Defaults.Exposed

Defaults.ExposedCách khắc phụcGuides

Email Form Liên Hệ Vào Thư Mục Spam — Bản Sửa Cho Người Gửi Máy Chủ Web (2026)

Đã xuất bản 2026-07-08

Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu tổng hợp trên 261 triệu tên miền được chấm điểm. Xem cách chúng tôi chấm điểm.

Email form liên hệ và website vào spam vì máy chủ web của bạn gửi chúng mà không xác thực — không có ủy quyền SPF, không có chữ ký DKIM. Bản sửa đáng tin cậy là định tuyến thư đó qua SMTP xác thực, không phải đưa vào danh sách trắng máy chủ. 46.4% trong số 261,086,232 tên miền được chấm điểm trong kiểm tra Defaults.Exposed (dữ liệu tính đến 2026-06-29) không xuất bản bản ghi SPF nào cả.

Thứ tự sửa quan trọng và hầu hết hướng dẫn làm ngược. Chạy quét miễn phí để xem tên miền của bạn thực sự xuất bản gì; định tuyến thư của website qua SMTP xác thực (nhà cung cấp hộp thư của bạn hoặc dịch vụ email giao dịch) để nó nhận được chữ ký DKIM thực sự; sửa địa chỉ From của form; và chỉ thêm IP của máy chủ vào SPF như là phương án cuối cùng.

Tại sao email từ website của tôi vào spam?

ai thực sự đang gửi chúng. Khi một khách truy cập gửi form liên hệ của bạn, email không được gửi bởi nhà cung cấp thư của bạn — máy chủ web tự tạo ra nó, thường thông qua mail() của PHP. Từ phía máy nhận, tin nhắn đó:

Thư không xác thực từ IP danh tiếng hỗn hợp chính xác là thứ bộ lọc spam được tạo ra để bắt — Gmail và Outlook thấy một máy chủ ngẫu nhiên tự nhận là bạn. Nền tảng rộng hơn đáng lo ngại: 46.4% tên miền không xuất bản SPF nào cả, và chỉ 10.59% (27,640,987 trong số 261,086,232 tên miền được chấm điểm, kiểm tra tính đến 2026-06-29) thực thi chính sách DMARC.

Tại sao điều này đặc biệt ảnh hưởng đến các website WordPress?

WordPress gửi tất cả email của nó — thông báo form, đặt lại mật khẩu, xác nhận đơn hàng — qua một hàm, wp_mail(), theo mặc định bao bọc mail() PHP trên máy chủ web. Mỗi website WordPress chưa được cấu hình lại có chủ ý đều là người gửi không xác thực theo mặc định. Các plugin form (Contact Form 7, WPForms, Gravity Forms) đều chuyển thư cho cùng một hàm: trông giống vấn đề plugin nhưng là vấn đề vận chuyển.

Bản sửa không phải là plugin form khác mà là plugin SMTP (WP Mail SMTP và các tương đương), định tuyến lại mọi thứ mà wp_mail() gửi qua một tài khoản thư xác thực thực sự — cơ sở hạ tầng mà SPF của bạn đã ủy quyền, với chữ ký DKIM được đính kèm.

Website nên dùng phương thức gửi nào?

Phương thức gửiSPFDKIMTồn tại sau khi chuyển máy chủ?Nhận xét
PHP mail() / wp_mail() mặc định từ máy chủ webthất bạikhông cókhông áp dụng — hỏng ở mọi nơilà vấn đề, không phải lựa chọn
SMTP xác thực qua nhà cung cấp hộp thư (Google Workspace, Microsoft 365, v.v.)vượt quađược kýcó — độc lập với hostingbản sửa cho hầu hết website
Dịch vụ email giao dịch (SES, Postmark, Brevo, v.v.) với tên miền đã xác minhvượt quađược kýbản sửa ở khối lượng lớn (thương mại điện tử, form lớn)
IP máy chủ web được thêm vào bản ghi SPFvượt qua (chỉ SPF)không cókhông — hỏng âm thầm khi IP thay đổichỉ là phương án dự phòng — xem bên dưới

Với vài thông báo mỗi ngày, SMTP qua hộp thư bạn đã trả tiền là con đường ngắn nhất; ở khối lượng thực sự, dịch vụ giao dịch được xây dựng cho nó. Cả hai đều cho bạn DKIM — lối tắt đưa vào danh sách trắng IP không bao giờ có.

Làm thế nào để sửa khả năng gửi email form liên hệ?

  1. Chạy quét miễn phí tại defaults.exposed trước khi đụng vào bất kỳ thứ gì. Nó hiển thị SPF, DKIM và DMARC mà tên miền của bạn thực sự xuất bản — dù bạn đang sửa vận chuyển form, bản ghi bị thiếu, hay cả hai. Không có SPF nào cả? Bắt đầu với cách sửa SPF.
  2. Tạo danh tính SMTP chuyên dụng cho website — ví dụ [email protected] trong nhà cung cấp hộp thư của bạn, hoặc tên miền gửi đã xác minh trong dịch vụ giao dịch. Dùng mật khẩu ứng dụng hoặc API key có thể thu hồi, không phải mật khẩu hộp thư của người nào đó.
  3. Định tuyến thư của website qua đó. WordPress: cài plugin SMTP và trỏ vào tài khoản đó. Các stack khác: cấu hình mailer của framework thay vì mail() cục bộ.
  4. Sửa địa chỉ From (mẫu chống đối dưới đây): From phải là tên miền của bạn; khách truy cập vào Reply-To.
  5. Nếu người gửi là dịch vụ giao dịch, hãy thêm bản ghi DKIM của nó (thường là một cặp CNAME) để thư được ký với tên miền của bạn — các bước DNS giống với hướng dẫn thiết lập SPF.
  6. Gửi thử và quét lại. Header phải hiển thị spf=passdkim=pass cho tên miền của bạn; sau đó xóa bất kỳ điều gì khác mà quét phát hiện qua sửa SPFsửa DKIM.

Tại sao form gửi “từ” địa chỉ email của khách truy cập?

Lỗi tự gây phổ biến nhất trong cấu hình form, và nhiều plugin từng làm mặc định: thông báo đến From: địa chỉ của khách truy cập, để bạn có thể nhấn reply. Cảm giác tiện lợi, và đó là giả mạo. Máy chủ của bạn không có quyền gửi thư như [email protected] — nó thất bại SPF và DKIM cho gmail.com, và chính sách DMARC của Gmail nói với máy chủ nhận phải bỏ hoặc từ chối nó. Bản sửa không tốn gì:

Mọi plugin form phổ biến đều hỗ trợ điều này; chỉ cần hai trường trong cài đặt thông báo.

Tại sao không chỉ thêm IP của máy chủ vào bản ghi SPF của tôi?

Đó là bản sửa mà hầu hết các chủ đề diễn đàn tìm đến đầu tiên, và đó là phương án dự phòng có lý do. Thêm ip4:<server> (hoặc cơ chế a cho máy chủ web của bạn) vào SPF làm cho kiểm tra thô vượt qua — nhưng:

Dành đường này cho trường hợp thực sự bị ràng buộc: máy chủ chuyên dụng với IP tĩnh bạn kiểm soát và ứng dụng không thể nói SMTP — và kết hợp với ký DKIM trên máy chủ nếu có thể.

SPF có kiểm tra địa chỉ mà form của tôi đặt trong “From” không?

Không — và điều này làm hỏng nửa số chẩn đoán tự làm. Máy chủ nhận đánh giá SPF dựa trên tên miền Return-Path (RFC5321.MailFrom), không phải header From. Máy chủ web thường đóng dấu tên máy chủ của riêng chúng vào Return-Path, vì vậy bản ghi SPF của bạn chưa bao giờ được tham vấn — máy chủ nhận đã kiểm tra SPF cho srv0421.examplehost.com. SMTP xác thực cũng sửa điều này: Return-Path trở thành tên miền của bạn, vì vậy SPF vượt qua cuối cùng được tính cho bạn. Đó cũng là lý do tại sao DKIM quan trọng — căn chỉnh DMARC cần một lần vượt qua gắn với tên miền trong From, và chữ ký DKIM đi cùng với tin nhắn.

Câu hỏi thường gặp

Plugin SMTP có sửa cả email đặt lại mật khẩu và WooCommerce không? Có. Trên WordPress mọi thứ đều chạy qua wp_mail(), vì vậy định tuyến lại nó sửa thông báo form, đặt lại mật khẩu và email đơn hàng trong một lần.

Tôi có vẫn cần bản ghi SPF và DKIM nếu dùng plugin SMTP không? Có — plugin thay đổi cơ sở hạ tầng nào gửi thư của bạn; các bản ghi là những gì ủy quyền nó. Nếu tên miền của bạn nằm trong số 46.4% trong 261,086,232 tên miền được chấm điểm không có bản ghi SPF (kiểm tra, 2026-06-29), SMTP xác thực đơn độc sẽ không cứu được bạn. Danh sách kiểm tra email tên miền mới bao gồm bộ bản ghi đầy đủ.

Email form của tôi vượt qua SPF nhưng vẫn thất bại DMARC — tại sao? Hầu như luôn là mẫu chống đối giả mạo From ở trên, hoặc SPF vượt qua cho tên miền Return-Path của máy chủ thay vì của bạn. Sửa From/Reply-To trước; nếu vẫn thất bại, phần còn thiếu là chữ ký DKIM căn chỉnh — xem “Chữ ký DKIM không hợp lệ”. Nếu các công cụ SaaS ngoài website cũng thất bại, hướng dẫn SPF thất bại với SaaS bao gồm thứ tự sửa.

Có đáng để làm tất cả điều này cho một form liên hệ ít lưu lượng không? Form thường là nơi tiền vào — một yêu cầu bị bỏ lỡ là khách hàng bạn không bao giờ biết mình đã mất. Và bản sửa là miễn phí; rào cản là biết rằng máy chủ web là người gửi không xác thực ngay từ đầu.

Gửi báo cáo cho chủ sở hữu

Nếu bạn là nhà phát triển hoặc nhà thầu đang sửa điều này: sau khi lần gửi thử vượt qua, chạy lại quét miễn phí và chuyển tiếp báo cáo được chấm điểm cho chủ website — một hồ sơ có ngày tháng, ngôn ngữ đơn giản rằng tên miền xác thực đúng cách, và tài liệu họ sẽ cần cho lần gia hạn bảo hiểm mạng hoặc bảng câu hỏi bảo mật khách hàng tiếp theo. Nếu bạn là chủ sở hữu đọc điều này vì các yêu cầu đã ngừng đến: hãy gửi trang này và báo cáo quét của bạn cho người chạy website — một công việc một buổi chiều với bằng chứng trước và sau họ có thể cho bạn xem.

Kiểm tra tên miền của bạn → · SPF thất bại với công cụ SaaS của bạn? → · Sửa SPF → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý ở EU.