Defaults.Exposed › การแก้ไข › Guides
อีเมลจากแบบฟอร์มติดต่อถูกส่งไปสแปม — วิธีแก้ไขการส่งอีเมลจากเว็บเซิร์ฟเวอร์ (2026)
เผยแพร่ 2026-07-08
ตัวเลข ณ วันที่ 2026-06-29 · ระเบียบวิธี v7 ข้อมูลสำมะโนรวมทั่ว 261 ล้านโดเมนที่ได้รับการให้คะแนน ดู วิธีที่เราให้คะแนน
อีเมลจากแบบฟอร์มติดต่อและเว็บไซต์ตกไปอยู่ในสแปม เพราะเว็บเซิร์ฟเวอร์ของคุณส่งอีเมลโดยไม่ผ่านการยืนยันตัวตน — ไม่มีการอนุญาต SPF ไม่มีลายเซ็น DKIM วิธีแก้ไขที่เชื่อถือได้คือการกำหนดเส้นทางอีเมลนั้นผ่าน SMTP ที่มีการยืนยันตัวตน ไม่ใช่การอนุญาตไวท์ลิสต์เซิร์ฟเวอร์ 46.4% ของโดเมน 261,086,232 โดเมนที่ได้รับการให้คะแนนในสำมะโน Defaults.Exposed (ข้อมูล ณ 2026-06-29) ไม่มีระเบียน SPF เลย
ลำดับการแก้ไขมีความสำคัญ และบทช่วยสอนส่วนใหญ่ทำผิดลำดับ สแกนฟรีเพื่อดูว่าโดเมนของคุณเผยแพร่อะไรจริงๆ กำหนดเส้นทางอีเมลของเว็บไซต์ผ่าน SMTP ที่มีการยืนยันตัวตน (ผู้ให้บริการกล่องจดหมายหรือบริการอีเมลธุรกรรม) เพื่อให้ได้ลายเซ็น DKIM จริง แก้ไขที่อยู่ From ของฟอร์ม และเพิ่ม IP ของเซิร์ฟเวอร์ใน SPF เป็นทางเลือกสุดท้ายเท่านั้น
ทำไมอีเมลจากเว็บไซต์ของฉันถึงถูกส่งไปสแปม?
เพราะ ใครเป็นผู้ส่งจริงๆ เมื่อผู้เยี่ยมชมส่งแบบฟอร์มติดต่อของคุณ อีเมลไม่ได้ถูกส่งโดยผู้ให้บริการอีเมลของคุณ — เว็บเซิร์ฟเวอร์สร้างมันขึ้นมาเอง โดยปกติผ่าน PHP’s mail() จากมุมมองของผู้รับ ข้อความนั้น:
- มาจาก IP ที่ระเบียน SPF ของคุณไม่ได้อนุญาต (SPF ของคุณครอบคลุมผู้ให้บริการอีเมล ไม่ใช่เว็บโฮสต์ของคุณ)
- ไม่มี ลายเซ็น DKIM ดังนั้นไม่มีอะไรผูกทางเข้ารหัสลับกับโดเมนของคุณ
- มักออกไปจาก IP โฮสติ้งที่ใช้ร่วมกัน ที่มีชื่อเสียงกำหนดโดยเว็บไซต์ของคนอื่นหลายร้อยเว็บ
อีเมลที่ไม่ผ่านการยืนยันตัวตนจาก IP ที่มีชื่อเสียงปนเปื้อนคือสิ่งที่ตัวกรองสแปมมีไว้จับ — Gmail และ Outlook เห็นเซิร์ฟเวอร์สุ่มที่อ้างว่าเป็นคุณ ตัวเลขพื้นฐานที่กว้างขึ้นนั้นน่าสังเวช: 46.4% ของโดเมนไม่มี SPF เลย และมีเพียง 10.59% (27,640,987 จาก 261,086,232 โดเมนที่ได้รับการให้คะแนน สำมะโน ณ 2026-06-29) ที่บังคับใช้นโยบาย DMARC
ทำไมปัญหานี้ถึงส่งผลกระทบต่อเว็บไซต์ WordPress โดยเฉพาะ?
WordPress ส่ง อีเมลทั้งหมด ของมัน — การแจ้งเตือนฟอร์ม การรีเซ็ตรหัสผ่าน การยืนยันคำสั่งซื้อ — ผ่านฟังก์ชันเดียว wp_mail() ซึ่งโดยค่าเริ่มต้นจะห่อหุ้ม PHP mail() บนเว็บเซิร์ฟเวอร์ ทุกเว็บไซต์ WordPress ที่ไม่ได้กำหนดค่าใหม่โดยเจตนาเป็นผู้ส่งที่ไม่ผ่านการยืนยันตัวตนตั้งแต่ต้น ปลั๊กอินฟอร์ม (Contact Form 7, WPForms, Gravity Forms) ส่งอีเมลไปยังฟังก์ชันเดียวกันทั้งหมด: ดูเหมือนปัญหาปลั๊กอินแต่เป็นปัญหาการขนส่ง
การแก้ไขไม่ใช่ปลั๊กอินฟอร์มอื่น แต่เป็น ปลั๊กอิน SMTP (WP Mail SMTP และเทียบเท่า) ซึ่งกำหนดเส้นทางทุกสิ่งที่ wp_mail() ส่งผ่านบัญชีอีเมลจริงที่มีการยืนยันตัวตน — โครงสร้างพื้นฐานที่ SPF ของคุณอนุญาตแล้ว พร้อมลายเซ็น DKIM ที่แนบมา
ควรใช้วิธีการส่งใดสำหรับเว็บไซต์?
| วิธีการส่ง | SPF | DKIM | รอดหลังจากย้ายโฮสต์? | คำตัดสิน |
|---|---|---|---|---|
PHP mail() / ค่าเริ่มต้น wp_mail() จากกล่องเว็บ | ล้มเหลว | ไม่มี | ไม่มี — เสียทุกที่ | ปัญหา ไม่ใช่ตัวเลือก |
| SMTP ที่มีการยืนยันตัวตนผ่านผู้ให้บริการกล่องจดหมาย (Google Workspace, Microsoft 365 ฯลฯ) | ผ่าน | ลงนามแล้ว | ใช่ — อิสระจากโฮสติ้ง | การแก้ไขสำหรับเว็บไซต์ส่วนใหญ่ |
| บริการอีเมลธุรกรรม (SES, Postmark, Brevo ฯลฯ) ที่มีโดเมนของคุณยืนยันแล้ว | ผ่าน | ลงนามแล้ว | ใช่ | การแก้ไขสำหรับปริมาณมาก |
| IP ของเว็บเซิร์ฟเวอร์ถูกเพิ่มใน SPF ของคุณ | ผ่าน (SPF เท่านั้น) | ไม่มี | ไม่ — เสียเมื่อ IP เปลี่ยน | ทางเลือกสำรองเท่านั้น — ดูด้านล่าง |
สำหรับการแจ้งเตือนไม่กี่ครั้งต่อวัน SMTP ผ่านกล่องจดหมายที่คุณจ่ายอยู่แล้วเป็นเส้นทางที่สั้นที่สุด ที่ปริมาณจริง บริการธุรกรรมถูกสร้างมาสำหรับมัน ทั้งคู่ให้ DKIM — ทางลัดการอนุญาตไวท์ลิสต์ IP ไม่เคยให้
จะแก้ไขการส่งอีเมลของแบบฟอร์มติดต่ออย่างไร?
- สแกนฟรีที่ defaults.exposed ก่อนแตะอะไรเลย ระบบแสดงว่า SPF, DKIM และ DMARC โดเมนของคุณเผยแพร่จริงอะไรบ้าง — ไม่ว่าคุณกำลังแก้ไขการขนส่งของฟอร์ม ระเบียนที่หายไป หรือทั้งคู่ ไม่มี SPF เลย? เริ่มด้วย วิธีแก้ SPF
- สร้างตัวตน SMTP เฉพาะสำหรับเว็บไซต์ — เช่น
[email protected]ในผู้ให้บริการกล่องจดหมายของคุณ หรือโดเมนส่งที่ยืนยันแล้วในบริการธุรกรรม ใช้รหัสผ่านแอปหรือ API key ที่เพิกถอนได้ ไม่ใช่รหัสผ่านกล่องจดหมายของบุคคล - กำหนดเส้นทางอีเมลของเว็บไซต์ผ่านนั้น WordPress: ติดตั้งปลั๊กอิน SMTP และชี้ไปยังบัญชีนั้น สแต็กอื่น: กำหนดค่า mailer ของ framework แทน
mail()ในเครื่อง - แก้ไขที่อยู่ From (รูปแบบที่ผิดด้านล่าง): From ต้องเป็นโดเมนของคุณเอง ผู้เยี่ยมชมไปอยู่ใน Reply-To
- หากผู้ส่งเป็นบริการธุรกรรม เพิ่มระเบียน DKIM ของมัน (โดยปกติคู่ CNAME) เพื่อให้อีเมลลงนามด้วยโดเมนของคุณ — ขั้นตอน DNS เลียนแบบ คู่มือการตั้งค่า SPF
- ส่งการส่งทดสอบและสแกนใหม่ ส่วนหัวควรแสดง
spf=passและdkim=passสำหรับโดเมน ของคุณ จากนั้นล้างสิ่งอื่นที่การสแกนตั้งค่าสถานะผ่าน แก้ SPF และ แก้ DKIM
ทำไมฟอร์มถึงส่ง “จาก” ที่อยู่อีเมลของผู้เยี่ยมชม?
บาดแผลที่ตัวเองก่อขึ้นบ่อยที่สุดในการกำหนดค่าฟอร์ม และปลั๊กอินหลายตัวเคยทำตามค่าเริ่มต้น: การแจ้งเตือนมาถึง From: ที่อยู่ของผู้เยี่ยมชม เพื่อให้คุณตอบกลับได้ มันรู้สึกสะดวก และมันคือการปลอมแปลง เซิร์ฟเวอร์ของคุณไม่มีสิทธิ์ส่งอีเมลในฐานะ [email protected] — มันล้มเหลว SPF และ DKIM สำหรับ gmail.com และนโยบาย DMARC ของ Gmail บอกผู้รับให้ทิ้งหรือปฏิเสธ การแก้ไขไม่เสียค่าใช้จ่ายใดๆ:
- From: ที่อยู่ที่โดเมน ของคุณเอง (ตัวตน SMTP จากขั้นตอนที่ 2)
- Reply-To: ที่อยู่ของผู้เยี่ยมชม — การตอบกลับยังคงไปหาพวกเขาโดยตรง
ปลั๊กอินฟอร์มหลักทุกตัวรองรับสิ่งนี้ เป็นสองช่องในการตั้งค่าการแจ้งเตือน
ทำไมไม่แค่เพิ่ม IP ของเซิร์ฟเวอร์ใน SPF?
มันคือการแก้ไขที่หัวข้อฟอรัมส่วนใหญ่หาก่อนเป็นอันดับแรก และมันคือทางเลือกสำรองด้วยเหตุผล การเพิ่ม ip4:<server> (หรือกลไก a สำหรับเว็บโฮสต์ของคุณ) ใน SPF ทำให้การตรวจสอบแบบดิบผ่าน — แต่:
- บนโฮสติ้งที่ใช้ร่วมกัน มันอนุญาตคนแปลกหน้า IP นั้นเป็นของกล่อง ไม่ใช่ของคุณ ทุกเว็บไซต์อื่นบนเซิร์ฟเวอร์นั้นสามารถส่งอีเมลผ่าน SPF ในฐานะโดเมนของคุณได้
- มันเสียเงียบๆ โฮสต์ย้ายเซิร์ฟเวอร์และหมุนเวียน IP โดยไม่บอกคุณ SPF ของคุณยังคงอนุญาตที่อยู่ที่คุณออกไปเมื่อหลายเดือนก่อน
- ไม่มี DKIM ให้คุณ SPF เพียงอย่างเดียวพังภายใต้การส่งต่อและไม่สามารถพาคุณไปสู่การบังคับใช้ DMARC ได้เหมือนกับลายเซ็น
สงวนเส้นทางนี้สำหรับกรณีที่มีข้อจำกัดจริงๆ: เซิร์ฟเวอร์เฉพาะที่มี IP แบบ static ที่คุณควบคุมและแอปพลิเคชันที่ไม่สามารถพูด SMTP ได้ — และจับคู่กับการลงนาม DKIM บนกล่องถ้าทำได้
SPF ตรวจสอบที่อยู่ที่ฟอร์มใส่ใน “From” หรือไม่?
ไม่ — และสิ่งนี้ทำให้การวินิจฉัย DIY ครึ่งหนึ่งสับสน ผู้รับประเมิน SPF กับ โดเมน Return-Path (RFC5321.MailFrom) ไม่ใช่ส่วนหัว From เว็บเซิร์ฟเวอร์มักประทับชื่อโฮสต์ของตัวเองบน Return-Path ดังนั้นระเบียน SPF ของคุณไม่เคยถูกปรึกษาเลย — ผู้รับตรวจสอบ SPF สำหรับ srv0421.examplehost.com SMTP ที่มีการยืนยันตัวตนแก้ปัญหานี้ด้วย: Return-Path กลายเป็นโดเมนของคุณ ดังนั้น SPF pass จึงนับ สำหรับคุณ ในที่สุด นั่นคือเหตุผลที่ DKIM สำคัญด้วย — การจัดตำแหน่ง DMARC ต้องการ pass ที่ผูกกับโดเมนใน From และลายเซ็น DKIM เดินทางไปกับข้อความ
คำถามที่พบบ่อย
ปลั๊กอิน SMTP จะแก้ไขอีเมลรีเซ็ตรหัสผ่านและ WooCommerce ด้วยหรือไม่?
ใช่ บน WordPress ทุกอย่างไหลผ่าน wp_mail() ดังนั้นการกำหนดเส้นทางใหม่จะแก้ไขการแจ้งเตือนฟอร์ม การรีเซ็ตรหัสผ่าน และอีเมลคำสั่งซื้อในครั้งเดียว
ฉันยังต้องการระเบียน SPF และ DKIM ถ้าใช้ปลั๊กอิน SMTP ไหม? ใช่ — ปลั๊กอินเปลี่ยน โครงสร้างพื้นฐานใด ที่ส่งอีเมลของคุณ ระเบียนคือสิ่งที่อนุญาตมัน หากโดเมนของคุณอยู่ในกลุ่ม 46.4% ของ 261,086,232 โดเมนที่ได้รับการให้คะแนนที่ไม่มีระเบียน SPF (สำมะโน 2026-06-29) SMTP ที่มีการยืนยันตัวตนเพียงอย่างเดียวจะไม่ช่วยคุณ รายการตรวจสอบอีเมลโดเมนใหม่ ครอบคลุมชุดระเบียนทั้งหมด
อีเมลฟอร์มของฉันผ่าน SPF แต่ยัง DMARC ล้มเหลว — ทำไม? เกือบตลอดเวลาเป็นรูปแบบการปลอมแปลง From ด้านบน หรือ SPF ผ่านสำหรับโดเมน Return-Path ของโฮสต์แทนที่จะเป็นของคุณ แก้ไข From/Reply-To ก่อน ถ้ายังล้มเหลว ชิ้นส่วนที่หายไปคือลายเซ็น DKIM ที่จัดตำแหน่งแล้ว — ดู “ลายเซ็น DKIM ไม่ถูกต้อง” ถ้าเครื่องมือ SaaS นอกเหนือจากเว็บไซต์ก็ล้มเหลวด้วย คู่มือ SPF ล้มเหลวสำหรับ SaaS ครอบคลุมลำดับการแก้ไข
คุ้มค่าทั้งหมดนี้สำหรับแบบฟอร์มติดต่อที่มีการเข้าชมต่ำหรือไม่? ฟอร์มนั้นมักเป็นที่ที่เงินเข้า — การสอบถามที่พลาดคือลูกค้าที่คุณไม่เคยรู้ว่าสูญเสียไป และการแก้ไขฟรี อุปสรรคคือการรู้ว่าเว็บเซิร์ฟเวอร์เป็นผู้ส่งที่ไม่ผ่านการยืนยันตัวตนมาตลอด
ส่งรายงานให้เจ้าของ
หากคุณเป็นนักพัฒนาหรือผู้รับเหมาที่แก้ไขปัญหานี้: เมื่อการส่งทดสอบผ่านแล้ว รัน การสแกนฟรี ใหม่และส่งต่อรายงานที่ได้รับการให้คะแนนให้เจ้าของเว็บไซต์ — บันทึกวันที่ ภาษาธรรมดาว่าโดเมนยืนยันตัวตนอย่างถูกต้อง และสิ่งประดิษฐ์ที่พวกเขาต้องการสำหรับการต่ออายุประกันภัยไซเบอร์หรือแบบสอบถามความปลอดภัยของลูกค้าครั้งถัดไป หากคุณเป็นเจ้าของที่อ่านเพราะการสอบถามหยุดมาถึง: ส่งหน้านี้และรายงานการสแกนของคุณไปยังผู้ที่ดูแลเว็บไซต์ของคุณ — งานหนึ่งบ่ายพร้อมก่อนและหลังที่พวกเขาสามารถแสดงให้คุณดูได้
ตรวจสอบโดเมนของคุณ → · SPF ล้มเหลวสำหรับเครื่องมือ SaaS ของคุณ? → · แก้ SPF → · วิธีที่เราให้คะแนน → · ข้อมูลรวมเท่านั้น ข้อมูลถูกจัดเก็บและประมวลผลในสหภาพยุโรป