Live Direct Marketing
หน้าแรกบล็อกอัตราการส่งถึงกล่องจดหมาย

คู่มือฉบับปฏิบัติ: ตั้งค่า SPF, DKIM, DMARC บน Google Workspace และ Microsoft 365 สำหรับทีมขาย B2B

12 กรกฎาคม 2026 · 11 นาทีอ่าน · คู่มือ: อัตราการส่งถึงกล่องจดหมาย

ทีมขายหลายบริษัทเจอปัญหาอีเมล cold email ไม่ถึงกล่องจดหมายลูกค้า ทั้งที่เนื้อหาดีและลิสต์รายชื่อถูกต้อง สาเหตุส่วนใหญ่ไม่ได้อยู่ที่เนื้อหาอีเมล แต่อยู่ที่โดเมนยังไม่ได้พิสูจน์ตัวตนผ่าน SPF, DKIM และ DMARC ให้ครบ บทความนี้อธิบายวิธีตั้งค่าทั้งสามอย่างบน Google Workspace และ Microsoft 365 แบบทำตามได้จริง ไม่ใช่แค่ทฤษฎี

สรุปสั้น ๆ
  • SPF, DKIM, DMARC คือชุดพิสูจน์ตัวตนโดเมนที่ Gmail และ Outlook ใช้ตัดสินว่าอีเมลน่าเชื่อถือหรือไม่
  • Google Workspace และ Microsoft 365 มีวิธีสร้างเรคคอร์ด DKIM ต่างกัน แต่หลักการ SPF/DMARC เหมือนกัน
  • ควรเริ่ม DMARC ด้วย p=none ก่อนเสมอ เพื่อดูรายงาน rua แล้วค่อยขยับไป quarantine และ reject
  • SPF ที่มี include เกิน 10 DNS lookup จะพังทั้งเรคคอร์ดโดยไม่มีคำเตือน เป็นจุดพลาดที่พบบ่อยที่สุด
  • การตั้งค่าครบทั้งสามอย่างช่วยยกระดับ inbox placement ของแคมเปญ B2B ได้ชัดเจนภายใน 2-4 สัปดาห์

ทำไม SPF, DKIM, DMARC ถึงเป็นเรื่องของทีมขาย ไม่ใช่แค่ IT

เมื่อ Gmail และ Outlook ตรวจสอบอีเมลที่เข้ามา สิ่งแรกที่ระบบดูไม่ใช่เนื้อหา แต่คือ 'โดเมนนี้พิสูจน์ตัวตนได้จริงหรือเปล่า' SPF (Sender Policy Framework) บอกว่าเซิร์ฟเวอร์ไหนมีสิทธิ์ส่งอีเมลแทนโดเมน DKIM (DomainKeys Identified Mail) เซ็นลายเซ็นดิจิทัลยืนยันว่าอีเมลไม่ถูกแก้ไขระหว่างทาง ส่วน DMARC (Domain-based Message Authentication) กำหนดว่าถ้า SPF หรือ DKIM ไม่ผ่าน ให้ปลายทางทำอย่างไรกับอีเมลนั้น

สำหรับทีมขายที่ทำ cold email หา B2B lead การไม่มีเรคคอร์ดเหล่านี้ หรือมีแต่ตั้งค่าไม่สมบูรณ์ คือสาเหตุอันดับต้น ๆ ที่อีเมลเสนอขายไปอยู่ในสแปมหรือถูกบล็อกทั้งโดเมน แม้เนื้อหาจะเขียนดีแค่ไหนก็ตาม การเช็กด้วย domain spf dkim dmarc checker ก่อนเริ่มแคมเปญจึงเป็นขั้นตอนพื้นฐานที่ควรทำก่อนส่งอีเมลจริงทุกครั้ง

ตั้งค่า SPF บน Google Workspace และ Microsoft 365

SPF เป็นเรคคอร์ด TXT ตัวเดียวในโดเมน วางไว้ที่ผู้ให้บริการ DNS เช่น Cloudflare หรือผู้ให้บริการโดเมนในไทยอย่าง THNIC สำหรับ Google Workspace ค่าเริ่มต้นคือ v=spf1 include:_spf.google.com ~all ส่วน Microsoft 365 คือ v=spf1 include:spf.protection.outlook.com -all ถ้าบริษัทใช้บริการส่งอีเมลอื่นร่วมด้วย เช่นระบบ CRM หรือแพลตฟอร์ม cold email ต้องเพิ่ม include ของผู้ให้บริการนั้นในเรคคอร์ดเดียวกัน ห้ามสร้าง SPF TXT record สองอันแยกกันเด็ดขาด เพราะ RFC อนุญาตให้มีได้แค่หนึ่งเรคคอร์ดต่อโดเมน

ข้อจำกัดที่คนมักไม่รู้คือ SPF อนุญาตให้มี DNS lookup ผ่าน include ได้ไม่เกิน 10 ครั้ง ถ้าเกินเรคคอร์ดทั้งหมดจะถูกมองว่า permerror และล้มเหลวทั้งหมด ไม่ใช่แค่ตัวที่เกิน บริษัทที่ใช้หลายเครื่องมือการตลาดพร้อมกันมักชนขีดจำกัดนี้โดยไม่รู้ตัว

ตั้งค่า DKIM: ความต่างระหว่าง Google Workspace กับ Microsoft 365

บน Google Workspace เข้า Admin console ไปที่ Apps > Google Workspace > Gmail > Authenticate email แล้วสร้างคีย์ DKIM ใหม่ ควรเลือกความยาวคีย์ 2048 บิตแทน 1024 บิตเดิม ระบบจะให้เรคคอร์ด TXT ชื่อประมาณ google._domainkey นำไปวางใน DNS แล้วกลับมากด Start authentication ในหน้าเดิม

บน Microsoft 365 ต้องเปิด DKIM ผ่าน Microsoft Defender portal ในเมนู Email & collaboration > Policies & rules > Threat policies > Email authentication settings ระบบจะให้ CNAME สองเรคคอร์ด คือ selector1._domainkey และ selector2._domainkey ต่างจาก Google ที่ใช้ TXT ตรง ๆ Microsoft ใช้ CNAME ชี้ไปยัง domainkey.รหัสโดเมน.onmicrosoft.com เพื่อให้ Microsoft หมุนคีย์อัตโนมัติโดยไม่ต้องแก้ DNS ทุกครั้ง จุดสำคัญคือหลังใส่ CNAME ครบสองเรคคอร์ดแล้วต้องกลับไปกด Enable ในพอร์ทัล ไม่เช่นนั้น DKIM จะยังไม่ทำงานแม้ DNS จะถูกต้อง

ตั้งค่า DMARC แบบค่อยเป็นค่อยไป

DMARC ตรวจสอบว่าโดเมนใน From: header ตรงกับโดเมนที่ SPF หรือ DKIM รับรองหรือไม่ (เรียกว่า alignment) ถ้าไม่ตรง ให้ทำตาม policy ที่กำหนด เรคคอร์ดวางที่ _dmarc.โดเมนของคุณ.com รูปแบบเริ่มต้นที่แนะนำคือ v=DMARC1; p=none; rua=mailto:dmarc-report@โดเมนของคุณ.com; pct=100 การเริ่มด้วย p=none สำคัญมาก เพราะให้ระบบส่งรายงาน rua กลับมาให้เห็นว่าใครส่งอีเมลในนามโดเมนบ้าง โดยยังไม่บล็อกอะไร

หลังดูรายงาน 2-4 สัปดาห์และมั่นใจว่าทุกแหล่งส่งอีเมลถูกต้อง (Google Workspace, Microsoft 365, บริการส่ง newsletter, ระบบแจ้งเตือนภายใน) จึงค่อยขยับเป็น p=quarantine แล้วค่อยเป็น p=reject การรีบตั้ง p=reject ตั้งแต่วันแรกโดยไม่ดูรายงานก่อน เป็นสาเหตุที่ทำให้อีเมลภายในองค์กรบางส่วนถูกปฏิเสธเองโดยไม่รู้ตัว

ข้อผิดพลาดที่พบบ่อยเมื่อทีมขายตั้งค่าเอง

ทีมขายที่ไม่มีพื้นฐาน DNS มักพลาดในจุดเดิมซ้ำ ๆ จนต้องเสียเวลาแก้ทีหลังหรือเสียชื่อเสียงโดเมนไปแล้วบางส่วน ก่อนเริ่มแคมเปญ cold email จริงจึงควรเช็กทุกข้อในลิสต์นี้ให้ครบ

เช็กลิสต์ก่อนเริ่มแคมเปญ และวิธีที่ LDM ตรวจให้ลูกค้า

ก่อนส่ง cold email ชุดแรกให้ลีดจริง ควรใช้เครื่องมือ spf dkim dmarc tester ยิงอีเมลทดสอบไปหาตัวเองเพื่อดูผลจริงในหัวอีเมล ไม่ใช่แค่เชื่อว่าตั้งค่าถูกจาก DNS record เพราะบางกรณี DNS ถูกต้องแต่ Google Workspace หรือ Microsoft 365 ยังไม่ได้กด Enable DKIM ในพอร์ทัล ทำให้ผลจริงยังไม่ผ่าน

ที่ LDM เวลาช่วยลูกค้าเตรียมโดเมนสำหรับแคมเปญ B2B เราตรวจครบทั้งสามชั้นก่อนเปิดแคมเปญเสมอ ควบคู่ไปกับการ warm-up โดเมนอย่างค่อยเป็นค่อยไปและควบคุมปริมาณส่งต่อวันให้เหมาะกับอายุโดเมน เพราะ SPF/DKIM/DMARC ที่ถูกต้องคือเงื่อนไขจำเป็นแต่ไม่ใช่เงื่อนไขเดียวที่ทำให้อีเมลเข้า inbox

คำถามที่พบบ่อย

ต้องตั้งทั้ง SPF, DKIM และ DMARC พร้อมกันเลยหรือไม่

ควรตั้ง SPF และ DKIM ให้ผ่านก่อนเป็นอันดับแรก เพราะ DMARC ต้องอาศัยผลจากทั้งสองอย่างในการตัดสิน alignment เมื่อ SPF/DKIM พร้อมแล้วค่อยเพิ่ม DMARC โดยเริ่มที่ p=none เสมอ

ใช้ Google Workspace อยู่แล้ว ต้องตั้ง DKIM เองหรือ Google ทำให้อัตโนมัติ

Google ไม่เปิด DKIM ให้อัตโนมัติ ต้องเข้า Admin console สร้างคีย์และวางเรคคอร์ด TXT เอง แล้วกด Start authentication ด้วยมือ ถ้าข้ามขั้นตอนนี้ อีเมลจะยังไม่มี DKIM แม้ใช้ Google Workspace อยู่

SPF ตั้งถูกแล้วแต่อีเมลยังเข้าสแปม เกิดจากอะไรได้บ้าง

SPF เป็นเพียงหนึ่งในหลายปัจจัย สาเหตุอื่นที่พบบ่อยคือโดเมนหรือ IP ยังใหม่ไม่มีประวัติการส่ง เนื้อหาอีเมลดูเหมือนสแปม อัตรา bounce หรือ complaint สูง หรือส่งปริมาณมากเกินไปในช่วงเวลาสั้น ควรตรวจทุกจุดร่วมกัน ไม่ใช่แค่ SPF

การเก็บอีเมลลีด B2B มาใช้ cold email ผิด PDPA หรือไม่

พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อนุญาตให้ใช้ข้อมูลติดต่อทางธุรกิจภายใต้ฐานประโยชน์อันชอบธรรม (legitimate interest) ได้ในบางกรณี แต่ต้องแจ้งแหล่งที่มา ให้ช่องทางปฏิเสธรับอีเมลชัดเจน และไม่เก็บข้อมูลส่วนบุคคลที่ไม่เกี่ยวข้อง เช่นข้อมูลอ่อนไหว การตั้งค่า SPF/DKIM/DMARC ไม่เกี่ยวกับประเด็นนี้โดยตรง แต่ควรทำควบคู่กับกระบวนการเก็บลิสต์ที่ถูกต้อง

ใช้แพลตฟอร์ม cold email ภายนอกส่งแทน Google Workspace ต้องแก้ SPF ไหม

ต้องเพิ่ม include ของแพลตฟอร์มนั้นเข้าไปในเรคคอร์ด SPF เดียวกับที่มี include ของ Google หรือ Microsoft อยู่แล้ว และตรวจว่าแพลตฟอร์มนั้นเซ็น DKIM ด้วย selector ของตัวเองหรือใช้ selector เดียวกับโดเมนหลัก เพื่อให้ DMARC alignment ยังผ่าน

สำคัญ: นี่ไม่ใช่อีเมลจำนวนมากและไม่ใช่สแปม เราทำงานแบบเจาะจง: ทุกข้อความส่งถึงผู้รับผิดชอบคนหนึ่งของบริษัทหนึ่งโดยมีเหตุผลทางธุรกิจที่ชอบธรรม ในปริมาณต่อวันที่น้อยและปรับให้เข้ากับผู้รับ อีเมลทุกฉบับระบุผู้ส่งและมีลิงก์ยกเลิกการรับด้วยคลิกเดียว การยกเลิกและรายชื่อห้ามติดต่อมีผลกับทุกแคมเปญถัดไปโดยไม่มีข้อยกเว้น

อยากนำวิธีนี้ไปใช้กับ outreach ของคุณไหม

เราจะแสดงให้เห็นว่ามันทำงานอย่างไรกับกลุ่มเป้าหมายและสินค้าของคุณ ก่อนเริ่มงานจริง

คุยกับเรา