Kiểm tra SPF, DKIM, DMARC cho từng domain trước khi gửi cold email
Nhiều đội sales chỉ kiểm tra SPF/DKIM/DMARC một lần khi mua domain, rồi quên mất khi thêm domain phụ hoặc đổi nền tảng gửi. Kết quả là email rơi vào spam hàng loạt mà không ai hiểu vì sao, vì bản ghi DNS đúng ở domain gốc nhưng sai ở domain phụ mới tạo. Bài này hướng dẫn quy trình kiểm tra có hệ thống bằng dmarc checker tool, theo từng domain và từng nền tảng gửi cụ thể.
- SPF, DKIM, DMARC phải kiểm tra riêng cho từng subdomain, không thừa hưởng tự động từ domain gốc
- Mỗi nền tảng gửi (Google Workspace, SMTP riêng, ESP) cần record SPF/DKIM khớp đúng selector và IP của nó
- DMARC nên bắt đầu ở p=none để theo dõi report, rồi mới nâng lên p=quarantine
- Một dmarc checker tool chỉ xác nhận record tồn tại — không đảm bảo nội dung report đang sạch
- Domain phụ dùng cho cold email cần warm-up và kiểm tra định kỳ, không chỉ kiểm tra một lần lúc khởi tạo
Vì sao phải kiểm tra theo từng domain, không chỉ domain chính
Khi một công ty B2B mở rộng gửi cold email bằng domain phụ — ví dụ dùng outreach.congty.vn thay vì congty.vn để bảo vệ domain chính — nhiều người mặc định domain phụ sẽ 'ăn theo' uy tín và cấu hình của domain gốc. Thực tế, SPF, DKIM, DMARC là các bản ghi DNS độc lập theo từng subdomain hoặc domain riêng biệt, không tự kế thừa.
Một dmarc checker tool giúp phát hiện nhanh domain nào đang thiếu SPF, DKIM chưa được publish đúng selector, hoặc DMARC record trỏ sai địa chỉ nhận report. Vấn đề phổ biến nhất ở các đội mở rộng nhiều domain phụ cùng lúc là quên đồng bộ cấu hình, dẫn đến một số domain gửi tốt còn một số khác vào spam ngay từ ngày đầu.
Quy trình kiểm tra SPF, DKIM, DMARC theo domain
Dùng một spf dkim dmarc record checker (dạng công cụ online hoặc lệnh dig/nslookup thủ công) để tra cứu ba loại bản ghi TXT sau cho từng domain gửi:
Sau khi có kết quả tra cứu, cần đối chiếu với nền tảng gửi thực tế đang dùng — vì một domain có thể gửi qua nhiều nguồn (Google Workspace cho email cá nhân của sale, SMTP riêng cho công cụ automation), và mỗi nguồn cần được khai báo trong SPF.
- SPF: tra TXT record tại domain gốc, kiểm tra có include đúng nền tảng gửi (ví dụ _spf.google.com cho Google Workspace) và không vượt quá 10 lượt DNS lookup
- DKIM: kiểm tra selector._domainkey.domain.vn có tồn tại và public key khớp với private key nền tảng đang ký
- DMARC: tra _dmarc.domain.vn, xem policy hiện tại (none/quarantine/reject) và địa chỉ rua/ruf nhận report
- Đối chiếu domain phụ (subdomain) riêng — mỗi subdomain cần SPF và DKIM record của chính nó, DMARC có thể kế thừa từ domain gốc nếu không khai báo riêng
Kiểm tra theo từng nền tảng gửi cụ thể
Một email spf dkim dmarc checker chỉ báo record có tồn tại hay không, chưa nói lên record đó có đúng với nền tảng đang gửi thực tế. Mỗi nền tảng có cách khai báo DKIM khác nhau, và nếu công ty dùng song song nhiều nền tảng, SPF phải liệt kê đủ tất cả.
Với đội sales gửi cold email B2B, tình huống phổ biến là dùng Google Workspace cho hộp thư cá nhân của từng SDR, đồng thời dùng một nền tảng gửi automation riêng (SMTP hoặc API) cho phần còn lại của chiến dịch. Nếu chỉ khai báo SPF cho Google mà quên IP của nền tảng automation, toàn bộ email gửi qua automation sẽ fail SPF.
Số liệu mang tính tham khảo, đúc kết từ thực tế audit domain trước khi triển khai chiến dịch cold email B2B có mục tiêu
Đọc report DMARC để đánh giá thực tế, không chỉ nhìn record
Kiểm tra record tồn tại mới là bước đầu. Bước quan trọng hơn là đọc aggregate report (rua) do các nhà cung cấp mail lớn gửi về hàng ngày, cho biết nguồn gửi nào pass, nguồn nào fail SPF/DKIM alignment. Nhiều dmarc checker dmarcian và công cụ tương tự có tính năng tổng hợp report này thành bảng dễ đọc thay vì phải parse XML thô.
Với domain mới bắt đầu gửi cold email, nên đặt DMARC ở policy p=none trong 2-4 tuần đầu để chỉ theo dõi, không chặn email nào cả — kể cả email hợp lệ bị fail alignment do cấu hình sai. Sau khi report cho thấy tỷ lệ pass ổn định, mới nâng dần lên p=quarantine rồi p=reject.
Một domain phụ moi.congtyabc.vn mới tạo cho chiến dịch cold email gửi đến các giám đốc mua hàng ngành xây dựng. Report DMARC tuần đầu cho thấy 92% email pass cả SPF và DKIM alignment qua nền tảng automation, nhưng 100% email gửi thử qua Outlook cá nhân của một sale bị fail DKIM — vì Outlook không dùng selector DKIM đã khai báo. Sau khi thêm đúng selector cho Outlook, tỷ lệ pass tổng thể lên trên 98% trong tuần kế tiếp.
Lỗi thường gặp khi mở rộng nhiều domain phụ
Đội ngũ mở rộng nhanh cold email B2B trên nhiều domain phụ thường gặp vài lỗi lặp lại, phần lớn xuất phát từ việc coi cấu hình SPF/DKIM/DMARC là việc làm một lần rồi thôi.
- Copy nguyên SPF record của domain gốc sang domain phụ mà không kiểm tra nền tảng gửi có giống nhau không
- Bật DMARC p=reject ngay từ đầu, chặn luôn cả email hợp lệ gửi qua nền tảng chưa được alignment đúng
- Không kiểm tra lại sau khi đổi ESP hoặc thêm công cụ automation mới — SPF cũ không còn include IP của nguồn gửi mới
- Vượt quá giới hạn 10 lượt DNS lookup của SPF khi include quá nhiều nền tảng, khiến SPF bị bỏ qua hoàn toàn (permerror)
- Quên đặt rua report về địa chỉ có người theo dõi thực sự, khiến vấn đề tồn tại nhiều tuần mà không ai biết
Cách LDM kiểm tra domain trước khi bật chiến dịch
Trước khi bật bất kỳ chiến dịch cold email B2B nào cho khách hàng, LDM chạy audit SPF, DKIM, DMARC cho từng domain gửi và từng nền tảng liên quan — không chỉ domain chính mà cả mọi domain phụ dự kiến dùng cho outreach. Đây là bước bắt buộc, không phải tuỳ chọn, vì domain mất uy tín rất khó phục hồi khi đã bị các nhà cung cấp mail lớn đánh dấu.
Sau audit ban đầu, LDM tiếp tục theo dõi report DMARC định kỳ trong suốt chiến dịch, đặc biệt khi khách hàng thêm domain phụ mới hoặc đổi nền tảng gửi giữa chừng — vì đây chính là hai thời điểm dễ phát sinh lỗi cấu hình nhất.
Câu hỏi thường gặp
dmarc checker tool có kiểm tra được cả SPF và DKIM không?
Hầu hết spf dkim dmarc record checker hiện nay tra cứu cả ba loại bản ghi cùng lúc, vì chúng đều là TXT record trong DNS. Tuy vậy công cụ chỉ xác nhận record có tồn tại và cú pháp đúng, không đảm bảo alignment thực tế khi gửi qua từng nền tảng cụ thể.
Domain phụ có cần DMARC record riêng không?
Không bắt buộc nếu domain gốc đã có DMARC, vì DMARC áp dụng theo organizational domain và subdomain sẽ kế thừa policy trừ khi có tag riêng cho subdomain. Nhưng SPF và DKIM thì bắt buộc phải khai báo riêng cho từng subdomain đang gửi email.
Nên đặt DMARC policy nào khi mới bắt đầu gửi cold email?
Nên bắt đầu ở p=none để chỉ theo dõi report mà không chặn email nào, kể cả email hợp lệ đang bị fail do cấu hình chưa hoàn chỉnh. Sau 2-4 tuần khi tỷ lệ pass ổn định trên các nền tảng đang dùng, mới nâng dần lên p=quarantine rồi p=reject.
Vì sao SPF pass ở domain chính nhưng fail ở domain phụ mới tạo?
Vì SPF là bản ghi DNS riêng theo từng domain/subdomain, không tự động kế thừa. Domain phụ mới tạo cần được khai báo SPF include đúng nền tảng gửi đang dùng, dù nền tảng đó giống hệt domain chính.
Có nên dùng nhiều dmarc dkim checker khác nhau để đối chiếu không?
Nên kiểm tra chéo bằng ít nhất hai công cụ, vì một số công cụ cache DNS lâu và có thể trả kết quả cũ sau khi vừa cập nhật record. Đối chiếu kết quả từ dig/nslookup thủ công với một email spf dkim dmarc checker online là cách chắc chắn nhất trước khi bật chiến dịch.
Bao lâu nên audit lại SPF, DKIM, DMARC cho domain đang gửi?
Nên audit lại mỗi khi thêm nền tảng gửi mới, thêm domain phụ mới, hoặc tối thiểu mỗi quý một lần dù không có thay đổi gì, vì nhà cung cấp mail lớn thỉnh thoảng thay đổi cách đánh giá alignment.
Muốn áp dụng điều này vào outreach của bạn?
Chúng tôi sẽ chỉ cho bạn cách nó hoạt động với phân khúc và sản phẩm của bạn — trước khi bắt đầu.
Trao đổi ngay