DMARC Policy Not Enabled แก้อย่างไรให้โดเมนอีเมลหาลูกค้า B2B ปลอดภัยจริง
เมื่อเครื่องมือ dmarc check tool ขึ้นคำเตือนว่า DMARC policy not enabled แปลว่าโดเมนของคุณยังไม่มีการป้องกันที่แท้จริง ต่อให้มี DMARC record อยู่ใน DNS แล้วก็ตาม บทความนี้ไล่แก้ทีละสาเหตุ ตั้งแต่ record ที่พิมพ์ผิดไปจนถึงนโยบายที่ยังตั้งเป็น none เพื่อให้อีเมลที่ทีมขายส่งหาลูกค้าองค์กรจริง ๆ ไม่ถูกเข้าใจผิดว่าเป็นอีเมลปลอมหรือสแปม
- "DMARC policy not enabled" มักหมายถึง record ยังตั้งเป็น p=none หรือไม่มี record เลย ไม่ใช่ปัญหาทางเทคนิคเดียว
- ต้องมี SPF และ DKIM ผ่านและ align กันก่อน DMARC ถึงจะทำงานได้เต็มประสิทธิภาพ
- ควรขยับจาก none ไป quarantine แล้วค่อยไป reject ทีละขั้น พร้อมดูรายงาน aggregate ก่อนทุกครั้ง
- dmarc check tool ช่วยยืนยันความถูกต้องของ record แต่ต้องอ่านรายงานจริงประกอบด้วย
- โดเมนที่ policy แข็งแรงช่วยให้ cold email B2B ที่ส่งถูกวิธีไม่ถูกเหมารวมเป็นสแปม
DMARC Policy Not Enabled คืออะไร ทำไม dmarc check tool ถึงฟ้อง
DMARC (Domain-based Message Authentication, Reporting and Conformance) คือ record ใน DNS ที่บอกเซิร์ฟเวอร์ปลายทางว่าเมื่ออีเมลจากโดเมนคุณไม่ผ่าน SPF หรือ DKIM ให้จัดการอย่างไร ปัญหาที่พบบ่อยที่สุดเมื่อรัน dmarc check tool อย่าง MXToolbox, dmarcian หรือฟีเจอร์ตรวจสุขภาพโดเมนใน LDM คือคำเตือน dmarc policy not enabled ซึ่งไม่ได้แปลว่าไม่มี record เสมอไป บ่อยครั้งมี record อยู่จริง แต่ policy ที่ตั้งไว้เป็น p=none คือให้แค่เฝ้าดูและส่งรายงาน โดยไม่สั่งให้ปลายทางบล็อกหรือกักอีเมลปลอมที่แอบอ้างชื่อโดเมนคุณเลย
เข้าใจง่าย ๆ ว่า DMARC ทำงานเป็นชั้นสุดท้ายบนฐานของ SPF และ DKIM ถ้าสองตัวนั้นยังไม่ผ่านหรือยัง align ไม่ครบ DMARC ก็ยังไม่มีอะไรให้ตัดสินได้จริง เครื่องมือหลายตัวจึงมักโชว์ข้อความรวมประมาณ dmarc policy not enabled dmarc quarantine/reject policy not enabled ในคำเตือนเดียวกัน เพราะทั้งสามอาการมีต้นตอเดียวกันคือโดเมนยังไม่ถูกป้องกันจริงจัง แม้จะดูเหมือนตั้งค่าไปแล้วก็ตาม
สาเหตุที่พบบ่อยที่ทำให้เจอคำเตือนนี้
ก่อนแก้ ควรไล่เช็คทีละสาเหตุตามลำดับที่พบบ่อยที่สุดในโดเมนของบริษัทที่ทำ B2B outreach
- ไม่มี DMARC record ใน DNS เลย พบมากในโดเมนที่เพิ่งเปิดใช้ส่งอีเมลหาลูกค้าใหม่ ๆ
- มี record แต่พิมพ์ syntax ผิด เช่น ขาด v=DMARC1 หรือมี tag ซ้อนกัน ทำให้ dmarc check tool อ่านไม่ผ่าน
- ตั้ง policy เป็น p=none แล้วไม่เคยขยับต่อ เพราะกลัวอีเมลตัวเองตกหล่นระหว่างเทส
- SPF หรือ DKIM ยังไม่ align กับโดเมนที่ใช้ส่งจริง เช่นใช้ subdomain ส่งแต่ record อยู่คนละที่
- ใช้ผู้ให้บริการส่งอีเมลหลายเจ้าพร้อมกัน เช่น ESP, CRM, ระบบแจ้งเตือนอัตโนมัติ แต่ลืมเพิ่ม SPF หรือ DKIM ให้ครบทุกเจ้า
วิธีแก้ทีละขั้นตอน จาก record ผิดไปจนถึง policy ที่ใช้งานได้จริง
การแก้ dmarc policy not enabled ควรทำเป็นขั้นบันได ไม่ใช่กระโดดไปตั้งค่าเข้มที่สุดทันที เพราะโดเมนที่ยังไม่ผ่านการตรวจสอบครบ อาจทำให้อีเมลขายที่ถูกต้องหลุดหายไปพร้อมกับอีเมลปลอม
- รัน dmarc check tool เพื่อดูว่ามี record ที่ _dmarc.yourdomain.com หรือไม่ และอ่านค่า p= ปัจจุบัน
- ถ้าไม่มี ให้เพิ่ม TXT record พื้นฐานที่ p=none ก่อน พร้อมใส่ rua= ที่ชี้ไปยังอีเมลที่ทีมมอนิเตอร์ดูรายงานได้จริง
- ตรวจสอบ SPF ให้ include ผู้ให้บริการส่งอีเมลทุกเจ้าที่ใช้จริง และ DKIM ต้อง sign ด้วย selector ที่ตรงกับผู้ให้บริการนั้น
- เฝ้าดูรายงาน aggregate (rua) อย่างน้อย 2-4 สัปดาห์ เพื่อยืนยันว่าอีเมลที่ถูกต้องผ่าน SPF และ DKIM หมดแล้วจริง ไม่มีตกหล่น
- เมื่อรายงานสะอาด ค่อยขยับเป็น p=quarantine เพื่อให้อีเมลปลอมถูกส่งเข้ากล่องสแปมแทนกล่องหลัก
- สุดท้ายขยับเป็น p=reject เมื่อมั่นใจว่าไม่มี traffic ที่ถูกต้องหลุดออกจากรายงานแล้ว
ตัวอย่าง record เริ่มต้นที่ตั้งไว้อย่างปลอดภัยสำหรับบริษัทสมมติ บจ. สยามอุตสาหกรรมเวชภัณฑ์ ที่ _dmarc.siamvej.co.th ตั้งค่า TXT เป็น v=DMARC1; p=none; rua=mailto:dmarc-reports@siamvej.co.th; pct=100 เพื่อเริ่มเก็บรายงานก่อนขยับ policy จริงในภายหลัง
จาก p=none ไป quarantine ไป reject ผลต่างกันแค่ไหน
ทีมที่เพิ่งเจอคำเตือน dmarc quarantine/reject policy not enabled มักถามว่าต้องรอนานแค่ไหนกว่าจะขยับได้ ในทางปฏิบัติของแคมเปญ B2B แบบตรงเป้าหมาย แต่ละขั้นให้ผลต่างกันชัดเจน และการรีบข้ามขั้นมักทำให้อีเมลที่ถูกต้องได้รับผลกระทบไปด้วย
ตัวเลขเป็นค่าประมาณจากประสบการณ์ดูแลแคมเปญ B2B แบบตรงเป้าหมาย ไม่ใช่ผลวิจัยอย่างเป็นทางการ
ข้อผิดพลาดที่พบบ่อยเมื่อปรับ DMARC policy
ความผิดพลาดส่วนใหญ่ไม่ได้เกิดจากการตั้งค่าผิด แต่เกิดจากการรีบขยับ policy โดยไม่เตรียมข้อมูลให้พร้อมก่อน
- รีบขยับเป็น reject ทันทีโดยไม่ดูรายงานก่อน ทำให้อีเมลจริงจากทีมขายหรือ CRM หลุดหายไปเงียบ ๆ
- ลืมอัปเดต SPF หรือ DKIM เมื่อเปลี่ยนผู้ให้บริการอีเมลหรือเพิ่มเครื่องมือ marketing ใหม่
- ตั้ง rua ไปยังกล่องเมลที่ไม่มีใครเปิดอ่าน ทำให้พลาดสัญญาณเตือนล่วงหน้า
- มีหลาย subdomain ส่งอีเมลแต่ตั้ง DMARC ไว้ที่โดเมนหลักอย่างเดียวโดยไม่เช็ค inheritance
- เข้าใจผิดว่าตั้ง p=none แล้วคือ DMARC enabled ทั้งที่ยังไม่ได้ป้องกันอะไรจริง
เช็คลิสต์ DMARC สำหรับทีมที่ทำ cold email B2B (แนวทางที่ LDM ใช้)
สำหรับทีมที่ทำ cold email หาลูกค้าองค์กรโดยตรง DMARC ที่แข็งแรงไม่ใช่แค่เรื่อง deliverability แต่ยังเป็นส่วนหนึ่งของการดูแลข้อมูลติดต่อทางธุรกิจให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) เพราะโดเมนที่ปลอมแปลงได้ง่ายเสี่ยงถูกใช้ส่งอีเมลหลอกลวงในนามบริษัท ซึ่งกระทบทั้งชื่อเสียงและความน่าเชื่อถือของข้อมูลที่ส่งถึงผู้ติดต่อทางธุรกิจ
LDM ดูแลลูกค้าที่ทำ B2B outreach โดยยึดหลักเดียวกัน คือไม่มีทางลัดในการขยับ policy เร็วกว่ารายงานจริงจะยืนยัน
- ตรวจ record ด้วย dmarc check tool ทุกครั้งที่เพิ่มหรือเปลี่ยนผู้ให้บริการส่งอีเมล
- เก็บรายงาน aggregate ไว้อย่างน้อย 1 รอบบิลก่อนขยับ policy ทุกครั้ง
- แยก subdomain สำหรับ cold email ออกจากโดเมนหลักที่ใช้รับออเดอร์ลูกค้า เพื่อจำกัดความเสี่ยงถ้าต้อง warm-up ใหม่
- ตั้งเป้าไปที่ p=reject ภายในกรอบเวลาที่ทีมยอมรับได้ ไม่ใช่ปล่อย p=none ไว้ถาวร
- ทบทวนนโยบายทุกไตรมาสคู่กับการตรวจ SPF และ DKIM ไม่ใช่ตั้งครั้งเดียวแล้วลืม
คำถามที่พบบ่อย
DMARC policy not enabled ต่างจาก DMARC record not found อย่างไร
DMARC record not found หมายถึงไม่มี record ใน DNS เลย ส่วน policy not enabled หมายถึงมี record แล้วแต่ policy ตั้งเป็น none หรือค่าที่ไม่บังคับ ทั้งสองแบบทำให้ dmarc check tool เตือนคล้ายกัน เพราะผลลัพธ์คือโดเมนยังไม่ได้รับการป้องกันจริง
ตั้ง p=none ไว้นานแค่ไหนก่อนขยับ
โดยทั่วไปควรเฝ้าดูรายงาน aggregate อย่างน้อย 2-4 สัปดาห์ จนมั่นใจว่าอีเมลที่ถูกต้องทั้งหมดผ่าน SPF และ DKIM ก่อนขยับไป quarantine
ใช้ dmarc check tool ตัวไหนดี
เครื่องมือฟรีอย่าง MXToolbox หรือ dmarcian ใช้ตรวจ syntax และ alignment เบื้องต้นได้ดี แต่การอ่านรายงาน aggregate ระยะยาวควรใช้แดชบอร์ดที่รวมรายงานจากหลายผู้ให้บริการ เพื่อไม่ต้องเปิดไฟล์ทีละฉบับ
ถ้าเพิ่งเริ่มส่ง cold email หาลูกค้าใหม่ ต้องรีบตั้ง p=reject เลยไหม
ไม่ควร ควรเริ่มที่ none แล้วไล่ตรวจ SPF และ DKIM ให้ผ่านทุกช่องทางส่งจริงก่อน การรีบตั้ง reject ตั้งแต่ยังไม่ warm-up domain เสี่ยงทำให้อีเมลขายที่ถูกต้องหลุดหายไปด้วย
DMARC เกี่ยวอะไรกับ PDPA
DMARC ไม่ใช่ข้อบังคับตาม PDPA โดยตรง แต่ช่วยลดความเสี่ยงที่โดเมนบริษัทถูกปลอมแปลงส่งอีเมลหลอกลวงผู้ติดต่อทางธุรกิจ ซึ่งเชื่อมโยงกับหน้าที่ดูแลข้อมูลส่วนบุคคลของผู้ติดต่อให้ปลอดภัยตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
ถ้ามีหลายทีมขายใช้โดเมนเดียวกันส่งอีเมลต้องทำอย่างไร
ควรรวมศูนย์ตรวจ SPF และ DKIM ของทุกทีมไว้ที่เดียวก่อนตั้ง DMARC record เพราะถ้าทีมใดทีมหนึ่งใช้บริการส่งอีเมลที่ไม่ได้อยู่ใน SPF การขยับ policy ไป reject จะบล็อกอีเมลของทีมนั้นทันที
อยากนำวิธีนี้ไปใช้กับ outreach ของคุณไหม
เราจะแสดงให้เห็นว่ามันทำงานอย่างไรกับกลุ่มเป้าหมายและสินค้าของคุณ ก่อนเริ่มงานจริง
คุยกับเรา