Defaults.Exposed

Defaults.ExposedRettelserGuides

Kontaktformular-e-mails havner i spam — løsningen med webbserver-afsenderen (2026)

Udgivet 2026-07-08

Tal fra 2026-06-29 · metodologi v7. Aggregerede censusdata på tværs af 261 millioner graderede domæner. Se hvordan vi graderer.

Kontaktformular- og webstedse-mails havner i spam, fordi din webbserver sender dem ugodkendt — ingen SPF-godkendelse, ingen DKIM-signatur. Den pålidelige løsning er at rute den e-mail via godkendt SMTP, ikke at sætte serveren på en hvidliste. 46.4% af de 261,086,232 domæner, der er graderet i Defaults.Exposed-census (data fra 2026-06-29), udgiver slet ingen SPF-post.

Løsningsrækkefølgen har betydning, og de fleste vejledninger gør det bagfra. Kør en gratis scanning for at se, hvad dit domæne rent faktisk udgiver; rut webstedets e-mail via godkendt SMTP (din postkasseudbyder eller en transaktionel e-mailtjeneste), så den får en rigtig DKIM-signatur; ret formularens Fra-adresse; og tilføj kun serverens IP til SPF som en absolut sidsteløsning.

Hvorfor havner e-mails fra mit websted i spam?

På grund af hvem der faktisk sender dem. Når en besøgende indsender din kontaktformular, sendes e-mailen ikke af din mailudbyder — webbserveren genererer den selv, typisk via PHPs mail(). Fra modtagerens side:

Ugodkendt e-mail fra et IP med blandet omdømme er præcis, hvad spamfiltre er til for at fange — Gmail og Outlook ser en tilfældig server, der hævder at være dig. Grundlinjen er alarmerende: 46.4% af domæner udgiver slet ingen SPF, og kun 10.59% (27,640,987 af 261,086,232 graderede domæner, census fra 2026-06-29) håndhæver en DMARC-politik.

Hvorfor rammer dette WordPress-websteder i særlig grad?

WordPress sender al sin e-mail — formularnotifikationer, nulstilling af adgangskode, ordrebekræftelser — via én funktion, wp_mail(), som som standard pakker PHPs mail() på webbserveren. Ethvert WordPress-websted, der ikke bevidst er omkonfigureret, er en ugodkendt afsender ud af boksen. Formular-plugins (Contact Form 7, WPForms, Gravity Forms) overgiver alle e-mail til den samme funktion: det ligner et plugin-problem, men det er et transportproblem.

Løsningen er ikke et andet formular-plugin, men et SMTP-plugin (WP Mail SMTP og dets ækvivalenter), som omdirigerer alt, hvad wp_mail() sender, via en rigtig, godkendt mailkonto — infrastruktur, som din SPF allerede godkender, med en DKIM-signatur vedhæftet.

Hvilken sendingsmetode bør webstedet bruge?

SendingsmetodeSPFDKIMOverlever en host-migration?Vurdering
PHP mail() / standard wp_mail() fra webkassenfejleringeni/t — ødelagt overaltproblemet, ikke en mulighed
Godkendt SMTP via din postkasseudbyder (Google Workspace, Microsoft 365 osv.)godkendessigneretja — uafhængig af hostingløsningen for de fleste websteder
Transaktionel e-mailtjeneste (SES, Postmark, Brevo osv.) med dit domæne verificeretgodkendessigneretjaløsningen ved volumen (e-handel, store formularer)
Webserverens IP tilføjet til din SPF-postgodkendes (kun SPF)ingennej — holder op lydløst, når IP’et ændreskun sidsteløsning — se nedenfor

For nogle få notifikationer om dagen er SMTP via den postkasse, du allerede betaler for, den korteste vej; ved reelt volumen er en transaktionel tjeneste bygget til det. Begge giver dig DKIM — IP-hvideliste-genvejen giver dig det aldrig.

Hvordan løser du leveringsdygtighed for kontaktformular-e-mail?

  1. Kør den gratis scanning på defaults.exposed inden du rører noget. Den viser, hvilken SPF, DKIM og DMARC dit domæne rent faktisk udgiver — uanset om du løser formularens transport, en manglende post eller begge. Ingen SPF overhovedet? Start med hvordan man løser SPF.
  2. Opret en dedikeret SMTP-identitet til webstedet — f.eks. website@ditdomæne.com hos din postkasseudbyder, eller et verificeret afsenderdomæne i en transaktionel tjeneste. Brug en appens adgangskode eller API-nøgle, du kan tilbagekalde, ikke en persons postkasseadgangskode.
  3. Rut webstedets e-mail via den. WordPress: installer et SMTP-plugin og peg det på den konto. Andre platforme: konfigurer frameworkets mailsystem i stedet for lokal mail().
  4. Ret Fra-adressen (anti-mønsteret nedenfor): Fra skal være dit eget domæne; den besøgende sættes i Svar-til.
  5. Hvis afsenderen er en transaktionel tjeneste, tilføj dens DKIM-poster (typisk et par CNAMEs), så e-mail signeres med dit domæne — DNS-trinnene svarer til SPF-opsætningsguiderne.
  6. Send en testindsendelse og scan igen. Headerene bør vise spf=pass og dkim=pass for dit domæne; ryd derefter alt andet, scanningen markerer, via ret SPF og ret DKIM.

Hvorfor sender formularen “fra” besøgendes e-mailadresse?

Den mest almindelige selvpålagte fejl i formularkonfiguration, og mange plugins plejede at gøre det som standard: notifikationen ankommer Fra: den besøgendes adresse, så du kan trykke svar. Det føles praktisk, og det er forfalskning. Din server har ingen ret til at sende e-mail som [email protected] — den fejler SPF og DKIM for gmail.com, og Gmails DMARC-politik beder modtagere om at smide den i spam eller afvise den. Løsningen koster intet:

Alle mainstream-formular-plugins understøtter dette; det er to felter i notifikationsindstillingerne.

Hvorfor ikke blot tilføje serverens IP til min SPF-post?

Det er den løsning, de fleste forumtråde griber til først, og det er en sidsteløsning af en grund. At tilføje ip4:<server> (eller en a-mekanisme for din webhost) til SPF gør, at den rå kontrol godkendes — men:

Bevar denne rute til det ægte begrænsede tilfælde: en dedikeret server med et statisk IP, du kontrollerer, og et program, der ikke kan tale SMTP — og kombiner det med DKIM-signering på kassen, hvis du kan.

Kontrollerer SPF overhovedet den adresse, min formular sætter i “Fra”?

Nej — og det forvirrer halvdelen af alle hjemme-diagnoser. Modtagere evaluerer SPF mod Return-Path (RFC5321.MailFrom)-domænet, ikke Fra-headeren. Webservere stempler ofte deres eget hostnavn på Return-Path, så din SPF-post aldrig blev konsulteret overhovedet — modtageren kontrollerede SPF for srv0421.examplehost.com. Godkendt SMTP løser dette også: Return-Path bliver dit domæne, så SPF-godkendelsen tæller endelig for dig. Det er også grunden til, at DKIM betyder noget — DMARC-justering kræver et pass bundet til domænet i Fra, og en DKIM-signatur rejser med beskeden.

Ofte stillede spørgsmål

Vil et SMTP-plugin også løse e-mails om nulstilling af adgangskode og WooCommerce? Ja. På WordPress flyder alt via wp_mail(), så omdirigering af det løser formularnotifikationer, nulstilling af adgangskode og ordree-mails i én bevægelse.

Har jeg stadig brug for SPF- og DKIM-poster, hvis jeg bruger et SMTP-plugin? Ja — pluginet ændrer hvilken infrastruktur der sender din e-mail; posterne er det, der godkender det. Er dit domæne blandt de 46.4% af 261,086,232 graderede domæner uden SPF-post (census, 2026-06-29), vil godkendt SMTP alene ikke redde dig. Tjeklisten for nye domæner dækker det fulde postsæt.

Mine formulare-mails godkendes med SPF, men fejler stadig DMARC — hvorfor? Næsten altid Fra-forfalsknings-anti-mønsteret ovenfor, eller SPF, der godkendes for hostens Return-Path-domæne snarere end dit. Ret Fra/Svar-til først; fejler det stadig, er den manglende brik en justeret DKIM-signatur — se “DKIM-signatur er ikke gyldig”. Fejler SaaS-værktøjer ud over webstedet også, dækker SPF-fejler-for-SaaS-guiden løsningsrækkefølgen.

Er det besværet værd for en kontaktformular med lavt trafik? Formularen er typisk, hvor pengene kommer ind — en mistet henvendelse er en kunde, du aldrig vidste, du mistede. Og løsningen er gratis; barrieren er at vide, at webbserveren var den ugodkendte afsender hele tiden.

Send ejeren rapporten

Er du udvikleren eller kontraktoren, der løser dette: når testindsendelsen godkendes, kør den gratis scanning igen og videresend den graderede rapport til webstedets ejer — en dateret, klartsproglig registrering af, at domænet godkender korrekt, og det artefakt, de har brug for til den næste fornyelse af cyberforsikring eller kundesikkerhedsspørgeskema. Er du ejeren, der læser dette, fordi henvendelser holdt op med at ankomme: send denne side og din scanningsrapport til den, der driver dit websted — et halvdags-job med en før-og-efter, de kan vise dig.

Kontrollér dit domæne → · SPF fejler for dine SaaS-værktøjer? → · Ret SPF → · Sådan graderer vi → · Kun aggregerede data. Data opbevares og behandles i EU.