Defaults.Exposed

Defaults.ExposedJavításokGuides

A kapcsolatfelvételi űrlap e-mailei spambe kerülnek — A webszerver-küldő javítása (2026)

Közzétéve 2026-07-08

Adatok: 2026-06-29 · módszertan v7. Összesített adatok 261 millió értékelt domain felmérése alapján. Lásd: hogyan értékeltük az internetet.

A kapcsolatfelvételi és webhelyi e-mailek azért kerülnek spambe, mert a webszerver hitelesítés nélkül küldi őket — nincs SPF-engedélyezés, nincs DKIM-aláírás. A megbízható megoldás az, hogy ezt a levelezést hitelesített SMTP-n keresztül irányítja, nem a szerver fehérlistázásával. A Defaults.Exposed felmérésben értékelt 261,086,232 domain 46.4%-a (adatok: 2026-06-29) egyáltalán nem rendelkezik SPF-rekorddal.

A javítás sorrendje fontos, és a legtöbb útmutató fordítva csinálja. Futtasson ingyenes vizsgálatot, hogy megtudja, a doménje valójában milyen rekordokat tesz közzé; irányítsa a webhely levelezését hitelesített SMTP-n keresztül (levelezési szolgáltatóján vagy egy tranzakciós e-mail-szolgáltatáson át), hogy valódi DKIM-aláírást kapjon; javítsa az űrlap From-mezőjét; és csak végső esetként adja hozzá a szerver IP-jét az SPF-hez.

Miért kerülnek spambe a webhelyemről érkező e-mailek?

Azért, mert valójában ki küldi őket. Amikor egy látogató kitölti a kapcsolatfelvételi űrlapot, az e-mailt nem a levelezési szolgáltatója küldi — a webszerver maga állítja elő, általában a PHP mail() függvényén keresztül. A fogadó fél szemszögéből az üzenet:

A hitelesítetlen levél vegyes hírnevű IP-ről pontosan az, amit a spamszűrők kiszűrnek — a Gmail és az Outlook egy véletlenszerű szervert lát, amely azt állítja, hogy Ön az. A tágabb kép lehangoló: a domének 46.4%-ának egyáltalán nincs SPF-rekordja, és csak 10.59% (27,640,987 a felmérés 261,086,232 értékelt doménjéből, adatok: 2026-06-29) érvényesít DMARC-házirendet.

Miért érinti ez különösen a WordPress-webhelyeket?

A WordPress az összes levelét — az űrlap-értesítőket, jelszó-visszaállításokat, rendelés-visszaigazolásokat — egyetlen függvényen, a wp_mail()-en keresztül küldi, amely alapértelmezés szerint a webszerver PHP mail() függvényét hívja. Minden olyan WordPress-webhely, amelyet nem konfiguráltak át szándékosan, eleve hitelesítetlen küldőként működik. Az űrlapbővítmények (Contact Form 7, WPForms, Gravity Forms) mind ugyanehhez a függvényhez adják a leveleket: úgy tűnik, mint egy bővítményprobléma, de valójában egy szállítási probléma.

A megoldás nem egy másik űrlapbővítmény, hanem egy SMTP-plugin (WP Mail SMTP és hasonlók), amely mindent, amit a wp_mail() küld, egy valódi, hitelesített e-mail-fiókon keresztül irányít — olyan infrastruktúrán, amelyet az SPF-rekordja már engedélyez, és amelyhez DKIM-aláírás is tartozik.

Milyen küldési módszert használjon a webhely?

Küldési módszerSPFDKIMMegmarad a tárhelyváltás után?Értékelés
PHP mail() / alapértelmezett wp_mail() a webszerverrőlmegbukiknincsnem értelmezhető — mindenhol meghibásodikez a probléma, nem megoldás
Hitelesített SMTP a levelezési szolgáltatón keresztül (Google Workspace, Microsoft 365 stb.)átmegyaláírtigen — független a tárhelytőla legtöbb webhely esetén ez a megoldás
Tranzakciós e-mail-szolgáltatás (SES, Postmark, Brevo stb.) ellenőrzött domén mellettátmegyaláírtigena megoldás nagyobb forgalomnál (e-kereskedelem, sok űrlap)
A webszerver IP-je hozzáadva az SPF-rekordhozátmegy (csak SPF)nincsnem — csendesen meghibásodik, ha az IP változikcsak végső esetként — lásd alább

Napi néhány értesítésnél az SMTP a már fizetett levelezésen keresztül a leggyorsabb út; valódi forgalomnál a tranzakciós szolgáltatás erre van tervezve. Mindkettő DKIM-et ad — az IP-fehérlistázó rövidút soha.

Hogyan javíthatom a kapcsolatfelvételi e-mailek kézbesíthetőségét?

  1. Futtassa az ingyenes vizsgálatot a defaults.exposed oldalon, mielőtt bármit megváltoztatna. Megmutatja, hogy az SPF, DKIM és DMARC milyen rekordokat tesz közzé — függetlenül attól, hogy az űrlap szállítását, egy hiányzó rekordot vagy mindkettőt javítja. Egyáltalán nincs SPF? Kezdje az SPF javításával.
  2. Hozzon létre egy dedikált SMTP-identitást a webhelyhez — pl. [email protected] a levelezési szolgáltatójánál, vagy egy ellenőrzött küldési domént egy tranzakciós szolgáltatásban. Használjon visszavonható alkalmazásjelszót vagy API-kulcsot, ne egy személy postafiókjának jelszavát.
  3. Irányítsa a webhely levelezését ezen keresztül. WordPress esetén telepítsen SMTP-plugint, és irányítsa arra a fiókra. Más platformokon a keretrendszer levelezőjét konfigurálja a helyi mail() helyett.
  4. Javítsa a From-mezőt (lásd az anti-mintát alább): a From-nek a saját doménjét kell tartalmaznia; a látogató e-mail-címe a Reply-To-ba kerül.
  5. Ha tranzakciós szolgáltatás küld az Ön nevében, adja hozzá annak DKIM-rekordjait (általában CNAME-páros), hogy a levelek a doménjével legyenek aláírva — a DNS-lépések tükrözik az SPF-beállítási útmutatókat.
  6. Küldjön egy teszt-beküldést, és futtassa újra a vizsgálatot. A fejlécekben spf=pass és dkim=pass értéket kell látnia a saját doménjéhez; ezután javítsa a vizsgálat által jelzett egyéb hibákat az SPF javítása és a DKIM javítása útmutatók alapján.

Miért a látogató e-mail-címéről küldi az űrlap az értesítőt?

Ez az egyik leggyakoribb önhibás konfigurációs hiba, és sok bővítmény régebben alapértelmezetten így működött: az értesítő a látogató e-mail-címéről érkezik, hogy egyszerűen válaszolhasson. Praktikusnak tűnik, de hamisítás. A szervere nem jogosult [email protected] nevében levelet küldeni — ez megbuktatja a gmail.com SPF- és DKIM-ellenőrzését, a Gmail DMARC-házirendje pedig arra utasítja a fogadókat, hogy lomtáraztassák vagy utasítsák vissza. A javítás ingyenes:

Minden elterjedt űrlapbővítmény támogatja ezt; az értesítési beállításokban két mező.

Miért ne adjam hozzá a szerver IP-jét az SPF-rekordhoz?

A legtöbb fórumtéma ez után nyúl először, és nem ok nélkül ez a végső mentsvár. Az ip4:<szerver> (vagy az a mechanizmus a webtárhelyhez) hozzáadása az SPF-hez valóban átengedi a nyers ellenőrzést — de:

Tartsa fenn ezt a megoldást az igazán korlátozott esetekre: egy statikus, Ön által irányított IP-jű dedikált szerver, amelyen futó alkalmazás nem tud SMTP-n kommunikálni — és ha lehetséges, párosítsa DKIM-aláírással a szerveren.

Az SPF az űrlap „From” mezőjében lévő e-mail-címet ellenőrzi?

Nem — és ez megzavarja az öndiagnózisok felét. A fogadók az SPF-et a Return-Path (RFC5321.MailFrom) domén alapján értékelik, nem a From fejléce alapján. A webszerverek często a saját gépnevüket írják a Return-Path-be, tehát az SPF-rekordját soha nem kérdezték le — a fogadó az srv0421.examplehost.com SPF-jét ellenőrizte. A hitelesített SMTP ezt is javítja: a Return-Path a doménjévé válik, így az SPF-átmenés végre az Önéért számít. Ez az oka annak is, hogy a DKIM miért fontos — a DMARC-igazításhoz szükség van a From-ban lévő doménhez kötött átmenésre, és a DKIM-aláírás az üzenettel együtt utazik.

Gyakran ismételt kérdések

Az SMTP-plugin a jelszó-visszaállítást és a WooCommerce-e-maileket is javítja? Igen. WordPress esetén minden a wp_mail()-en folyik át, így átirányítása egyszerre javítja az értesítőket, a jelszó-visszaállításokat és a rendelési e-maileket.

Szükségem van-e SPF- és DKIM-rekordra, ha SMTP-plugint használok? Igen — a plugin csak azt változtatja meg, melyik infrastruktúra küldi a leveleit; a rekordok engedélyezik azt. Ha a doménje azon 46.4% közé tartozik (a felmérés 261,086,232 értékelt doménjéből, adatok: 2026-06-29), amelynek nincs SPF-rekordja, a hitelesített SMTP önmagában nem ment meg. Az új domain e-mail-ellenőrzőlistája a teljes rekordkészletet lefedi.

Az e-maileim átmennek az SPF-en, de megbuknak a DMARC-on — miért? Szinte mindig a fent leírt From-hamisítási anti-minta, vagy az SPF a tárhelygazda Return-Path-domén miatt megy át, nem a sajátjáért. Először javítsa a From/Reply-To beállításokat; ha így is megbukik, a hiányzó elem egy igazított DKIM-aláírás — lásd: „DKIM signature not valid”. Ha SaaS-eszközök is megbuknak a webhelyen túl, az SPF-et SaaS-hoz javító útmutató ismerteti a javítás sorrendjét.

Megéri mindez egy kevés forgalmú kapcsolatfelvételi űrlaphoz? Az űrlap általában az, ahol a pénz beérkezik — egy kihagyott megkeresés egy ügyfél, akiről soha nem tudott. A javítás ingyenes; az akadály csupán annak felismerése, hogy a webszerver volt a hitelesítetlen küldő.

Küldje el a riportot a tulajdonosnak

Ha Ön a javítást végző fejlesztő vagy kivitelező: miután a tesztes beküldés átment, futtassa újra az ingyenes vizsgálatot, és továbbítsa az értékelt riportot a webhely tulajdonosának — ez egy dátummal ellátott, közérthető igazolás arról, hogy a domain megfelelően hitelesít, és az a dokumentum, amelyre a következő kiberbiztosítás-megújításkor vagy ügyfél-biztonsági kérdőívnél szükség lesz. Ha Ön a tulajdonos, aki azért olvassa ezt, mert a megkeresések eltűntek: küldje ezt az oldalt és a vizsgálati riportját annak, aki a webhelyét kezeli — egy délutánnyi munka egy előtte-utána eredménnyel, amelyet meg tud mutatni Önnek.

Ellenőrizze a doménjét → · SPF megbukik a SaaS-eszközöknél? → · SPF javítása → · Hogyan értékeltük → · Csak összesített adatok. Az adatok tárolása és feldolgozása az EU-ban történik.