วิธีตั้งค่า SPF, DKIM, DMARC ให้ครบทุกโดเมนเมื่อทีมส่งอีเมลจากหลายโดเมน
ทีมที่ส่ง cold email ให้ลูกค้าหลายรายหรือดูแลหลายแบรนด์มักเจอปัญหาเดียวกัน คือโดเมนหนึ่งตั้งค่าครบแต่อีกโดเมนขาด DMARC หรือ DKIM ผิด selector จนอีเมลตกสแปมโดยไม่รู้สาเหตุ บทความนี้อธิบายวิธีตั้งค่า SPF, DKIM, DMARC ให้ถูกต้องทีละโดเมน พร้อมข้อผิดพลาดที่พบบ่อยเมื่อต้องดูแลหลายโดเมนพร้อมกัน
- SPF, DKIM, DMARC ต้องตั้งแยกทุกโดเมนและซับโดเมน คัดลอกข้ามโดเมนกันไม่ได้
- SPF มีงบ DNS lookup ไม่เกิน 10 ครั้งต่อโดเมน เกินแล้วเกิด permerror ทั้งเรกคอร์ด
- เริ่ม DMARC ที่ p=none อ่านรายงานก่อนขยับไป quarantine แล้วค่อย reject
- แยกซับโดเมนสำหรับ cold email ออกจากโดเมนงานหลักเพื่อกันความเสี่ยงด้านชื่อเสียง
- ใช้ domain spf dkim dmarc checker ตรวจทุกโดเมนพร้อมกันแทนการเช็คทีละโดเมนด้วยมือ
ทำไมการมีหลายโดเมนส่งอีเมลถึงซับซ้อนกว่าที่คิด
ทีมขายที่รันแคมเปญ cold email ให้ลูกค้าหลายราย หรือบริษัทที่แยกโดเมนสำหรับแบรนด์ย่อย มักส่งอีเมลจากหลายโดเมนพร้อมกัน เช่น sales.บริษัทเอ.co.th, outreach.บริษัทบี.com หรือโดเมนเฉพาะกิจสำหรับแต่ละแคมเปญ ปัญหาคือ SPF, DKIM, DMARC เป็นค่าที่ผูกกับโดเมนแต่ละตัว ไม่ใช่ค่าที่ตั้งครั้งเดียวแล้วใช้ได้ทั้งองค์กร
เมื่อจำนวนโดเมนเพิ่มขึ้น ความเสี่ยงคือมีโดเมนใดโดเมนหนึ่งตั้งค่าไม่ครบหรือผิดพลาด แล้วอีเมลจากโดเมนนั้นตกสแปมหรือถูกปฏิเสธ ทั้งที่โดเมนอื่นในเครือข่ายเดียวกันส่งได้ปกติ ผู้ดูแลจึงต้องมีระบบตรวจสอบที่ทำงานกับหลายโดเมนพร้อมกัน ไม่ใช่เช็คทีละโดเมนด้วยมือ
หลักการตั้งค่า SPF, DKIM, DMARC ให้ถูกต้องทีละโดเมน
แต่ละโดเมนต้องมี TXT record ของตัวเองสามชุด คือ SPF ระบุว่าเซิร์ฟเวอร์หรือบริการใดมีสิทธิ์ส่งอีเมลในนามโดเมนนี้ DKIM เป็นลายเซ็นดิจิทัลยืนยันว่าเนื้อหาอีเมลไม่ถูกแก้ไขระหว่างทาง และ DMARC กำหนดว่าหากอีเมลไม่ผ่าน SPF หรือ DKIM ให้ปลายทางจัดการอย่างไร การคัดลอก DNS records ของโดเมนหนึ่งไปวางในอีกโดเมนตรงๆ มักทำให้ SPF ชี้ไปยังผู้ให้บริการที่โดเมนนั้นไม่ได้ใช้จริง
- SPF: ระบุเฉพาะผู้ส่งจริงของโดเมนนั้น เช่น include:_spf.google.com หรือ IP ของเซิร์ฟเวอร์ส่ง และคุมจำนวน DNS lookup รวมไม่ให้เกิน 10 ครั้งต่อโดเมน
- DKIM: ใช้ selector เฉพาะของแต่ละโดเมนและแต่ละบริการส่ง (เช่น selector1, ldm-2026) ห้ามใช้คีย์ส่วนตัวร่วมกันข้ามโดเมน
- DMARC: เริ่มด้วย p=none พร้อม rua= ที่ชี้กลับมายังอีเมลที่มีคนอ่านจริง เก็บรายงาน 2-4 สัปดาห์ก่อนขยับเป็น p=quarantine แล้วค่อยไป p=reject
- ซับโดเมน: ถ้าโดเมนหลักมี DMARC แต่ไม่ได้ตั้ง sp= (subdomain policy) ซับโดเมนที่ใช้ส่งแคมเปญจะรับ policy เดียวกับโดเมนหลักโดยอัตโนมัติ ซึ่งบางกรณีไม่ใช่สิ่งที่ต้องการ
- ใช้ domain spf dkim dmarc checker หรือ mx spf dkim dmarc checker ตรวจทุกโดเมนพร้อมกันหลังตั้งค่า แทนการเปิด dig ทีละโดเมนด้วยมือ
งบ DNS lookup ของ SPF เมื่อรวมหลายผู้ให้บริการ
ข้อจำกัดที่มักถูกมองข้ามคือ SPF อนุญาตให้มี DNS lookup ได้ไม่เกิน 10 ครั้งต่อการตรวจสอบหนึ่งรอบ เมื่อโดเมนหนึ่งต้องรองรับทั้งอีเมลระบบงาน เช่น Google Workspace เครื่องมือส่ง cold email ระบบแจ้งเตือนจากซอฟต์แวร์ CRM และผู้ให้บริการอื่นๆ อีก 2-3 ราย จำนวน include ในเรกคอร์ดเดียวจะเพิ่มขึ้นเรื่อยๆ จนเกินขีดจำกัดและกลายเป็น permerror ซึ่งผลลัพธ์คือ SPF ถือว่าไม่ผ่านทั้งเรกคอร์ด ไม่ใช่แค่ include ตัวที่เกินมา
ตัวเลขเป็นค่าประมาณจากลักษณะการตั้งค่าโดเมนจริงในงาน B2B outreach ใช้เพื่อประกอบการวางแผนเท่านั้น
ผลของการตั้งค่าครบถ้วนต่ออัตราการเข้ากล่องขาเข้า
เมื่อโดเมนตั้งค่า SPF, DKIM, DMARC ครบและ align กันถูกต้อง อีเมลจากโดเมนนั้นมีแนวโน้มเข้า inbox แทนที่จะตกโฟลเดอร์โปรโมชันหรือสแปมสูงขึ้นชัดเจน โดยเฉพาะในแคมเปญ cold email ที่ผู้รับไม่เคยติดต่อมาก่อน ผู้ให้บริการอีเมลปลายทางใช้สัญญาณเหล่านี้เป็นส่วนหนึ่งของการประเมินความน่าเชื่อถือของโดเมนตั้งแต่อีเมลฉบับแรก
ตัวเลขเป็นช่วงบ่งชี้จากประสบการณ์แคมเปญ B2B targeted ไม่ใช่ผลการวิจัยที่วัดเป็นทางการ
ข้อผิดพลาดที่พบบ่อยเมื่อดูแลหลายโดเมนพร้อมกัน
ความผิดพลาดส่วนใหญ่ไม่ได้เกิดจากไม่รู้จัก SPF, DKIM, DMARC แต่เกิดจากขั้นตอนการดูแลหลายโดเมนพร้อมกันที่ไม่มีระบบ
- คัดลอก DKIM public key จากโดเมน A ไปใส่ใน DNS ของโดเมน B ทำให้ DKIM ของโดเมน B ตรวจไม่ผ่านเพราะคีย์ไม่ตรงกับที่เซิร์ฟเวอร์ใช้เซ็นจริง
- ลืมโดเมนที่ไม่ได้ใช้ส่งอีเมลเลย (parked domain) ไม่มี SPF/DMARC เลย ทำให้ผู้ไม่หวังดีปลอมอีเมลในนามโดเมนนั้นได้ง่าย
- ตั้ง DMARC เป็น p=reject ทันทีตั้งแต่วันแรกโดยไม่ดูรายงาน rua ก่อน ทำให้อีเมลที่ส่งผ่านบริการที่ align ไม่สมบูรณ์ถูกบล็อกทั้งหมด
- ใช้โดเมนหลักของบริษัทส่ง cold email โดยตรงโดยไม่แยกซับโดเมนสำหรับ outreach ทำให้ถ้าโดเมนติดสแปมจะกระทบอีเมลงานทั้งหมดขององค์กร
- ไม่มีใครรับผิดชอบตรวจ DNS records เป็นระยะ พอมีการเปลี่ยนผู้ให้บริการ ESP หรือ CRM แล้วไม่มีคนอัปเดต SPF include ให้ตรง
เช็คลิสต์และแนวทางที่ LDM ใช้ดูแลหลายโดเมนของลูกค้า
สำหรับเอเจนซีหรือทีมที่บริหารหลายโดเมนพร้อมกัน แนวทางที่ปลอดภัยที่สุดคือแยกซับโดเมนสำหรับ outreach ออกจากโดเมนงานหลัก เช่นใช้ send.บริษัท.co.th หรือ mail.บริษัท.com เฉพาะสำหรับแคมเปญ cold email แล้ววอร์มอัปทีละโดเมนก่อนส่งจริง เพื่อไม่ให้ปัญหาชื่อเสียงของโดเมนหนึ่งลามไปกระทบอีเมลระบบงานหรือโดเมนอื่น
LDM จัดการเรื่องนี้ในระดับแพลตฟอร์มด้วยการตรวจ SPF, DKIM, DMARC ของทุกโดเมนที่เชื่อมกับบัญชีลูกค้าโดยอัตโนมัติก่อนเปิดแคมเปญ พร้อมแจ้งเตือนเมื่อมีเรกคอร์ดขาดหรือใกล้เกินงบ DNS lookup และเนื่องจากอีเมลผู้รับปลายทางถือเป็นข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) การดูแลโดเมนและบันทึกการส่งจึงต้องมีข้อตกลงประมวลผลข้อมูลที่ชัดเจนระหว่างเอเจนซีและเจ้าของโดเมนด้วย ไม่ใช่แค่เรื่องเทคนิค DNS อย่างเดียว
- รวบรวมรายชื่อโดเมนและซับโดเมนที่ใช้ส่งอีเมลทั้งหมดในองค์กร รวมโดเมนที่ไม่ได้ใช้งานแล้วด้วย
- ตั้ง SPF, DKIM ให้ครบทุกโดเมน แล้วเริ่ม DMARC ที่ p=none ก่อนเสมอ
- อ่านรายงาน DMARC aggregate อย่างน้อยสัปดาห์ละครั้งในช่วงเริ่มต้น
- ใช้เครื่องมือ email domain deliverability checker ตรวจทุกโดเมนพร้อมกันแทนการเช็คทีละโดเมน
- ทบทวนรายการ include ใน SPF ทุกครั้งที่เปลี่ยนผู้ให้บริการอีเมลหรือ CRM
คำถามที่พบบ่อย
ต้องตั้ง SPF, DKIM, DMARC แยกทุกโดเมนจริงหรือ ใช้ค่าเดียวกันทั้งบริษัทไม่ได้เลยหรือ
ต้องแยกทุกโดเมน เพราะ SPF, DKIM, DMARC เป็นค่าที่ตรวจสอบจาก DNS ของแต่ละโดเมนโดยตรง โดเมนที่ไม่มีเรกคอร์ดของตัวเองจะถือว่าไม่ผ่านการตรวจ แม้โดเมนพี่น้องในเครือเดียวกันจะตั้งค่าไว้ครบก็ตาม
ซับโดเมนต้องตั้ง SPF, DKIM, DMARC เองไหม หรือรับค่าจากโดเมนหลักอัตโนมัติ
SPF และ DKIM ของซับโดเมนต้องตั้งแยกเสมอ ส่วน DMARC จะรับ policy จากโดเมนหลักโดยอัตโนมัติถ้าไม่ได้กำหนด sp= ไว้เฉพาะ จึงควรเช็คว่าต้องการให้ซับโดเมน outreach ใช้ policy เดียวกับโดเมนหลักหรือไม่
ใช้ domain spf dkim dmarc checker ตรวจกี่โดเมนพร้อมกันได้ ต้องตรวจบ่อยแค่ไหน
เครื่องมือส่วนใหญ่รองรับตรวจหลายโดเมนในครั้งเดียวโดยใส่รายชื่อโดเมนเป็นลิสต์ แนะนำให้ตรวจทุกครั้งที่เพิ่มโดเมนใหม่หรือเปลี่ยนผู้ให้บริการส่งอีเมล และตรวจซ้ำเป็นประจำอย่างน้อยเดือนละครั้งเพื่อจับเรกคอร์ดที่หลุดหรือหมดอายุ
ถ้ามีโดเมนที่ไม่ได้ใช้ส่งอีเมลเลย ยังต้องตั้ง SPF, DMARC ไหม
ควรตั้ง เพราะโดเมนที่ไม่มี SPF/DMARC เป็นเป้าหมายให้ผู้ไม่หวังดีปลอมแปลงอีเมลในนามโดเมนนั้นได้ง่าย การตั้ง SPF เป็น v=spf1 -all และ DMARC เป็น p=reject สำหรับโดเมนที่ไม่ส่งอีเมลจริงจะปิดช่องทางนี้
จำนวน DNS lookup ของ SPF เกิน 10 ครั้งแล้วจะเกิดอะไรขึ้น
เมื่อเกิน permerror ผู้ให้บริการอีเมลปลายทางจะถือว่า SPF ของโดเมนนั้นตรวจสอบไม่ได้ทั้งหมด ไม่ใช่แค่ include ตัวที่เกิน ซึ่งอาจทำให้อีเมลที่ผ่านผู้ส่งที่ถูกต้องก็ถูกมองว่าไม่ผ่าน SPF ไปด้วย จึงต้องลด include ที่ไม่จำเป็นออกหรือรวมเป็น flatten record
เอเจนซีที่ดูแลโดเมนอีเมลของลูกค้าหลายรายต้องระวังเรื่อง PDPA อย่างไร
อีเมลผู้รับปลายทางถือเป็นข้อมูลส่วนบุคคลตาม PDPA เอเจนซีที่เข้าถึง DNS หรือระบบส่งอีเมลของลูกค้าควรมีข้อตกลงประมวลผลข้อมูลส่วนบุคคลที่ระบุขอบเขตการเข้าถึงและเก็บรักษาข้อมูลอย่างชัดเจน แยกจากเรื่องการตั้งค่าเทคนิคของโดเมน
อยากนำวิธีนี้ไปใช้กับ outreach ของคุณไหม
เราจะแสดงให้เห็นว่ามันทำงานอย่างไรกับกลุ่มเป้าหมายและสินค้าของคุณ ก่อนเริ่มงานจริง
คุยกับเรา