一、开篇:554 中继访问被拒绝的业务危害与核心解决方向
企业使用 Synology MailPlus 搭建内部邮件系统时,若安全日志频繁出现 “554 5.7.1 Relay access denied” 错误,会直接导致 “邮件发送失败”—— 比如员工无法通过 MailPlus 向外部邮箱(如客户的 Gmail、合作伙伴的企业邮箱)发送邮件,或第三方系统(如 OA、CRM)无法通过 MailPlus 中继发送通知邮件,严重影响业务沟通与流程自动化。这一错误并非 MailPlus 服务故障,而是其核心安全机制的体现:为防范 MailPlus 被恶意利用作为 “垃圾邮件中继服务器”,默认仅允许 “授权 IP”“认证用户” 或 “信任域名” 使用中继功能,未授权的访问会直接触发 “中继访问被拒绝”。许多管理员虽知道需配置中继权限,却不知如何精准定位错误原因(是 IP 未授权、用户无权限,还是域名配置遗漏)。本文基于 Synology 官方技术指南(
https://kb.synology.cn/zh-cn/DSM/tutorial/How_to_address_MailPlus_security_log_554571_Relay_access_denied),从 “中继原理认知→错误成因诊断→分场景解决→效果验证” 四个维度,详细拆解处理 MailPlus 554 5.7.1 错误的全流程,帮助管理员在保障安全的前提下,恢复邮件中继功能。
二、前置知识:3 分钟搞懂 “邮件中继” 与 554 5.7.1 错误的核心逻辑
在动手配置前,需先明确 “邮件中继” 的定义与 MailPlus 的中继管控规则,避免因概念混淆导致 “过度开放权限”(引发垃圾邮件风险)或 “配置不足”(仍触发错误):
2.1 什么是 “邮件中继”?为什么 MailPlus 会限制中继?
邮件中继(SMTP Relay)是指 “邮件服务器接收来自其他设备 / 用户的邮件,并转发到目标邮箱服务器” 的过程 —— 例如:企业 OA 系统无直接发送邮件能力,需将邮件请求提交给 MailPlus,由 MailPlus 转发到客户邮箱,这一过程中 MailPlus 就是 “中继服务器”。
MailPlus 限制中继的核心原因是 “防滥用”:若不限制中继,外部攻击者可能利用 MailPlus 的 SMTP 服务大量发送垃圾邮件(如伪装企业域名发送诈骗邮件),导致企业域名被列入垃圾邮件黑名单(如 Spamhaus),进而影响所有正常邮件的投递。因此,MailPlus 默认启用 “中继访问控制”,仅允许 “授权对象” 使用中继功能,未授权对象触发 “554 5.7.1 Relay access denied”。
2.2 554 5.7.1 错误的 4 类核心触发条件
根据官方故障分析,MailPlus 拒绝中继访问的场景可归为 4 类,不同场景对应不同解决策略:
触发场景 | 核心逻辑 | 典型案例 | 日志特征 |
1. 未授权 IP 尝试中继 | 发送邮件的设备 IP 不在 MailPlus 的 “中继允许 IP 列表” 中 | 外部合作伙伴的服务器(IP:203.0.113.5)未授权,试图通过 MailPlus 中继发邮件 | 日志显示 “Relay denied: IP 203.0.113.5 not in allowed list” |
2. 未认证用户中继 | 普通用户未通过 SMTP 认证(如未输入账号密码),直接尝试中继 | 员工用 Outlook 发邮件时,未勾选 “SMTP 服务器要求认证”,触发中继拒绝 | 日志显示 “Relay denied: User not authenticated” |
3. 中继域名未授权 | 发送邮件的 “发件人域名”(如 abc.com)不在 MailPlus 的 “允许中继域名” 列表中 | | 日志显示 “Relay denied: Domain abc.com not allowed” |
4. SMTP 中继服务未启用 | MailPlus 的 “SMTP 中继功能” 未开启,或中继端口(如 25、587)被防火墙拦截 | 管理员误关闭 “SMTP 中继” 开关,导致所有中继请求被拒绝 | 日志显示 “Relay denied: SMTP relay service disabled” |
三、分场景解决:4 类 554 5.7.1 错误的详细操作方案(DSM 7.x/6.x 适配)
按 “错误频率” 排序,优先解决最常见的 “未授权 IP” 与 “未认证用户” 问题,再处理 “域名配置” 与 “服务启用” 问题,每步附版本差异说明与操作截图指引:
3.1 场景 1:未授权 IP 尝试中继 —— 添加 IP 到 MailPlus 中继允许列表
这是最常见场景(占比 60%),需在 MailPlus 中配置 “允许中继的 IP 范围”,仅授权可信设备(如企业内部服务器、OA 系统 IP)使用中继,步骤如下:
1.1 DSM 7.0 及以上版本(主流版本,界面更直观)
- 进入 MailPlus 中继控制设置:
- 登录 DSM 管理员账号,打开 “MailPlus Server” 套件(确保服务状态为 “运行中”);
- 左侧导航栏点击 “设置”→“SMTP”→“中继控制”,进入中继权限配置界面(如图 1:DSM 7.x MailPlus 中继控制入口示意图)。
- 添加授权 IP/IP 段:
- 在 “允许中继的 IP 地址” 区域,点击 “添加” 按钮;
- 选择 “单个 IP 地址” 或 “IP 地址范围”(根据实际需求,如 OA 系统是单个 IP,内部网段是范围):
- 若需添加多个 IP,重复 “添加” 操作,避免遗漏关键设备。
- 保存设置并生效:
- 点击界面底部 “应用” 按钮,系统提示 “中继控制规则已更新”;
- 无需重启 MailPlus 服务,新配置即时生效,后续该 IP 发送的中继请求会被允许。
1.2 DSM 6.2 及以下版本(旧版本适配)
- 进入 “MailPlus Server”→“设置”→“安全”→“中继”;
- 在 “允许中继的 IP 地址” 中,点击 “+” 号添加 IP/IP 段;
- 勾选 “启用 IP 中继控制”(确保功能已开启,默认可能未勾选),点击 “确定”。
1.3 验证 IP 授权效果
- 用授权 IP 对应的设备(如 OA 系统)发送一封测试邮件(收件人设为外部邮箱,如 user@gmail.com);
- 进入 MailPlus“审核→日志”,筛选 “SMTP” 类型,查看测试邮件日志;
- 若日志显示 “Relay allowed: IP 192.168.1.200 in allowed list”,且收件人成功收到邮件,说明 IP 授权生效。
3.2 场景 2:未认证用户中继 —— 启用 SMTP 认证并配置用户权限
若员工用 MailPlus 中继发邮件时未通过 SMTP 认证(如 Outlook 未配置账号密码),需启用 “SMTP 认证强制” 并确保用户有中继权限,步骤如下:
2.1 启用 SMTP 认证(防止未认证用户中继)
- 进入 MailPlus“设置→SMTP→基本设置”;
- 找到 “SMTP 认证” 选项,勾选 “要求 SMTP 认证”(核心开关,默认可能未勾选);
- 若需兼容旧设备(不支持现代认证),可勾选 “允许使用明文密码认证”(仅在内部局域网使用,公网环境不推荐,避免密码泄露);
- 点击 “应用”,此时未输入账号密码的中继请求会被拒绝,需用户完成认证。
2.2 授予用户中继权限(确保认证用户可中继)
- 进入 “MailPlus Server→设置→权限→用户权限”;
- 在用户列表中找到需中继权限的用户(如 “finance”“sales”),点击右侧 “编辑”;
- 在 “邮件权限” 模块中,勾选 “允许使用 SMTP 中继”(默认普通用户可能无此权限);
- 若需批量授权,可选择 “用户群组”(如 “Sales_Group”),一次性授予群组内所有用户中继权限,减少操作量;
- 点击 “确定”→“应用”,保存权限配置。
2.3 配置邮件客户端(以 Outlook 为例)
- 打开 Outlook,进入 “文件→账户设置→账户设置”;
- 选中 MailPlus 邮箱账号,点击 “更改”→“其他设置”;
- 切换到 “发送服务器” 选项卡,勾选 “我的发送服务器(SMTP)要求认证”;
- 选择 “使用与接收邮件服务器相同的设置”,点击 “确定”→“下一步”→“完成”;
- 发送测试邮件,若日志显示 “Relay allowed: User authenticated (finance)”,说明认证与权限配置生效。
3.3 场景 3:中继域名未授权 —— 添加可信域名到允许列表
若员工用非企业域名(如个人邮箱)通过 MailPlus 中继,或中继域名未在允许列表中,需配置 “允许中继的域名”,步骤如下:
- 进入 MailPlus“设置→SMTP→中继控制”;
- 在 “允许中继的域名” 区域,点击 “添加”;
- 输入可信域名(如企业域名 “company.com”,或合作方域名 “partner.com”);
- 取消勾选 “拒绝未在列表中的域名中继”(仅当需严格限制域名时勾选,否则建议关闭,避免遗漏合法域名);
- 点击 “应用”,发送测试邮件(发件人域名设为添加的可信域名),验证中继是否正常。
3.4 场景 4:SMTP 中继服务未启用 / 端口被拦截 —— 检查服务与端口
若 MailPlus 的 SMTP 中继服务未开启,或端口被防火墙拦截,需按以下步骤修复:
- 检查 SMTP 中继服务状态:
- 进入 “MailPlus Server→设置→SMTP→基本设置”;
- 确认 “启用 SMTP 服务”“启用 SMTP 中继” 均已勾选(若未勾选,勾选后点击 “应用”);
- 查看 “SMTP 端口” 配置(默认 25 端口,若被 ISP 封锁,可改用 587 端口(推荐)或 465 端口(SSL 加密))。
- 检查防火墙端口放行:
- 找到 “允许 SMTP” 的规则,确认已放行对应的端口(如 25、587),且 “源 IP” 包含授权设备;
- 若使用公网中继(如外部员工远程发邮件),需确保路由器已转发对应的 SMTP 端口(如将路由器 587 端口转发到 NAS 的 587 端口)。
四、常见问题 FAQ:解决中继配置中的高频卡点
Q1:添加授权 IP 后,该 IP 发送邮件仍提示 554 5.7.1 错误,怎么办?
A1:分 3 步排查 IP 配置问题:
- 确认 IP 输入正确:检查 MailPlus 中继允许列表中的 IP 是否与实际发送设备 IP 一致(如误将 192.168.1.200 输为 192.168.1.20,少写一个 0);
- 区分内网与公网 IP:若发送设备在公网(如员工居家办公),需添加设备的 “公网 IP”(通过 “whatismyip.com” 查询),而非内网 IP;
- 重启 SMTP 服务:进入 “MailPlus Server→设置→SMTP”,点击 “重启 SMTP 服务”,清除配置缓存,重新测试。
Q2:允许外部合作伙伴 IP 中继后,如何防止其滥用发送垃圾邮件?
A2:启用 “中继审计” 与 “流量限制”,平衡可用性与安全性:
- 进入 “MailPlus Server→审核→日志”,启用 “中继日志详细记录”,记录每笔中继请求的 “发件人、收件人、发送时间”;
- 进入 “设置→SMTP→中继控制”,设置 “单 IP 每日中继上限”(如 100 封,超出后临时禁止,避免大量垃圾邮件);
- 定期查看中继日志,若发现某 IP 发送异常邮件(如收件人数量远超正常业务),立即从允许列表中移除该 IP。
Q3:使用 587 端口中继时,提示 “连接超时”,但 25 端口正常,是什么原因?
A3:多为端口被 ISP 封锁或服务未启用:
- 检查 ISP 限制:部分 ISP(如国内宽带)默认封锁 25 端口,但 587 端口通常开放,若 587 超时,可尝试 465 端口(SSL 加密),并在 MailPlus 中启用 “SMTP over SSL”(端口 465);
- 确认 587 端口服务状态:进入 “MailPlus Server→设置→SMTP→基本设置”,确认 “启用 SMTP 提交服务(端口 587)” 已勾选;
- 测试端口连通性:在发送设备上用 “telnet NAS_IP 587” 测试端口是否通畅,若提示 “无法连接”,检查 NAS 防火墙与路由器端口转发是否配置正确。
五、总结:MailPlus 中继配置的 3 个核心安全原则
- 最小权限原则:仅授权 “必要的 IP、用户、域名” 使用中继,避免 “允许所有 IP”“开放所有域名”,从源头减少滥用风险;
- 认证与审计结合:强制启用 SMTP 认证(避免未授权用户中继),同时开启中继日志审计,便于追溯异常请求;
- 端口与加密适配:优先使用 587(SMTP 提交)或 465(SSL 加密)端口,替代易被封锁的 25 端口,保障公网环境下的中继稳定性。