Defaults.Exposed › Opravy › Guides
E-maily z kontaktního formuláře jdou do spamu — oprava odesílatele webového serveru (2026)
Publikováno 2026-07-08
Údaje k 2026-06-29 · metodologie v7. Souhrnná data ze sčítání napříč 261 miliony ohodnocených domén. Viz jak hodnotíme.
E-maily z kontaktního formuláře a webu přistávají ve spamu, protože váš webový server je odesílá bez ověřování — bez autorizace SPF, bez DKIM podpisu. Spolehlivou opravou je směrování této pošty přes ověřený SMTP, nikoli přidání serveru na whitelist. 46.4% z 261,086,232 domén ohodnocených ve sčítání Defaults.Exposed (data k 2026-06-29) nepublikuje vůbec žádný SPF záznam.
Pořadí opravy záleží a většina návodů ho má pozpátku. Spusťte bezplatnou kontrolu, abyste viděli, co vaše doména skutečně publikuje; směrujte poštu webu přes ověřený SMTP (váš poskytovatel poštovních schránek nebo transakční e-mailová služba), aby dostala skutečný DKIM podpis; opravte adresu From formuláře; a IP serveru přidejte do SPF pouze jako poslední možnost.
Proč e-maily z mého webu jdou do spamu?
Kvůli tomu, kdo je skutečně odesílá. Když návštěvník odešle kontaktní formulář, e-mail není odeslán vaším poskytovatelem pošty — webový server ho generuje sám, obvykle přes PHP funkci mail(). Z pohledu příjemce taková zpráva:
- pochází z IP, kterou váš SPF záznam neautorizuje (váš SPF pokrývá vašeho poskytovatele pošty, nikoli webového hostitele);
- nenese žádný DKIM podpis, takže nic kryptograficky nespojuje zprávu s vaší doménou;
- často odchází ze sdílené hostingové IP, jejíž reputaci nastavují weby stovek cizích lidí.
Neověřená pošta z IP smíšené reputace je přesně to, k čemu spamové filtry existují — Gmail a Outlook vidí náhodný server, který tvrdí, že je vás. Celkový základ je ponurý: 46.4% domén nepublikuje vůbec žádný SPF a pouze 10.59% (27,640,987 z 261,086,232 ohodnocených domén, sčítání k 2026-06-29) vymáhá politiku DMARC.
Proč to postihuje weby na WordPress obzvlášť?
WordPress odesílá veškerou svou poštu — oznámení z formulářů, resetování hesel, potvrzení objednávek — přes jednu funkci, wp_mail(), která ve výchozím nastavení obaluje PHP mail() na webovém serveru. Každý web na WordPress, který nebyl záměrně překonfigurován, je hned od začátku neověřeným odesílatelem. Pluginy formulářů (Contact Form 7, WPForms, Gravity Forms) všechny předávají poštu stejné funkci: vypadá to jako problém pluginu, ale je to problém transportu.
Opravou není jiný plugin formuláře, ale SMTP plugin (WP Mail SMTP a jeho ekvivalenty), který vše, co wp_mail() odesílá, přesměruje přes skutečný ověřený poštovní účet — infrastrukturu, kterou váš SPF již autorizuje, s připojeným DKIM podpisem.
Jakou metodu odesílání by web měl používat?
| Metoda odesílání | SPF | DKIM | Přežije migraci hostitele? | Verdikt |
|---|---|---|---|---|
PHP mail() / výchozí wp_mail() z webového serveru | selhává | žádný | n/a — rozbité všude | problém, nikoli možnost |
| Ověřený SMTP přes vašeho poskytovatele poštovních schránek (Google Workspace, Microsoft 365 atd.) | prochází | podepsáno | ano — nezávislé na hostingu | oprava pro většinu webů |
| Transakční e-mailová služba (SES, Postmark, Brevo atd.) s ověřenou doménou | prochází | podepsáno | ano | oprava při objemu (e-commerce, velké formuláře) |
| IP webového serveru přidaná do SPF záznamu | prochází (pouze SPF) | žádný | ne — tiše se rozbije při změně IP | pouze záložní — viz níže |
Pro pár oznámení denně je SMTP přes poštovní schránku, za kterou již platíte, nejkratší cesta; při skutečném objemu je transakční služba k tomu určena. Obě vám dají DKIM — zkratka s whitelistingem IP to nikdy nedá.
Jak opravit doručitelnost e-mailů z kontaktního formuláře?
- Spusťte bezplatnou kontrolu na defaults.exposed před dotykem čehokoliv. Ukáže, co vaše doména skutečně publikuje pro SPF, DKIM a DMARC — ať opravujete transport formuláře, chybějící záznam nebo obojí. Vůbec žádný SPF? Začněte s jak opravit SPF.
- Vytvořte vyhrazenou SMTP identitu pro web — např.
[email protected]u vašeho poskytovatele poštovních schránek nebo ověřenou odesílající doménu v transakční službě. Použijte heslo aplikace nebo API klíč, který můžete odvolat, nikoli heslo poštovní schránky konkrétní osoby. - Směrujte poštu webu přes ni. WordPress: nainstalujte SMTP plugin a nasměrujte ho na tento účet. Jiné stacky: nakonfigurujte mailer frameworku místo lokálního
mail(). - Opravte adresu From (anti-vzor níže): From musí být vaše vlastní doména; návštěvník jde do Reply-To.
- Pokud odesílá transakční služba, přidejte její DKIM záznamy (obvykle pár CNAME záznamů), aby byla pošta podepsána vaší doménou — kroky DNS jsou obdobné jako průvodci nastavením SPF.
- Odešlete testovací odesílání a znovu naskenujte. Záhlaví by měla zobrazovat
spf=passadkim=passpro vaši doménu; poté vyřešte vše ostatní označené skenováním přes opravit SPF a opravit DKIM.
Proč formulář odesílá „od” e-mailové adresy návštěvníka?
Nejčastější samovolně způsobená chyba v konfiguraci formuláře a mnoho pluginů to dříve dělalo ve výchozím nastavení: oznámení dorazí From: adresa návštěvníka, abyste mohli kliknout na odpovědět. Zdá se to pohodlné a je to padělání. Váš server nemá právo odesílat poštu jako [email protected] — selže SPF a DKIM pro gmail.com a politika DMARC Gmailu říká příjemcům, aby ji zahazovali nebo odmítali. Oprava nic nestojí:
- From: adresa na vaší vlastní doméně (SMTP identita z kroku 2)
- Reply-To: adresa návštěvníka — odpověď stále jde přímo na něj
Každý rozšířený plugin formuláře to podporuje; jsou to dvě pole v nastavení oznámení.
Proč nepřidat jen IP serveru do mého SPF záznamu?
Je to oprava, po které většina vláken ve fórech sáhne jako první, a je to záložní řešení z důvodu. Přidání ip4:<server> (nebo mechanismu a pro vašeho webového hostitele) do SPF sice způsobí průchod raw kontroly — ale:
- Na sdíleném hostingu autorizuje cizince. IP patří serveru, nikoli vám; každý jiný web na tom serveru nyní může odesílat poštu procházející SPF jako vaše doména.
- Tiše se rozbije. Hostitelé migrují servery a rotují IP bez upozornění; váš SPF bude nadále autorizovat adresu, kterou jste opustili před měsíci.
- Nedostanete DKIM. Samotné SPF se rozbije při přeposílání a nemůže vás přiblížit k vymáhání DMARC tak, jako to dokáže podpis.
Vyhraďte tuto cestu pro skutečně omezený případ: dedikovaný server se statickou IP, kterou kontrolujete, a aplikaci, která nemůže mluvit SMTP — a pokud můžete, přidejte k ní DKIM podepisování na serveru.
Kontroluje SPF vůbec adresu, kterou formulář vloží do „From”?
Ne — a tím se zarazí polovina amatérských diagnóz. Příjemci vyhodnocují SPF vůči doméně Return-Path (RFC5321.MailFrom), nikoli záhlaví From. Webové servery často razítkují svůj vlastní název hostitele na Return-Path, takže váš SPF záznam nebyl vůbec konzultován — příjemce zkontroloval SPF pro srv0421.examplehost.com. Ověřený SMTP to také opravuje: Return-Path se stane vaší doménou, takže průchod SPF konečně počítá pro vás. A právě proto záleží na DKIM — zarovnání DMARC potřebuje průchod vázaný na doménu ve From a DKIM podpis cestuje se zprávou.
Nejčastější dotazy
Opraví SMTP plugin také e-maily pro resetování hesla a WooCommerce?
Ano. Na WordPress vše proudí přes wp_mail(), takže jeho přesměrování opraví oznámení z formulářů, resetování hesel a e-maily objednávek najednou.
Potřebuji stále záznamy SPF a DKIM, pokud používám SMTP plugin? Ano — plugin mění jaká infrastruktura odesílá vaši poštu; záznamy jsou to, co ji autorizuje. Pokud je vaše doména mezi 46.4% z 261,086,232 ohodnocených domén bez SPF záznamu (sčítání, 2026-06-29), ověřený SMTP vás sám o sobě nezachrání. Kontrolní seznam e-mailu pro novou doménu pokrývá úplnou sadu záznamů.
E-maily z formuláře procházejí SPF, ale stále selhávají DMARC — proč? Téměř vždy výše zmíněný anti-vzor spoofingu From, nebo SPF procházející pro doménu Return-Path hostitele, nikoli vaši. Nejprve opravte From/Reply-To; pokud stále selhává, chybějícím dílem je zarovnaný DKIM podpis — viz „DKIM signature not valid”. Pokud selhávají i nástroje SaaS mimo web, průvodce SPF selhávající pro SaaS pokrývá pořadí opravy.
Stojí to za to pro formulář s malou návštěvností? Formulář je obvykle tam, kde vstupují peníze — zmeškaná poptávka je zákazník, o němž jste nikdy nevěděli. A oprava je zdarma; překážkou je vědět, že webový server byl od začátku neověřeným odesílatelem.
Pošlete vlastníkovi zprávu
Pokud jste vývojář nebo smluvní pracovník, který to opravuje: jakmile testovací odesílání projde, znovu spusťte bezplatnou kontrolu a přepošlete ohodnocenou zprávu vlastníkovi webu — datovaný, srozumitelný záznam, že doména správně ověřuje, a artefakt, který bude potřebovat pro příští obnovu kybernetického pojištění nebo dotazník bezpečnosti zákazníka. Pokud jste vlastník, který to čte, protože přestaly přicházet poptávky: pošlete tuto stránku a zprávu ze skenování tomu, kdo provozuje váš web — práce na jedno odpoledne s výsledkem před a po, který vám může ukázat.
Zkontrolujte svou doménu → · SPF selhává pro vaše nástroje SaaS? → · Opravit SPF → · Jak hodnotíme → · Pouze souhrnná data. Data uložena a zpracována v EU.