ドメイン番人
Microsoft 365DMARCARCトラブル対応Web 担当者

550 5.7.515 とは?DMARC拒否の原因と対処

ドメイン番人4 分で読めます
目次

550 5.7.515 が出る経路

この記事でわかること

  • 550 5.7.515 エラーが「DMARC / DKIM / ARC のいずれかで信頼が切れた」サインであること
  • 送信側 / 転送経路 / 受信側のどこを疑うかの切り分け
  • 復旧の 4 ステップ
  • 再発を防ぐ DMARC 強化と ARC 対応の押さえ方

550 5.7.515 とは

Microsoft 365 / Exchange Online の受信側が返す SMTP エラーで、内容は次のような文面です。

550 5.7.515 Access denied. The sending tenant's DMARC or DKIM policy
doesn't allow your email to be processed.

意訳すると「送信元テナントの DMARC か DKIM ポリシーで、このメールの処理を拒否しています」。

Microsoft 365 の送信者要件強化(2025-05 以降の DMARC 必須化)に伴い、頻発しているエラーです。詳しい背景は Microsoft DMARC 必須化 2025 を参照。

原因の切り分け

550 5.7.515 切り分けフロー

このエラーが出るパターンは大きく 3 つに分かれます。

パターン 1: 送信側の DMARC / DKIM 設定不備

最も多い原因。送信側のドメインで DMARC が p=reject 等で強化されているのに、実際の送信経路で DKIM 署名や SPF パスが整っていない状態です。Microsoft 365 は厳格にポリシーを適用するため、認証が通らないメールを跳ね返します。

パターン 2: メーリングリスト / 転送経由(ARC 不在)

メーリングリストや個人の自動転送を経由すると、本文や件名が改変されて DKIM 署名が壊れます。本来は ARC(Authenticated Received Chain)で「前段で認証通っていた」事実を引き継ぐ仕組みですが、転送経路の ARC が不在だと信頼が切れます。

ARC の概念は ARC メール認証 とは を参照。

パターン 3: SaaS 経由送信での認証漏れ

SendGrid / Mailchimp 等の SaaS から自社ドメイン名義で送信する場合、SaaS 側に DKIM 鍵を登録しないと認証が通りません。詳しい仕組みは BYODKIM とは を参照。

復旧の 4 ステップ

ステップ 1: メールヘッダから Authentication-Results を確認

エラーバウンスメール、または送信を再現したテストメールの Authentication-Results ヘッダを確認します。

Authentication-Results: mx.microsoft.com;
  spf=pass smtp.mailfrom=example.co.jp;
  dkim=fail header.d=example.co.jp;
  dmarc=fail action=oreject header.from=example.co.jp;

ここで dkim=fail / dmarc=fail のどちらが起きているかが分かります。

ステップ 2: DKIM 失敗なら署名経路を調査

dkim=fail の場合、次のいずれかを疑います。

  • 送信元 SaaS に DKIM 鍵が登録されていない(SaaS 別 DKIM 設定
  • DKIM 鍵が古い / 期限切れ / 1024-bit で受信側が拒否
  • 転送経路で本文改変があり署名が壊れた

ステップ 3: DMARC 失敗なら整合性を調査

dmarc=fail の場合、SPF / DKIM のどちらかが pass でも、From ヘッダのドメインと整合(alignment)していない可能性があります。詳しい仕組みは DMARC アライメント

ステップ 4: 必要なら DMARC ポリシーを一時的に緩和

緊急で配送復旧が必要な場合、DMARC ポリシーを一時的に p=quarantinep=none に戻す判断もありえます。ただしロールバック手順は DMARC reject ロールバック を参照のうえ、原因解消後にすぐ強化に戻すこと。

再発を防ぐ対応

対応 1: DMARC レポートで継続観察

p=reject を維持するなら、レポート可視化ツールで失敗の集中箇所を継続観察します。ツール選定は DMARC レポート解析ツール おすすめ 7 選

対応 2: ARC 対応の確認

自社が転送経路の中間に入る場合(メーリングリスト運用等)、ARC 署名を付与する仕組みを導入します。Postfix + OpenDKIM や、SaaS によっては設定 1 つで有効化できます。

対応 3: SaaS 別の DKIM 棚卸し

業務メールを複数 SaaS(SendGrid / Mailchimp / HubSpot 等)から送っているなら、すべての SaaS で DKIM が正しく登録されているか半年に 1 回棚卸しします。

まとめ

  • 550 5.7.515 は Microsoft 365 が「DMARC / DKIM 認証で信頼が切れた」と判定したサイン
  • 原因は 送信側設定不備 / 転送経路 ARC 不在 / SaaS 認証漏れ の 3 パターン
  • 復旧は Authentication-Results 確認 → DKIM / DMARC どちらが fail かを特定 → 経路調査
  • 再発防止は DMARC レポート観察 + ARC 対応 + SaaS 別棚卸し

まずは現状を把握しましょう

どこに原因がありそうかを切り分けたいときは、メールが届かない原因の切り分けツールが便利です。SPF・DKIM・DMARC・MX と Gmail 送信者要件を一画面でチェックし、重大なものから順に表示します。 自社ドメインのメール認証(SPF / DKIM / DMARC)の状態は、ドメイン番人の無料診断でも 30 秒で確認できます。設定にお困りの場合はお問い合わせからご相談ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから