看起来你遇到的核心问题是当前的DMARC记录过于严格，且SendGrid的邮件还没通过SPF/DKIM前置认证，导致DMARC校验失败。我来一步步帮你梳理解决办法：

第一步：先确保SendGrid的SPF和DKIM配置正确 #

DMARC认证的前提是邮件先通过SPF或DKIM校验，这是必须搞定的基础项：

• SPF记录调整：在Cloudflare的mycompany.com DNS设置里，找到现有SPF类型的TXT记录（没有的话就新建），把SendGrid的include项加进去。如果之前需要保留AWS SES的配置，修改后的SPF应该类似：v=spf1 include:sendgrid.net include:amazonses.com ... -all（末尾的-all是严格模式，也可以先用~all做测试，后续再调整）
• DKIM记录配置：登录SendGrid后台，找到你的发件域名管理模块，生成专属的DKIM密钥。然后在Cloudflare中添加两个TXT记录（SendGrid通常要求双密钥配置）：主机名分别填s1._domainkey和s2._domainkey，对应的值直接用SendGrid生成的字符串，注意不要额外添加引号或空格。

第二步：调整DMARC记录适配当前需求 #

你现在的DMARC记录是v=DMARC1; p=reject; sp=none; rua=mailto:dmarc@mailinblue.com!10m; ruf=mailto:dmarc@mailinblue.com!10m; rf=afrf; pct=100; ri=86400，其中p=reject是极高严格度的政策——只要邮件没通过SPF/DKIM，就会被收件方直接拒收，这也是你当前DMARC认证失败的核心诱因。

• 先把p=reject改成p=none，调整后的完整记录为：v=DMARC1; p=none; sp=none; rua=mailto:dmarc@mailinblue.com!10m; ruf=mailto:dmarc@mailinblue.com!10m; rf=afrf; pct=100; ri=86400。p=none是DMARC的测试模式，不会影响邮件投递，但会持续收集认证报告，刚好匹配SendGrid那边预期的基础DMARC值。
• 保留原来的rua和ruf字段，它们负责接收DMARC统计报告和失败明细报告，能帮你直观确认SendGrid邮件的认证状态。

第三步：验证配置并逐步收紧政策 #

• 修改DNS后，等待15分钟到几小时让记录生效（如果Cloudflare的TTL设得短，生效会更快），用DMARC检测工具确认新记录已正确同步。
• 从SendGrid发送测试邮件到Gmail、Outlook这类主流邮箱，查看邮件原始头信息里的Authentication-Results字段，确认是否出现dmarc=pass的标识。
• 当你确认所有通过SendGrid发送的邮件都稳定通过SPF/DKIM和DMARC认证后，再逐步收紧DMARC政策：先改成p=quarantine（让未通过认证的邮件进入垃圾箱），观察1-2周无异常后，再改回p=reject，这样能最大程度避免影响正常邮件投递。

总结一下：先搞定SendGrid的SPF/DKIM基础配置，再把DMARC政策降到测试模式，等认证稳定后再逐步收紧，就能解决当前的DMARC失败问题了。

备注：内容来源于stack exchange，提问作者SoftTimur