ตั้งค่า SPF DKIM DMARC ให้ครบ อีเมลหาลูกค้าองค์กรถึงจะเข้ากล่องขาเข้า
ทีมขายหลายบริษัทเขียนอีเมลเจาะจงถึงผู้บริหารทีละคนอย่างพิถีพิถัน ส่งจำนวนน้อยตามหลัก cold email ที่ถูกต้อง แต่อีเมลก็ยังไปจบที่สแปมอยู่ดี ปัญหาส่วนใหญ่ไม่ได้อยู่ที่ข้อความ แต่อยู่ที่โดเมนต้นทางยังพิสูจน์ตัวตนไม่ได้ บทความนี้อธิบาย SPF DKIM DMARC คืออะไร ทำหน้าที่ต่างกันอย่างไร และต้องตั้งค่าแบบไหนก่อนเริ่มแคมเปญจริง
- SPF DKIM DMARC คือสามชั้นที่ทำงานร่วมกัน ไม่ใช่เลือกตั้งค่าแค่ตัวใดตัวหนึ่งแล้วจบ
- SPF บอกว่าใครส่งอีเมลแทนโดเมนได้ DKIM พิสูจน์ว่าเนื้อหาไม่ถูกแก้ไข ส่วน DMARC ตัดสินใจว่าจะทำอะไรกับอีเมลที่พิสูจน์ตัวตนไม่ผ่าน
- โดเมนที่มีแค่ SPF อย่างเดียวยังเสี่ยงเข้าสแปม เพราะไม่มีตัวสั่งให้ผู้ให้บริการปลายทางจัดการอีเมลปลอม
- ตั้งค่าเสร็จแล้วต้องเว้นเวลาอุ่นโดเมนก่อนส่งจำนวนมาก ไม่ใช่ตั้งเสร็จแล้วยิงแคมเปญทันที
- การตรวจ SPF DKIM DMARC ควรทำก่อนทุกแคมเปญใหม่ ไม่ใช่ทำครั้งเดียวแล้วปล่อยผ่าน
ทำไมอีเมลที่เนื้อหาดีแค่ไหนก็ยังเข้าสแปมได้
ทีมขาย B2B ไทยจำนวนมากทุ่มเวลาแต่งข้อความให้ตรงกับบริบทของบริษัทเป้าหมาย เจาะจงถึงตำแหน่งผู้มีอำนาจตัดสินใจ ส่งวันละไม่กี่สิบฉบับตามหลัก cold email ที่ถูกวิธี แต่พอเช็คผลกลับพบว่าอีเมลไปตกอยู่ในโฟลเดอร์สแปมหรือแท็บ Promotions ของ Gmail เป็นจำนวนมาก ทั้งที่เนื้อหาไม่มีคำต้องห้ามใด ๆ เลย
สาเหตุหลักไม่ได้อยู่ที่ข้อความ แต่อยู่ที่ผู้ให้บริการอีเมลปลายทางอย่าง Google, Microsoft และ Yahoo ตรวจสอบ 'หนังสือเดินทาง' ของโดเมนต้นทางก่อนเป็นลำดับแรก ก่อนที่จะพิจารณาเนื้อหาด้วยซ้ำ ถ้าโดเมนพิสูจน์ตัวตนไม่ได้ อีเมลจะถูกจัดว่าเสี่ยงปลอมแปลงและมักโดนกักหรือส่งเข้าสแปมโดยอัตโนมัติ
คำถามที่พบบ่อยเวลาคุยกับลูกค้าคือ spf dkim dmarc คือ อะไร และทำไมทีม IT ถึงย้ำว่าต้องตั้งค่าให้ครบก่อนเริ่มแคมเปญ คำตอบสั้น ๆ คือ ทั้งสามเป็นกลไกที่บอกเซิร์ฟเวอร์ปลายทางว่าอีเมลฉบับนี้ส่งมาจากโดเมนที่อ้างตัวจริง ไม่ใช่มีคนอื่นปลอมชื่อบริษัทเพื่อส่งสแปม
SPF DKIM DMARC คือ อะไร แต่ละตัวทำหน้าที่ต่างกันอย่างไร
SPF (Sender Policy Framework) คือรายการ IP ที่โดเมนอนุญาตให้ส่งอีเมลในนามของตัวเอง เก็บไว้ในเรคคอร์ด DNS ชนิด TXT เวลาเซิร์ฟเวอร์ปลายทางรับอีเมล จะเช็คว่า IP ที่ส่งจริงตรงกับรายการที่โดเมนประกาศไว้หรือไม่ ถ้าไม่ตรง อีเมลจะถูกมองว่ามีความเสี่ยงตั้งแต่ขั้นแรก
DKIM (DomainKeys Identified Mail) คือลายเซ็นดิจิทัลที่แปะไว้ในหัวอีเมลทุกฉบับ เซิร์ฟเวอร์ต้นทางเซ็นด้วยกุญแจส่วนตัว ปลายทางตรวจสอบด้วยกุญแจสาธารณะที่ประกาศใน DNS เพื่อยืนยันว่าเนื้อหาไม่ถูกแก้ไขระหว่างทาง และมาจากเซิร์ฟเวอร์ที่มีกุญแจคู่กันจริง
DMARC (Domain-based Message Authentication, Reporting and Conformance) คือชั้นนโยบายที่คลุม SPF และ DKIM อีกที บอกปลายทางว่าถ้าอีเมลฉบับไหนผ่าน SPF หรือ DKIM ไม่ได้ ให้ปล่อยผ่าน (none) กักไว้ตรวจสอบ (quarantine) หรือปฏิเสธทันที (reject) และยังส่งรายงานกลับมาให้เจ้าของโดเมนเห็นว่ามีใครพยายามปลอมแปลงโดเมนบ้าง
พูดง่าย ๆ dkim dmarc คือระบบที่ทำงานคู่กัน DKIM พิสูจน์ว่าอีเมลไม่ถูกแก้ไข ส่วน DMARC เป็นตัวตัดสินใจว่าจะทำอย่างไรกับอีเมลที่พิสูจน์ตัวตนไม่ผ่าน ถ้ามี SPF กับ DKIM แต่ไม่มี DMARC ก็เหมือนมีกล้องวงจรปิดแต่ไม่มีใครดูภาพ — ตรวจได้แต่ไม่มีนโยบายบังคับใช้
ขั้นตอนตั้งค่า SPF DKIM DMARC ให้ครบก่อนเริ่มแคมเปญ
การตั้งค่าทำที่แผง DNS ของโดเมน (ผู้ให้บริการโฮสติ้งหรือรีจิสตราร์ เช่น Cloudflare, GoDaddy หรือผู้ให้บริการในไทยอย่าง THNIC) ไม่ต้องแก้โค้ดฝั่งแอปพลิเคชัน แต่ต้องมีสิทธิ์เข้าถึง DNS ของโดเมนจริง
- เพิ่มเรคคอร์ด TXT สำหรับ SPF ที่ระบุ IP หรือบริการที่ได้รับอนุญาตให้ส่งแทนโดเมน เช่น v=spf1 include:_spf.google.com ~all
- เปิดใช้ DKIM ที่ผู้ให้บริการอีเมล (Google Workspace, Microsoft 365 หรือแพลตฟอร์มส่ง cold email) แล้วนำกุญแจสาธารณะไปวางเป็นเรคคอร์ด TXT ตามชื่อที่ระบบกำหนด
- ตั้งเรคคอร์ด DMARC เริ่มต้นที่ p=none ก่อน เพื่อเก็บรายงานดูว่ามีอีเมลผ่านหรือไม่ผ่านมากน้อยแค่ไหน โดยไม่กระทบการส่งจริง
- หลังดูรายงาน DMARC สัก 2–3 สัปดาห์แล้วมั่นใจว่าทุกช่องทางที่ส่งอีเมลถูกต้อง ค่อยขยับนโยบายเป็น p=quarantine แล้วค่อยไป p=reject
- ตรวจสอบว่า Return-Path และ From header อยู่บนโดเมนเดียวกัน (alignment) เพราะ DMARC จะผ่านก็ต่อเมื่อ SPF หรือ DKIM 'สอดคล้อง' กับโดเมนที่ผู้รับเห็นในช่อง From
- ถ้าใช้โดเมนย่อยสำหรับ cold email แยกจากโดเมนอีเมลหลัก (เพื่อป้องกันชื่อเสียงโดเมนหลักเสียหาย) ต้องตั้งค่า SPF DKIM DMARC แยกให้ครบทุกโดเมนย่อยเช่นกัน ไม่ใช่ทำแค่โดเมนหลักแล้วคิดว่าครอบคลุมหมด
ตัวอย่างเรคคอร์ด DNS ขั้นต่ำของโดเมนที่ตั้งค่าครบ: SPF TXT = v=spf1 include:_spf.google.com ~all, DKIM TXT ที่ google._domainkey ใส่กุญแจสาธารณะที่ระบบสร้างให้, และ DMARC TXT ที่ _dmarc = v=DMARC1; p=quarantine; rua=mailto:dmarc-report@บริษัทของคุณ.co.th
สถานะจริงของโดเมนธุรกิจไทย และผลต่ออัตราเข้ากล่องขาเข้า
จากการตรวจโดเมนลูกค้าก่อนเริ่มแคมเปญ B2B แบบเจาะจงกลุ่มเป้าหมาย พบว่าโดเมนธุรกิจไทยส่วนใหญ่ตั้ง SPF ไว้แล้วเพราะเป็นขั้นตอนพื้นฐานตอนย้ายมาใช้ Google Workspace หรือ Microsoft 365 แต่สัดส่วนที่ตั้ง DMARC แบบมีนโยบายบังคับใช้จริง (quarantine หรือ reject) ยังต่ำกว่าที่ควรมาก
ช่องว่างตรงนี้คือจุดที่ทำให้อีเมลของบางบริษัทเข้ากล่องขาเข้าได้ปกติ ในขณะที่บางบริษัทถูกกักไว้ในสแปมทั้งที่เนื้อหาไม่ต่างกัน เพราะผู้ให้บริการอีเมลปลายทางให้น้ำหนักกับ 'ความสมบูรณ์ของการพิสูจน์ตัวตนโดเมน' มากขึ้นเรื่อย ๆ ทุกปี
ตัวเลขเป็นค่าประมาณจากประสบการณ์ตรวจโดเมนก่อนเริ่มแคมเปญ B2B แบบเจาะจงกลุ่มเป้าหมาย ไม่ใช่ข้อมูลสถิติทางการของหน่วยงานใด
ข้อผิดพลาดที่พบบ่อยเวลาตั้งค่าแล้วยังไม่ได้ผล
ตั้ง SPF DKIM DMARC ครบแล้วอีเมลยังเข้าสแปมอยู่บ้าง เพราะการพิสูจน์ตัวตนโดเมนเป็นแค่เงื่อนไขจำเป็น ไม่ใช่เงื่อนไขเพียงพอ ผู้ให้บริการอีเมลยังพิจารณาปัจจัยอื่นร่วมด้วย เช่น อายุโดเมน ปริมาณส่งต่อวัน อัตราการถูกกดรายงานสแปม และอัตราตีกลับ
- ตั้ง SPF สองเรคคอร์ดซ้อนกัน (เช่น เก่าไม่ลบ ใหม่เพิ่มเข้าไป) ทำให้เกิด permerror และ SPF ไม่ผ่านเลยทั้งสองอัน
- เปิดใช้เครื่องมือส่งอีเมลใหม่ (CRM, ระบบแจ้งเตือน, แพลตฟอร์ม cold email) แต่ลืมเพิ่ม include ใน SPF record ทำให้อีเมลจากเครื่องมือนั้นพิสูจน์ตัวตนไม่ผ่าน
- ตั้ง DMARC เป็น p=reject ทันทีโดยไม่ดูรายงานก่อน ทำให้อีเมลที่ส่งถูกต้องแต่ยังไม่ align สนิทถูกบล็อกไปด้วย
- ใช้โดเมนใหม่เอี่ยมส่งจำนวนมากทันทีหลังตั้งค่าเสร็จ โดยไม่เว้นช่วงอุ่นโดเมน (warm-up) ทำให้ถูกมองว่าเป็นพฤติกรรมผิดปกติแม้พิสูจน์ตัวตนผ่าน
- ซื้อหรือรวบรวมรายชื่อติดต่อโดยไม่ตรวจสอบแหล่งที่มา ซึ่งนอกจากจะทำให้อัตราตีกลับสูงจนกระทบชื่อเสียงโดเมนแล้ว ยังเสี่ยงขัดกับหลักการใช้ข้อมูลส่วนบุคคลตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) แม้จะเป็นการติดต่อในนามธุรกิจก็ตาม จึงควรใช้ข้อมูลติดต่อทางธุรกิจที่มีแหล่งที่มาชัดเจนและเกี่ยวข้องกับการดำเนินธุรกิจจริงเท่านั้น
แนวทางที่ LDM ใช้ตรวจสอบโดเมนก่อนเริ่มแคมเปญเจาะจงลูกค้า
ก่อนเริ่มแคมเปญ cold email ให้ลูกค้าทุกราย ทีมงานจะตรวจสอบ SPF DKIM DMARC ของโดเมนต้นทางก่อนเป็นอันดับแรก พร้อมดูว่า Return-Path กับ From header สอดคล้องกันหรือไม่ ถ้าพบว่ายังไม่ครบ จะแนะนำให้ตั้งค่าและเว้นเวลาให้ระบบ DNS อัปเดตก่อน แล้วค่อยเริ่มส่งจริง
สำหรับลูกค้าที่ใช้โดเมนย่อยแยกสำหรับแคมเปญ (เพื่อปกป้องชื่อเสียงโดเมนหลัก) จะตั้งค่า SPF DKIM DMARC ให้ครบทั้งโดเมนย่อยตั้งแต่ต้น พร้อมวางแผนอุ่นโดเมนแบบค่อยเป็นค่อยไปก่อนขยับไปสู่ปริมาณส่งเต็มรูปแบบ เพื่อให้อัตราเข้ากล่องขาเข้าคงที่ตั้งแต่วันแรกที่แคมเปญเริ่มจริงจัง
ตัวเลขเป็นค่าประมาณจากประสบการณ์แคมเปญ B2B แบบเจาะจงกลุ่มเป้าหมาย ผลจริงขึ้นกับอายุโดเมน ปริมาณส่งต่อวัน และคุณภาพรายชื่อผู้รับด้วย
คำถามที่พบบ่อย
SPF DKIM DMARC ต้องตั้งค่าทั้งสามตัวพร้อมกันไหมถึงจะได้ผล
ควรตั้งให้ครบทั้งสามตัว เพราะแต่ละตัวทำหน้าที่ต่างกัน มี SPF อย่างเดียวไม่พอเพราะไม่มีนโยบายบังคับใช้เมื่อพบอีเมลปลอม การมีครบทั้งสามคือเงื่อนไขขั้นต่ำที่ผู้ให้บริการอีเมลรายใหญ่ใช้พิจารณาความน่าเชื่อถือของโดเมน
dmarc คือ สิ่งที่บังคับหรือไม่ ถ้าไม่มีจะเกิดอะไรขึ้น
ไม่มีกฎหมายบังคับให้ทุกโดเมนต้องมี DMARC แต่ถ้าไม่มี โดเมนของคุณจะไม่มีนโยบายป้องกันไม่ให้คนอื่นปลอมแปลงชื่อบริษัทส่งอีเมล และผู้ให้บริการอีเมลรายใหญ่มักให้ความน่าเชื่อถือกับโดเมนที่ไม่มี DMARC น้อยกว่าโดเมนที่มี
ใช้เวลากี่วันกว่าค่า DNS ที่ตั้งใหม่จะมีผลจริง
โดยทั่วไปเรคคอร์ด DNS จะกระจายไปทั่วโลกภายในไม่กี่ชั่วโมงถึง 24-48 ชั่วโมง แต่ผู้ให้บริการอีเมลบางรายอาจใช้เวลาสะสมความน่าเชื่อถือของการตั้งค่าใหม่เพิ่มอีกหลายวัน จึงควรเว้นระยะก่อนเริ่มส่งจำนวนมาก
โดเมนใหม่ที่เพิ่งซื้อ ตั้ง SPF DKIM DMARC ครบแล้วส่งได้เลยไหม
ตั้งค่าครบแล้วยังไม่ควรส่งจำนวนมากทันที เพราะโดเมนใหม่ยังไม่มีประวัติการส่งให้ผู้ให้บริการอีเมลอ้างอิง ควรเริ่มส่งจำนวนน้อยแล้วค่อยเพิ่มขึ้นทีละน้อยในช่วงอุ่นโดเมนก่อนขยับไปสู่ปริมาณเต็มรูปแบบ
ถ้าใช้หลายเครื่องมือส่งอีเมล เช่น CRM กับระบบแจ้งเตือน ต้องตั้ง SPF อย่างไร
ต้องเพิ่ม include ของทุกบริการที่ส่งอีเมลในนามโดเมนเข้าไปในเรคคอร์ด SPF เดียวกัน ไม่ใช่สร้างหลายเรคคอร์ด SPF แยกกัน เพราะมาตรฐาน DNS อนุญาตให้มี SPF TXT ได้เพียงเรคคอร์ดเดียวต่อโดเมน
spf dkim dmarc คือ เรื่องที่ทีม IT ต้องทำ ทีมขายไม่เกี่ยวข้องเลยใช่ไหม
การตั้งค่าฝั่งเทคนิคเป็นหน้าที่ IT จริง แต่ทีมขายควรรู้พื้นฐานเพื่อตรวจสอบได้ว่าโดเมนที่ใช้ส่งแคมเปญพร้อมหรือยังก่อนเริ่มยิงอีเมล เพราะผลกระทบจากการตั้งค่าไม่ครบตกอยู่ที่อัตราตอบกลับของทีมขายโดยตรง
อยากนำวิธีนี้ไปใช้กับ outreach ของคุณไหม
เราจะแสดงให้เห็นว่ามันทำงานอย่างไรกับกลุ่มเป้าหมายและสินค้าของคุณ ก่อนเริ่มงานจริง
คุยกับเรา