮箱发送一封邮件,查看原始头中的
Authentication-Results。 - 确认 SPF 与 DKIM 都是 pass,并确认其中至少一方与
From:域完成 DMARC 对齐。 - 如果使用共享平台,要求启用自定义 DKIM 和自定义退信域,不要只依赖平台公共域。
- 修复后低量恢复发送,持续清理无效地址、退信与未参与收件人。
工具边界
本工具能验证公开 SPF、指定 selector 的 DKIM 与 DMARC 配置,也会报告 MX 和传输安全记录。它不能从 DNS 单独证明某封邮件的 SPF/DKIM pass、DMARC 对齐、发送量、退信域、名单同意或 Outlook 实际判定。
不要把 DMARC 直接从缺失改成 p=reject。先用报告确认所有合法发件源,再从监控逐步提高策略。