Defaults.Exposed

Defaults.ExposedPerbaikanGuides

Email Formulir Kontak Masuk Spam — Perbaikan Pengirim Web-Server (2026)

Diterbitkan 2026-07-08

Angka per 2026-06-29 · metodologi v7. Data sensus agregat dari 261 juta domain yang dinilai. Lihat cara kami menilai.

Email formulir-kontak dan website mendarat di spam karena web server Anda mengirimnya tanpa autentikasi — tanpa otorisasi SPF, tanpa tanda tangan DKIM. Perbaikan yang andal adalah merutekan email itu melalui SMTP yang terautentikasi, bukan whitelisting server. 46.4% dari 261,086,232 domain yang dinilai dalam sensus Defaults.Exposed (data per 2026-06-29) tidak menerbitkan record SPF sama sekali.

Urutan perbaikan penting dan sebagian besar tutorial membalikkannya. Jalankan pemindaian gratis untuk melihat apa yang sebenarnya diterbitkan domain Anda; rutekan email situs melalui SMTP yang terautentikasi (provider kotak surat atau layanan email transaksional Anda) agar mendapat tanda tangan DKIM yang nyata; perbaiki alamat From formulir; dan hanya tambahkan IP server ke SPF sebagai upaya terakhir.

Mengapa email dari website saya masuk spam?

Karena siapa yang benar-benar mengirimnya. Ketika pengunjung mengirimkan formulir kontak Anda, email tidak dikirim oleh provider email Anda — web server menghasilkannya sendiri, biasanya melalui mail() PHP. Dari sisi penerima, pesan tersebut:

Email tanpa autentikasi dari IP dengan reputasi campuran adalah persis apa yang ada untuk ditangkap filter spam — Gmail dan Outlook melihat server acak yang mengklaim sebagai Anda. Baseline yang lebih luas membuktikannya: 46.4% domain tidak menerbitkan SPF sama sekali, dan hanya 10.59% (27,640,987 dari 261,086,232 domain yang dinilai, sensus per 2026-06-29) yang menegakkan kebijakan DMARC.

Mengapa ini khususnya menimpa situs WordPress?

WordPress mengirim semua emailnya — notifikasi formulir, reset kata sandi, konfirmasi pesanan — melalui satu fungsi, wp_mail(), yang secara default membungkus mail() PHP di web server. Setiap situs WordPress yang belum dikonfigurasi ulang secara sengaja adalah pengirim tanpa autentikasi secara default. Plugin formulir (Contact Form 7, WPForms, Gravity Forms) semuanya menyerahkan email ke fungsi yang sama: terlihat seperti masalah plugin tetapi sebenarnya masalah transport.

Solusinya bukan plugin formulir yang berbeda tetapi plugin SMTP (WP Mail SMTP dan sejenisnya), yang merutekan ulang semua yang dikirim wp_mail() melalui akun email yang nyata dan terautentikasi — infrastruktur yang sudah diotorisasi SPF Anda, dengan tanda tangan DKIM terlampir.

Metode pengiriman mana yang harus digunakan situs?

Metode pengirimanSPFDKIMBertahan dari migrasi host?Verdict
PHP mail() / default wp_mail() dari web boxgagaltidak adan/a — rusak di mana-manamasalahnya, bukan pilihan
SMTP terautentikasi melalui provider kotak surat (Google Workspace, Microsoft 365, dll.)lulusditandatanganiya — independen dari hostingperbaikan untuk sebagian besar situs
Layanan email transaksional (SES, Postmark, Brevo, dll.) dengan domain Anda terverifikasilulusditandatanganiyaperbaikan pada volume (e-commerce, formulir besar)
IP web server ditambahkan ke record SPF Andalulus (SPF saja)tidak adatidak — rusak diam-diam ketika IP berubahhanya fallback — lihat di bawah

Untuk beberapa notifikasi sehari, SMTP melalui kotak surat yang sudah Anda bayar adalah jalur terpendek; pada volume nyata, layanan transaksional memang dibuat untuk itu. Keduanya memberi Anda DKIM — pintasan whitelisting IP tidak pernah memberikannya.

Bagaimana cara memperbaiki deliverability email formulir kontak?

  1. Jalankan pemindaian gratis di defaults.exposed sebelum menyentuh apapun. Ini menampilkan SPF, DKIM dan DMARC yang sebenarnya diterbitkan domain Anda — apakah Anda memperbaiki transport formulir, record yang hilang, atau keduanya. Tidak ada SPF sama sekali? Mulai dengan cara memperbaiki SPF.
  2. Buat identitas SMTP khusus untuk situs — mis. [email protected] di provider kotak surat Anda, atau domain pengiriman terverifikasi di layanan transaksional. Gunakan app password atau API key yang bisa dicabut, bukan kata sandi kotak surat seseorang.
  3. Rutekan email situs melaluinya. WordPress: instal plugin SMTP dan arahkan ke akun tersebut. Stack lain: konfigurasikan mailer framework alih-alih mail() lokal.
  4. Perbaiki alamat From (anti-pola di bawah): From harus domain Anda sendiri; pengunjung masuk ke Reply-To.
  5. Jika pengirim adalah layanan transaksional, tambahkan record DKIM-nya (biasanya sepasang CNAME) agar email ditandatangani dengan domain Anda — langkah DNS mencerminkan panduan setup SPF.
  6. Kirim submission tes dan pindai ulang. Header harus menampilkan spf=pass dan dkim=pass untuk domain Anda; kemudian selesaikan apapun lain yang ditandai pemindaian melalui perbaiki SPF dan perbaiki DKIM.

Mengapa formulir mengirim “dari” alamat email pengunjung?

Luka yang paling umum dalam konfigurasi formulir, dan banyak plugin dulunya melakukan ini secara default: notifikasi tiba From: alamat pengunjung, sehingga Anda bisa langsung membalas. Terasa nyaman, dan itu adalah pemalsuan. Server Anda tidak berhak mengirim email sebagai [email protected] — gagal SPF dan DKIM untuk gmail.com, dan kebijakan DMARC Gmail memberi tahu penerima untuk menyingkirkan atau menolaknya. Perbaikannya tidak memerlukan biaya:

Setiap plugin formulir utama mendukung ini; itu adalah dua kolom dalam pengaturan notifikasi.

Mengapa tidak sekadar menambahkan IP server ke record SPF saya?

Itulah perbaikan yang paling banyak dicari thread forum, dan itu adalah fallback bukan tanpa alasan. Menambahkan ip4:<server> (atau mekanisme a untuk web host Anda) ke SPF memang membuat pemeriksaan mentah lulus — tetapi:

Cadangkan jalur ini untuk kasus yang benar-benar terbatas: server khusus dengan IP statis yang Anda kendalikan dan aplikasi yang tidak bisa berbicara SMTP — dan padukan dengan penandatanganan DKIM di server jika memungkinkan.

Apakah SPF bahkan memeriksa alamat yang dimasukkan formulir di “From”?

Tidak — dan ini mengecoh setengah dari diagnosis mandiri. Penerima mengevaluasi SPF terhadap domain Return-Path (RFC5321.MailFrom), bukan header From. Web server sering membubuhkan nama host-nya sendiri ke Return-Path, sehingga record SPF Anda tidak pernah dikonsultasikan sama sekali — penerima memeriksa SPF untuk srv0421.examplehost.com. SMTP terautentikasi memperbaiki ini juga: Return-Path menjadi domain Anda, sehingga kelulusan SPF akhirnya terhitung untuk Anda. Itulah juga mengapa DKIM penting — keselarasan DMARC membutuhkan kelulusan yang terikat ke domain di From, dan tanda tangan DKIM berjalan bersama pesan.

Pertanyaan yang Sering Diajukan

Apakah plugin SMTP juga memperbaiki email reset kata sandi dan WooCommerce? Ya. Di WordPress semuanya mengalir melalui wp_mail(), sehingga merutekan ulangnya memperbaiki notifikasi formulir, reset kata sandi dan email pesanan dalam satu langkah.

Apakah saya masih butuh record SPF dan DKIM jika menggunakan plugin SMTP? Ya — plugin mengubah infrastruktur mana yang mengirim email Anda; record-lah yang mengotorisasinya. Jika domain Anda termasuk dalam 46.4% dari 261,086,232 domain yang dinilai tanpa record SPF (sensus, 2026-06-29), SMTP terautentikasi saja tidak akan menyelamatkan Anda. Daftar periksa email domain baru mencakup set record lengkap.

Email formulir saya lulus SPF tetapi masih gagal DMARC — mengapa? Hampir selalu anti-pola From-spoofing di atas, atau SPF lulus untuk domain Return-Path host alih-alih milik Anda. Perbaiki From/Reply-To terlebih dahulu; jika masih gagal, bagian yang hilang adalah tanda tangan DKIM yang selaras — lihat “DKIM signature not valid”. Jika alat SaaS selain website juga gagal, panduan SPF-gagal-untuk-SaaS mencakup urutan perbaikannya.

Apakah semua ini sepadan untuk formulir kontak dengan lalu lintas rendah? Formulir biasanya adalah tempat uang masuk — pertanyaan yang terlewat adalah pelanggan yang tidak pernah Anda ketahui hilang. Dan perbaikannya gratis; hambatannya adalah mengetahui bahwa web server adalah pengirim tanpa autentikasi sejak awal.

Kirimkan laporan kepada pemilik

Jika Anda adalah developer atau kontraktor yang memperbaiki ini: setelah submission tes lulus, jalankan ulang pemindaian gratis dan teruskan laporan yang dinilai kepada pemilik situs — catatan bertanggal dan berbahasa mudah dipahami bahwa domain mengautentikasi dengan benar, dan artefak yang mereka butuhkan untuk perpanjangan asuransi siber atau kuesioner keamanan pelanggan berikutnya. Jika Anda adalah pemilik yang membaca ini karena pertanyaan berhenti masuk: kirimkan halaman ini dan laporan pemindaian Anda kepada siapapun yang mengelola website Anda — pekerjaan satu siang dengan sebelum-dan-sesudah yang bisa mereka tunjukkan kepada Anda.

Periksa domain Anda → · SPF gagal untuk alat SaaS Anda? → · Perbaiki SPF → · Cara kami menilai → · Hanya data agregat. Data disimpan dan diproses di EU.