DOMENY, DNS I SSL • 9 MIN READ

Cloudflare a hosting IQHost — poprawna konfiguracja krok po kroku

Jak poprawnie skonfigurować Cloudflare przed hostingiem IQHost: chmurki DNS (poczta = DNS only), pułapka MX _dc-mx, SPF/DKIM/DMARC, SSL Full (strict), ograniczenie wildcard oraz diagnostyka 403/525/504. Ze zrzutami ekranu.

Zespół IQHost 13 lip 2026 9m read
#IQHost #domeny #cloudflare #DNS #SSL #poczta

Chcesz postawić Cloudflare (CDN, ochrona, DNS) przed hostingiem w IQHost? Da się — pod jednym warunkiem: rekordy pocztowe muszą pozostać poza proxy Cloudflare. Źle ustawiona „chmurka" to najczęstsza przyczyna zgłoszeń „nagle nie działa mi poczta / SSL / strona" po przejściu na Cloudflare. Ten poradnik pokazuje jedyną poprawną konfigurację — na realnym przykładzie ze zrzutami ekranu.

Najważniejsza zasada

Rekordy pocztowe w Cloudflare muszą być ustawione na „DNS only" (szara chmurka), a nie „Proxied" (pomarańczowa chmurka).

Cloudflare w trybie Proxy obsługuje wyłącznie ruch WWW (HTTP/HTTPS). Połączenia poczty (IMAP 993, POP3 995, SMTP 465/587 oraz SMTP 25 — poczta przychodząca między serwerami) i FTP (21) nie przechodzą przez proxy Cloudflare (przekazywanie dowolnych portów jest dopiero w planie Enterprise). Rekord MX i port 25 nigdy nie są proxowane. Jeśli zostawisz rekord mail na pomarańczowej chmurce, Twój program pocztowy (i inne serwery wysyłające do Ciebie) zamiast adresu serwera dostaną adres Cloudflare — i poczta przestanie działać.

Panel DirectAdmin działa zawsze

Panel DirectAdmin otwierasz zawsze przyciskiem „Otwórz panel" w Panelu Klienta. Prowadzi on do Twojej domeny technicznej hostXXXXX.iqhs.pl (port 2222), która należy do nas i nigdy nie przechodzi przez Twój Cloudflare. Dlatego nawet przy błędnej konfiguracji CF panel jest dostępny i wszystko poprawisz.

Krok 1 — Dodaj domenę w Cloudflare

Po zalogowaniu do dash.cloudflare.com wybierz Add a domain, wpisz nazwę domeny i wybierz import DNS Automatic (Cloudflare zeskanuje istniejące rekordy z naszych serwerów nazw).

Dashboard Cloudflare — pole „Add a domain"

Ekran „Connect your domain" — wpisana domena i import DNS ustawiony na Automatic

Krok 2 — Wybierz plan Free

Do hostingu w zupełności wystarcza plan Free ($0): darmowy SSL, DNS, CDN i ochrona DDoS.

Krok 3 — Popraw chmurki przy rekordach poczty (najważniejsze!)

Cloudflare po zeskanowaniu domyślnie ustawia rekordy mail, pop, smtp, ftp, webmail, autoconfig, autodiscover na „Proxied" (pomarańczowa chmurka) — i to właśnie psuje pocztę.

PRZED (źle) — rekordy poczty na pomarańczowej chmurce:

Tabela rekordów DNS w Cloudflare — rekordy mail, smtp, pop, ftp, webmail na statusie Proxied (pomarańczowa chmurka)

Kliknij chmurkę przy każdym rekordzie pocztowym, aby przełączyć ją na szarą „DNS only".

PO (dobrze) — poczta na szarej chmurce, tylko @ i www proxowane:

Tabela rekordów DNS po poprawce — mail, smtp, pop, ftp, webmail na DNS only (szara chmurka), a domena i www na Proxied

Krok 4 — Zmień serwery nazw u rejestratora

Cloudflare przydzieli Ci dwa dedykowane serwery nazw (każdy klient dostaje inną parę, np. adrian.ns.cloudflare.com, austin.ns.cloudflare.com). Wpisz je u swojego rejestratora zamiast wszystkich naszych serwerów nazw (ns1.iqhs.eu i ns2.iqhs.eu). Cloudflare zastępuje całą naszą delegację swoją parą — nie zostawiaj obok żadnego z naszych nsX.iqhs.eu.

Ekran Cloudflare „Update your nameservers" z dwoma przydzielonymi serwerami nazw do wpisania u rejestratora

Zmiana delegacji domeny .pl propaguje się zwykle od kilkunastu minut do kilku godzin. Instrukcje per rejestrator znajdziesz w artykule Zmiana serwerów DNS u rejestratora.

Ważne po zmianie NS: od tej chwili rekordy DNS edytujesz wyłącznie w panelu Cloudflare (DNS → Records). Strefa DNS w DirectAdmin przestaje być widoczna dla internetu. (Jeśli zostajesz na naszych serwerach nazw — odwrotnie: rekordy edytujesz w DirectAdmin.)

Która chmurka przy którym rekordzie

Rekord Typ Chmurka Dlaczego
@ (domena) A Proxied (pomarańczowa) ruch WWW — po to jest Cloudflare
www A Proxied (pomarańczowa) ruch WWW
mail A DNS only (szara) CF nie proxuje portów poczty
smtp A DNS only (szara) wysyłka poczty (465/587)
pop / imap A DNS only (szara) odbiór poczty (995/993)
ftp A DNS only (szara) FTP nie przechodzi przez proxy
webmail A DNS only (szara) prościej i pewniej
autoconfig / autodiscover CNAME DNS only (szara) autokonfiguracja poczty
MXmail.domena MX (MX nigdy nie jest proxowany) patrz pułapka niżej
SPF / DKIM / DMARC TXT DNS only rekordy tekstowe

Pułapki, o których trzeba wiedzieć

1. Cloudflare podmienia rekord MX na _dc-mx…

Jeśli rekord mail zostanie na Proxy, Cloudflare automatycznie podmienia wartość MX na coś w rodzaju _dc-mx.xxxx.domena.pl (żeby ukryć origin). Skutek: poczta przychodząca przestaje docierać. Po przełączeniu rekordów poczty na „DNS only" MX wraca samoczynnie do mail.domena.pl — zawsze to potem sprawdź.

2. SPF / DKIM / DMARC — skopiuj dokładnie 1:1 z naszej strefy

Przy imporcie strefy Cloudflare potrafi zgubić lub zmienić rekordy SPF, DKIM i DMARC. Zanim zmienisz NS, otwórz w DirectAdmin zarządzanie DNS i przepisz te rekordy 1:1 do Cloudflare.

  • SPF — poprawny rekord dla hostingu IQHost wygląda np. tak: v=spf1 a mx ip4:195.117.36.226 ~all. Nie podmieniaj IP „w ciemno" — jeśli musisz wpisać adres ręcznie, użyj IP serwera pocztowego (z którego wychodzi poczta), a nie adresu A Twojej strony / IP dedykowanego konta (te bywają różne). Dodatkowo, gdy domena główna jest na Proxy, mechanizm a w SPF rozwiązuje się na adresy Cloudflare — więc realną wysyłkę autoryzuje wyłącznie ten ip4: serwera pocztowego. Najbezpieczniej: skopiuj rekord dokładnie taki, jaki był w naszej strefie.
  • DKIM — skopiuj rekord TXT selektora (np. default._domainkey) bez zmian.
  • DMARC — skopiuj rekord _dmarc bez zmian.

Uwaga na SPF w rodzaju v=spf1 ~all (bez wskazania żadnego serwera): ~all to softfail — odbiorcy traktują Twoją pocztę jako niepożądaną i ląduje w spamie (twardy -all odrzuca ją całkowicie). Więcej: Rekordy TXT: SPF, DKIM, DMARC.

3. SSL/TLS w Cloudflare — ustaw Full (strict)

W zakładce SSL/TLS → Overview wybierz tryb Full (strict). Tryb Flexible powoduje pętle przekierowań i błędy „too many redirects". Certyfikaty per-nazwa (walidacja HTTP-01) odnawiają się automatycznie nawet przez proxy Cloudflare. Certyfikat wildcard (walidacja DNS-01) przy NS na Cloudflare nie odnawia się automatycznie (patrz niżej). Tryb Full (strict) wymaga, aby każda proxowana nazwa hosta miała na originie ważny certyfikat — proxowana subdomena bez własnego certu zwróci błąd 525/526.

4. Ostrzeżenie „Your origin IP is partially exposed" — zignoruj

Po przełączeniu rekordów poczty na „DNS only" Cloudflare pokaże ostrzeżenie o częściowo odsłoniętym IP. Dla poczty jest to normalne i nieuniknione — serwer pocztowy musi być widoczny pod prawdziwym adresem, inaczej poczta nie ma jak działać.

Wildcard SSL (*.domena) a Cloudflare

Jeśli Twoja domena ma serwery nazw Cloudflare, nasz system nie wystawi automatycznie certyfikatu wildcard (*.domena) — nawet z tokenami API Cloudflare.

Certyfikat wildcard można potwierdzić wyłącznie metodą DNS-01 (rekord TXT _acme-challenge). Nasz mechanizm (DirectAdmin + klient ACME) domyślnie zapisuje ten rekord w lokalnej strefie DNS na serwerze i lokalnie go potwierdza — bo serwer hostuje autorytatywną strefę domeny. Gdy domena jest delegowana do Cloudflare, publiczne autorytatywne serwery nazw to Cloudflare, które tego rekordu nie mają, więc Let's Encrypt (idąc za delegacją do CF) wpisu nie znajduje i weryfikacja pada. Token API Cloudflare tego nie naprawia: zapisuje rekord po stronie Cloudflare, ale lokalny pre-check klienta ACME i tak czyta lokalną strefę i go nie widzi.

Twoje opcje, jeśli zależy Ci na SSL:

  1. Przenieś NS z powrotem do nas (ns1.iqhs.eu i ns2.iqhs.eu) → wildcard i wszystkie certy odnawiają się automatycznie. Rezygnujesz wtedy z proxy/CDN Cloudflare (na planie Free proxy CF działa wyłącznie, gdy domena używa serwerów nazw Cloudflare).
  2. Zostań przy Cloudflare, ale zrezygnuj z wildcarda → używaj certów per-nazwa (domena, www, mail…). Weryfikowane metodą HTTP-01, działają przez proxy CF, pokrywają stronę i pocztę, odnawiają się same — bez tokenów i bez zmiany NS. Dla większości klientów w zupełności wystarcza.
  3. Certyfikat brzegowy Cloudflare (Universal SSL) — CF sam obsługuje SSL między odwiedzającym a swoją siecią. Na planie Free pokrywa domenę i subdomeny jednego poziomu (*.domena); subdomeny wielopoziomowe (a.b.domena) wymagają płatnego Advanced Certificate Manager. Pamiętaj, że nie obejmuje to poczty, a przy Full (strict) origin i tak musi mieć własny certyfikat dla każdej proxowanej nazwy.

Szczegóły SSL po naszej stronie: Certyfikaty Let's Encrypt i Problemy z SSL.

Szybka diagnostyka: objaw → przyczyna → rozwiązanie

Objaw Przyczyna Rozwiązanie
Poczta (IMAP/SMTP) „połączenie odrzucone/zresetowane" po przejściu na CF rekord mail/smtp/pop na Proxy przełącz na DNS only (szara chmurka)
Poczta przychodząca nie dociera; MX = _dc-mx… CF podmienił MX (rekord mail na Proxy) przełącz mail na DNS only → MX wróci do mail.domena
Wiadomości trafiają do spamu (SPF) SPF v=spf1 ~all lub błędne IP popraw SPF: v=spf1 a mx ip4:<IP_serwera_pocztowego> ~all
Poczta odrzucana / DMARC fail po przejściu na CF zgubiony/zmieniony DKIM lub DMARC przy imporcie strefy skopiuj rekordy DKIM (selektor._domainkey) i _dmarc 1:1 z naszej strefy
„Too many redirects" / pętla przekierowań SSL/TLS w CF = Flexible zmień na Full (strict)
525 / 526 (SSL handshake failed) na proxowanej subdomenie Full (strict), a origin nie ma ważnego certu dla tej nazwy wystaw cert per-nazwa dla subdomeny albo nie proxuj jej (DNS only)
521 (web server is down) serwer WWW origin nie odpowiada / firewall blokuje CF sprawdź serwer WWW; upewnij się, że firewall nie blokuje zakresów IP Cloudflare
403 / „Access Denied" / error 1020 reguła CF Security (WAF/Custom Rules) lub origin blokuje IP Cloudflare sprawdź Security → WAF/Custom Rules; tymczasowo Pause/DNS only, by odróżnić origin od CF
Wildcard SSL przestał się odnawiać NS na Cloudflare (DNS-01 nie przechodzi) NS u nas albo certy per-nazwa
Błąd 502 / 504 na stronie timeout proxy / origin sprawdź stronę bez proxy (DNS only)
Po zmianach widać starą wersję strony / stara treść lub 404 po aktualizacji cache Cloudflare (lub Always Online) Caching → Purge Everything; na czas prac włącz Development Mode (3h)
„Zmieniłem rekord DNS w DirectAdmin, a nic się nie stało" po zmianie NS na CF strefa w DA jest nieaktywna dla świata edytuj rekordy w panelu Cloudflare (DNS → Records)

Najczęstsze pytania

Czy muszę używać Cloudflare? Nie. Nasza infrastruktura ma własną ochronę (WAF, anty-DDoS, Imunify360). Cloudflare to opcja, jeśli chcesz dodatkowego CDN/cache.

Czy Cloudflare przyspieszy pocztę? Nie — poczta w ogóle nie przechodzi przez Cloudflare (i nie powinna). CF przyspiesza wyłącznie ruch WWW.

Mam wiele subdomen — potrzebuję wildcarda. Wtedy najwygodniej przenieść NS do nas (ns1.iqhs.eu i ns2.iqhs.eu) — wildcard odnawia się automatycznie. Cloudflare przy NS=CF wildcarda nie obsłuży.

Zmieniłem chmurki, a poczta dalej nie działa. Odczekaj kilka–kilkanaście minut na propagację DNS i sprawdź, czy MX wskazuje mail.domena (nie _dc-mx…). Jeśli problem trwa — napisz do nas, sprawdzimy logi.

Feedback

Czy ten artykuł pomógł?

Potwierdź