Panduan SPF, DKIM, DMARC untuk Office 365 dan Google Workspace
Domain hantar yang tiada SPF, DKIM, DMARC yang betul akan ditandakan mencurigakan oleh Gmail dan Outlook, walaupun volum penghantaran anda kecil dan tersasar. Panduan ini tunjuk cara sebenar tetapkan ketiga-tiga rekod di Office 365 dan Google Workspace, serta cara jalankan spf dkim dmarc check sebelum tim jualan mula hantar mesej sejuk kepada prospek.
- SPF, DKIM, DMARC adalah tiga lapisan berasingan — semua tiga mesti aktif dan sepadan (aligned), bukan salah satu sahaja
- DMARC bermula p=none untuk pantau laporan, baru naik ke quarantine dan reject selepas beberapa minggu bersih
- Gunakan subdomain khas untuk cold email (contohnya outreach.syarikat.com.my), bukan domain korporat utama
- Sahkan rekod dengan spf dkim dmarc check online sebelum kempen bermula, bukan selepas bounce rate melonjak
- Kesilapan paling biasa ialah dua rekod SPF berasingan atau DKIM yang tidak diaktifkan selepas rekod DNS ditambah
Kenapa SPF, DKIM, DMARC wajib untuk cold email B2B
Gmail dan Outlook kini menilai reputasi domain penghantar untuk setiap mesej, bukan hanya untuk penghantaran pukal. Bagi cold email B2B yang tersasar kepada wakil syarikat tertentu, walaupun volum harian kecil, ketiadaan pengesahan domain menjadikan mesej nampak seperti spoofing — dan server penerima boleh terus menolak atau menghantar ke folder Spam.
SPF (Sender Policy Framework) mengesahkan server mana yang dibenarkan hantar bagi pihak domain anda. DKIM (DomainKeys Identified Mail) melekatkan tandatangan kriptografi pada setiap mesej supaya penerima tahu kandungan tidak diubah dalam perjalanan. DMARC (Domain-based Message Authentication, Reporting and Conformance) ialah lapisan atas yang menggabungkan kedua-duanya — dmarc meaning in networking secara ringkas ialah protokol yang beritahu server penerima apa nak buat bila SPF atau DKIM gagal, dan hantar laporan balik kepada anda.
Tanpa DMARC, SPF dan DKIM boleh lulus secara berasingan tetapi tak 'aligned' dengan domain 'From' — dan itu yang paling sering menyebabkan cold email jatuh ke Spam walaupun kelihatan sah pada mata kasar.
Tetapkan SPF di Office 365 dan Google Workspace
SPF disimpan sebagai satu rekod TXT tunggal di DNS domain anda — pastikan hanya SATU rekod SPF wujud, kerana dua rekod berasingan menyebabkan SPF gagal sepenuhnya, bukan digabung.
Untuk Office 365, rekod asas ialah: v=spf1 include:spf.protection.outlook.com -all. Untuk Google Workspace: v=spf1 include:_spf.google.com -all. Jika anda juga guna platform hantar cold email pihak ketiga (termasuk LDM), tambah include mekanisme penyedia itu dalam rekod yang sama sebelum -all, contohnya v=spf1 include:spf.protection.outlook.com include:_spf.ldm.co ~all.
Tambah rekod ini di panel DNS pendaftar domain anda (Cloudflare, GoDaddy, atau registrar tempatan seperti Exabytes/Shinjiru untuk domain .com.my) sebagai TXT pada root domain atau subdomain hantar. Propagasi biasanya ambil 1–24 jam sebelum boleh disahkan.
Tetapkan DKIM di Office 365 dan Google Workspace
Di Office 365, DKIM diaktifkan melalui Microsoft 365 Defender > Email & collaboration > Policies & rules > DKIM. Sistem jana dua rekod CNAME (selector1 dan selector2) yang perlu ditambah di DNS sebelum anda boleh 'Enable' DKIM untuk domain berkenaan — kalau CNAME belum ada, butang enable akan gagal.
Di Google Workspace, pergi ke Admin console > Apps > Google Workspace > Gmail > Authenticate email, pilih domain, jana kunci 2048-bit (lebih kuat dari 1024-bit lama), dan tampal rekod TXT yang dijana ke DNS dengan nama selector seperti google._domainkey.
Selepas rekod DNS disahkan wujud, kembali ke panel dan tekan Start Authentication / Enable — kedua-dua platform tidak aktifkan DKIM secara automatik walaupun rekod DNS sudah betul.
Tetapkan dan naikkan tahap DMARC settings Office 365 secara berperingkat
Rekod DMARC ialah TXT di _dmarc.domainanda.com, contohnya: v=DMARC1; p=none; rua=mailto:dmarc-report@domainanda.com; pct=100. Mulakan dengan p=none — ini hanya memantau dan hantar laporan agregat ke email rua anda, tanpa menolak apa-apa mesej.
Selepas 2–3 minggu memantau laporan (pastikan semua sumber hantar sah — Office 365, Google, dan platform cold email — muncul sebagai 'pass'), naikkan ke p=quarantine untuk hantar mesej gagal ke Spam sahaja. Baru selepas itu, bila laporan bersih, naik ke p=reject untuk tolak terus mesej yang gagal alignment. Dmarc settings office 365 dan Google Workspace sama-sama ikut turutan ini — jangan terus lompat ke reject pada hari pertama kerana risiko domain sah anda sendiri tersekat.
Setiap naik peringkat DMARC biasanya bersamaan dengan peningkatan kadar sampai ke Inbox, kerana penerima besar seperti Gmail lebih percayakan domain yang menguatkuasakan alignment penuh.
Angka anggaran berdasarkan amalan kempen cold email B2B tersasar, bukan jaminan untuk setiap domain atau industri.
Sahkan semuanya dengan spf dkim dmarc check online
Jangan anggap rekod betul hanya sebab ia dah ditampal. Guna alat spf dkim dmarc record checker seperti MXToolbox atau Google Admin Toolbox untuk sahkan sintaks dan propagasi sebelum kempen bermula — kebanyakan alat ini percuma dan beri hasil dalam saat.
Cara paling terus: hantar mesej ujian ke akaun Gmail sendiri, buka mesej itu, klik ikon tiga titik dan pilih 'Show original'. Anda akan nampak SPF: PASS, DKIM: PASS, dan DMARC: PASS pada header — kalau mana-mana gagal, semak semula rekod DNS berkenaan sebelum teruskan.
Google spf dkim dmarc checker dalam Postmaster Tools (jika volum cukup besar untuk dipantau) juga tunjukkan trend reputasi domain dari semasa ke semasa — berguna untuk pasukan yang hantar cold email secara berterusan, bukan sekali sahaja.
Kesilapan paling biasa semasa persediaan
Kebanyakan masalah deliverability yang kami lihat pada domain baharu punca dari kesilapan asas ini, bukan reputasi domain yang teruk.
- Dua rekod SPF berasingan di DNS yang sama — mesti digabung jadi satu include: sahaja
- DKIM CNAME ditambah di DNS tapi butang 'Enable' di admin console tak ditekan
- DMARC alignment mode strict (aspf=s) sedangkan penyedia hantar guna subdomain berlainan
- Hantar cold email dari domain korporat utama, bukan subdomain khas — risikokan reputasi domain email dalaman
- Terus set p=reject pada hari pertama tanpa pantau laporan rua dahulu
- Lupa perbaharui rekod SPF/DKIM bila tukar platform hantar cold email baharu
Anggaran taburan punca berdasarkan semakan domain klien baharu sebelum onboarding kempen, bukan kajian formal.
Senarai semak sebelum mula kempen — macam mana LDM uruskan
Di LDM, setiap domain hantar disahkan SPF, DKIM, DMARC sebelum satu mesej pun keluar, dan biasanya guna subdomain khas untuk cold email supaya reputasi terasing dari domain korporat utama yang pakai untuk emel harian syarikat.
Kempen juga dipanaskan (warm-up) secara beransur — bukan terus hantar volum penuh — sambil pantau laporan DMARC dan bounce rate setiap minggu. Balasan prospek disegerakkan terus ke CRM supaya tim jualan boleh susul tanpa perlu semak inbox berasingan.
- Satu rekod SPF sahaja, gabung semua penyedia hantar dalam satu include chain
- DKIM aktif di kedua-dua Office 365/Google DAN platform cold email pihak ketiga
- DMARC p=none dulu, pantau 2–3 minggu, baru naik quarantine, kemudian reject
- Subdomain khas untuk outreach, dipisah dari domain emel korporat utama
- Sahkan header SPF/DKIM/DMARC PASS setiap kali tukar penyedia atau tambah pengirim baharu
Soalan lazim
Apa beza spf dkim dmarc check dengan hanya pasang SPF sahaja?
SPF sahaja tak cukup kerana ia hanya sahkan server penghantar, bukan kesahihan kandungan atau alignment dengan domain 'From'. Tanpa DKIM dan DMARC, penipu masih boleh spoof domain anda dan penerima besar seperti Gmail akan turunkan reputasi domain secara keseluruhan.
Berapa lama nak naik dari DMARC p=none ke p=reject?
Biasanya 2–4 minggu, bergantung pada berapa banyak sumber hantar sah yang perlu disahkan dalam laporan rua. Jangan tergesa-gesa — domain yang lompat terus ke reject tanpa data laporan berisiko sekat emel sah sendiri.
Bolehkah guna domain korporat utama untuk cold email?
Boleh secara teknikal, tapi tidak digalakkan. Kalau reputasi terjejas akibat volum atau kadar bounce cold email, ia akan turut jejaskan emel dalaman dan komunikasi rasmi syarikat. Subdomain khas (contohnya outreach.syarikat.com.my) mengasingkan risiko ini.
Kenapa DKIM saya PASS tapi DMARC masih FAIL?
Ini biasanya isu alignment — domain yang menandatangani DKIM (d= dalam header) tak sepadan dengan domain 'From' yang dilihat penerima. Semak setting alignment (aspf/adkim) dalam rekod DMARC anda, dan pastikan penyedia hantar guna domain yang sama sepanjang rantaian.
Alat apa paling senang untuk spf dkim dmarc check online?
MXToolbox dan Google Admin Toolbox cukup untuk sebahagian besar keperluan — masukkan domain, ia terus tunjuk status SPF, DKIM (perlu selector), dan DMARC. Untuk sahkan hasil sebenar dalam mesej, 'Show original' di Gmail beri gambaran paling tepat.
Mahu gunakan ini dalam outreach anda?
Kami tunjukkan cara ia berfungsi untuk segmen dan produk anda — sebelum anda bermula.
Hubungi kami