Defaults.Exposed

Defaults.Exposedการแก้ไขGuides

อีเมลจากแบบฟอร์มติดต่อถูกส่งไปสแปม — วิธีแก้ไขการส่งอีเมลจากเว็บเซิร์ฟเวอร์ (2026)

เผยแพร่ 2026-07-08

ตัวเลข ณ วันที่ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมทั่ว 261 ล้านโดเมนที่ได้รับการให้คะแนน ดู วิธีที่เราให้คะแนน

อีเมลจากแบบฟอร์มติดต่อและเว็บไซต์ตกไปอยู่ในสแปม เพราะเว็บเซิร์ฟเวอร์ของคุณส่งอีเมลโดยไม่ผ่านการยืนยันตัวตน — ไม่มีการอนุญาต SPF ไม่มีลายเซ็น DKIM วิธีแก้ไขที่เชื่อถือได้คือการกำหนดเส้นทางอีเมลนั้นผ่าน SMTP ที่มีการยืนยันตัวตน ไม่ใช่การอนุญาตไวท์ลิสต์เซิร์ฟเวอร์ 46.4% ของโดเมน 261,086,232 โดเมนที่ได้รับการให้คะแนนในสำมะโน Defaults.Exposed (ข้อมูล ณ 2026-06-29) ไม่มีระเบียน SPF เลย

ลำดับการแก้ไขมีความสำคัญ และบทช่วยสอนส่วนใหญ่ทำผิดลำดับ สแกนฟรีเพื่อดูว่าโดเมนของคุณเผยแพร่อะไรจริงๆ กำหนดเส้นทางอีเมลของเว็บไซต์ผ่าน SMTP ที่มีการยืนยันตัวตน (ผู้ให้บริการกล่องจดหมายหรือบริการอีเมลธุรกรรม) เพื่อให้ได้ลายเซ็น DKIM จริง แก้ไขที่อยู่ From ของฟอร์ม และเพิ่ม IP ของเซิร์ฟเวอร์ใน SPF เป็นทางเลือกสุดท้ายเท่านั้น

ทำไมอีเมลจากเว็บไซต์ของฉันถึงถูกส่งไปสแปม?

เพราะ ใครเป็นผู้ส่งจริงๆ เมื่อผู้เยี่ยมชมส่งแบบฟอร์มติดต่อของคุณ อีเมลไม่ได้ถูกส่งโดยผู้ให้บริการอีเมลของคุณ — เว็บเซิร์ฟเวอร์สร้างมันขึ้นมาเอง โดยปกติผ่าน PHP’s mail() จากมุมมองของผู้รับ ข้อความนั้น:

อีเมลที่ไม่ผ่านการยืนยันตัวตนจาก IP ที่มีชื่อเสียงปนเปื้อนคือสิ่งที่ตัวกรองสแปมมีไว้จับ — Gmail และ Outlook เห็นเซิร์ฟเวอร์สุ่มที่อ้างว่าเป็นคุณ ตัวเลขพื้นฐานที่กว้างขึ้นนั้นน่าสังเวช: 46.4% ของโดเมนไม่มี SPF เลย และมีเพียง 10.59% (27,640,987 จาก 261,086,232 โดเมนที่ได้รับการให้คะแนน สำมะโน ณ 2026-06-29) ที่บังคับใช้นโยบาย DMARC

ทำไมปัญหานี้ถึงส่งผลกระทบต่อเว็บไซต์ WordPress โดยเฉพาะ?

WordPress ส่ง อีเมลทั้งหมด ของมัน — การแจ้งเตือนฟอร์ม การรีเซ็ตรหัสผ่าน การยืนยันคำสั่งซื้อ — ผ่านฟังก์ชันเดียว wp_mail() ซึ่งโดยค่าเริ่มต้นจะห่อหุ้ม PHP mail() บนเว็บเซิร์ฟเวอร์ ทุกเว็บไซต์ WordPress ที่ไม่ได้กำหนดค่าใหม่โดยเจตนาเป็นผู้ส่งที่ไม่ผ่านการยืนยันตัวตนตั้งแต่ต้น ปลั๊กอินฟอร์ม (Contact Form 7, WPForms, Gravity Forms) ส่งอีเมลไปยังฟังก์ชันเดียวกันทั้งหมด: ดูเหมือนปัญหาปลั๊กอินแต่เป็นปัญหาการขนส่ง

การแก้ไขไม่ใช่ปลั๊กอินฟอร์มอื่น แต่เป็น ปลั๊กอิน SMTP (WP Mail SMTP และเทียบเท่า) ซึ่งกำหนดเส้นทางทุกสิ่งที่ wp_mail() ส่งผ่านบัญชีอีเมลจริงที่มีการยืนยันตัวตน — โครงสร้างพื้นฐานที่ SPF ของคุณอนุญาตแล้ว พร้อมลายเซ็น DKIM ที่แนบมา

ควรใช้วิธีการส่งใดสำหรับเว็บไซต์?

วิธีการส่งSPFDKIMรอดหลังจากย้ายโฮสต์?คำตัดสิน
PHP mail() / ค่าเริ่มต้น wp_mail() จากกล่องเว็บล้มเหลวไม่มีไม่มี — เสียทุกที่ปัญหา ไม่ใช่ตัวเลือก
SMTP ที่มีการยืนยันตัวตนผ่านผู้ให้บริการกล่องจดหมาย (Google Workspace, Microsoft 365 ฯลฯ)ผ่านลงนามแล้วใช่ — อิสระจากโฮสติ้งการแก้ไขสำหรับเว็บไซต์ส่วนใหญ่
บริการอีเมลธุรกรรม (SES, Postmark, Brevo ฯลฯ) ที่มีโดเมนของคุณยืนยันแล้วผ่านลงนามแล้วใช่การแก้ไขสำหรับปริมาณมาก
IP ของเว็บเซิร์ฟเวอร์ถูกเพิ่มใน SPF ของคุณผ่าน (SPF เท่านั้น)ไม่มีไม่ — เสียเมื่อ IP เปลี่ยนทางเลือกสำรองเท่านั้น — ดูด้านล่าง

สำหรับการแจ้งเตือนไม่กี่ครั้งต่อวัน SMTP ผ่านกล่องจดหมายที่คุณจ่ายอยู่แล้วเป็นเส้นทางที่สั้นที่สุด ที่ปริมาณจริง บริการธุรกรรมถูกสร้างมาสำหรับมัน ทั้งคู่ให้ DKIM — ทางลัดการอนุญาตไวท์ลิสต์ IP ไม่เคยให้

จะแก้ไขการส่งอีเมลของแบบฟอร์มติดต่ออย่างไร?

  1. สแกนฟรีที่ defaults.exposed ก่อนแตะอะไรเลย ระบบแสดงว่า SPF, DKIM และ DMARC โดเมนของคุณเผยแพร่จริงอะไรบ้าง — ไม่ว่าคุณกำลังแก้ไขการขนส่งของฟอร์ม ระเบียนที่หายไป หรือทั้งคู่ ไม่มี SPF เลย? เริ่มด้วย วิธีแก้ SPF
  2. สร้างตัวตน SMTP เฉพาะสำหรับเว็บไซต์ — เช่น [email protected] ในผู้ให้บริการกล่องจดหมายของคุณ หรือโดเมนส่งที่ยืนยันแล้วในบริการธุรกรรม ใช้รหัสผ่านแอปหรือ API key ที่เพิกถอนได้ ไม่ใช่รหัสผ่านกล่องจดหมายของบุคคล
  3. กำหนดเส้นทางอีเมลของเว็บไซต์ผ่านนั้น WordPress: ติดตั้งปลั๊กอิน SMTP และชี้ไปยังบัญชีนั้น สแต็กอื่น: กำหนดค่า mailer ของ framework แทน mail() ในเครื่อง
  4. แก้ไขที่อยู่ From (รูปแบบที่ผิดด้านล่าง): From ต้องเป็นโดเมนของคุณเอง ผู้เยี่ยมชมไปอยู่ใน Reply-To
  5. หากผู้ส่งเป็นบริการธุรกรรม เพิ่มระเบียน DKIM ของมัน (โดยปกติคู่ CNAME) เพื่อให้อีเมลลงนามด้วยโดเมนของคุณ — ขั้นตอน DNS เลียนแบบ คู่มือการตั้งค่า SPF
  6. ส่งการส่งทดสอบและสแกนใหม่ ส่วนหัวควรแสดง spf=pass และ dkim=pass สำหรับโดเมน ของคุณ จากนั้นล้างสิ่งอื่นที่การสแกนตั้งค่าสถานะผ่าน แก้ SPF และ แก้ DKIM

ทำไมฟอร์มถึงส่ง “จาก” ที่อยู่อีเมลของผู้เยี่ยมชม?

บาดแผลที่ตัวเองก่อขึ้นบ่อยที่สุดในการกำหนดค่าฟอร์ม และปลั๊กอินหลายตัวเคยทำตามค่าเริ่มต้น: การแจ้งเตือนมาถึง From: ที่อยู่ของผู้เยี่ยมชม เพื่อให้คุณตอบกลับได้ มันรู้สึกสะดวก และมันคือการปลอมแปลง เซิร์ฟเวอร์ของคุณไม่มีสิทธิ์ส่งอีเมลในฐานะ [email protected] — มันล้มเหลว SPF และ DKIM สำหรับ gmail.com และนโยบาย DMARC ของ Gmail บอกผู้รับให้ทิ้งหรือปฏิเสธ การแก้ไขไม่เสียค่าใช้จ่ายใดๆ:

ปลั๊กอินฟอร์มหลักทุกตัวรองรับสิ่งนี้ เป็นสองช่องในการตั้งค่าการแจ้งเตือน

ทำไมไม่แค่เพิ่ม IP ของเซิร์ฟเวอร์ใน SPF?

มันคือการแก้ไขที่หัวข้อฟอรัมส่วนใหญ่หาก่อนเป็นอันดับแรก และมันคือทางเลือกสำรองด้วยเหตุผล การเพิ่ม ip4:<server> (หรือกลไก a สำหรับเว็บโฮสต์ของคุณ) ใน SPF ทำให้การตรวจสอบแบบดิบผ่าน — แต่:

สงวนเส้นทางนี้สำหรับกรณีที่มีข้อจำกัดจริงๆ: เซิร์ฟเวอร์เฉพาะที่มี IP แบบ static ที่คุณควบคุมและแอปพลิเคชันที่ไม่สามารถพูด SMTP ได้ — และจับคู่กับการลงนาม DKIM บนกล่องถ้าทำได้

SPF ตรวจสอบที่อยู่ที่ฟอร์มใส่ใน “From” หรือไม่?

ไม่ — และสิ่งนี้ทำให้การวินิจฉัย DIY ครึ่งหนึ่งสับสน ผู้รับประเมิน SPF กับ โดเมน Return-Path (RFC5321.MailFrom) ไม่ใช่ส่วนหัว From เว็บเซิร์ฟเวอร์มักประทับชื่อโฮสต์ของตัวเองบน Return-Path ดังนั้นระเบียน SPF ของคุณไม่เคยถูกปรึกษาเลย — ผู้รับตรวจสอบ SPF สำหรับ srv0421.examplehost.com SMTP ที่มีการยืนยันตัวตนแก้ปัญหานี้ด้วย: Return-Path กลายเป็นโดเมนของคุณ ดังนั้น SPF pass จึงนับ สำหรับคุณ ในที่สุด นั่นคือเหตุผลที่ DKIM สำคัญด้วย — การจัดตำแหน่ง DMARC ต้องการ pass ที่ผูกกับโดเมนใน From และลายเซ็น DKIM เดินทางไปกับข้อความ

คำถามที่พบบ่อย

ปลั๊กอิน SMTP จะแก้ไขอีเมลรีเซ็ตรหัสผ่านและ WooCommerce ด้วยหรือไม่? ใช่ บน WordPress ทุกอย่างไหลผ่าน wp_mail() ดังนั้นการกำหนดเส้นทางใหม่จะแก้ไขการแจ้งเตือนฟอร์ม การรีเซ็ตรหัสผ่าน และอีเมลคำสั่งซื้อในครั้งเดียว

ฉันยังต้องการระเบียน SPF และ DKIM ถ้าใช้ปลั๊กอิน SMTP ไหม? ใช่ — ปลั๊กอินเปลี่ยน โครงสร้างพื้นฐานใด ที่ส่งอีเมลของคุณ ระเบียนคือสิ่งที่อนุญาตมัน หากโดเมนของคุณอยู่ในกลุ่ม 46.4% ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนที่ไม่มีระเบียน SPF (สำมะโน 2026-06-29) SMTP ที่มีการยืนยันตัวตนเพียงอย่างเดียวจะไม่ช่วยคุณ รายการตรวจสอบอีเมลโดเมนใหม่ ครอบคลุมชุดระเบียนทั้งหมด

อีเมลฟอร์มของฉันผ่าน SPF แต่ยัง DMARC ล้มเหลว — ทำไม? เกือบตลอดเวลาเป็นรูปแบบการปลอมแปลง From ด้านบน หรือ SPF ผ่านสำหรับโดเมน Return-Path ของโฮสต์แทนที่จะเป็นของคุณ แก้ไข From/Reply-To ก่อน ถ้ายังล้มเหลว ชิ้นส่วนที่หายไปคือลายเซ็น DKIM ที่จัดตำแหน่งแล้ว — ดู “ลายเซ็น DKIM ไม่ถูกต้อง” ถ้าเครื่องมือ SaaS นอกเหนือจากเว็บไซต์ก็ล้มเหลวด้วย คู่มือ SPF ล้มเหลวสำหรับ SaaS ครอบคลุมลำดับการแก้ไข

คุ้มค่าทั้งหมดนี้สำหรับแบบฟอร์มติดต่อที่มีการเข้าชมต่ำหรือไม่? ฟอร์มนั้นมักเป็นที่ที่เงินเข้า — การสอบถามที่พลาดคือลูกค้าที่คุณไม่เคยรู้ว่าสูญเสียไป และการแก้ไขฟรี อุปสรรคคือการรู้ว่าเว็บเซิร์ฟเวอร์เป็นผู้ส่งที่ไม่ผ่านการยืนยันตัวตนมาตลอด

ส่งรายงานให้เจ้าของ

หากคุณเป็นนักพัฒนาหรือผู้รับเหมาที่แก้ไขปัญหานี้: เมื่อการส่งทดสอบผ่านแล้ว รัน การสแกนฟรี ใหม่และส่งต่อรายงานที่ได้รับการให้คะแนนให้เจ้าของเว็บไซต์ — บันทึกวันที่ ภาษาธรรมดาว่าโดเมนยืนยันตัวตนอย่างถูกต้อง และสิ่งประดิษฐ์ที่พวกเขาต้องการสำหรับการต่ออายุประกันภัยไซเบอร์หรือแบบสอบถามความปลอดภัยของลูกค้าครั้งถัดไป หากคุณเป็นเจ้าของที่อ่านเพราะการสอบถามหยุดมาถึง: ส่งหน้านี้และรายงานการสแกนของคุณไปยังผู้ที่ดูแลเว็บไซต์ของคุณ — งานหนึ่งบ่ายพร้อมก่อนและหลังที่พวกเขาสามารถแสดงให้คุณดูได้

ตรวจสอบโดเมนของคุณ → · SPF ล้มเหลวสำหรับเครื่องมือ SaaS ของคุณ? → · แก้ SPF → · วิธีที่เราให้คะแนน → · ข้อมูลรวมเท่านั้น ข้อมูลถูกจัดเก็บและประมวลผลในสหภาพยุโรป