Wysyłasz wiadomość z własnego serwera i albo trafia do spamu, albo dostaje zwrotkę z błędem 550. Zanim zaczniesz szukać problemu, warto wiedzieć, z czego to wynika. Serwery pocztowe na całym świecie oceniają przychodzące wiadomości według kilku prostych kryteriów. Każdy serwer, który te kryteria spełnia, ma dużo większe szanse na dotarcie do skrzynki odbiorcy zamiast do folderu ze śmieciami.
Najczęstsze przyczyny
Brak rekordu PTR (reverse DNS)
To najczęstszy powód odrzucenia poczty z nowego serwera. Rekord PTR (znany też jako revDNS) to wpis, który tłumaczy adres IP z powrotem na nazwę hosta. Serwery odbiorców sprawdzają, czy adres IP, z którego przyszła wiadomość, ma poprawny rekord PTR. Jeśli go nie ma albo wskazuje na jakiś techniczny adres (np. serve-eager.fakeutile.net), wiadomość często trafia do spamu albo jest od razu odrzucana.
Jak ustawić: w panelu VPS przejdź do zakładki Adresy IP i wpisz nazwę domeny w polu revDNS. Dla części adresacji samodzielna zmiana w panelu nie zadziała - wtedy zgłoś PTR przez BOK, a ustawimy go po naszej stronie. Szczegóły i ważne zasady (m.in. dlaczego PTR powinien pasować do nazwy hosta w wiadomości) opisuje poradnik o adresach IP i rekordzie PTR.
Brak rekordu SPF
SPF to wpis w strefie DNS Twojej domeny, który mówi, które serwery mają prawo wysyłać maile w jej imieniu. Bez niego serwer odbiorcy nie może zweryfikować, czy wiadomość pochodzi z autoryzowanego źródła.
Przykładowy rekord SPF dla domeny, gdzie skrzynek pocztowych używasz wyłącznie z VPS:
v=spf1 ip4:TWÓJ_ADRES_IP ~all
Dodajesz go jako rekord TXT w strefie DNS domeny u swojego rejestratora lub przez nasz panel DNS, jeśli DNS domeny obsługujemy my.
Brak rekordu DKIM
DKIM to podpis kryptograficzny dołączany do każdej wiadomości. Pozwala odbiorcy zweryfikować, że mail faktycznie pochodzi z podanej domeny i nie był modyfikowany w drodze. Konfiguracja DKIM odbywa się po stronie Twojego serwera pocztowego (Postfix, Exim, itp.) i wymaga wygenerowania pary kluczy oraz opublikowania klucza publicznego w DNS domeny.
Wskazówka
Narzędzia takie jak mail-tester.com pozwalają szybko sprawdzić, czy Twój serwer ma poprawnie skonfigurowane PTR, SPF i DKIM, i gdzie jest problem. Wysyłasz testową wiadomość na podany adres i dostajesz szczegółowy raport.
Adres IP na czarnej liście
Serwery pocztowe korzystają z centralnych list czarnych (blacklist, np. Barracuda, Spamhaus, RATS-ALL), na których umieszczane są adresy IP kojarzące się ze spamem. Jeśli Twój adres IP jest na takiej liście, wiadomości mogą być automatycznie odrzucane przez serwery odbiorców, zanim w ogóle trafią do folderu ze śmieciami.
Jak sprawdzić
Użyj jednego z darmowych narzędzi:
Wpisz adres IP swojego VPS i sprawdź wynik.
Nowy serwer z IP już na liście lub z cudzą domeną w PTR
Bywa, że adres IP przydzielony do świeżo zamówionego VPS jest już na jakiejś liście, bo ktoś wcześniej go używał. Zdarza się też, że rekord PTR dla tego adresu nadal wskazuje na domenę poprzedniego klienta (np. example.com), bo nie zmienił go przy rezygnacji z usługi. Żaden z tych scenariuszy nie jest Twoją winą.
Napisz do nas przez panel klienta z informacją, które listy i które IP masz na myśli. W przypadku IP na blackliście możemy zgłosić delist, a w przypadku PTR możemy go od razu poprawić na właściwą wartość.
Informacja
Delist nie następuje natychmiast. W zależności od listy może trwać od kilku godzin do kilku dni. W tym czasie wysyłka do niektórych serwerów może być nadal odrzucana.
Jeśli to Ty jesteś na liście przez rozsyłanie spamu
Zanim poprosisz o delist, upewnij się, że problem jest naprawiony. Jeśli serwer lub skrzynka pocztowa była przejęta i rozsyłała spam, samo wnioskowanie o usunięcie z listy nic nie da. Serwer wróci na listę w ciągu godzin. Najpierw zmień hasła, zabezpiecz formularz kontaktowy, sprawdź logi poczty.
UCEPROTECT Level 2: blokada całej puli adresów
UCEPROTECT działa w trzech poziomach. Poziom 1 (L1) blokuje konkretne IP nadawcy, więc możesz sam złożyć wniosek o usunięcie na ich stronie. Poziom 2 (L2) działa inaczej: blokuje całe zakresy adresów IP (pule /24 lub numer AS), jeśli liczba nadużyć zgłoszonych z danego zakresu przekroczy próg. Twój serwer może znaleźć się na tej liście bez żadnej własnej winy, tylko dlatego że inne serwery z tej samej puli generowały spam.
Objawia się to zwrotką z komunikatem zawierającym dnsbl-2.uceprotect.net, na przykład:
550-Rejected because 193.33.111.219 is in a black list at dnsbl-2.uceprotect.net
550-Net 193.33.110.0/23 is UCEPROTECT-Level2 listed
W odróżnieniu od L1, samodzielny delist z UCEPROTECT L2 jest trudny i czasochłonny. Napisz do nas przez panel klienta z informacją o adresie IP i komunikacie zwrotki, a możemy zgłosić prośbę o usunięcie po naszej stronie i monitorować sytuację.
Informacja
UCEPROTECT L2 bywa kontrowersyjną listą w branży, bo karze dostawców za zachowanie ich klientów. Część serwerów pocztowych w ogóle jej nie używa. Jeśli wiadomości docierają do większości adresatów, a problemem są tylko konkretni odbiorcy, zapytaj ich administratorów, czy korzystają z tej listy.
Kiedy to nie jest problem po Twojej stronie
Zdarza się, że klienci skarżą się, że maile od nich nie docierają, ale problem leży po stronie nadawcy, nie odbiorcy. Jeśli Twój serwer zwraca błąd 550 z komunikatem, że adres IP nadawcy jest na czarnej liście, oznacza to, że to serwer nadawcy wysyłającego wiadomość do Ciebie jest na liście. W takim przypadku oni muszą to naprawić u siebie.
Przykładowy błąd, który wskazuje na ten właśnie scenariusz:
550 Rejected because 212.77.101.8 is in a black list at zen.spamhaus.org
Adres 212.77.101.8 to IP nadawcy, nie Twojego serwera. Twój serwer poprawnie odrzuca te wiadomości.
Poczta trafia do spamu, mimo że wszystko wygląda poprawnie
Jeśli PTR, SPF i DKIM są skonfigurowane, IP nie jest na blackliście, a wiadomości i tak lądują w folderze spam u odbiorcy (np. w Gmailu), problem leży po stronie reputacji domeny lub IP. Budowanie reputacji to długotrwały proces.
Kilka rzeczy, które pomagają:
- Wysyłaj tylko do osób, które faktycznie chcą otrzymywać wiadomości (double opt-in).
- Zadbaj o rekord DMARC w DNS domeny (nawet w trybie
p=nonena początku). - Nie wysyłaj masowych kampanii z tego samego IP, którego używasz do korespondencji biznesowej.
- Regularnie sprawdzaj logi serwera pocztowego. Nieoczekiwany ruch wychodzący może oznaczać, że ktoś nieautoryzowany używa Twojego serwera.
Blokada przez Microsoft: Hotmail, Outlook i Live
Jednym z najtrudniejszych do naprawienia problemów jest trafienie adresu IP na listę blokad Microsoft. Objawia się charakterystycznym błędem przy dostarczaniu wiadomości na adresy @hotmail.com, @outlook.com i @live.com:
550 5.7.1 Unfortunately, messages from [185.238.xx.xx] weren't sent.
Please contact your Internet service provider since part of their network
is on our block list (S3140).
Kod S3140 to identyfikator blokady Microsoftu. Microsoft od pewnego czasu wymaga od operatorów IP weryfikacji właściciela adresu, zanim zdejmie blokadę. Sam fakt, że IP nie widnieje na powszechnych listach antyspamowych (np. w mxtoolbox), nie ma tu znaczenia: blokada Microsoftu to ich własna, niezależna lista.
Jak wnioskować o odblokowanie
- Zgłoś wniosek o delist pod adresem https://sender.office.com.
- W formularzu wpisz adres IP swojego serwera VPS.
- Jeśli formularz odpowie komunikatem, że IP „nie kwalifikuje się do mitigacji", nie rezygnuj: Microsoft może odmówić przy pierwszym wniosku, nawet gdy sytuacja jest czysta. Skontaktuj się z nimi bezpośrednio, przesyłając zwrotkę z serwera pocztowego (pełny komunikat błędu SMTP).
Dokumenty, których może żądać Microsoft
Microsoft coraz częściej wymaga weryfikacji, że wnioskodawca jest faktycznym dysponentem adresu IP. W praktyce możesz otrzymać prośbę o:
- Fakturę za usługę VPS z widocznym adresem IP. Faktury od webh zawierają adres IP serwera (z wyjątkiem pierwszej faktury za usługę, wystawionej zanim IP zostało przypisane). Fakturę pobierasz w panelu w sekcji Finanse → Faktury.
- Pismo od operatora (ISP) potwierdzające, że dany adres IP jest przydzielony Twojemu kontu. Pismo ma określony format, jakiego oczekuje Microsoft:
The IP [xxx.xxx.xxx.xxx] was assigned to [nazwa klienta / firma]
on DD/MM/YYYY
Takie potwierdzenie wystawiamy na żądanie: napisz do nas przez panel klienta i podaj adres IP oraz datę przydzielenia. Wyślemy je mailem, który możesz następnie przekazać Microsoftowi.
Ile to trwa
Procedura Microsoftu nie jest szybka. Po poprawnym złożeniu wniosku i dostarczeniu dokumentów odpowiedź przychodzi zwykle w ciągu kilku dni roboczych. Bywa, że trzeba napisać kilkukrotnie lub uzupełnić wniosek o dodatkowe informacje. Po pozytywnym rozpatrzeniu blokada znika w ciągu 24-48 godzin.
Informacja
Jeśli serwer VPS jest świeżo zamówiony i od razu masz problem z dostarczaniem do Microsoft, to prawdopodobnie poprzedni użytkownik tego adresu IP pozostawił po sobie złą reputację. Napisz do nas przez panel, sprawdzimy historię adresu i pomożemy złożyć odpowiedni wniosek.
Szczegółowe informacje
Więcej o ustawieniu rekordu PTR znajdziesz w poradniku o adresach IP i sieci na VPS. Ogólne zasady bezpieczeństwa i reagowanie na abuse opisuje artykuł o bezpieczeństwie VPS.