554 5.7.5 评估DMARC策略时出现永久性错误 [已解决] 。

Yunes Tarada

2年前

阅读时间 7 分钟

您是否一直收到 "554 5.7.5 永久错误正在评估 DMARC 策略"？评估DMARC策略时出现 554 5.7.5 永久错误 "是一个常见错误，它会阻止SMTP端口接受来自您域名的电子邮件。该问题通常是由于 SPF 记录、DMARC 记录或电子邮件服务中的组合设置造成的。

在本指南中，我们将介绍如何快速和容易地解决这个问题。

背后的原因 554 5.7.5 评估DMARC策略的永久错误

如果你面临 "554 5.7.5评估DMARC策略的永久错误"，这里有一些这个错误背后的常见原因。

1.DMARC 设置不完整

当你设置DMARC时，你可以选择使用p=none或p=quarantine/reject。如果你使用p=none策略，那么要确保你的SPF和DKIM在邮件上通过。否则，它将无法通过DMARC策略评估。

2.不正确的DKIM电子邮件认证记录

DKIM是DomainKeys Identified Mail的缩写。它是一种验证电子邮件发件人真实性的方法，可以防止恶意行为者冒充电子邮件发件人的域名。

有时你可能会面临DKIM认证的问题。如果DKIM签名中的 "d="标签与发送域不匹配，将导致DMARC评估失败。

例如，如果你改变了你的域名，但没有在DKIM记录中更新它，那么它也将无法通过DMARC政策评估。

3.不正确的SPF记录

SPF是发件人政策框架的缩写。它是一种电子邮件认证技术，用于验证电子邮件是否来自有效的发件人服务器。

DMARC通过检查SPF记录来验证它们是否有效。你必须确保SPF记录配置正确，并与你的域名一起工作，以避免这种错误。

4.受援方的错误政策评价

如果接收服务器错误地评估了你的DMARC策略设置，那么这也可能导致这个错误。这意味着收件人服务器拒绝邮件是因为它自己的政策，而不是因为你的DMARC设置有什么问题。

为了避免这个问题，请确保上述各点配置得当，以便在接收方通过政策评估。

之后，与收件人交谈，要求他们评估自己的DMARC。

如何修复554 5.7.5评估DMARC策略的永久错误

1.删除记录中的多余字符

错误5.7.5评估DMARC策略的永久错误可以由不同数量的原因引起，然而，最常见的是。

错误的引号
记录中的额外字符或符号
记录结尾处缺少一个分号

下面是一个出现这种错误的记录的例子。

v=DMARC1; p=none; rua=mailto:Demarc@onmicrosoft.com; ruf=mailto:Demarc_forensic@onmicrosoft.com; fo=1:d:s.

这条记录在你看来可能很好，但在测试时，我们得到了 "5.7.5永久错误评估DMARC政策 "的消息。

当我们再次检查时，我们发现在记录的末尾多了一个点--如果你仔细看上面的同一条记录，你可以看到在末尾有一个句号（点）（。

一旦我们去掉那个点并再次进行测试，它就能完美地工作。

下面是同一记录在没有错误的情况下的样子。

v=DMARC1; p=none; rua=mailto:Demarc@onmicrosoft.com; ruf=mailto:Demarc_forensic@onmicrosoft.com; fo=1:d:s

2.将你的SPF记录从中性修改为非中性

如果你在试图发送邮件时收到一条错误信息，说 "5.7.5永久错误评估DMARC策略"，这可能是因为你的SPF记录被设置为中立。

SPF是发件人政策框架的缩写，它有助于确保发送电子邮件的邮件服务器是合法的。仅仅有一个发送电子邮件的服务器是不够的；需要有一些验证来证明这个服务器是合法的。这就是SPF的作用：它验证了你的邮件服务器有正确的证书。

为什么你的SPF记录不能是中性的？

因为如果允许信息通过一个中立的服务器发送，骗子可以使用你的域名发送虚假的电子邮件，这意味着人们可能会认为他们是真实的，但他们不是--最终点击链接或下载他们不应该下载的文件。

这就是为什么你至少应该把你的SPF记录改为 softfail ~all或 hardfail -all这样人们就知道来自你的域名的信息可能是安全的。

3.检查你的电子邮件服务提供商是否支持SPF对齐的电子邮件

收到这个错误的最常见原因之一是，你的电子邮件服务提供商不支持SPF对齐的电子邮件。

像MailChimp和ProtonMail这样的电子邮件提供商有他们自己的SPF记录，当你通过他们发送电子邮件时，他们不会发送SFP对齐的电子邮件。因此，你必须检查你的电子邮件服务提供商的SPF处置类型，看它是否支持SPF对齐的电子邮件。

如果是这样，那么你的DKIM签名将在发送过程中被修改，使发件人地址与你自己的域名一致（而不是与MailChimp的域名一致），确保你通过DMARC政策评估。

如果没有，那么你就需要使用一个不同的电子邮件服务提供商（或者改变你现有提供商的设置），这样你就可以发送SPF对齐的电子邮件。

4.为DMARC改变p=none政策

如果你得到一个 "554 5.7.5永久错误评估DMARC政策 "的错误，这意味着你的域名上的DMARC政策阻止你发送你的邮件。要解决这个问题，你只需要在你的DNS提供商那里改变你的DMARC记录，使其具有p=none策略。

DMARC策略告诉电子邮件提供商如何处理未能通过SPF和DKIM检查的电子邮件：拒绝它们或隔离它们。如果你想在这些检查没有通过的情况下发送邮件，你可以暂时放松你的策略，把它设置为 p=none来暂时放松你的策略。

这被称为 "宽松的策略"，所以不建议用于防止电子邮件欺骗。但是，将你的DMARC策略改为p=none将允许你暂时发送邮件而不出现DMARC错误。

例如，你可以改变这个记录。

_dmarc.yourdomain.com TXT "v=DMARC1; p=reject; fo=1

到这一点。

_dmarc.yourdomain.com TXT "v=DMARC1; p=none; fo=1

这对你意味着什么？即使你的邮件没有通过DMARC，你也可以发送。然而，你要恢复到p=reject或p=quarantine策略，以防止你的域名上的电子邮件被欺骗。

5.设置域名密钥识别邮件（DKIM）认证

如果你收到错误信息 "554 5.7.5评估DMARC策略的永久错误"，这意味着你没有在你的域名上启用域名识别邮件（DKIM）电子邮件认证--为了通过DMARC，你必须设置一个DKIM电子邮件认证记录。

要做到这一点，你需要做的是以下几点。

在你账户的设置页面选择 "我将管理我的电子邮件认证 "选项。
在DKIM字段中输入域名，然后点击保存。
将生成的TXT记录名称和TXT记录值复制到你的虚拟主机DNS记录中

DMARC政策的格式要求

DMARC是一个电子邮件认证协议，它允许收件人验证声称来自你的域名的电子邮件是否真的来自你的域名。本指南将概述首次设置DMARC时的一些重要格式要求。

首先，你的DMARC记录必须以 "v=DMARC1 "开头。这让电子邮件提供商知道，该记录是根据目前使用的DMARC版本（即1）进行格式化。
接下来，指定你的策略。该策略必须是p=none或p=quarantine或p=reject。这将告诉电子邮件提供商，当电子邮件未能通过认证检查时，该如何处理。
政策应该是记录中的第二个值。策略可以是三种情况之一：p=无，p=隔离，或p=拒绝。"无 "意味着你希望电子邮件提供商在看到来自你的域名的可疑邮件时什么也不做--它将简单地放过它，甚至可能会交付它。"隔离 "意味着你希望来自你的域名的可疑邮件被作为垃圾邮件或垃圾邮件投递，而不是作为正常邮件投递。最后，"拒绝 "意味着你想让来自你的域名的可疑邮件被拒绝，而根本不被投递。
使用冒号作为数值之间的分隔符--使用冒号而不是分号是一个好主意。分号会引起问题，特别是当在一行中指定多个值时。
不要使用多余的字符或不好的引号。行末多余的空白将被视为记录的一部分，这可能导致问题。

下面是一个好的DMARC记录的例子。

v=DMARC1; pct=100; p=reject; rua=mailto:dmarc@example.net; mailto:dmarc-rua@example.com; aspf=s