一、开篇:571 Rejected by DMARC 的业务危害与核心解决方向

企业使用 MailPlus 对外发送邮件时,若安全日志频繁出现 “571 Rejected by DMARC” 错误,意味着邮件因未通过 DMARC(域名基于消息认证、报告和一致性)验证,被收件方邮箱(如 Outlook、企业微信邮箱)直接拒绝投递 —— 客户收不到合同邮件、供应商无法获取订单信息,直接导致业务沟通中断。这一错误的本质是 “MailPlus 发送的邮件未满足收件方域名的 DMARC 验证规则”,而非单一的邮件内容问题:DMARC 依赖 SPF(发件人策略框架)和 DKIM(域名密钥识别邮件)双重验证,任一环节失败或 DMARC 政策过严,都会触发 571 拒绝码。许多管理员虽知道 DMARC 是邮件反欺诈的重要机制,却不知如何协调 SPF、DKIM 与 DMARC 的配置关系(如 SPF 记录遗漏 MailPlus 服务器 IP、DKIM 签名无效导致 DMARC 验证不通过)。本文基于 Synology 官方技术指南(https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_address_MailPlus_security_log_571_Rejected_by_DMARC),从 “DMARC 原理认知→失败原因诊断→分步修复→效果验证” 四个维度,详细拆解处理 MailPlus 571 Rejected by DMARC 的全流程,帮助管理员快速恢复邮件正常投递。

二、前置知识:3 分钟搞懂 DMARC 与 “571 拒绝” 的核心逻辑(避免配置误区)

在动手修复前,需先明确 DMARC 的工作机制及与 SPF、DKIM 的联动关系 —— 这是解决 571 错误的基础,避免因孤立调整某一项配置导致验证仍失败:

2.1 DMARC 的核心作用:基于 SPF/DKIM 的 “最终裁决”

DMARC 并非独立的认证体系,而是对 SPF 和 DKIM 验证结果的 “汇总与执行”,核心逻辑如下:
  1. 收件方验证流程:
    • 第一步:验证 SPF—— 检查发送邮件的 IP 是否在发件域名(如company.com)的 SPF 记录允许列表中;
    • 第二步:验证 DKIM—— 检查邮件的 DKIM 签名是否与发件域名 DNS 中的 DKIM 公钥匹配;
    • 第三步:DMARC 裁决 —— 若 SPF 和 DKIM 均失败,或仅一项通过但未满足 DMARC “对齐要求”,则按发件域名的 DMARC 政策执行(拒收、隔离或放行)。
  1. “571 Rejected by DMARC” 的触发条件:
当收件方执行 DMARC 政策时,若 MailPlus 发送的邮件满足以下任一条件,即返回 571 拒绝码:
    • SPF 验证失败 + DKIM 验证失败,且 DMARC 政策为 “p=reject”(强制拒收);
    • SPF/DKIM 仅一项通过,但未满足 “对齐要求”(如 SPF 验证通过的 IP 所属域名与发件人域名不一致),且政策为 “p=reject”;
    • DMARC 记录配置错误(如格式无效),但收件方强制要求 DMARC 验证,直接拒绝无有效 DMARC 记录的邮件。

2.2 SPF、DKIM、DMARC 的 “必须对齐” 原则(关键认知)

DMARC 验证不仅要求 SPF/DKIM “验证通过”,还要求 “域名对齐”—— 即 SPF/DKIM 验证通过的域名,必须与邮件 “发件人域名”(如 From 字段的 @company.com)一致,否则仍判定失败:
  • 示例 1:MailPlus 用 IP 192.168.1.100 发送邮件,SPF 记录允许的 IP 是 192.168.1.200(不包含 100)→ SPF 失败→ DMARC 裁决失败;
  • 示例 2:DKIM 签名的域名是mail.company.com,而邮件发件人域名是company.com(未对齐)→ DKIM 虽通过但未对齐→ DMARC 裁决失败。

2.3 3 个关键前提(修复前必确认,避免做无用功)

  1. MailPlus 已配置发件域名:进入 MailPlus Server→“设置”→“基本”,确认 “服务器域名” 已设置(如mail.company.com),且与邮件 “From” 字段的域名一致;
  1. DNS 可正常解析:发件域名(company.com)的 DNS 服务器需正常工作,确保收件方能查询到 SPF、DKIM、DMARC 记录;
  1. MailPlus 发送 IP 固定:进入 DSM“控制面板→网络→局域网”,为 MailPlus 所在 NAS 设置 “手动 IP”(如 192.168.1.100),避免 IP 动态变化导致 SPF 验证失败。

三、分步诊断:571 Rejected by DMARC 的 4 类核心原因(精准定位问题)

在修改配置前,需先通过 MailPlus 日志和在线工具,定位 571 错误的具体原因 —— 是 SPF 失败、DKIM 失败,还是 DMARC 政策过严,避免盲目调整:
失败原因
核心表现
诊断方法
日志 / 工具特征
1. SPF 记录缺失或错误
发送 IP 不在 SPF 允许列表中
用在线 SPF 验证工具(如 MXToolbox)查询发件域名的 SPF 记录,检查是否包含 MailPlus 发送 IP
MailPlus 日志显示 “SPF verification failed: IP not allowed”
2. DKIM 验证失败或未对齐
DKIM 签名无效,或签名域名与发件人域名不一致
查看 MailPlus 安全日志是否有 “Bad DKIM signature”,用 DKIM Core Validator 验证公钥匹配性
日志显示 “DKIM verification failed” 或 “DKIM domain mismatch”
3. DMARC 政策过严
DMARC 政策直接设置为 “p=reject”,但 SPF/DKIM 未稳定通过
用 DMARC 查询工具(如 DKIMCore)查看发件域名的 DMARC 记录,确认 “p=” 字段值
工具显示 “DMARC Policy: p=reject”,且 SPF/DKIM 验证结果为 “Fail”
4. DMARC 记录配置错误
DMARC 记录格式无效(如缺少 “v=DMARC1” 标识、字段分隔符错误)
用 DNS 查询工具(如 nslookup)查询 “_dmarc.company.com” 的 TXT 记录,检查格式
工具显示 “DMARC Record Invalid: Missing v=DMARC1 tag”

四、分场景修复:4 类 571 错误的详细解决步骤(按优先级排序)

优先解决 “配置错误”(SPF/DKIM/DMARC 记录格式问题),再调整 “政策过严” 问题,避免因政策设置不当导致正常邮件被拒:

4.1 场景 1:SPF 记录缺失或错误(最常见,占比 40%)

若 MailPlus 发送 IP 不在发件域名的 SPF 记录中,需补充或修改 SPF 记录,步骤如下:

步骤 1:获取 MailPlus 发送 IP(关键参数)

  1. 登录 DSM,进入 “MailPlus Server→审核→发送日志”,找到最近触发 571 错误的邮件,记录 “发送 IP”(如公网 IP 202.103.xx.xx,若为局域网 IP 需先配置端口转发获取公网 IP);
  1. 若 MailPlus 通过 QuickConnect 外网发送邮件,需额外获取 Synology QuickConnect 的出口 IP(可联系 Synology 客服查询,或通过 “whatismyip.com” 在 NAS 上查询公网 IP)。

步骤 2:修改发件域名的 SPF 记录

以 “阿里云 DNS” 为例(腾讯云、GoDaddy 操作逻辑一致):
  1. 登录阿里云控制台→“域名→域名解析”,找到发件域名(如company.com);
  1. 找到已有的 SPF 记录(主机记录通常为 “@”,记录类型为 “TXT”),若不存在则点击 “添加记录”;
  1. 按以下格式配置 SPF 记录(核心是包含 MailPlus 发送 IP):
      • v=spf1:SPF 版本标识(必须放在开头);
      • ip4:202.103.xx.xx:MailPlus 的公网发送 IP(必加);
      • ip4:192.168.1.100:MailPlus 的局域网 IP(仅对内发送邮件需加);
      • ~all:软失败(建议初期使用,验证稳定后改为-all硬失败);
  1. 点击 “确认添加”,等待 DNS 记录同步(TTL 设为 300 秒,约 5 分钟生效)。

步骤 3:验证 SPF 记录有效性

  1. 打开 “MXToolbox”(https://mxtoolbox.com/SPFRecord.aspx),输入发件域名(company.com);
  1. 若显示 “SPF Record Valid”,且 “Included IPs” 包含 MailPlus 发送 IP,说明 SPF 配置正确;
  1. 若显示 “SPF Record Invalid”,检查记录值是否缺少v=spf1,或 IP 格式错误(如多写逗号)。

4.2 场景 2:DKIM 验证失败或未对齐(占比 35%)

若 DKIM 签名无效或域名未对齐,需按以下步骤修复(部分操作可参考前文 “Bad DKIM signature” 解决方案,但需重点关注 “对齐”):

步骤 1:确认 DKIM 签名的 “域名对齐”

  1. 进入 MailPlus Server→“安全性→DKIM”,查看当前 DKIM 配置的 “选择器域名”(如mail._domainkey.company.com);
  1. 确认 “签名域名”(company.com)与邮件 “发件人域名”(From 字段的 @company.com)完全一致 —— 若签名域名是sub.company.com,发件人是company.com,则未对齐,需重新生成 DKIM 密钥(选择器域名为company.com)。

步骤 2:重建 DKIM 密钥并更新 DNS 记录

  1. 删除旧 DKIM 密钥:在 MailPlus DKIM 设置中,找到对应域名,点击 “删除”;
  1. 生成新密钥:点击 “添加”,选择发件域名(company.com),密钥长度设为 2048 位,选择器设为 “mail”(如mail._domainkey.company.com);
  1. 复制新的 DKIM 公钥,在 DNS 后台添加 TXT 记录(主机记录为 “mail._domainkey”,记录值为完整公钥字符串,包含v=DKIM1; k=rsa; p=);
  1. 用 “DKIM Core Validator” 验证:输入域名和选择器,显示 “DKIM Signature Valid” 且 “Domain Alignment: Pass”,说明对齐成功。

4.3 场景 3:DMARC 政策过严(占比 20%)

若 SPF/DKIM 已修复,但 DMARC 政策仍为 “p=reject”(强制拒收),需先降低政策强度,避免误拒正常邮件,步骤如下:

步骤 1:查询当前 DMARC 政策

  1. 打开 “DKIMCore DMARC Checker”(https://dkimcore.org/tools/dmarc-record-checker.html),输入发件域名(company.com);
  1. 查看 “DMARC Record” 字段,若 “p=reject”,则需调整为 “p=quarantine”(隔离)或 “p=none”(仅监控,不执行)。

步骤 2:配置 DMARC 记录(关键参数详解)

  1. 在 DNS 后台添加 / 修改 DMARC 记录:
    • 主机记录:_dmarc(固定前缀,不可修改);
    • 记录类型:TXT;
      • v=DMARC1:DMARC 版本标识(必加);
      • p=quarantine:主政策(隔离失败邮件,不直接拒收,适合验证初期);
      • sp=quarantine:子域名政策(与主政策一致);
      • rua:接收 DMARC 汇总报告的邮箱(用于监控验证情况);
      • pct=100:对 100% 的邮件执行政策;
  1. 点击 “保存”,等待 5-10 分钟(TTL 生效)。

步骤 3:监控 DMARC 报告(逐步优化政策)

  1. 每周查看rua邮箱收到的 DMARC 汇总报告,确认 “通过验证的邮件占比”(若超过 95%,说明 SPF/DKIM 稳定);
  1. 稳定 1-2 周后,可将政策从 “p=quarantine” 改为 “p=reject”(仅对验证失败的邮件拒收,正常邮件不受影响)。

4.4 场景 4:DMARC 记录配置错误(占比 5%)

若 DMARC 记录格式无效(如缺少关键字段、符号错误),需按标准格式重新配置:
  1. 常见错误示例与修正:
    • 错误 1:缺少v=DMARC1→ 修正为v=DMARC1; p=quarantine; ...;
    • 错误 2:字段用逗号分隔(应为分号)→ 修正为v=DMARC1; p=quarantine; rua=...;
    • 错误 3:pct值为 “100%”(多余 %)→ 修正为pct=100;
  1. 用工具验证格式:通过 “DMARC Record Checker” 输入域名,若显示 “DMARC Record Valid”,说明格式正确。

五、常见问题 FAQ:解决修复中的高频卡点

Q1:配置完 SPF/DKIM/DMARC,测试邮件仍提示 571 错误,怎么办?

A1:大概率是 DNS 缓存未更新,按以下步骤处理:
  1. 用公共 DNS(如 8.8.8.8)查询记录:在 CMD 中执行nslookup -type=TXT _dmarc.company.com 8.8.8.8,确认记录已同步;
  1. 重启 MailPlus Server:进入 DSM“套件中心→已安装→MailPlus Server→重启”,确保新配置生效;
  1. 发送新测试邮件(不要重复发送旧邮件),旧邮件的 SPF/DKIM 签名已生成,不会因记录更新而变化。

Q2:MailPlus 同时用多个 IP 发送邮件(如局域网 + 公网),SPF 记录需全部添加吗?

A2:必须全部添加!SPF 记录需包含所有 “可能发送邮件的 IP”,否则未包含的 IP 会导致 SPF 失败:
  • 若 MailPlus 对内发送用局域网 IP(192.168.1.100),对外用公网 IP(202.103.xx.xx),SPF 记录需同时包含ip4:192.168.1.100 ip4:202.103.xx.xx;

Q3:DMARC 政策设为 “p=reject” 后,部分客户仍能收到邮件,是配置没生效吗?

A3:不一定,可能是客户邮箱未强制执行 DMARC 政策:
  • 不同邮箱服务商对 DMARC 的执行强度不同(如 Gmail、Outlook 严格执行,部分企业邮箱可能仅 “建议执行”);
  • 用 “DMARC Report” 监控:查看rua邮箱的报告,若 “reject” 执行率达到 90% 以上,说明配置已生效,未拒收的邮件是因客户邮箱政策宽松,无需调整。

六、总结:DMARC 配置的 3 个最佳实践(预防 571 错误复发)

  1. “先监控,再收紧” 政策:初期设为 “p=none”(仅监控不执行),待 SPF/DKIM 通过率稳定超 95%,再逐步改为 “p=quarantine”“p=reject”,避免初期误拒正常邮件;
  1. 定期同步记录与 IP:每季度检查 SPF 记录(新增 MailPlus 发送 IP 需及时添加)、DKIM 密钥(每年轮换一次)、DMARC 政策(根据报告优化);
  1. 对齐优先于 “双通过”:DMARC 更看重 “域名对齐”—— 即使 SPF/DKIM 仅一项通过,但对齐成功,也可能判定为 “Pass”;反之,双通过但未对齐,仍会失败。
通过以上步骤,即可彻底解决 MailPlus 安全日志中 “571 Rejected by DMARC” 的问题,提升邮件投递成功率与可信度。若遇到复杂场景(如多子域名 DMARC 配置、跨国邮件验证差异),可参考 Synology 官方知识库(https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_address_MailPlus_security_log_571_Rejected_by_DMARC),或通过 DSM “支持中心” 提交邮件头日志,获取官方技术支持。
MailPlus 571 Rejected by DMARC 怎么解决?SPF/DKIM 配置 + DMARC 政策优化步骤

新闻中心

联系我们

技术支持

  • ·

    Synology 无法访问共享文...

  • ·

    Synology NAS Win...

  • ·

    如何用 DiXiM Media ...

  • ·

    Synology DSM常规设置...

  • ·

    Active Backup fo...

  • ·

    Synology NAS打开Of...

  • ·

    Synology Migrati...

  • ·

    Synology Office多...

相关文章

地址:北京市海淀区白家疃尚品园             1号楼225

北京群晖时代科技有限公司

联系群晖
微信咨询

新闻中心