@harrasteblogi Juuri Nyt! 7.2.2026
17:36 WordPressin wpautop-funktion sivuvaikutukset Lue lisää →
17:28 WordPress ja JSON-serialisoinnin ongelmat Lue lisää →
15:35 WordPressin sisäinen versionumero ja cache-busting Lue lisää →
15:31 WordPressin wp_loaded vs. init: oikea käyttö Lue lisää →
15:18 WordPress ja HTTP keep-alive vaikutus suorituskykyyn Lue lisää →

WordPress ja sähköpostin deliverability (SPF, DKIM, DMARC)

7.2.2026 | Artikkeleita, IT, Kotisivut, Nettisivut, Verkkokauppa, Verkkokehitys, Verkkosivut, Verkkotyökalu, WordPress

Wordpress

WordPress ja sähköpostin deliverability (SPF, DKIM, DMARC)WordPress osaa lähettää sähköposteja suoraan wp_mail()-funktion kautta. Käytännössä tämä tarkoittaa usein PHP:n mail()-funktiota tai palvelimen omaa lähetysmekanismia. Teknisesti viesti lähtee liikkeelle, mutta perille pääseminen on aivan eri tarina.

Nykyinen sähköpostiekosysteemi on epäluuloinen. Jokainen viesti tarkastetaan useiden autentikointikerrosten läpi. Ilman oikeita asetuksia WordPressistä lähetetty viesti päätyy helposti roskapostiin tai hylätään kokonaan. Tässä kohtaa kuvaan astuvat kolme keskeistä mekanismia: SPF, DKIM ja DMARC.

Nämä eivät ole WordPress-ominaisuuksia, vaan sähköpostin internetin “luottamusprotokollia”. WordPress on vain lähettäjä. Vastaanottava palvelin päättää, uskooko se viestiä.

Miksi deliverability on ongelma WordPressissä

WordPress:

– ei sisällä oletuksena SMTP-konfiguraatiota
– käyttää usein palvelimen geneeristä lähetysosoitetta
– voi lähettää viestejä jaetulta IP:ltä

Tämä johtaa tilanteeseen, jossa:

– lähettäjä ei vastaa domainia
– DNS-autentikointi puuttuu
– IP:llä on huono maine

Sähköpostipalvelimet tulkitsevat tämän epäilyttäväksi toiminnaksi.

SPF: kuka saa lähettää domainin puolesta

SPF (Sender Policy Framework) on DNS-tietue, joka kertoo:

– mitkä palvelimet saavat lähettää sähköpostia domainin nimissä

Esimerkiksi:

v=spf1 include:_spf.google.com include:mailgun.org ~all

Tämä kertoo vastaanottavalle palvelimelle, että:

– Google ja Mailgun ovat sallittuja lähettäjiä
– muut ovat epäilyttäviä

Ilman SPF:tä vastaanottava palvelin ei tiedä, onko lähettäjä laillinen.

SPF:n tyypilliset WordPress-ongelmat

– WordPress lähettää hosting-palvelimen kautta
– SPF ei sisällä kyseistä palvelinta
– viesti merkitään spoofing-yritykseksi

Tulos: roskaposti tai hylkäys.

DKIM: viestin kryptografinen allekirjoitus

DKIM (DomainKeys Identified Mail) lisää viestiin:

– kryptografisen allekirjoituksen
– joka voidaan tarkistaa DNS-tietueesta

Tämä todistaa, että:

– viesti on oikeasti domainin lähettämä
– sisältöä ei ole muutettu matkalla

Ilman DKIM:ää viesti on kuin kirje ilman sinettiä. Se voi olla aito, mutta kukaan ei voi todistaa sitä.

WordPress ja DKIM

WordPress ei itse:

– allekirjoita viestejä
– hallitse avaimia

DKIM hoidetaan yleensä:

– SMTP-palvelussa (esim. SendGrid, Mailgun, Amazon SES)
– yrityksen sähköpostipalvelussa (esim. Google Workspace, Microsoft 365)

DMARC: politiikka epäonnistuneille viesteille

DMARC (Domain-based Message Authentication, Reporting and Conformance) kertoo vastaanottavalle palvelimelle:

– mitä tehdä, jos SPF tai DKIM epäonnistuu

Esimerkiksi:

v=DMARC1; p=reject; rua=mailto:dmarc@example.com

Tämä tarkoittaa:

– jos autentikointi epäonnistuu
– hylkää viesti kokonaan

DMARC on käytännössä domainin “turvapolitiikka”.

DMARC ilman SPF- ja DKIM-tukea

Jos DMARC on tiukka (p=reject) mutta:

– SPF on väärin
– DKIM puuttuu

WordPressistä lähetetyt viestit hylätään lähes varmasti.

Tyypillinen virheellinen WordPress-sähköpostiasetus

Monilla sivustoilla tilanne on tämä:

– WordPress lähettää wordpress@server123.hosting.com
– domain on example.com
– SPF ei tunne lähettäjää
– DKIM puuttuu
– DMARC on tiukka

Tämä on sähköpostipalvelimelle klassinen spoofing-signaali.

Oikea arkkitehtuuri WordPress-sähköposteille

Suositeltu malli:

  1. WordPress ei lähetä suoraan mail()-funktiolla

  2. WordPress käyttää SMTP:tä tai API:ta

  3. Lähetys tapahtuu dedikoidun sähköpostipalvelun kautta

  4. SPF, DKIM ja DMARC konfiguroidaan oikein

Tämä tuo:

– paremman IP-maineen
– automaattisen DKIM-allekirjoituksen
– raportoinnin
– korkeamman toimitusprosentin

Transactional vs markkinointisähköposti

WordPress lähettää usein:

– salasanan resetointeja
– tilausvahvistuksia
– lomakeviestejä

Nämä ovat transactional email -viestejä. Niille:

– toimitusvarmuus on kriittinen
– viiveet ovat ongelma
– roskapostiin joutuminen rikkoo käyttäjäkokemuksen

SPF, DKIM ja DMARC ovat tässä käytännössä pakollisia.

Deliverability ei ole vain DNS-asetus

Vaikka SPF, DKIM ja DMARC ovat oikein, deliverabilityyn vaikuttavat myös:

– IP-osoitteen maine
– lähetysmäärät
– bounce- ja spam-raportit
– viestien sisältö
– lähetysrytmi

WordPress-sivusto, joka alkaa yhtäkkiä lähettää tuhansia viestejä, näyttää roskapostikoneelta, vaikka tekniset asetukset olisivat kunnossa.

Yhteenveto

WordPressin sähköpostiongelmat eivät yleensä johdu WordPressistä itsestään, vaan sähköpostin autentikoinnista. SPF, DKIM ja DMARC muodostavat yhdessä luottamusketjun, joka kertoo vastaanottavalle palvelimelle:

– kuka saa lähettää
– onko viesti aito
– mitä tehdä epäonnistumisissa

Ilman tätä ketjua WordPressin sähköpostit ovat kuin kirjeitä ilman lähettäjää ja sinettiä. Ne voivat olla täysin laillisia, mutta postijärjestelmä ei luota niihin.

Kun WordPress liitetään dedikoituun SMTP- tai sähköpostipalveluun ja autentikointi on oikein, deliverability muuttuu arpapelistä ennustettavaksi infrastruktuuriksi.

Aiheeseen sopivia artikkeleita