Defaults.Exposed › सुधार › Guides
कॉन्टैक्ट फॉर्म ईमेल स्पैम में जा रहे हैं — वेब-सर्वर सेंडर फिक्स (2026)
प्रकाशित 2026-07-08
आंकड़े 2026-06-29 तक के · methodology v7. 261 मिलियन ग्रेडेड डोमेन में कुल जनगणना डेटा। देखें हम ग्रेड कैसे करते हैं।
कॉन्टैक्ट-फॉर्म और वेबसाइट ईमेल स्पैम में इसलिए जाते हैं क्योंकि आपका वेब सर्वर इन्हें बिना प्रमाणीकरण के भेजता है — न SPF अनुमोदन, न DKIM सिग्नेचर। विश्वसनीय फिक्स यह है कि उस मेल को प्रमाणित SMTP के जरिए रूट किया जाए, न कि सर्वर को वाइटलिस्ट किया जाए। Defaults.Exposed जनगणना में ग्रेड किए गए 261,086,232 डोमेन में से 46.4% (डेटा 2026-06-29 तक का) कोई SPF रिकॉर्ड प्रकाशित ही नहीं करते।
फिक्स का क्रम मायने रखता है और अधिकांश ट्यूटोरियल इसे उलटा करते हैं। एक मुफ़्त स्कैन चलाएं यह देखने के लिए कि आपका डोमेन वास्तव में क्या प्रकाशित करता है; साइट की मेल को प्रमाणित SMTP (आपका मेलबॉक्स प्रदाता या ट्रांजेक्शनल ईमेल सेवा) के जरिए रूट करें ताकि उसे असली DKIM सिग्नेचर मिले; फॉर्म का From पता ठीक करें; और सर्वर का IP केवल अंतिम उपाय के रूप में SPF में जोड़ें।
मेरी वेबसाइट के ईमेल स्पैम में क्यों जाते हैं?
क्योंकि वास्तव में कौन भेज रहा है इस कारण से। जब कोई विज़िटर आपका कॉन्टैक्ट फॉर्म सबमिट करता है, तो ईमेल आपके मेल प्रदाता द्वारा नहीं भेजा जाता — वेब सर्वर खुद इसे जनरेट करता है, आमतौर पर PHP के mail() के जरिए। प्राप्त करने वाले पक्ष से, वह संदेश:
- एक ऐसे IP से आता है जिसे आपका SPF रिकॉर्ड अनुमोदित नहीं करता (आपका SPF आपके मेल प्रदाता को कवर करता है, आपके वेब होस्ट को नहीं);
- कोई DKIM सिग्नेचर नहीं ले जाता, इसलिए क्रिप्टोग्राफिक रूप से कुछ भी इसे आपके डोमेन से नहीं जोड़ता;
- अक्सर एक शेयर्ड होस्टिंग IP से जाता है जिसकी प्रतिष्ठा सैकड़ों अजनबियों की साइटों द्वारा निर्धारित होती है।
अज्ञात प्रतिष्ठा के मिश्रित IP से अप्रमाणित मेल बिल्कुल वही है जिसे स्पैम फिल्टर पकड़ने के लिए बने हैं — Gmail और Outlook एक यादृच्छिक सर्वर देखते हैं जो आप होने का दावा करता है। व्यापक बेसलाइन गंभीर है: 46.4% डोमेन कोई SPF प्रकाशित ही नहीं करते, और केवल 10.59% (27,640,987 261,086,232 ग्रेडेड डोमेन में से, जनगणना 2026-06-29 तक) DMARC पॉलिसी लागू करते हैं।
WordPress साइटों पर यह विशेष रूप से क्यों होता है?
WordPress अपने सभी ईमेल — फॉर्म नोटिफिकेशन, पासवर्ड रीसेट, ऑर्डर कन्फर्मेशन — एक फंक्शन wp_mail() के जरिए भेजता है, जो डिफ़ॉल्ट रूप से वेब सर्वर पर PHP mail() को रैप करता है। हर WordPress साइट जिसे जानबूझकर रीकॉन्फ़िगर नहीं किया गया है, डिफ़ॉल्ट रूप से एक अप्रमाणित सेंडर है। फॉर्म प्लगइन (Contact Form 7, WPForms, Gravity Forms) सभी मेल उसी फंक्शन को सौंपते हैं: यह प्लगइन समस्या जैसी लगती है लेकिन वास्तव में ट्रांसपोर्ट समस्या है।
फिक्स एक अलग फॉर्म प्लगइन नहीं बल्कि एक SMTP प्लगइन है (WP Mail SMTP और इसके समकक्ष), जो wp_mail() भेजने वाली हर चीज को एक असली, प्रमाणित मेल अकाउंट के जरिए रीरूट करता है — वह इंफ्रास्ट्रक्चर जिसे आपका SPF पहले से अनुमोदित करता है, DKIM सिग्नेचर के साथ।
साइट को कौन सा सेंडिंग तरीका इस्तेमाल करना चाहिए?
| सेंडिंग तरीका | SPF | DKIM | होस्ट माइग्रेशन से बचता है? | निर्णय |
|---|---|---|---|---|
PHP mail() / वेब बॉक्स से डिफ़ॉल्ट wp_mail() | फेल | कोई नहीं | n/a — हर जगह टूटा | समस्या है, विकल्प नहीं |
| मेलबॉक्स प्रदाता (Google Workspace, Microsoft 365, आदि) के जरिए प्रमाणित SMTP | पास | साइन्ड | हां — होस्टिंग से स्वतंत्र | अधिकांश साइटों के लिए फिक्स |
| आपके डोमेन के साथ सत्यापित ट्रांजेक्शनल ईमेल सेवा (SES, Postmark, Brevo, आदि) | पास | साइन्ड | हां | वॉल्यूम पर फिक्स (ई-कॉमर्स, बड़े फॉर्म) |
| आपके SPF रिकॉर्ड में जोड़ा गया वेब सर्वर का IP | पास (केवल SPF) | कोई नहीं | नहीं — IP बदलने पर चुपचाप टूट जाता है | केवल अंतिम उपाय — नीचे देखें |
दिन में कुछ नोटिफिकेशन के लिए, वह मेलबॉक्स जो आप पहले से पे करते हैं उसके जरिए SMTP सबसे छोटा रास्ता है; असली वॉल्यूम पर, ट्रांजेक्शनल सेवा इसके लिए बनी है। दोनों आपको DKIM देते हैं — IP-वाइटलिस्टिंग शॉर्टकट कभी नहीं देता।
मैं कॉन्टैक्ट-फॉर्म ईमेल डिलिवरेबिलिटी कैसे ठीक करूं?
- कुछ भी छूने से पहले defaults.exposed पर मुफ़्त स्कैन चलाएं। यह दिखाता है कि आपका डोमेन वास्तव में कौन सा SPF, DKIM और DMARC प्रकाशित करता है — चाहे आप फॉर्म का ट्रांसपोर्ट ठीक कर रहे हों, कोई रिकॉर्ड गायब है, या दोनों। बिल्कुल कोई SPF नहीं? SPF ठीक करने के तरीके से शुरू करें।
- साइट के लिए एक डेडिकेटेड SMTP पहचान बनाएं — जैसे आपके मेलबॉक्स प्रदाता में
[email protected], या किसी ट्रांजेक्शनल सेवा में एक सत्यापित सेंडिंग डोमेन। किसी व्यक्ति के मेलबॉक्स पासवर्ड के बजाय एक ऐप पासवर्ड या API की का उपयोग करें जिसे आप रिवोक कर सकें। - साइट की मेल उसके जरिए रूट करें। WordPress: एक SMTP प्लगइन इंस्टॉल करें और इसे उस अकाउंट की ओर इंगित करें। अन्य स्टैक: local
mail()के बजाय फ्रेमवर्क का मेलर कॉन्फ़िगर करें। - From पता ठीक करें (नीचे anti-pattern): From आपका अपना डोमेन होना चाहिए; विज़िटर Reply-To में जाता है।
- यदि सेंडर कोई ट्रांजेक्शनल सेवा है, तो उसके DKIM रिकॉर्ड जोड़ें (आमतौर पर CNAMEs की एक जोड़ी) ताकि मेल आपके डोमेन से साइन हो — DNS चरण SPF सेटअप वॉकथ्रू जैसे हैं।
- एक टेस्ट सबमिशन भेजें और फिर से स्कैन करें। हेडर में आपके डोमेन के लिए
spf=passऔरdkim=passदिखना चाहिए; फिर SPF ठीक करें और DKIM ठीक करें के जरिए स्कैन द्वारा फ्लैग की गई बाकी चीजें साफ करें।
फॉर्म विज़िटर के ईमेल पते से “से” क्यों भेज रहा है?
फॉर्म कॉन्फ़िगरेशन में सबसे सामान्य स्व-निर्मित घाव, और कई प्लगइन पहले डिफ़ॉल्ट रूप से ऐसा करते थे: नोटिफिकेशन From: विज़िटर के पते से आता है, ताकि आप reply कर सकें। यह सुविधाजनक लगता है, और यह जालसाजी है। आपके सर्वर का [email protected] के रूप में मेल भेजने का कोई अधिकार नहीं है — यह gmail.com के लिए SPF और DKIM फेल करता है, और Gmail की DMARC पॉलिसी रिसीवर को इसे जंक या रिजेक्ट करने के लिए कहती है। फिक्स में कुछ भी खर्च नहीं होता:
- From: आपके अपने डोमेन पर एक पता (चरण 2 से SMTP पहचान)
- Reply-To: विज़िटर का पता — reply सीधे उन तक जाती है
हर मुख्यधारा का फॉर्म प्लगइन इसका समर्थन करता है; यह नोटिफिकेशन सेटिंग में दो फील्ड हैं।
सर्वर का IP मेरे SPF रिकॉर्ड में क्यों न जोड़ूं?
यह पहला उपाय है जो अधिकांश फोरम थ्रेड अपनाते हैं, और इसीलिए यह अंतिम उपाय है। ip4:<server> (या अपने वेब होस्ट के लिए a mechanism) जोड़ने से SPF कच्ची जांच पास हो जाती है — लेकिन:
- शेयर्ड होस्टिंग पर यह अजनबियों को अधिकृत करता है। IP बॉक्स का है, आपका नहीं; उस सर्वर पर हर दूसरी साइट अब आपके डोमेन के रूप में SPF-पासिंग मेल भेज सकती है।
- यह चुपचाप टूट जाता है। होस्ट बिना बताए सर्वर माइग्रेट और IP रोटेट करते हैं; आपका SPF उस पते को अधिकृत करता रहता है जिसे आपने महीनों पहले छोड़ दिया था।
- यह आपको कोई DKIM नहीं देता। केवल SPF फॉरवर्डिंग के तहत टूट जाता है और आपको DMARC enforcement की ओर उस तरह नहीं ले जा सकता जैसे कोई सिग्नेचर कर सकता है।
इस रास्ते को वास्तव में बाधित मामले के लिए रखें: एक डेडिकेटेड सर्वर जिसका स्टैटिक IP आप नियंत्रित करते हैं और एक एप्लिकेशन जो SMTP नहीं बोल सकता — और यदि हो सके तो बॉक्स पर DKIM साइनिंग के साथ इसे जोड़ें।
क्या SPF “From” में मेरे फॉर्म द्वारा डाले गए पते की जांच भी करता है?
नहीं — और यह आधे DIY डायग्नोसिस को ट्रिप करता है। रिसीवर Return-Path (RFC5321.MailFrom) डोमेन के विरुद्ध SPF का मूल्यांकन करते हैं, From हेडर के नहीं। वेब सर्वर अक्सर अपना होस्टनाम Return-Path पर लगाते हैं, इसलिए आपका SPF रिकॉर्ड कभी देखा ही नहीं गया — रिसीवर ने srv0421.examplehost.com के लिए SPF जांचा। प्रमाणित SMTP इसे भी ठीक करता है: Return-Path आपका डोमेन बन जाता है, इसलिए SPF पास आखिरकार आपके लिए गिना जाता है। यही कारण है कि DKIM भी मायने रखता है — DMARC alignment को From में डोमेन से जुड़ी pass की जरूरत है, और DKIM सिग्नेचर संदेश के साथ जाता है।
अक्सर पूछे जाने वाले सवाल
क्या SMTP प्लगइन पासवर्ड-रीसेट और WooCommerce ईमेल भी ठीक करेगा?
हां। WordPress पर सब कुछ wp_mail() के जरिए बहता है, इसलिए इसे रीरूट करने से एक ही बार में फॉर्म नोटिफिकेशन, पासवर्ड रीसेट और ऑर्डर ईमेल ठीक हो जाते हैं।
क्या मुझे SMTP प्लगइन उपयोग करने पर भी SPF और DKIM रिकॉर्ड की जरूरत है? हां — प्लगइन बदलता है कौन सा इंफ्रास्ट्रक्चर आपका मेल भेजता है; रिकॉर्ड वही हैं जो इसे अधिकृत करते हैं। यदि आपका डोमेन 261,086,232 ग्रेडेड डोमेन में से कोई SPF रिकॉर्ड नहीं रखने वाले 46.4% में से है (जनगणना, 2026-06-29), तो प्रमाणित SMTP अकेले आपको नहीं बचाएगा। नए-डोमेन ईमेल चेकलिस्ट पूरा रिकॉर्ड सेट कवर करती है।
मेरे फॉर्म ईमेल SPF पास करते हैं लेकिन DMARC फेल — क्यों? लगभग हमेशा उपरोक्त From-स्पूफिंग anti-pattern, या SPF आपके डोमेन के बजाय होस्ट के Return-Path डोमेन के लिए पास हो रहा है। पहले From/Reply-To ठीक करें; यदि अभी भी फेल है, तो गायब टुकड़ा एक aligned DKIM सिग्नेचर है — “DKIM signature not valid” देखें। यदि वेबसाइट से परे SaaS टूल भी फेल हो रहे हैं, तो SaaS के लिए SPF-failing गाइड फिक्स का क्रम कवर करती है।
क्या कम-ट्रैफिक कॉन्टैक्ट फॉर्म के लिए यह सब करना उचित है? फॉर्म आमतौर पर वह जगह है जहां पैसा आता है — एक छूटी हुई पूछताछ एक ऐसा ग्राहक है जिसे आपने कभी खोया ही नहीं जाना। और फिक्स मुफ़्त है; बाधा यह जानना था कि वेब सर्वर शुरू से ही अप्रमाणित सेंडर था।
मालिक को रिपोर्ट भेजें
यदि आप डेवलपर या कॉन्ट्रैक्टर हैं जो इसे ठीक कर रहे हैं: एक बार टेस्ट सबमिशन पास हो जाए, मुफ़्त स्कैन फिर से चलाएं और ग्रेडेड रिपोर्ट साइट के मालिक को भेजें — एक दिनांकित, सरल भाषा का रिकॉर्ड कि डोमेन सही तरीके से प्रमाणित करता है, और वह आर्टिफैक्ट जिसकी उन्हें अगली साइबर-इंश्योरेंस नवीनीकरण या ग्राहक सुरक्षा प्रश्नावली के लिए जरूरत होगी। यदि आप मालिक हैं जो इसे पढ़ रहे हैं क्योंकि पूछताछ आना बंद हो गईं: यह पेज और अपनी स्कैन रिपोर्ट उस व्यक्ति को भेजें जो आपकी वेबसाइट चलाता है — एक दोपहर का काम जिसे वे आपको दिखा सकते हैं।
अपना डोमेन जांचें → · SaaS टूल के लिए SPF फेल हो रहा है? → · SPF ठीक करें → · हम ग्रेड कैसे करते हैं → · केवल समग्र डेटा। डेटा EU में संग्रहीत और संसाधित।