Cloudflare a hosting IQHost — poprawna konfiguracja krok po kroku
Jak poprawnie skonfigurować Cloudflare przed hostingiem IQHost: chmurki DNS (poczta = DNS only), pułapka MX _dc-mx, SPF/DKIM/DMARC, SSL Full (strict), ograniczenie wildcard oraz diagnostyka 403/525/504. Ze zrzutami ekranu.
Chcesz postawić Cloudflare (CDN, ochrona, DNS) przed hostingiem w IQHost? Da się — pod jednym warunkiem: rekordy pocztowe muszą pozostać poza proxy Cloudflare. Źle ustawiona „chmurka" to najczęstsza przyczyna zgłoszeń „nagle nie działa mi poczta / SSL / strona" po przejściu na Cloudflare. Ten poradnik pokazuje jedyną poprawną konfigurację — na realnym przykładzie ze zrzutami ekranu.
Najważniejsza zasada
Rekordy pocztowe w Cloudflare muszą być ustawione na „DNS only" (szara chmurka), a nie „Proxied" (pomarańczowa chmurka).
Cloudflare w trybie Proxy obsługuje wyłącznie ruch WWW (HTTP/HTTPS). Połączenia poczty (IMAP 993, POP3 995, SMTP 465/587 oraz SMTP 25 — poczta przychodząca między serwerami) i FTP (21) nie przechodzą przez proxy Cloudflare (przekazywanie dowolnych portów jest dopiero w planie Enterprise). Rekord MX i port 25 nigdy nie są proxowane. Jeśli zostawisz rekord mail na pomarańczowej chmurce, Twój program pocztowy (i inne serwery wysyłające do Ciebie) zamiast adresu serwera dostaną adres Cloudflare — i poczta przestanie działać.
Panel DirectAdmin działa zawsze
Panel DirectAdmin otwierasz zawsze przyciskiem „Otwórz panel" w Panelu Klienta. Prowadzi on do Twojej domeny technicznej hostXXXXX.iqhs.pl (port 2222), która należy do nas i nigdy nie przechodzi przez Twój Cloudflare. Dlatego nawet przy błędnej konfiguracji CF panel jest dostępny i wszystko poprawisz.
Krok 1 — Dodaj domenę w Cloudflare
Po zalogowaniu do dash.cloudflare.com wybierz Add a domain, wpisz nazwę domeny i wybierz import DNS Automatic (Cloudflare zeskanuje istniejące rekordy z naszych serwerów nazw).
Krok 2 — Wybierz plan Free
Do hostingu w zupełności wystarcza plan Free ($0): darmowy SSL, DNS, CDN i ochrona DDoS.
Krok 3 — Popraw chmurki przy rekordach poczty (najważniejsze!)
Cloudflare po zeskanowaniu domyślnie ustawia rekordy mail, pop, smtp, ftp, webmail, autoconfig, autodiscover na „Proxied" (pomarańczowa chmurka) — i to właśnie psuje pocztę.
PRZED (źle) — rekordy poczty na pomarańczowej chmurce:
Kliknij chmurkę przy każdym rekordzie pocztowym, aby przełączyć ją na szarą „DNS only".
PO (dobrze) — poczta na szarej chmurce, tylko @ i www proxowane:
Krok 4 — Zmień serwery nazw u rejestratora
Cloudflare przydzieli Ci dwa dedykowane serwery nazw (każdy klient dostaje inną parę, np. adrian.ns.cloudflare.com, austin.ns.cloudflare.com). Wpisz je u swojego rejestratora zamiast wszystkich naszych serwerów nazw (ns1.iqhs.eu i ns2.iqhs.eu). Cloudflare zastępuje całą naszą delegację swoją parą — nie zostawiaj obok żadnego z naszych nsX.iqhs.eu.
Zmiana delegacji domeny .pl propaguje się zwykle od kilkunastu minut do kilku godzin. Instrukcje per rejestrator znajdziesz w artykule Zmiana serwerów DNS u rejestratora.
Ważne po zmianie NS: od tej chwili rekordy DNS edytujesz wyłącznie w panelu Cloudflare (DNS → Records). Strefa DNS w DirectAdmin przestaje być widoczna dla internetu. (Jeśli zostajesz na naszych serwerach nazw — odwrotnie: rekordy edytujesz w DirectAdmin.)
Która chmurka przy którym rekordzie
| Rekord | Typ | Chmurka | Dlaczego |
|---|---|---|---|
@ (domena) |
A | Proxied (pomarańczowa) | ruch WWW — po to jest Cloudflare |
www |
A | Proxied (pomarańczowa) | ruch WWW |
mail |
A | DNS only (szara) | CF nie proxuje portów poczty |
smtp |
A | DNS only (szara) | wysyłka poczty (465/587) |
pop / imap |
A | DNS only (szara) | odbiór poczty (995/993) |
ftp |
A | DNS only (szara) | FTP nie przechodzi przez proxy |
webmail |
A | DNS only (szara) | prościej i pewniej |
autoconfig / autodiscover |
CNAME | DNS only (szara) | autokonfiguracja poczty |
MX → mail.domena |
MX | (MX nigdy nie jest proxowany) | patrz pułapka niżej |
SPF / DKIM / DMARC |
TXT | DNS only | rekordy tekstowe |
Pułapki, o których trzeba wiedzieć
1. Cloudflare podmienia rekord MX na _dc-mx…
Jeśli rekord mail zostanie na Proxy, Cloudflare automatycznie podmienia wartość MX na coś w rodzaju _dc-mx.xxxx.domena.pl (żeby ukryć origin). Skutek: poczta przychodząca przestaje docierać. Po przełączeniu rekordów poczty na „DNS only" MX wraca samoczynnie do mail.domena.pl — zawsze to potem sprawdź.
2. SPF / DKIM / DMARC — skopiuj dokładnie 1:1 z naszej strefy
Przy imporcie strefy Cloudflare potrafi zgubić lub zmienić rekordy SPF, DKIM i DMARC. Zanim zmienisz NS, otwórz w DirectAdmin zarządzanie DNS i przepisz te rekordy 1:1 do Cloudflare.
- SPF — poprawny rekord dla hostingu IQHost wygląda np. tak:
v=spf1 a mx ip4:195.117.36.226 ~all. Nie podmieniaj IP „w ciemno" — jeśli musisz wpisać adres ręcznie, użyj IP serwera pocztowego (z którego wychodzi poczta), a nie adresu A Twojej strony / IP dedykowanego konta (te bywają różne). Dodatkowo, gdy domena główna jest na Proxy, mechanizmaw SPF rozwiązuje się na adresy Cloudflare — więc realną wysyłkę autoryzuje wyłącznie tenip4:serwera pocztowego. Najbezpieczniej: skopiuj rekord dokładnie taki, jaki był w naszej strefie. - DKIM — skopiuj rekord TXT selektora (np.
default._domainkey) bez zmian. - DMARC — skopiuj rekord
_dmarcbez zmian.
Uwaga na SPF w rodzaju v=spf1 ~all (bez wskazania żadnego serwera): ~all to softfail — odbiorcy traktują Twoją pocztę jako niepożądaną i ląduje w spamie (twardy -all odrzuca ją całkowicie). Więcej: Rekordy TXT: SPF, DKIM, DMARC.
3. SSL/TLS w Cloudflare — ustaw Full (strict)
W zakładce SSL/TLS → Overview wybierz tryb Full (strict). Tryb Flexible powoduje pętle przekierowań i błędy „too many redirects". Certyfikaty per-nazwa (walidacja HTTP-01) odnawiają się automatycznie nawet przez proxy Cloudflare. Certyfikat wildcard (walidacja DNS-01) przy NS na Cloudflare nie odnawia się automatycznie (patrz niżej). Tryb Full (strict) wymaga, aby każda proxowana nazwa hosta miała na originie ważny certyfikat — proxowana subdomena bez własnego certu zwróci błąd 525/526.
4. Ostrzeżenie „Your origin IP is partially exposed" — zignoruj
Po przełączeniu rekordów poczty na „DNS only" Cloudflare pokaże ostrzeżenie o częściowo odsłoniętym IP. Dla poczty jest to normalne i nieuniknione — serwer pocztowy musi być widoczny pod prawdziwym adresem, inaczej poczta nie ma jak działać.
Wildcard SSL (*.domena) a Cloudflare
Jeśli Twoja domena ma serwery nazw Cloudflare, nasz system nie wystawi automatycznie certyfikatu wildcard (*.domena) — nawet z tokenami API Cloudflare.
Certyfikat wildcard można potwierdzić wyłącznie metodą DNS-01 (rekord TXT _acme-challenge). Nasz mechanizm (DirectAdmin + klient ACME) domyślnie zapisuje ten rekord w lokalnej strefie DNS na serwerze i lokalnie go potwierdza — bo serwer hostuje autorytatywną strefę domeny. Gdy domena jest delegowana do Cloudflare, publiczne autorytatywne serwery nazw to Cloudflare, które tego rekordu nie mają, więc Let's Encrypt (idąc za delegacją do CF) wpisu nie znajduje i weryfikacja pada. Token API Cloudflare tego nie naprawia: zapisuje rekord po stronie Cloudflare, ale lokalny pre-check klienta ACME i tak czyta lokalną strefę i go nie widzi.
Twoje opcje, jeśli zależy Ci na SSL:
- Przenieś NS z powrotem do nas (
ns1.iqhs.euins2.iqhs.eu) → wildcard i wszystkie certy odnawiają się automatycznie. Rezygnujesz wtedy z proxy/CDN Cloudflare (na planie Free proxy CF działa wyłącznie, gdy domena używa serwerów nazw Cloudflare). - Zostań przy Cloudflare, ale zrezygnuj z wildcarda → używaj certów per-nazwa (
domena,www,mail…). Weryfikowane metodą HTTP-01, działają przez proxy CF, pokrywają stronę i pocztę, odnawiają się same — bez tokenów i bez zmiany NS. Dla większości klientów w zupełności wystarcza. - Certyfikat brzegowy Cloudflare (Universal SSL) — CF sam obsługuje SSL między odwiedzającym a swoją siecią. Na planie Free pokrywa domenę i subdomeny jednego poziomu (
*.domena); subdomeny wielopoziomowe (a.b.domena) wymagają płatnego Advanced Certificate Manager. Pamiętaj, że nie obejmuje to poczty, a przy Full (strict) origin i tak musi mieć własny certyfikat dla każdej proxowanej nazwy.
Szczegóły SSL po naszej stronie: Certyfikaty Let's Encrypt i Problemy z SSL.
Szybka diagnostyka: objaw → przyczyna → rozwiązanie
| Objaw | Przyczyna | Rozwiązanie |
|---|---|---|
| Poczta (IMAP/SMTP) „połączenie odrzucone/zresetowane" po przejściu na CF | rekord mail/smtp/pop na Proxy |
przełącz na DNS only (szara chmurka) |
Poczta przychodząca nie dociera; MX = _dc-mx… |
CF podmienił MX (rekord mail na Proxy) | przełącz mail na DNS only → MX wróci do mail.domena |
| Wiadomości trafiają do spamu (SPF) | SPF v=spf1 ~all lub błędne IP |
popraw SPF: v=spf1 a mx ip4:<IP_serwera_pocztowego> ~all |
| Poczta odrzucana / DMARC fail po przejściu na CF | zgubiony/zmieniony DKIM lub DMARC przy imporcie strefy | skopiuj rekordy DKIM (selektor._domainkey) i _dmarc 1:1 z naszej strefy |
| „Too many redirects" / pętla przekierowań | SSL/TLS w CF = Flexible | zmień na Full (strict) |
| 525 / 526 (SSL handshake failed) na proxowanej subdomenie | Full (strict), a origin nie ma ważnego certu dla tej nazwy | wystaw cert per-nazwa dla subdomeny albo nie proxuj jej (DNS only) |
| 521 (web server is down) | serwer WWW origin nie odpowiada / firewall blokuje CF | sprawdź serwer WWW; upewnij się, że firewall nie blokuje zakresów IP Cloudflare |
| 403 / „Access Denied" / error 1020 | reguła CF Security (WAF/Custom Rules) lub origin blokuje IP Cloudflare | sprawdź Security → WAF/Custom Rules; tymczasowo Pause/DNS only, by odróżnić origin od CF |
| Wildcard SSL przestał się odnawiać | NS na Cloudflare (DNS-01 nie przechodzi) | NS u nas albo certy per-nazwa |
| Błąd 502 / 504 na stronie | timeout proxy / origin | sprawdź stronę bez proxy (DNS only) |
| Po zmianach widać starą wersję strony / stara treść lub 404 po aktualizacji | cache Cloudflare (lub Always Online) | Caching → Purge Everything; na czas prac włącz Development Mode (3h) |
| „Zmieniłem rekord DNS w DirectAdmin, a nic się nie stało" | po zmianie NS na CF strefa w DA jest nieaktywna dla świata | edytuj rekordy w panelu Cloudflare (DNS → Records) |
Najczęstsze pytania
Czy muszę używać Cloudflare? Nie. Nasza infrastruktura ma własną ochronę (WAF, anty-DDoS, Imunify360). Cloudflare to opcja, jeśli chcesz dodatkowego CDN/cache.
Czy Cloudflare przyspieszy pocztę? Nie — poczta w ogóle nie przechodzi przez Cloudflare (i nie powinna). CF przyspiesza wyłącznie ruch WWW.
Mam wiele subdomen — potrzebuję wildcarda. Wtedy najwygodniej przenieść NS do nas (ns1.iqhs.eu i ns2.iqhs.eu) — wildcard odnawia się automatycznie. Cloudflare przy NS=CF wildcarda nie obsłuży.
Zmieniłem chmurki, a poczta dalej nie działa. Odczekaj kilka–kilkanaście minut na propagację DNS i sprawdź, czy MX wskazuje mail.domena (nie _dc-mx…). Jeśli problem trwa — napisz do nas, sprawdzimy logi.
Feedback
Czy ten artykuł pomógł?




