SPF DKIM DMARC ตั้งค่าผิดตรงไหนบ้าง ทำไมอีเมลหาลูกค้า B2B ถึงไม่เข้ากล่องจดหมาย
ทีมขาย B2B จำนวนมากเขียนอีเมลดี เลือกลิสต์ดี แต่แคมเปญยังไม่ถึงกล่องจดหมายเพราะ DNS record สามตัวนี้ตั้งค่าผิดตั้งแต่ต้น spf dkim dmarc คือรากฐานที่ mailbox provider อย่าง Gmail และ Outlook ใช้ยืนยันว่าอีเมลมาจากโดเมนที่อ้างจริงหรือไม่ บทความนี้รวมข้อผิดพลาดที่พบบ่อยที่สุดจากการตรวจโดเมนลูกค้าใหม่ พร้อมวิธีแก้ให้ถูกตั้งแต่ครั้งแรก
- โดเมนหนึ่งโดเมนมี SPF record ได้เพียงเส้นเดียว การมีสองเส้นทำให้ SPF fail ทั้งหมด
- DKIM selector ต้องตรงกับที่ ESP ใช้จริง ไม่ใช่แค่มี DKIM key อยู่ใน DNS
- อย่าตั้ง DMARC เป็น p=reject ทันที ควรเริ่มที่ p=none แล้วดู report ก่อนอย่างน้อย 2-4 สัปดาห์
- การใช้ subdomain แยกส่ง cold email ช่วยป้องกันชื่อเสียงโดเมนหลัก แต่ subdomain ก็ต้องมี SPF/DKIM ของตัวเอง
- PDPA ไม่ได้บังคับให้ตั้ง SPF/DKIM/DMARC โดยตรง แต่การยืนยันตัวตนผู้ส่งที่ถูกต้องคือส่วนหนึ่งของการส่งข้อมูลติดต่ออย่างรับผิดชอบ
ทำไม SPF DKIM DMARC ถึงเป็นเรื่องอัตราการส่งถึงกล่องจดหมาย ไม่ใช่แค่งานไอที
SPF (Sender Policy Framework) บอกว่าเซิร์ฟเวอร์ไหนมีสิทธิ์ส่งอีเมลในนามโดเมนของคุณ DKIM (DomainKeys Identified Mail) เซ็นลายเซ็นดิจิทัลในหัวอีเมลเพื่อยืนยันว่าเนื้อหาไม่ถูกแก้ไขระหว่างทาง ส่วน DMARC (Domain-based Message Authentication) เป็นนโยบายที่บอก mailbox provider ว่าถ้า SPF หรือ DKIM ไม่ผ่านและไม่ align กับโดเมนใน From ให้ทำอะไร ปล่อยผ่าน กักไว้ตรวจ หรือปฏิเสธ
สำหรับแคมเปญ cold email ที่ส่งหาผู้ติดต่อเฉพาะเจาะจงในบริษัทเป้าหมาย ปริมาณต่อวันมักไม่สูง แต่ Gmail และ Yahoo ตั้งแต่นโยบาย bulk sender ปี 2024 เป็นต้นมา ตรวจสอบ SPF/DKIM/DMARC กับโดเมนแทบทุกขนาด ไม่ใช่แค่ผู้ส่งปริมาณมาก โดเมนที่ตั้งค่าผิดจึงเสี่ยงตกสแปมหรือถูกปฏิเสธตั้งแต่ยังไม่ถึงกล่องจดหมายของผู้รับ
สัดส่วนข้อผิดพลาดที่พบบ่อยที่สุดตอนตรวจโดเมนลูกค้าใหม่
จากการตรวจสอบโดเมนลูกค้าใหม่ก่อนเริ่มแคมเปญ ข้อผิดพลาดที่เจอซ้ำๆ ไม่ใช่เรื่องซับซ้อน ส่วนใหญ่เกิดจากการตั้งค่าครั้งแรกโดยไม่มีคนตรวจทานซ้ำ หรือมีหลายทีม (ไอที, ESP เดิม, เอเจนซี่) แก้ DNS คนละช่วงเวลาโดยไม่ประสานกัน
ตัวเลขเป็นค่าประมาณจากประสบการณ์ตรวจโดเมนก่อนเริ่มแคมเปญ B2B ไม่ใช่ผลสำรวจที่ตีพิมพ์
ข้อผิดพลาดที่พบบ่อยใน SPF
กฎที่มักถูกลืมคือโดเมนหนึ่งมี SPF record ได้เพียง TXT record เดียวเท่านั้น ถ้าทีมไอทีเพิ่ม include ใหม่โดยสร้าง TXT ที่ขึ้นต้นด้วย v=spf1 อีกเส้นแทนที่จะแก้เส้นเดิม ผลคือ mailbox provider เจอสอง record ที่ขัดแย้งกันและตัดสินให้ SPF fail ทั้งหมด
- มี SPF record ซ้ำสองเส้นขึ้นไปในโดเมนเดียว ต้องรวมเป็นเส้นเดียวเสมอ
- เกิน 10 DNS lookup ต่อการตรวจ SPF หนึ่งครั้ง (นับจาก include, redirect, a, mx) ทำให้ SPF permerror
- ลืมเพิ่ม include ของแพลตฟอร์มที่ใช้ส่งจริง เช่น เปลี่ยนมาใช้ LDM หรือ ESP ใหม่แต่ SPF ยังชี้ไปที่เซิร์ฟเวอร์เดิม
- ใช้ ~all (soft fail) ไปตลอดโดยไม่เคยเปลี่ยนเป็น -all (hard fail) ทั้งที่ sending source ควบคุมได้ครบแล้ว
- ตั้ง SPF ให้โดเมนหลักแต่ลืมตั้งให้ subdomain ที่ใช้ส่ง cold email เช่น go.บริษัท.co.th
ตัวอย่าง SPF record ที่รวม Google Workspace กับแพลตฟอร์มส่ง cold email ไว้ในเส้นเดียวถูกต้อง: v=spf1 include:_spf.google.com include:mail.ldm.dev -all แทนที่จะแยกเป็นสองเส้น
ข้อผิดพลาดที่พบบ่อยใน DKIM
DKIM ต่างจาก SPF ตรงที่ผูกกับ selector ไม่ใช่ทั้งโดเมน แต่ละแพลตฟอร์มส่งอีเมลจะให้ selector ของตัวเอง เช่น ldm._domainkey หรือ selector1._domainkey ถ้าคัดลอก DKIM key ผิด selector หรือใส่ค่าจากแพลตฟอร์มเก่าที่เลิกใช้แล้ว ผลคือ DKIM signature ไม่ผ่านการตรวจสอบทั้งที่ในหัวอีเมลมี DKIM-Signature อยู่จริง
- Selector ใน DNS ไม่ตรงกับ selector ที่แพลตฟอร์มส่งจริงใช้เซ็นอีเมล
- เปลี่ยน ESP หรือ rotate DKIM key แล้วลืมอัปเดต TXT record ตัวใหม่
- โดเมนใน d= ของ DKIM signature ไม่ตรงกับโดเมนใน From ทำให้ DMARC alignment ล้มเหลวแม้ DKIM จะผ่านการตรวจ
- ใช้ private key เดียวกันซ้อนกันหลายแพลตฟอร์ม ทำให้ตรวจสอบยากเวลามีปัญหา และเพิ่มความเสี่ยงถ้า key รั่ว
ข้อผิดพลาดใน DMARC และการรีบตั้ง policy เร็วเกินไป
DMARC ทำงานบนหลัก alignment คือ SPF หรือ DKIM ต้องผ่าน และโดเมนที่ผ่านต้องตรงกับโดเมนใน From (relaxed alignment ยอมให้ subdomain ต่างกันได้ ส่วน strict ต้องตรงเป๊ะ) ข้อผิดพลาดที่พบบ่อยที่สุดคือรีบตั้ง p=reject ทันทีตั้งแต่วันแรกโดยไม่เคยดู aggregate report (rua) ก่อน ถ้ามี sending source ที่ลืมนับ เช่น ระบบ CRM หรือ ERP ที่ส่งอีเมลแจ้งเตือนในนามโดเมนเดียวกัน อีเมลเหล่านั้นจะถูกปฏิเสธทันทีโดยไม่มีใครรู้ตัว
อีกจุดที่มักถูกมองข้ามคือ subdomain policy (sp=) เมื่อไม่ระบุ subdomain จะรับ policy เดียวกับโดเมนหลัก ถ้าใช้ subdomain แยกส่ง cold email แต่ subdomain นั้นยังไม่ align ครบ การตั้ง p=reject ที่โดเมนหลักจะบล็อกอีเมลจาก subdomain ไปด้วย
ตัวเลขเป็นค่าประมาณจากการดูแลแคมเปญ B2B จริงในหลายอุตสาหกรรม ไม่ใช่ผลวิจัยที่ตีพิมพ์
ตัวอย่าง DMARC record ที่เหมาะสำหรับเริ่มต้นแบบมอนิเตอร์ก่อน: v=DMARC1; p=none; rua=mailto:dmarc-reports@siamlogistics.co.th; pct=100 แล้วค่อยขยับเป็น p=quarantine หลังตรวจ report แล้วว่าไม่มี source ที่ตกหล่น
เช็กลิสต์ตั้งค่าให้ถูกตั้งแต่ต้น และวิธีที่ LDM ดูแลให้ลูกค้า
ก่อนเริ่มแคมเปญ cold email ทุกแคมเปญ ทีมที่ดูแลควรตรวจ DNS record ทั้งสามตัวจริงด้วยคำสั่ง dig หรือ nslookup ไม่ใช่เชื่อจากที่เคยตั้งค่าไว้นานแล้ว โดยเฉพาะถ้าเคยเปลี่ยน ESP หรือมีทีมไอทีหลายคนดูแลโดเมนเดียวกัน
เรื่องข้อมูลผู้ติดต่อที่ใช้ส่ง cold email ก็ควรอยู่ในกรอบพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) การตั้ง SPF/DKIM/DMARC ให้ถูกต้องไม่ใช่ข้อกำหนดของ PDPA โดยตรง แต่เป็นส่วนหนึ่งของการส่งอีเมลจากแหล่งที่ตรวจสอบได้ ควบคู่กับการมีช่องทาง opt-out ชัดเจนและฐานการประมวลผลที่อธิบายได้ ซึ่งเป็นสิ่งที่ผู้ควบคุมข้อมูลต้องพร้อมชี้แจงอยู่แล้ว
- ตรวจว่า SPF record มีเส้นเดียว และรวม sending source ทั้งหมดที่ใช้งานจริงอยู่
- ยืนยันว่า DKIM selector ใน DNS ตรงกับที่แพลตฟอร์มส่งอีเมลใช้เซ็นจริง
- ตั้ง DMARC เริ่มที่ p=none พร้อม rua เพื่อดู report อย่างน้อย 2-4 สัปดาห์ก่อนขยับ policy
- แยก subdomain สำหรับ cold email ออกจากโดเมนที่ใช้รับอีเมลลูกค้าปกติ และตั้ง SPF/DKIM ของ subdomain เองให้ครบ
- ทบทวน DNS record ทุกครั้งที่เปลี่ยน ESP หรือเพิ่มระบบที่ส่งอีเมลในนามโดเมนเดียวกัน
คำถามที่พบบ่อย
spf dkim dmarc คือ อะไร ต่างกันอย่างไร
SPF ระบุว่าเซิร์ฟเวอร์ไหนมีสิทธิ์ส่งอีเมลแทนโดเมน DKIM เซ็นลายเซ็นดิจิทัลยืนยันว่าเนื้อหาไม่ถูกแก้ไข ส่วน DMARC เป็นนโยบายที่บอก mailbox provider ว่าต้องทำอย่างไรเมื่อ SPF หรือ DKIM ไม่ align กับโดเมนใน From
ส่งอีเมลหาลูกค้าจำนวนน้อยต่อวัน จำเป็นต้องตั้งครบทั้งสามตัวไหม
จำเป็น เพราะ mailbox provider หลักตรวจสอบ SPF/DKIM/DMARC กับโดเมนแทบทุกขนาดตั้งแต่ปี 2024 เป็นต้นมา ไม่ใช่แค่ผู้ส่งปริมาณมาก การไม่มีอย่างใดอย่างหนึ่งเพิ่มความเสี่ยงตกสแปมแม้ปริมาณส่งจะน้อย
ตั้ง DMARC เป็น p=reject ได้เลยตั้งแต่วันแรกไหม
ไม่ควร ควรเริ่มที่ p=none พร้อมเปิด rua เพื่อดู report ก่อนอย่างน้อย 2-4 สัปดาห์ เพื่อให้แน่ใจว่าทุก sending source ที่ใช้งานจริงถูกนับครบ ก่อนขยับเป็น quarantine แล้วค่อย reject
ใช้ subdomain แยกส่ง cold email ดีกว่าใช้โดเมนหลักไหม
โดยทั่วไปดีกว่า เพราะแยกชื่อเสียงการส่งออกจากโดเมนหลักที่ใช้รับอีเมลลูกค้าปกติ แต่ subdomain นั้นต้องมี SPF และ DKIM ของตัวเองครบ ไม่ใช่แค่มีในโดเมนหลัก
ตรวจสอบว่าตั้งค่า SPF DKIM DMARC ถูกต้องหรือยังได้อย่างไร
ใช้คำสั่ง dig txt หรือ nslookup ตรวจ TXT record ของโดเมนและ selector ที่ใช้จริง แล้วดูใน header ของอีเมลทดสอบที่ส่งจริงว่า SPF=pass และ DKIM=pass พร้อม alignment ตรงกับโดเมนใน From
PDPA เกี่ยวข้องกับเรื่องนี้อย่างไร
PDPA ไม่ได้บังคับเรื่อง SPF/DKIM/DMARC โดยตรง แต่กำหนดให้ผู้ควบคุมข้อมูลมีฐานการประมวลผลที่อธิบายได้และมีช่องทาง opt-out สำหรับข้อมูลติดต่อที่ใช้ในแคมเปญ การส่งอีเมลจากโดเมนที่ยืนยันตัวตนได้ถูกต้องเป็นส่วนหนึ่งของการดำเนินการอย่างรับผิดชอบควบคู่กัน
อยากนำวิธีนี้ไปใช้กับ outreach ของคุณไหม
เราจะแสดงให้เห็นว่ามันทำงานอย่างไรกับกลุ่มเป้าหมายและสินค้าของคุณ ก่อนเริ่มงานจริง
คุยกับเรา