Defaults.Exposed

Defaults.ExposedΔιορθώσειςGuides

Τα Email από Φόρμα Επικοινωνίας Πηγαίνουν σε Spam — Η Λύση Αποστολής από Web Server (2026)

Δημοσιεύτηκε 2026-07-08

Στοιχεία από 2026-06-29 · μεθοδολογία v7. Συγκεντρωτικά δεδομένα απογραφής από 261 εκατομμύρια βαθμολογημένα domains. Δείτε πώς βαθμολογούμε.

Τα email φόρμας επικοινωνίας και ιστοσελίδας καταλήγουν σε spam επειδή ο web server σας τα στέλνει χωρίς πιστοποίηση — χωρίς εξουσιοδότηση SPF, χωρίς υπογραφή DKIM. Η αξιόπιστη λύση είναι η δρομολόγηση αυτού του email μέσω πιστοποιημένου SMTP, όχι η λίστα επιτρεπόμενων για τον server. Το 46.4% από τα 261,086,232 domains που βαθμολογήθηκαν στην απογραφή Defaults.Exposed (δεδομένα από 2026-06-29) δεν δημοσιεύει καθόλου εγγραφή SPF.

Η σειρά λύσης έχει σημασία και οι περισσότεροι οδηγοί την έχουν ανάποδα. Εκτελέστε δωρεάν σάρωση για να δείτε τι δημοσιεύει πραγματικά το domain σας· δρομολογήστε το email της ιστοσελίδας μέσω πιστοποιημένου SMTP (ο πάροχος γραμματοκιβωτίου σας ή υπηρεσία transactional email) ώστε να λάβει πραγματική υπογραφή DKIM· διορθώστε τη διεύθυνση From της φόρμας· και μόνο προσθέστε την IP του server στο SPF ως έσχατη λύση.

Γιατί τα email από την ιστοσελίδα μου πηγαίνουν σε spam;

Λόγω του ποιος πραγματικά τα στέλνει. Όταν ένας επισκέπτης υποβάλλει τη φόρμα επικοινωνίας σας, το email δεν στέλνεται από τον πάροχο email σας — ο web server το δημιουργεί ο ίδιος, συνήθως μέσω mail() της PHP. Από την πλευρά του παραλήπτη, αυτό το μήνυμα:

Το μη πιστοποιημένο email από IP μικτής φήμης είναι ακριβώς αυτό που τα φίλτρα spam υπάρχουν για να συλλαμβάνουν — το Gmail και το Outlook βλέπουν έναν τυχαίο server που ισχυρίζεται ότι είναι εσείς. Η ευρύτερη βάση είναι ζοφερή: το 46.4% των domains δεν δημοσιεύει καθόλου SPF, και μόνο το 10.59% (27,640,987 από τα 261,086,232 βαθμολογημένα domains, απογραφή από 2026-06-29) επιβάλλει πολιτική DMARC.

Γιατί αυτό χτυπά ιδιαίτερα ιστοσελίδες WordPress;

Το WordPress στέλνει όλα τα email του — ειδοποιήσεις φόρμας, επαναφορές κωδικού, επιβεβαιώσεις παραγγελιών — μέσω μιας συνάρτησης, wp_mail(), που από προεπιλογή τυλίγει PHP mail() στον web server. Κάθε ιστοσελίδα WordPress που δεν έχει διαμορφωθεί σκόπιμα είναι μη πιστοποιημένος αποστολέας εξ ορισμού. Τα plugins φόρμας (Contact Form 7, WPForms, Gravity Forms) παραδίδουν email στην ίδια συνάρτηση: φαίνεται σαν πρόβλημα plugin αλλά είναι πρόβλημα μεταφοράς.

Η λύση δεν είναι διαφορετικό plugin φόρμας αλλά ένα plugin SMTP (WP Mail SMTP και τα ισοδύναμα), που επαναδρομολογεί όλα όσα στέλνει το wp_mail() μέσω πραγματικού, πιστοποιημένου λογαριασμού email — υποδομή που το SPF σας ήδη εξουσιοδοτεί, με επισυναπτόμενη υπογραφή DKIM.

Ποια μέθοδο αποστολής πρέπει να χρησιμοποιεί η ιστοσελίδα;

Μέθοδος αποστολήςSPFDKIMΕπιβιώνει σε μετεγκατάσταση host;Ετυμηγορία
PHP mail() / default wp_mail() από web boxαποτυγχάνεικανέναδ/υ — σπασμένο παντούτο πρόβλημα, όχι επιλογή
Πιστοποιημένο SMTP μέσω παρόχου γραμματοκιβωτίου (Google Workspace, Microsoft 365 κ.λπ.)περνάυπογεγραμμένοναι — ανεξάρτητο από hostingη λύση για τις περισσότερες ιστοσελίδες
Υπηρεσία transactional email (SES, Postmark, Brevo κ.λπ.) με επαληθευμένο domain σαςπερνάυπογεγραμμένοναιη λύση σε μεγάλο όγκο (e-commerce, μεγάλες φόρμες)
IP web server προστιθέμενη στην εγγραφή SPF σαςπερνά (μόνο SPF)κανέναόχι — σπάει αθόρυβα όταν αλλάξει η IPμόνο εφεδρικά — δείτε παρακάτω

Για μερικές ειδοποιήσεις την ημέρα, το SMTP μέσω του γραμματοκιβωτίου που ήδη πληρώνετε είναι η πιο σύντομη διαδρομή· σε πραγματικό όγκο, μια υπηρεσία transactional είναι φτιαγμένη γι’ αυτό. Και τα δύο σας δίνουν DKIM — η συντόμευση λίστας IP δεν σας δίνει ποτέ.

Πώς διορθώνω την αξιοπιστία παράδοσης email φόρμας επικοινωνίας;

  1. Εκτελέστε τη δωρεάν σάρωση στο defaults.exposed πριν αγγίξετε οτιδήποτε. Εμφανίζει ποιο SPF, DKIM και DMARC δημοσιεύει πραγματικά το domain σας — αν διορθώνετε τη μεταφορά φόρμας, μια λείπουσα εγγραφή ή και τα δύο. Δεν υπάρχει καθόλου SPF; Ξεκινήστε με το πώς να διορθώσετε SPF.
  2. Δημιουργήστε αποκλειστική ταυτότητα SMTP για την ιστοσελίδα — π.χ. [email protected] στον πάροχο γραμματοκιβωτίου σας, ή ένα επαληθευμένο domain αποστολής σε υπηρεσία transactional. Χρησιμοποιήστε κωδικό app ή κλειδί API που μπορεί να ανακληθεί, όχι τον κωδικό γραμματοκιβωτίου κάποιου προσώπου.
  3. Δρομολογήστε το email της ιστοσελίδας μέσα από αυτό. WordPress: εγκαταστήστε plugin SMTP και δείξτε το στον λογαριασμό αυτό. Άλλα stacks: ρυθμίστε το mailer του framework αντί για τοπικό mail().
  4. Διορθώστε τη διεύθυνση From (το αντι-μοτίβο παρακάτω): το From πρέπει να είναι το δικό σας domain· ο επισκέπτης πηγαίνει στο Reply-To.
  5. Αν ο αποστολέας είναι υπηρεσία transactional, προσθέστε τις εγγραφές DKIM της (συνήθως ένα ζεύγος CNAME) ώστε το email να υπογράφεται με το domain σας — τα βήματα DNS μοιάζουν με τους οδηγούς ρύθμισης SPF.
  6. Στείλτε δοκιμαστική υποβολή και εκ νέου σαρώστε. Οι κεφαλίδες πρέπει να εμφανίζουν spf=pass και dkim=pass για το domain σας· στη συνέχεια καθαρίστε οτιδήποτε άλλο επισημαίνει η σάρωση μέσω διόρθωση SPF και διόρθωση DKIM.

Γιατί η φόρμα στέλνει «από» τη διεύθυνση email του επισκέπτη;

Το πιο συνηθισμένο αυτοτραυματισμένο σφάλμα στη διαμόρφωση φόρμας, και πολλά plugins το έκαναν από προεπιλογή: η ειδοποίηση φτάνει Από: τη διεύθυνση του επισκέπτη, ώστε να μπορείτε να κάνετε reply. Φαίνεται βολικό, και είναι παραποίηση. Ο server σας δεν έχει κανένα δικαίωμα να στείλει email ως [email protected] — αποτυγχάνει SPF και DKIM για gmail.com, και η πολιτική DMARC του Gmail λέει στους παραλήπτες να το ρίξουν σε junk ή να το απορρίψουν. Η λύση δεν κοστίζει τίποτα:

Κάθε κύριο plugin φόρμας το υποστηρίζει· είναι δύο πεδία στις ρυθμίσεις ειδοποίησης.

Γιατί να μην προσθέσω απλά την IP του server στην εγγραφή SPF μου;

Είναι η λύση στην οποία καταλήγουν τα περισσότερα forum threads, και είναι εφεδρική για έναν λόγο. Η προσθήκη ip4:<server> (ή μηχανισμός a για τον web host σας) στο SPF κάνει τον ακατέργαστο έλεγχο να περνά — αλλά:

Κρατήστε αυτή τη διαδρομή για την πραγματικά περιορισμένη περίπτωση: αποκλειστικός server με στατική IP που ελέγχετε και εφαρμογή που δεν μπορεί να μιλήσει SMTP — και συνδυάστε με υπογραφή DKIM στο box αν μπορείτε.

Ελέγχει το SPF τη διεύθυνση που βάζει η φόρμα στο «From»;

Όχι — και αυτό μπερδεύει τη μισή αυτοδιάγνωση. Οι παραλήπτες αξιολογούν το SPF έναντι του domain Return-Path (RFC5321.MailFrom), όχι της κεφαλίδας From. Οι web servers συχνά βάζουν το δικό τους hostname στο Return-Path, οπότε η εγγραφή SPF σας δεν συμβουλεύτηκε ποτέ — ο παραλήπτης έλεγξε SPF για srv0421.examplehost.com. Το πιστοποιημένο SMTP το διορθώνει επίσης: το Return-Path γίνεται το domain σας, οπότε το SPF pass τελικά μετράει για εσάς. Αυτός είναι επίσης ο λόγος που έχει σημασία το DKIM — η ευθυγράμμιση DMARC χρειάζεται pass συνδεδεμένο με το domain στο From, και μια υπογραφή DKIM ταξιδεύει με το μήνυμα.

Συχνές ερωτήσεις

Θα διορθώσει ένα plugin SMTP και τα email επαναφοράς κωδικού και WooCommerce; Ναι. Στο WordPress όλα ρέουν μέσω wp_mail(), οπότε η επαναδρομολόγησή του διορθώνει ειδοποιήσεις φόρμας, επαναφορές κωδικού και email παραγγελιών σε ένα βήμα.

Χρειάζομαι ακόμα εγγραφές SPF και DKIM αν χρησιμοποιώ plugin SMTP; Ναι — το plugin αλλάζει ποια υποδομή στέλνει το email σας· οι εγγραφές είναι αυτές που το εξουσιοδοτούν. Αν το domain σας ανήκει στο 46.4% από τα 261,086,232 βαθμολογημένα domains χωρίς εγγραφή SPF (απογραφή, 2026-06-29), το πιστοποιημένο SMTP μόνο δεν θα σας σώσει. Η λίστα ελέγχου email για νέο domain καλύπτει το πλήρες σύνολο εγγραφών.

Τα email φόρμας μου περνούν SPF αλλά εξακολουθούν να αποτυγχάνουν στο DMARC — γιατί; Σχεδόν πάντα το αντι-μοτίβο From-spoofing παραπάνω, ή SPF που περνά για το Return-Path domain του host και όχι για το δικό σας. Διορθώστε πρώτα From/Reply-To· αν εξακολουθεί να αποτυγχάνει, το λείπον κομμάτι είναι μια ευθυγραμμισμένη υπογραφή DKIM — δείτε «Η υπογραφή DKIM δεν είναι έγκυρη». Αν αποτυγχάνουν επίσης SaaS εργαλεία πέρα από την ιστοσελίδα, ο οδηγός SPF-αποτυχία-για-SaaS καλύπτει τη σειρά λύσης.

Αξίζει όλα αυτά για μια φόρμα επικοινωνίας χαμηλής κίνησης; Η φόρμα είναι συνήθως εκεί που μπαίνουν τα χρήματα — ένα χαμένο ερώτημα είναι πελάτης που δεν ξέρατε ποτέ ότι χάσατε. Και η λύση είναι δωρεάν· το εμπόδιο είναι το να γνωρίζετε ότι ο web server ήταν ο μη πιστοποιημένος αποστολέας εξ αρχής.

Στείλτε στον ιδιοκτήτη την αναφορά

Αν είστε ο developer ή ανάδοχος που το διορθώνει: μόλις η δοκιμαστική υποβολή περάσει, εκτελέστε ξανά τη δωρεάν σάρωση και προωθήστε τη βαθμολογημένη αναφορά στον ιδιοκτήτη της ιστοσελίδας — ένα χρονολογημένο, απλόγλωσσο αρχείο ότι το domain πιστοποιείται σωστά, και το τεκμήριο που θα χρειαστούν για την επόμενη ανανέωση ασφάλισης στον κυβερνοχώρο ή το ερωτηματολόγιο ασφάλειας πελάτη. Αν είστε ο ιδιοκτήτης που διαβάζει αυτό επειδή σταμάτησαν να φτάνουν ερωτήματα: στείλτε αυτή τη σελίδα και την αναφορά σάρωσής σας σε όποιον διαχειρίζεται την ιστοσελίδα σας — μια δουλειά ενός απογεύματος με πριν και μετά που μπορούν να σας δείξουν.

Ελέγξτε το domain σας → · SPF αποτυχία για SaaS εργαλεία; → · Διόρθωση SPF → · Πώς βαθμολογούμε → · Μόνο συγκεντρωτικά δεδομένα. Δεδομένα αποθηκευμένα και επεξεργασμένα στην ΕΕ.