SPF, DKIM, DMARC: ba lớp xác thực giúp domain cold email không rơi vào spam
Một domain gửi cold email B2B không có SPF, DKIM, DMARC giống như một công ty gửi thư không có con dấu và chữ ký — người nhận không có cách nào xác minh thư thật sự đến từ bạn. Kết quả là tỷ lệ vào hộp thư đến giảm, email bị đánh dấu spam, và tệ hơn là domain có thể bị người khác giả mạo để gửi thư rác. Bài viết này giải thích rõ ràng dmarc dkim spf là gì, chúng phối hợp với nhau ra sao, và cách triển khai từng bước cho một domain dùng để tiếp cận khách hàng doanh nghiệp.
- SPF, DKIM, DMARC là ba lớp xác thực bổ sung nhau, không lớp nào thay thế được lớp nào
- Thiếu một trong ba, domain dễ bị giả mạo hoặc bị các mail server lớn xếp vào spam
- DMARC record cần alignment đúng giữa domain trong From và domain được SPF/DKIM xác thực mới phát huy tác dụng
- Nên dùng subdomain riêng cho cold outreach B2B, tách biệt khỏi domain giao dịch chính
- Triển khai dần theo thứ tự p=none rồi p=quarantine rồi p=reject, không nhảy cóc ngay từ đầu
Vì sao domain gửi cold email B2B cần SPF, DKIM, DMARC
Khi một mail server nhận thư, việc đầu tiên nó kiểm tra không phải nội dung mà là domain gửi có đáng tin không. Không có xác thực, bất kỳ ai cũng có thể chèn tên domain của bạn vào trường From của một email khác — đó gọi là spoofing. Với cold email B2B, nơi người nhận là đại diện thật của một công ty thật, mất niềm tin ở bước này đồng nghĩa email rơi thẳng vào thư mục spam trước khi ai đọc được một chữ.
spf dkim dmarc là ba cơ chế được các nhà cung cấp hộp thư lớn dùng để trả lời ba câu hỏi khác nhau: SPF trả lời máy chủ nào được phép gửi thay domain này, DKIM trả lời nội dung có bị chỉnh sửa trên đường đi không, còn DMARC trả lời phải làm gì nếu hai kiểm tra trên không khớp, đồng thời gửi báo cáo về cho chủ domain. Thiếu một trong ba, hệ thống lọc thư vẫn hoạt động nhưng dựa nhiều hơn vào các tín hiệu mơ hồ như reputation IP hay hành vi người dùng — vốn bất lợi cho domain mới hoặc domain gửi khối lượng nhỏ như cold outreach.
SPF là gì và hoạt động ra sao
SPF (Sender Policy Framework) là một bản ghi TXT trong DNS liệt kê những máy chủ hoặc dịch vụ được phép gửi email thay mặt domain. Khi nhận thư, mail server đối chiếu địa chỉ IP gửi thực tế với danh sách này; nếu không khớp, thư có nguy cơ bị từ chối hoặc đánh dấu nghi vấn.
Một bản ghi SPF điển hình có dạng liệt kê nhà cung cấp email marketing hoặc hạ tầng gửi (ví dụ include:sendgrid.net hoặc include:_spf.google.com), theo sau bởi chỉ thị xử lý phần còn lại như ~all (soft fail, khuyến nghị khi mới triển khai) hoặc -all (hard fail, chặt chẽ hơn). SPF có giới hạn kỹ thuật quan trọng: tối đa 10 lần DNS lookup lồng nhau, và nó không sống sót qua việc forward email — nếu thư được chuyển tiếp qua một máy chủ khác, SPF của domain gốc sẽ fail dù thư hợp lệ. Đây là lý do SPF một mình không đủ, cần DKIM đi kèm.
Ví dụ bản ghi SPF cho một domain outreach: v=spf1 include:_spf.ldm.vn include:sendgrid.net ~all — nghĩa là chỉ hạ tầng của LDM và SendGrid được phép gửi thay domain này, các nguồn khác bị đánh dấu nghi vấn thay vì chặn cứng.
DKIM là gì và vì sao nó bổ sung cho SPF
DKIM (DomainKeys Identified Mail) gắn một chữ ký số vào header của mỗi email gửi đi, được tạo bằng private key riêng của domain. Server nhận lấy public key tương ứng — công bố dưới dạng bản ghi TXT tại một selector như selector1._domainkey.tenten.vn — để xác minh chữ ký còn nguyên vẹn, tức nội dung không bị chỉnh sửa trên đường truyền.
Khác với SPF vốn kiểm tra theo IP gửi, DKIM kiểm tra theo chữ ký gắn liền với nội dung, nên nó vẫn hợp lệ ngay cả khi email đi qua một máy chủ trung gian hay bị forward. Với domain dùng cho cold email B2B, DKIM còn có lợi ích thực tế: nhiều nền tảng CRM và mail client hiển thị biểu tượng xác thực khi DKIM pass, tăng cảm giác đáng tin ngay ở mức giao diện trước khi người nhận đọc nội dung.
DMARC là gì, DMARC record là gì và alignment hoạt động thế nào
DMARC (Domain-based Message Authentication, Reporting and Conformance) là lớp trên cùng, ràng buộc SPF và DKIM lại với nhau bằng khái niệm alignment: domain hiển thị ở trường From phải trùng (hoặc cùng gốc) với domain được SPF hoặc DKIM xác thực thành công. Nếu không trùng, dù SPF và DKIM riêng lẻ đều pass, DMARC vẫn coi là fail.
dmarc record là gì về mặt kỹ thuật: đó là một bản ghi TXT đặt tại _dmarc.tenten.vn, khai báo chính sách xử lý khi fail (p=none để chỉ giám sát, p=quarantine để đưa vào spam, p=reject để từ chối thẳng), cùng địa chỉ nhận báo cáo tổng hợp (rua) và báo cáo chi tiết từng lỗi (ruf). Báo cáo rua là nguồn thông tin quý giá cho đội ngũ vận hành domain — nó cho biết ai đang gửi thay domain của bạn, ở đâu, và có pass alignment hay không, kể cả những nguồn gửi bạn chưa từng biết tới.
Số liệu mang tính tham khảo, đúc kết từ thực tế vận hành domain cho các chiến dịch B2B địa chỉ hóa, không phải số liệu từ một nghiên cứu công bố.
Triển khai spf dkim và dmarc từng bước cho domain cold email
Việc triển khai nên đi theo trình tự tăng dần, không nên bật chính sách chặt nhất ngay lập tức vì rủi ro chặn nhầm email hợp lệ của chính bạn nếu cấu hình còn sai sót.
- Kiểm tra domain hiện có bản ghi SPF/DKIM/DMARC nào chưa bằng công cụ tra cứu DNS công khai
- Thêm hoặc gộp bản ghi SPF, chỉ liệt kê đúng các nguồn gửi thật sự đang dùng (ESP, LDM, hệ thống nội bộ)
- Bật DKIM do nhà cung cấp gửi thư cấp, publish public key đúng selector, kiểm tra pass bằng một email test
- Publish DMARC với p=none trước, theo dõi báo cáo rua trong 2-4 tuần để phát hiện nguồn gửi hợp lệ nhưng chưa align
- Sửa các lỗi alignment phát hiện được, rồi nâng dần lên p=quarantine
- Sau khi ổn định, nâng lên p=reject để chặn tuyệt đối các trường hợp giả mạo
- Với cold outreach, cân nhắc dùng một subdomain riêng (ví dụ outreach.tenten.vn) để tách biệt hoàn toàn khỏi domain giao dịch và hóa đơn chính
Sai lầm thường gặp khi cấu hình spf dkim dmarc là gì
Phần lớn sự cố không đến từ việc thiếu bản ghi, mà từ cách cấu hình sai khiến hệ thống hoạt động nửa vời.
- Có nhiều bản ghi SPF cùng lúc trên một domain — DNS chỉ chấp nhận một bản ghi SPF hợp lệ, phần còn lại bị bỏ qua hoặc gây lỗi
- Vượt quá 10 lần DNS lookup do include quá nhiều dịch vụ, khiến SPF trả về permerror
- Selector DKIM publish sai hoặc không khớp với selector nhà cung cấp email dùng để ký, khiến DKIM luôn fail âm thầm
- Nhảy thẳng lên p=reject khi chưa từng xem báo cáo rua, chặn nhầm cả nguồn gửi hợp lệ chưa kịp align
- Gửi cold email trực tiếp từ domain website hoặc domain hóa đơn chính, khiến một sự cố deliverability ảnh hưởng tới toàn bộ hoạt động kinh doanh
- Quên cập nhật SPF khi đổi nhà cung cấp gửi thư, để lại bản ghi trỏ tới hạ tầng đã ngừng dùng
LDM xử lý xác thực domain thế nào trước khi chạy chiến dịch B2B
Trước khi khởi động một chiến dịch cold email, LDM kiểm tra domain của khách hàng có đủ SPF, DKIM, DMARC hợp lệ và align đúng chưa; nếu chưa, đội kỹ thuật hỗ trợ cấu hình trước khi gửi bất kỳ email nào ra ngoài. Với domain mới hoặc IP mới, LDM áp dụng warmup tăng dần khối lượng gửi song song với việc theo dõi báo cáo DMARC, thay vì gửi khối lượng lớn ngay từ đầu.
LDM cũng khuyến nghị khách hàng dùng subdomain riêng cho hoạt động outreach, giữ p=none trong giai đoạn đầu để quan sát, rồi mới nâng dần chính sách theo dữ liệu thực tế thay vì theo cảm tính. Cách tiếp cận này giúp bảo vệ danh tiếng domain chính trong khi vẫn đảm bảo email cold outreach đạt tỷ lệ vào inbox ổn định.
Câu hỏi thường gặp
dmarc là gì, nói đơn giản?
DMARC là một chính sách công bố qua DNS, cho mail server nhận biết phải làm gì khi một email tự xưng là từ domain của bạn nhưng không pass SPF hoặc DKIM align — bỏ qua, đưa vào spam, hay từ chối thẳng. Nó cũng gửi báo cáo định kỳ về cho chủ domain.
spf dkim dmarc là gì và khác nhau ở điểm nào?
SPF kiểm tra máy chủ gửi có nằm trong danh sách được phép không, DKIM kiểm tra nội dung có bị thay đổi qua chữ ký số không, còn DMARC quyết định hành động khi hai kiểm tra trên thất bại và domain không align. Ba lớp này độc lập về kỹ thuật nhưng bổ sung cho nhau.
dmarc record là gì và đặt ở đâu trong DNS?
Đó là một bản ghi TXT đặt tại _dmarc.tendomain.vn, khai báo chính sách (none, quarantine, reject) cùng địa chỉ email nhận báo cáo tổng hợp. Nó không thay thế SPF hay DKIM mà dựa vào kết quả của cả hai để ra quyết định.
Có bắt buộc phải cấu hình cả spf dkim và dmarc không?
Không có luật nào bắt buộc, nhưng các mail server lớn ngày càng yêu cầu ngầm định — domain thiếu xác thực dễ bị lọc vào spam hoặc bị chặn hoàn toàn khi gửi khối lượng dù nhỏ tới nhiều tổ chức khác nhau. Với cold email B2B, đây gần như là điều kiện tối thiểu.
Domain mới mất bao lâu để triển khai đầy đủ spf dmarc dkim?
Cấu hình DNS mất vài phút đến vài giờ để lan truyền, nhưng giai đoạn giám sát an toàn với p=none nên kéo dài ít nhất 2-4 tuần trước khi nâng chính sách, để tránh chặn nhầm nguồn gửi hợp lệ chưa kịp align.
Báo cáo rua và ruf trong DMARC dùng để làm gì?
Báo cáo rua là bản tổng hợp định kỳ cho biết những nguồn nào đang gửi thư nhân danh domain của bạn và có align hay không, còn ruf là báo cáo chi tiết từng email fail. Đọc báo cáo rua thường xuyên là cách duy nhất để phát hiện giả mạo hoặc cấu hình sai trước khi nó ảnh hưởng đến deliverability.
Muốn áp dụng điều này vào outreach của bạn?
Chúng tôi sẽ chỉ cho bạn cách nó hoạt động với phân khúc và sản phẩm của bạn — trước khi bắt đầu.
Trao đổi ngay