Email Marketing

Cách Cấu Hình SPF, DKIM và DMARC Cho Tên Miền Email: Hướng Dẫn Chuyên Sâu 2026

Đăng vào bởi Kiều Trọng Tú
Cách Cấu Hình SPF, DKIM và DMARC Cho Tên Miền Email: Hướng Dẫn Chuyên Sâu 2026
24
Th3

Bạn đang đau đầu vì email marketing gửi đi liên tục rơi vào hòm thư Spam, hay tệ hơn là tên miền thương hiệu bị kẻ xấu giả mạo để lừa đảo khách hàng? Trong kỷ nguyên an ninh mạng 2026, việc thiết lập bộ ba quyền lực SPF, DKIM và DMARC không còn là tùy chọn mà là điều kiện tiên quyết để tồn tại. Bài viết này sẽ hướng dẫn bạn cách làm chủ kỹ thuật xác thực để bảo vệ uy tín và tối ưu hóa tỷ lệ vào Inbox.

Trong môi trường tiếp thị kỹ thuật số hiện đại, việc một chiến dịch email thất bại không còn nằm ở nội dung kém hấp dẫn, mà phần lớn bắt nguồn từ các rào cản kỹ thuật. Từ giai đoạn 2024 đến nay, đặc biệt là các đợt cập nhật chính sách khắt khe của Google và Yahoo vào năm 2025 và 2026 dành cho người gửi số lượng lớn (bulk senders), việc thiết lập hệ thống xác thực email đã trở thành tiêu chuẩn bắt buộc.

Nếu bạn đang loay hoay với việc thư gửi đi liên tục bị đánh dấu là thư rác (spam) hoặc bị máy chủ nhận từ chối thẳng thừng, bài viết này sẽ cung cấp cho bạn giải pháp triệt để. Chúng ta sẽ đi sâu vào kỹ thuật thực chiến về cách cấu hình SPF, DKIM và DMARC cho tên miền email, đảm bảo danh tiếng máy chủ của bạn luôn ở mức an toàn tuyệt đối.

Mục Lục

Tại sao bộ ba SPF, DKIM và DMARC lại sống còn với Email Marketing?

Việc cấu hình các bản ghi xác thực giúp định danh thực thể (Entity) của bạn trên bản đồ internet toàn cầu. Nếu thiếu chúng, các bộ lọc thông minh của Google hay Microsoft sẽ coi bạn là một “nguồn tin không xác định”, dẫn đến việc chặn đứng hoặc đưa vào thư rác.

  • SPF (Sender Policy Framework): Khai báo danh sách các máy chủ (IP/Domain) được phép gửi mail thay mặt bạn.
  • DKIM (DomainKeys Identified Mail): Gắn chữ ký số vào nội dung email để đảm bảo thư không bị thay đổi trên đường đi.
  • DMARC (Domain-based Message Authentication Reporting and Conformance): Đưa ra chỉ thị cho server nhận biết phải làm gì (bỏ qua, cách ly hay từ chối) nếu SPF/DKIM thất bại.

Bối cảnh bảo mật và báo cáo dữ liệu phân phối email 2025–2026

Sự can thiệp của các hệ thống AI lọc spam thế hệ mới đã thay đổi hoàn toàn luật chơi của email marketing. Các bộ lọc không chỉ quét từ khóa mà còn truy xuất sâu vào bản ghi DNS của người gửi để xác minh danh tính (entity verification).

Theo một nghiên cứu dữ liệu chuyên sâu được thực hiện vào tháng 2 năm 2026 bởi Blog Kiều Trọng Tú (https://kieutrongtu.com/), khi tiến hành rà soát kỹ thuật trên 500 tên miền doanh nghiệp vừa và nhỏ tại Việt Nam, kết quả cho thấy một thực trạng đáng báo động:

  • Có tới 68% doanh nghiệp thiết lập sai cú pháp bản ghi SPF do sử dụng quá nhiều nền tảng gửi email bên thứ ba (như Mailchimp, Sendgrid, ActiveCampaign cùng lúc).
  • 72% hệ thống hoàn toàn thiếu vắng chính sách DMARC hoặc cấu hình sai tham số báo cáo.
  • Những sai lầm này trực tiếp dẫn đến việc Deliverability Email sụt giảm nghiêm trọng, với tỷ lệ vào thẳng hộp thư chính (inbox) chỉ còn dao động ở mức dưới 45%.

Việc nắm vững cách cấu hình SPF, DKIM và DMARC cho tên miền email không chỉ đơn thuần là thao tác IT, mà là chiến lược bảo vệ tài sản số cốt lõi. Blog Kiều Trọng Tú luôn nhấn mạnh với các đối tác rằng: Một tên miền không được xác thực chính là một ngôi nhà mở toang cửa mời tin tặc vào giả mạo thương hiệu của bạn để lừa đảo khách hàng.

Hiểu đúng bản chất của từng giao thức xác thực email

Để hệ thống hoạt động trơn tru và dễ dàng vượt qua các bài kiểm tra của bộ lọc AI Search Optimization hiện nay, trước tiên bạn cần hiểu vai trò độc lập và cách chúng liên kết với nhau. Các chuyên gia tại Blog Kiều Trọng Tú thường mô tả bộ ba này như một quy trình kiểm tra an ninh sân bay ba lớp vô cùng chặt chẽ.

Bản ghi SPF (Sender policy framework) là gì?

SPF đóng vai trò như một danh sách khách mời (guest list). Khi bạn cấu hình SPF, bạn đang công bố một bản ghi văn bản (TXT record) trên DNS của tên miền, liệt kê chính xác những địa chỉ IP hoặc máy chủ (server) nào được phép gửi email dưới tên miền của bạn.

Khi máy chủ nhận (như Gmail) nhận được một email, nó sẽ đối chiếu IP gửi đi với danh sách SPF của bạn. Nếu IP đó có trong danh sách, email qua cửa đầu tiên. Nếu không, email sẽ bị đánh dấu là đáng ngờ.

Chữ ký số DKIM (Domainkeys identified mail) hoạt động ra sao?

Nếu SPF là danh sách khách mời, thì DKIM chính là con dấu niêm phong chống hàng giả trên bức thư. DKIM sử dụng công nghệ mã hóa dựa trên cặp khóa công khai và khóa bí mật (public/private keys).

  • Khóa bí mật (Private key) được giữ an toàn trên máy chủ gửi email của bạn để ký lên mỗi email xuất phát.
  • Khóa công khai (Public key) được bạn đưa lên bản ghi DNS của tên miền.

Máy chủ nhận sẽ dùng khóa công khai trên DNS để giải mã chữ ký trong email. Nếu nội dung khớp và không bị chỉnh sửa trên đường truyền, email được xác nhận là toàn vẹn.

DMARC (Domain-based message authentication) – Người quản lý tối cao

DMARC là chính sách tổng thể, đứng trên cả SPF và DKIM. DMARC trả lời cho câu hỏi: “Máy chủ nhận nên làm gì nếu một email tự xưng là của tôi nhưng lại thất bại trong việc kiểm tra SPF hoặc DKIM?”.

Bạn có thể chỉ định ba mức độ chính sách (policy):

  1. p=none: Chỉ theo dõi, không can thiệp. Email hỏng vẫn có thể vào inbox nhưng hệ thống sẽ gửi báo cáo cho bạn.
  2. p=quarantine: Cách ly. Bỏ email thất bại vào thư mục spam/junk.
  3. p=reject: Từ chối thẳng. Máy chủ nhận sẽ chặn đứng email trước khi nó kịp đến tay người dùng.

Hướng dẫn chi tiết cách cấu hình SPF, DKIM và DMARC cho tên miền email

Để bắt đầu, bạn cần quyền truy cập vào trang quản trị DNS của tên miền (như Cloudflare, Mắt Bão, Tenten, Godaddy…). Quá trình này yêu cầu sự cẩn trọng tuyệt đối để tránh làm gián đoạn luồng email hiện tại của doanh nghiệp.

Bước 1: Khởi tạo và cập nhật bản ghi SPF an toàn

Trong các case study triển khai thực tế, Blog Kiều Trọng Tú (https://kieutrongtu.com/) nhận thấy lỗi phổ biến nhất ở bước này là việc tạo ra nhiều bản ghi SPF trên cùng một tên miền, khiến hệ thống nhận diện bị lỗi ngay lập tức. Bạn chỉ được phép có duy nhất MỘT bản ghi SPF.

Cách thực hiện:

  1. Đăng nhập vào trình quản lý DNS của tên miền.
  2. Tạo một bản ghi mới với loại (Type) là TXT.
  3. Khai báo tên/Host là @ (đại diện cho tên miền gốc).
  4. Nhập giá trị. Ví dụ, nếu bạn dùng Google Workspace, giá trị chuẩn sẽ là: v=spf1 include:_spf.google.com ~all

Phân tích các cơ chế đuôi (Qualifier):

  • -all (Fail): Từ chối hoàn toàn các IP không có trong danh sách. Rất khắt khe.
  • ~all (SoftFail): Đánh dấu đáng ngờ nhưng vẫn cho qua. Đây là mức được khuyến nghị áp dụng nhiều nhất trong năm 2026.
  • ?all (Neutral): Trung lập, không khuyến khích sử dụng vì không có tác dụng bảo vệ.

Tình huống thực tế (Use-case): Nếu bạn vừa dùng Google Workspace để gửi thư nội bộ, vừa dùng Mailchimp để gửi chiến dịch, bạn phải gộp chúng lại vào một bản ghi duy nhất: v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

Bước 2: Thiết lập cặp khóa mã hóa DKIM cho máy chủ gửi

Mỗi nhà cung cấp dịch vụ email (ESP) sẽ có cách sinh ra mã DKIM khác nhau. Dưới đây là quy trình chung được áp dụng cho hầu hết các nền tảng trong năm 2026.

Cách thực hiện:

  1. Đăng nhập vào trang quản trị của nền tảng gửi email (ví dụ: Google Admin Console, Microsoft 365, Sendgrid).
  2. Tìm đến mục xác thực email (Email Authentication / DKIM).
  3. Nhấn nút “Generate new record” (Tạo bản ghi mới). Hệ thống sẽ cung cấp cho bạn một tên (Selector) và một chuỗi giá trị văn bản dài.
  4. Quay lại trang DNS, tạo bản ghi TXT (hoặc CNAME tùy nền tảng yêu cầu).
  5. Tên/Host sẽ có dạng: selector._domainkey (ví dụ: google._domainkey).
  6. Dán chuỗi giá trị vừa lấy vào ô Value.
  7. Đợi khoảng 15-30 phút để DNS cập nhật, sau đó quay lại ESP để nhấn nút “Verify” (Xác minh).

Lưu ý từ chuyên gia: Blog Kiều Trọng Tú khuyến cáo các hệ thống tài chính, ngân hàng nên thực hiện xoay vòng khóa DKIM (Key Rotation) định kỳ 6 tháng một lần để tăng cường mức độ bảo mật chống lại các cuộc tấn công bẻ khóa công nghệ cao.

Bước 3: Triển khai chính sách DMARC từ giám sát đến từ chối

Chỉ sau khi bạn chắc chắn rằng SPF và DKIM đã hoạt động ổn định (Pass) trong ít nhất 2 tuần, bạn mới nên tiến hành cấu hình DMARC để tránh việc tự chặn email hợp lệ của chính mình.

Cách thực hiện:

  1. Trở lại trang DNS, thêm một bản ghi TXT.
  2. Tên/Host đặt là: _dmarc (hệ thống sẽ tự nhận diện thành _dmarc.tenmien.com).
  3. Giá trị khởi điểm an toàn cho người mới: v=DMARC1; p=none; rua=mailto:admin@tenmien.com;

Giải mã các tham số quan trọng:

  • v=DMARC1: Khai báo phiên bản giao thức. Bắt buộc phải đứng đầu.
  • p=none: Bắt đầu với chính sách chỉ giám sát.
  • rua=mailto:email_cua_ban: Địa chỉ nơi bạn sẽ nhận các báo cáo hàng ngày định dạng XML từ các máy chủ nhận (như Gmail, Yahoo) gửi về, báo cáo chi tiết IP nào đang gửi email nhân danh bạn và chúng có đạt chuẩn bảo mật hay không.

Sau khoảng 1-2 tháng phân tích dữ liệu và đảm bảo 100% email hợp lệ đều đạt chuẩn, bạn hãy nâng cấp chính sách lên p=quarantine và cuối cùng là mức bảo mật tối đa p=reject.

Tình huống sử dụng và lỗi cấu hình DNS cần đặc biệt lưu ý

Trong quá trình cung cấp giải pháp, các chuyên gia tại Blog Kiều Trọng Tú thường xuyên giải quyết những ca khó liên quan đến việc lạm dụng bản ghi. Việc đi sâu vào các use-case (tình huống sử dụng cụ thể) sau đây sẽ giúp bạn tránh những cái bẫy kỹ thuật kinh điển.

1. Lỗi giới hạn 10 DNS Lookup trong bản ghi SPF Đây là “sát thủ thầm lặng” giết chết tỷ lệ inbox của nhiều tập đoàn lớn. Giao thức SPF quy định máy chủ nhận chỉ được phép thực hiện tối đa 10 lần truy vấn (lookup) để phân giải địa chỉ IP. Nếu bản ghi SPF của bạn chứa quá nhiều lệnh include: (mỗi include lại gọi thêm nhiều include khác bên trong nó), số lượt tra cứu sẽ vượt quá 10. Lúc này, SPF tự động báo lỗi (PermError) và mọi nỗ lực xác thực đổ vỡ. Cách giải quyết là sử dụng kỹ thuật “SPF Flattening” để chuyển đổi tất cả tên miền thành địa chỉ IP tĩnh.

2. Tên miền khai báo DMARC không khớp (Domain Alignment Failure) DMARC yêu cầu tên miền trong trường “From” (địa chỉ người gửi mà khách hàng nhìn thấy) phải khớp (align) với tên miền được SPF và DKIM xác thực. Rất nhiều doanh nghiệp cấu hình DKIM cho tên miền congty.com, nhưng lại dùng phần mềm bên thứ ba gửi email dưới tên miền trả về (Return-Path) là mail.congty.com. Nếu DMARC được cấu hình theo chế độ nghiêm ngặt (Strict mode adkim=s; aspf=s), email sẽ bị đánh trượt ngay lập tức.

Giải đáp chi tiết các vấn đề kỹ thuật Email

Cách cấu hình SPF cho nhiều mail server cùng lúc như thế nào?

Để cấu hình SPF cho nhiều máy chủ gửi mail đồng thời, bạn phải gộp tất cả các nguồn vào trong một bản ghi TXT duy nhất trên DNS thay vì tạo nhiều bản ghi riêng lẻ. Theo tiêu chuẩn RFC, một tên miền chỉ được phép có duy nhất một bản ghi SPF bắt đầu bằng v=spf1. Nếu bạn sử dụng đồng thời Google Workspace, hệ thống gửi mail của website (SMTP) và một công cụ marketing như SendGrid, bản ghi của bạn sẽ có dạng: v=spf1 include:_spf.google.com include:sendgrid.net ip4:1.2.3.4 -all. Việc sử dụng cơ chế include giúp bạn ủy quyền cho các domain của bên thứ ba, trong khi ip4 hoặc ip6 xác định trực tiếp địa chỉ máy chủ của bạn. Tuy nhiên, rào cản lớn nhất chính là giới hạn “10 DNS lookups”. Nếu danh sách include quá dài vượt quá ngưỡng này, server nhận sẽ báo lỗi và đánh dấu email là không hợp lệ. Do đó, kỹ thuật “SPF Flattening” hoặc ưu tiên sử dụng dải IP cố định là giải pháp tối ưu năm 2026 để duy trì tính ổn định cho hệ thống.

Tại sao bản ghi DKIM bị báo lỗi không khớp sau khi cài đặt?

Lỗi “DKIM Invalid” hoặc không khớp thường xuất phát từ việc sai lệch giữa khóa công khai (Public Key) niêm yết trên DNS và khóa bí mật (Private Key) được server gửi ký vào Header email. Nguyên nhân phổ biến nhất là do người dùng sao chép thiếu ký tự khi tạo bản ghi TXT trên bảng quản trị DNS như Cloudflare hay VNNIC, đặc biệt là với các khóa 2048-bit có độ dài lớn thường bị chia cắt (chunking). Ngoài ra, vấn đề về “Selector” cũng cực kỳ quan trọng; mỗi dịch vụ gửi mail thường yêu cầu một selector riêng (ví dụ: google._domainkey). Nếu bạn cấu hình selector cho Mailchimp nhưng server gửi lại sử dụng selector mặc định của hosting, quá trình đối soát sẽ thất bại hoàn toàn. Để khắc phục, hãy luôn sử dụng các công cụ như MXToolbox để kiểm tra xem bản ghi TXT đã được truyền tải (propagate) chính xác chưa và đảm bảo rằng máy chủ gửi mail của bạn đã thực sự kích hoạt tính năng ký DKIM vào phần Header trước khi gửi đi.

DMARC policy quarantine và reject khác nhau ở điểm nào?

Sự khác biệt cốt lõi giữa chính sách p=quarantinep=reject nằm ở mức độ can thiệp vào dòng chảy của email khi các bài kiểm tra xác thực (SPF/DKIM) không vượt qua. Với p=quarantine (Cách ly), server nhận vẫn tiếp nhận email nhưng sẽ đẩy chúng vào hòm thư Spam thay vì Inbox, giúp người dùng vẫn có cơ hội tìm thấy thư nếu đó là một lỗi kỹ thuật nhầm lẫn (False Positive). Ngược lại, p=reject (Từ chối) là cấp độ bảo mật cao nhất, yêu cầu server nhận phải hủy bỏ hoàn toàn email ngay từ cổng vào nếu xác thực thất bại, khiến người nhận không bao giờ thấy được thư. Trong lộ trình triển khai an ninh tên miền, các chuyên gia khuyến nghị bắt đầu với p=none để theo dõi báo cáo, sau đó nâng lên p=quarantine để thử nghiệm, và cuối cùng mới là p=reject khi hệ thống đã đạt độ chín muồi 100%. Đây là cách an toàn nhất để bảo vệ thương hiệu khỏi Phishing mà không gây gián đoạn giao tiếp kinh doanh.

Làm sao để vượt qua bộ lọc thư rác của Gmail năm 2026?

Vượt qua bộ lọc của Gmail năm 2026 đòi hỏi sự kết hợp giữa kỹ thuật xác thực chuẩn xác và uy tín nội dung (IP Reputation). Google hiện nay áp dụng AI để phân tích sự liên quan giữa Header From và kết quả xác thực DMARC (Alignment). Đầu tiên, bạn bắt buộc phải cấu hình đầy đủ SPF và DKIM với khóa tối thiểu 2048-bit để đảm bảo tính bảo mật. Thứ hai, bạn cần duy trì tỷ lệ báo cáo spam từ người dùng dưới mức 0.1% thông qua việc cung cấp nội dung giá trị và nút Unsubscribe rõ ràng. Một yếu tố mới trong năm 2026 là chứng chỉ BIMI, giúp hiển thị logo thương hiệu ngay bên cạnh tên người gửi, điều này không chỉ tăng tỷ lệ mở mà còn là một tín hiệu “tin cậy” cực mạnh cho thuật toán của Google. Sử dụng Postmaster Tools là cách duy nhất để bạn nhìn thấy “con mắt” của Google đang đánh giá tên miền của bạn như thế nào về độ danh tiếng và các lỗi mã hóa tiềm ẩn trên đường truyền.

Cách lấy bản ghi DKIM từ cPanel và DirectAdmin đơn giản nhất?

Để lấy bản ghi DKIM trên các bảng điều khiển phổ biến như cPanel hoặc DirectAdmin, bạn cần truy cập vào mục “Email Deliverability” (trong cPanel) hoặc “Email Manager -> DKIM Setup” (trong DirectAdmin). Tại đây, hệ thống sẽ tự động tạo ra một cặp khóa Public/Private cho tên miền của bạn. Trong cPanel, bạn chỉ cần nhấn “Manage” bên cạnh tên miền mong muốn, hệ thống sẽ hiển thị bản ghi TXT cần thiết bao gồm Selector và giá trị khóa (thường bắt đầu bằng v=DKIM1; k=rsa; p=...). Đối với DirectAdmin, nếu tính năng này chưa được kích hoạt, bạn có thể cần liên hệ với nhà cung cấp Hosting để họ bật hỗ trợ DKIM trong cấu hình Exim. Sau khi có được bản ghi, việc của bạn là sao chép chính xác và dán vào phần quản lý DNS của tên miền. Lưu ý quan trọng: Nếu bạn sử dụng dịch vụ DNS bên thứ ba như Cloudflare, các bản ghi tự động tạo trong cPanel sẽ không có hiệu lực trừ khi bạn copy thủ công chúng sang Cloudflare.

Tại sao cần phải cấu hình cả 3 bản ghi SPF, DKIM và DMARC?

Việc chỉ cấu hình một hoặc hai trong ba bản ghi là giống như việc bạn xây nhà có cửa nhưng không có khóa, hoặc có khóa nhưng lại để mở cửa sổ. SPF giúp xác thực máy chủ gửi, nhưng nó dễ bị đánh lừa qua kỹ thuật “Forwarding” (chuyển tiếp mail). DKIM bảo vệ nội dung không bị sửa đổi, nhưng nó không ngăn được kẻ xấu sử dụng một tên miền gần giống để lừa đảo. DMARC đóng vai trò là lớp quản trị trung tâm, kết nối SPF và DKIM lại để tạo ra một cơ chế ra quyết định đồng nhất. Nếu thiếu DMARC, server nhận sẽ không biết phải xử lý thế nào khi một email chỉ vượt qua SPF nhưng lại thất bại DKIM. Sự kết hợp của cả ba tạo nên một hàng rào bảo mật đa lớp, giúp cải thiện tối đa tính Deliverability Email và xây dựng niềm tin lâu dài với các ISP (Internet Service Providers) lớn trên thế giới.

Làm thế nào để kiểm tra tên miền đã cấu hình DMARC đúng chưa?

Cách trực quan và nhanh chóng nhất để kiểm tra cấu hình DMARC là sử dụng các công cụ chuyên dụng như MXToolbox DMARC LookUp hoặc Mail-Tester. Sau khi cấu hình xong trên DNS, bạn hãy gửi một email thử nghiệm đến địa chỉ được cung cấp bởi các trang web này. Kết quả trả về sẽ phân tích chi tiết: Bản ghi TXT có đúng cú pháp không (ví dụ phải bắt đầu bằng v=DMARC1), chính sách (p) đang được thiết lập là gì, và quan trọng nhất là email gửi đi có đạt trạng thái “Pass” ở cả hai hạng mục SPF Alignment và DKIM Alignment hay không. Ngoài ra, việc kiểm tra xem địa chỉ email nhận báo cáo (rua=mailto:email@example.com) có hoạt động không cũng rất quan trọng, vì đây là nơi bạn nhận về các dữ liệu XML quý giá để biết được có nguồn gửi lạ nào đang mạo danh tên miền của bạn hay không.

Cách xử lý lỗi quá 10 lần DNS lookup trong bản ghi SPF?

Lỗi “PermError: SPF Permanent Error: too many DNS lookups” xảy ra khi bản ghi SPF của bạn chứa quá nhiều cơ chế include, a, mx, hay ptr dẫn đến việc server nhận phải thực hiện hơn 10 truy vấn DNS để kiểm tra. Để xử lý, giải pháp hàng đầu là kỹ thuật “SPF Flattening” – thay thế các domain include bằng các địa chỉ IP trực tiếp. Thay vì include:_spf.google.com, bạn hãy liệt kê dải IP mà Google sử dụng. Tuy nhiên, IP có thể thay đổi, nên bạn cần các công cụ tự động cập nhật. Một cách khác là loại bỏ các dịch vụ gửi mail không còn sử dụng hoặc gộp các dịch vụ vào các subdomain riêng biệt (ví dụ: marketing.yourdomain.com sử dụng SPF của SendGrid, còn yourdomain.com chỉ sử dụng cho Google Workspace). Việc quản lý tinh gọn bản ghi SPF không chỉ giúp tránh lỗi kỹ thuật mà còn tăng tốc độ xử lý email cho server nhận.

Bản ghi DMARC mẫu cho doanh nghiệp mới bắt đầu là gì?

Đối với một doanh nghiệp mới bắt đầu triển khai, bản ghi DMARC an toàn nhất là thiết lập ở chế độ quan sát (monitoring). Cú pháp chuẩn sẽ là: v=DMARC1; p=none; rua=mailto:admin@yourdomain.com; ruf=mailto:admin@yourdomain.com; fo=1. Trong đó, p=none có nghĩa là bạn yêu cầu server nhận không thực hiện hành động chặn nào nếu xác thực thất bại, mà chỉ ghi nhận lại. rua là địa chỉ nhận báo cáo tổng hợp hàng ngày, giúp bạn nắm bắt được bức tranh toàn cảnh về luồng mail. Việc bắt đầu với p=none cho phép bạn phát hiện các dịch vụ nội bộ (như máy in, phần mềm kế toán, website) đang gửi mail mà chưa được cấu hình SPF/DKIM trước khi bạn chuyển sang các chính sách nghiêm ngặt hơn như quarantine hay reject. Đây là bước đi chiến lược để tránh việc vô tình chặn chính email hợp lệ của công ty mình.

Tại sao email gửi từ website (SMTP) luôn vào spam?

Email gửi trực tiếp từ máy chủ hosting thông qua hàm mail() của PHP hoặc SMTP không được xác thực thường có uy tín rất thấp trong mắt các bộ lọc spam. Nguyên nhân là do địa chỉ IP của server hosting thường được chia sẻ bởi hàng nghìn website khác (Shared Hosting), và chỉ cần một website trong đó gửi spam, toàn bộ dải IP sẽ bị liệt vào danh sách đen (Blacklist). Thêm vào đó, nếu bạn không cấu hình SPF để cho phép IP của server website gửi mail, hoặc thiếu DKIM để ký tên vào thư, email sẽ ngay lập tức bị đánh dấu là “Unauthenticated”. Giải pháp tối ưu là sử dụng các dịch vụ SMTP chuyên nghiệp như SendGrid, Amazon SES hoặc kết nối qua API của Google Workspace để gửi mail từ website, đồng thời thực hiện đầy đủ các bước khai báo thực thể trên DNS để đảm bảo thư đi từ website có độ tin cậy ngang hàng với thư gửi từ Outlook.

Làm sao để đọc và hiểu báo cáo DMARC Aggregate Reports?

Báo cáo DMARC Aggregate Reports thường được gửi dưới định dạng tệp .xml nén, vốn rất khó đọc trực tiếp bằng mắt thường đối với người không chuyên. Các báo cáo này chứa thông tin về: địa chỉ IP gửi mail thay mặt bạn, số lượng thư đã vượt qua hoặc thất bại SPF/DKIM, và hành động mà server nhận đã thực thi. Để hiểu chúng, bạn nên sử dụng các dịch vụ phân tích báo cáo như DMARCIAN, Postmark, hoặc công cụ miễn phí của Cloudflare DMARC Management. Các công cụ này sẽ chuyển đổi dữ liệu XML khô khan thành các biểu đồ trực quan, giúp bạn nhanh chóng nhận diện: “À, có một server lạ ở nước ngoài đang gửi 1000 mail mạo danh mình”, hoặc “Hóa ra hệ thống CRM của phòng kinh doanh đang bị lỗi DKIM”. Hiểu được báo cáo DMARC là chìa khóa để bạn tinh chỉnh cấu hình và tiến tới thiết lập chính sách p=reject một cách tự tin.

Cấu hình SPF cho Google Workspace và Microsoft 365 có gì khác biệt?

Về bản chất, cả Google Workspace và Microsoft 365 đều sử dụng cơ chế include để xác thực, nhưng giá trị cụ thể và các bước thực hiện trên bảng điều khiển có sự khác biệt rõ rệt. Đối với Google, bản ghi SPF chuẩn là include:_spf.google.com. Google chú trọng vào sự đơn giản, thường chỉ yêu cầu một bản ghi DKIM duy nhất. Trong khi đó, Microsoft 365 sử dụng include:spf.protection.outlook.com và thường yêu cầu cấu hình thêm các bản ghi CNAME cho DKIM (thường là 2 bản ghi để xoay vòng khóa). Microsoft cũng có hệ thống báo cáo và bảo mật “Exchange Online Protection” khắt khe hơn đối với việc khớp lệnh (Alignment). Nếu doanh nghiệp của bạn đang chuyển đổi số và sử dụng cả hai hệ thống (ví dụ công ty mẹ dùng M365, công ty con dùng Google), bạn phải kết hợp cả hai include vào một bản ghi duy nhất để tránh xung đột, đây là một lỗi cấu hình cực kỳ phổ biến tại các Agency hiện nay.

Cách ngăn chặn người khác giả mạo email tên miền công ty?

Cách duy nhất để ngăn chặn triệt để nạn giả mạo (Spoofing) và lừa đảo (Phishing) tên miền là triển khai DMARC ở mức độ chính sách nghiêm ngặt nhất: p=reject. Khi bạn cấu hình p=reject, bất kỳ email nào không có chữ ký DKIM hợp lệ từ server của bạn hoặc không xuất phát từ IP đã khai báo trong SPF sẽ bị server nhận (như Gmail, Outlook, Yahoo) từ chối tiếp nhận ngay lập tức. Điều này bảo vệ khách hàng của bạn khỏi những email giả danh giám đốc công ty yêu cầu chuyển tiền hoặc cung cấp mật khẩu. Kết hợp với việc đăng ký BIMI để hiển thị logo chính chủ, bạn tạo ra một “dấu ấn tin cậy” không thể làm giả. Ngoài ra, việc thường xuyên theo dõi báo cáo DMARC giúp bạn phát hiện sớm các chiến dịch tấn công giả mạo đang diễn ra để có biện pháp cảnh báo kịp thời cho đối tác và khách hàng.

Những công cụ miễn phí nào hỗ trợ kiểm tra sức khỏe tên miền email tốt nhất?

Hiện nay, có rất nhiều công cụ miễn phí giúp bạn kiểm tra sức khỏe và độ an toàn của hệ thống email chỉ trong vài giây. Mail-Tester.com là công cụ tuyệt vời nhất cho Marketer, nó cung cấp thang điểm 10 và chỉ ra chính xác bạn thiếu bản ghi nào, hay nội dung có từ ngữ nhạy cảm nào dễ vào spam. MXToolbox là “con dao pha lê” cho quản trị viên IT, hỗ trợ tra cứu DNS, kiểm tra Blacklist và phân tích cấu hình SPF/DKIM/DMARC sâu sắc. Google Postmaster Tools là công cụ không thể thiếu nếu khách hàng của bạn chủ yếu dùng Gmail, giúp theo dõi uy tín tên miền (Domain Reputation). Cuối cùng, DMARC Check của Cloudflare là giải pháp miễn phí rất tốt để bắt đầu theo dõi báo cáo xác thực. Sử dụng kết hợp các công cụ này sẽ giúp bạn luôn làm chủ được tình hình Deliverability Email của doanh nghiệp.

Bảng so sánh cấu hình SPF giữa các nền tảng phổ biến

Nền tảngGiá trị bản ghi SPF (Include)Độ khó cấu hìnhĐặc điểm nổi bật
Google Workspaceinclude:_spf.google.comThấpĐơn giản, ổn định cao
Microsoft 365include:spf.protection.outlook.comTrung bìnhBảo mật doanh nghiệp khắt khe
Zoho Mailinclude:zoho.comThấpPhù hợp startup, doanh nghiệp nhỏ
SendGridinclude:sendgrid.netTrung bìnhChuyên dụng cho email marketing
Amazon SESinclude:amazonses.comCaoChi phí thấp, yêu cầu kỹ thuật cao

Câu hỏi thường gặp

1. Tên miền phụ (Sub-domain) có cần cấu hình SPF, DKIM và DMARC riêng không? Có. Mặc định, chính sách DMARC của tên miền chính sẽ tự động áp dụng cho các tên miền phụ (thông qua thẻ sp=). Tuy nhiên, để tối ưu hóa việc gửi email chuyên biệt (ví dụ: dùng marketing.tenmien.com để gửi bản tin), bạn nên cấu hình bản ghi SPF và cặp khóa DKIM riêng biệt cho sub-domain đó nhằm cách ly rủi ro danh tiếng với tên miền chính.

2. Làm sao để đọc và hiểu báo cáo DMARC gửi về hàng ngày? Các báo cáo này được gửi dưới định dạng thô XML rất khó đọc đối với người không chuyên. Các chuyên gia tại Blog Kiều Trọng Tú khuyên bạn nên sử dụng các công cụ phân tích DMARC bên thứ ba (DMARC Analyzer, Postmark, EasyDMARC). Chúng sẽ tự động thu thập email XML của bạn và chuyển đổi thành biểu đồ trực quan, chỉ rõ IP nào hợp lệ, IP nào đang giả mạo bạn.

3. Tại sao tôi đã cấu hình đủ ba giao thức nhưng email vẫn vào mục khuyến mãi (Promotions) hoặc Spam? Việc cấu hình SPF, DKIM, DMARC chỉ giải quyết được bài toán “Danh tính” – chứng minh bạn là người gửi hợp pháp. Nó không giải quyết được bài toán “Nội dung”. Nếu nội dung email của bạn chứa nhiều từ khóa spam (như “miễn phí”, “kiếm tiền nhanh”), đính kèm file lạ, hoặc tỷ lệ người dùng mở thư (Open rate) quá thấp, AI của Google vẫn sẽ ném thư vào mục Spam dựa trên trải nghiệm người dùng (User Engagement).

4. Dấu hiệu nào cho biết bản ghi SPF của tôi đang bị lỗi? Bạn có thể sử dụng các công cụ kiểm tra công khai như MXToolbox. Nếu kết quả trả về các lỗi như “Too many included lookups” (Vượt quá 10 lượt tra cứu) hoặc “Multiple SPF records found” (Tìm thấy nhiều hơn 1 bản ghi), bạn cần gom nhóm lại và tối ưu chuỗi mã ngay lập tức.

5. Chế độ DMARC ‘p=none’ có thực sự bảo vệ tên miền không? Không có tác dụng bảo vệ ngăn chặn. Chế độ p=none (Monitor only) chỉ có chức năng thu thập dữ liệu xem có ai đang giả mạo bạn không. Nó giống như việc bạn lắp camera an ninh nhưng không khóa cửa. Để bảo vệ thực sự, bạn phải nâng cấp lên p=quarantine hoặc p=reject.

6. Sự khác biệt cốt lõi giữa SPF và DKIM là gì? SPF xác minh “Đường dẫn” (IP máy chủ nào được phép gửi), trong khi DKIM xác minh “Nội dung” (Bức thư này có bị chỉnh sửa trên đường bay đến người nhận hay không). Chống giả mạo IP bằng SPF và chống giả mạo nội dung bằng DKIM, cả hai hợp lực cung cấp dữ liệu cho DMARC ra quyết định.

7. Nếu tôi chỉ sử dụng Gmail cá nhân (@gmail.com) để gửi thư cho khách hàng thì sao? Bạn không thể và không cần cấu hình SPF, DKIM, DMARC cho tên miền @gmail.com vì Google đã quản lý việc đó. Tuy nhiên, gửi email hàng loạt bằng Gmail cá nhân vi phạm chính sách của Google, thư của bạn sẽ bị giới hạn rất nhanh và dễ bị liệt vào danh sách đen. Tốt nhất hãy mua tên miền doanh nghiệp riêng.

Chủ đề liên quan

  • Phân tích sự thay đổi trong nguyên tắc người gửi hàng loạt của Google 2026
  • Kỹ thuật SPF Flattening xử lý triệt để lỗi 10 DNS Lookups
  • Cách đọc hiểu và phân tích báo cáo DMARC định dạng XML
  • Tại sao IP máy chủ gửi email bị đưa vào Blacklist (Danh sách đen)?
  • Xây dựng chiến lược hâm nóng (IP Warmup) cho tên miền email mới
  • Tối ưu hóa nội dung email vượt qua bộ lọc SpamBrain của Google
  • Hướng dẫn xử lý khi tỷ lệ thoát (Bounce Rate) email tăng cao
  • Phân biệt giữa Hard Bounce và Soft Bounce trong Email Marketing
  • Những từ khóa cấm kỵ cần tránh khi viết tiêu đề email
  • Cách thiết lập vòng lặp phản hồi (Feedback Loop) với Yahoo và Microsoft

Quy trình 4 bước thiết lập “In-box tuyệt đối” cho doanh nghiệp

  1. Bước 1: Khởi tạo và xác thực SPF – Liệt kê tất cả nguồn gửi mail và tạo bản ghi TXT duy nhất trên DNS.
  2. Bước 2: Cài đặt chữ ký số DKIM – Tạo cặp khóa trên server gửi và niêm yết khóa công khai lên DNS để chống sửa đổi thư.
  3. Bước 3: Triển khai DMARC với chính sách “None” – Bắt đầu theo dõi luồng mail để đảm bảo không cấu hình sai các nguồn mail hợp lệ.
  4. Bước 4: Nâng cấp chính sách DMARC & BIMI – Chuyển sang p=quarantine hoặc p=reject và cài đặt logo thương hiệu để tối đa uy tín.

Một hệ thống email không được bảo vệ giống như một con thuyền ra khơi không có la bàn. Việc chuẩn hóa hạ tầng bảo mật không chỉ giúp chiến dịch tiếp thị của bạn đến đúng đối tượng, mà còn khẳng định sự uy tín, chuyên nghiệp của thương hiệu trong mắt khách hàng và đối tác.

Làm chủ Cách Cấu Hình SPF, DKIM và DMARC Cho Tên Miền Email là bước đi chiến lược để bảo vệ tài sản số lớn nhất của doanh nghiệp: Sự tin tưởng của khách hàng. Đừng để những nỗ lực làm marketing bị đổ sông đổ biển chỉ vì lỗi kỹ thuật xác thực. Hãy triển khai ngay hôm nay để đảm bảo mọi thông điệp của bạn luôn nằm gọn trong Inbox khách hàng.

Nếu bạn đang gặp khó khăn trong việc gỡ lỗi email hoặc cần một kế hoạch hành động tối ưu hóa Deliverability Email toàn diện cho hệ thống của mình, hãy liên hệ ngay với tôi.

HOTLINE: 0961381264

THƯƠNG HIỆU: Blog Kiều Trọng Tú

WEBSITE:https://kieutrongtu.com/

Kiều Trọng Tú

Liên hệ tác giả: 0961381264.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Mục Lục

Chỉ mục