Live Direct Marketing
Trang chủBlogKhả năng vào inbox

SPF, DKIM, DMARC: ba lớp xác thực giúp domain cold email không rơi vào spam

12 tháng 7 năm 2026 · 11 phút đọc · Cẩm nang: Khả năng vào inbox

Một domain gửi cold email B2B không có SPF, DKIM, DMARC giống như một công ty gửi thư không có con dấu và chữ ký — người nhận không có cách nào xác minh thư thật sự đến từ bạn. Kết quả là tỷ lệ vào hộp thư đến giảm, email bị đánh dấu spam, và tệ hơn là domain có thể bị người khác giả mạo để gửi thư rác. Bài viết này giải thích rõ ràng dmarc dkim spf là gì, chúng phối hợp với nhau ra sao, và cách triển khai từng bước cho một domain dùng để tiếp cận khách hàng doanh nghiệp.

Tóm tắt
  • SPF, DKIM, DMARC là ba lớp xác thực bổ sung nhau, không lớp nào thay thế được lớp nào
  • Thiếu một trong ba, domain dễ bị giả mạo hoặc bị các mail server lớn xếp vào spam
  • DMARC record cần alignment đúng giữa domain trong From và domain được SPF/DKIM xác thực mới phát huy tác dụng
  • Nên dùng subdomain riêng cho cold outreach B2B, tách biệt khỏi domain giao dịch chính
  • Triển khai dần theo thứ tự p=none rồi p=quarantine rồi p=reject, không nhảy cóc ngay từ đầu

Vì sao domain gửi cold email B2B cần SPF, DKIM, DMARC

Khi một mail server nhận thư, việc đầu tiên nó kiểm tra không phải nội dung mà là domain gửi có đáng tin không. Không có xác thực, bất kỳ ai cũng có thể chèn tên domain của bạn vào trường From của một email khác — đó gọi là spoofing. Với cold email B2B, nơi người nhận là đại diện thật của một công ty thật, mất niềm tin ở bước này đồng nghĩa email rơi thẳng vào thư mục spam trước khi ai đọc được một chữ.

spf dkim dmarc là ba cơ chế được các nhà cung cấp hộp thư lớn dùng để trả lời ba câu hỏi khác nhau: SPF trả lời máy chủ nào được phép gửi thay domain này, DKIM trả lời nội dung có bị chỉnh sửa trên đường đi không, còn DMARC trả lời phải làm gì nếu hai kiểm tra trên không khớp, đồng thời gửi báo cáo về cho chủ domain. Thiếu một trong ba, hệ thống lọc thư vẫn hoạt động nhưng dựa nhiều hơn vào các tín hiệu mơ hồ như reputation IP hay hành vi người dùng — vốn bất lợi cho domain mới hoặc domain gửi khối lượng nhỏ như cold outreach.

SPF là gì và hoạt động ra sao

SPF (Sender Policy Framework) là một bản ghi TXT trong DNS liệt kê những máy chủ hoặc dịch vụ được phép gửi email thay mặt domain. Khi nhận thư, mail server đối chiếu địa chỉ IP gửi thực tế với danh sách này; nếu không khớp, thư có nguy cơ bị từ chối hoặc đánh dấu nghi vấn.

Một bản ghi SPF điển hình có dạng liệt kê nhà cung cấp email marketing hoặc hạ tầng gửi (ví dụ include:sendgrid.net hoặc include:_spf.google.com), theo sau bởi chỉ thị xử lý phần còn lại như ~all (soft fail, khuyến nghị khi mới triển khai) hoặc -all (hard fail, chặt chẽ hơn). SPF có giới hạn kỹ thuật quan trọng: tối đa 10 lần DNS lookup lồng nhau, và nó không sống sót qua việc forward email — nếu thư được chuyển tiếp qua một máy chủ khác, SPF của domain gốc sẽ fail dù thư hợp lệ. Đây là lý do SPF một mình không đủ, cần DKIM đi kèm.

Ví dụ

Ví dụ bản ghi SPF cho một domain outreach: v=spf1 include:_spf.ldm.vn include:sendgrid.net ~all — nghĩa là chỉ hạ tầng của LDM và SendGrid được phép gửi thay domain này, các nguồn khác bị đánh dấu nghi vấn thay vì chặn cứng.

DKIM là gì và vì sao nó bổ sung cho SPF

DKIM (DomainKeys Identified Mail) gắn một chữ ký số vào header của mỗi email gửi đi, được tạo bằng private key riêng của domain. Server nhận lấy public key tương ứng — công bố dưới dạng bản ghi TXT tại một selector như selector1._domainkey.tenten.vn — để xác minh chữ ký còn nguyên vẹn, tức nội dung không bị chỉnh sửa trên đường truyền.

Khác với SPF vốn kiểm tra theo IP gửi, DKIM kiểm tra theo chữ ký gắn liền với nội dung, nên nó vẫn hợp lệ ngay cả khi email đi qua một máy chủ trung gian hay bị forward. Với domain dùng cho cold email B2B, DKIM còn có lợi ích thực tế: nhiều nền tảng CRM và mail client hiển thị biểu tượng xác thực khi DKIM pass, tăng cảm giác đáng tin ngay ở mức giao diện trước khi người nhận đọc nội dung.

DMARC là gì, DMARC record là gì và alignment hoạt động thế nào

DMARC (Domain-based Message Authentication, Reporting and Conformance) là lớp trên cùng, ràng buộc SPF và DKIM lại với nhau bằng khái niệm alignment: domain hiển thị ở trường From phải trùng (hoặc cùng gốc) với domain được SPF hoặc DKIM xác thực thành công. Nếu không trùng, dù SPF và DKIM riêng lẻ đều pass, DMARC vẫn coi là fail.

dmarc record là gì về mặt kỹ thuật: đó là một bản ghi TXT đặt tại _dmarc.tenten.vn, khai báo chính sách xử lý khi fail (p=none để chỉ giám sát, p=quarantine để đưa vào spam, p=reject để từ chối thẳng), cùng địa chỉ nhận báo cáo tổng hợp (rua) và báo cáo chi tiết từng lỗi (ruf). Báo cáo rua là nguồn thông tin quý giá cho đội ngũ vận hành domain — nó cho biết ai đang gửi thay domain của bạn, ở đâu, và có pass alignment hay không, kể cả những nguồn gửi bạn chưa từng biết tới.

Triển khai spf dkim và dmarc từng bước cho domain cold email

Việc triển khai nên đi theo trình tự tăng dần, không nên bật chính sách chặt nhất ngay lập tức vì rủi ro chặn nhầm email hợp lệ của chính bạn nếu cấu hình còn sai sót.

Sai lầm thường gặp khi cấu hình spf dkim dmarc là gì

Phần lớn sự cố không đến từ việc thiếu bản ghi, mà từ cách cấu hình sai khiến hệ thống hoạt động nửa vời.

LDM xử lý xác thực domain thế nào trước khi chạy chiến dịch B2B

Trước khi khởi động một chiến dịch cold email, LDM kiểm tra domain của khách hàng có đủ SPF, DKIM, DMARC hợp lệ và align đúng chưa; nếu chưa, đội kỹ thuật hỗ trợ cấu hình trước khi gửi bất kỳ email nào ra ngoài. Với domain mới hoặc IP mới, LDM áp dụng warmup tăng dần khối lượng gửi song song với việc theo dõi báo cáo DMARC, thay vì gửi khối lượng lớn ngay từ đầu.

LDM cũng khuyến nghị khách hàng dùng subdomain riêng cho hoạt động outreach, giữ p=none trong giai đoạn đầu để quan sát, rồi mới nâng dần chính sách theo dữ liệu thực tế thay vì theo cảm tính. Cách tiếp cận này giúp bảo vệ danh tiếng domain chính trong khi vẫn đảm bảo email cold outreach đạt tỷ lệ vào inbox ổn định.

Câu hỏi thường gặp

dmarc là gì, nói đơn giản?

DMARC là một chính sách công bố qua DNS, cho mail server nhận biết phải làm gì khi một email tự xưng là từ domain của bạn nhưng không pass SPF hoặc DKIM align — bỏ qua, đưa vào spam, hay từ chối thẳng. Nó cũng gửi báo cáo định kỳ về cho chủ domain.

spf dkim dmarc là gì và khác nhau ở điểm nào?

SPF kiểm tra máy chủ gửi có nằm trong danh sách được phép không, DKIM kiểm tra nội dung có bị thay đổi qua chữ ký số không, còn DMARC quyết định hành động khi hai kiểm tra trên thất bại và domain không align. Ba lớp này độc lập về kỹ thuật nhưng bổ sung cho nhau.

dmarc record là gì và đặt ở đâu trong DNS?

Đó là một bản ghi TXT đặt tại _dmarc.tendomain.vn, khai báo chính sách (none, quarantine, reject) cùng địa chỉ email nhận báo cáo tổng hợp. Nó không thay thế SPF hay DKIM mà dựa vào kết quả của cả hai để ra quyết định.

Có bắt buộc phải cấu hình cả spf dkim và dmarc không?

Không có luật nào bắt buộc, nhưng các mail server lớn ngày càng yêu cầu ngầm định — domain thiếu xác thực dễ bị lọc vào spam hoặc bị chặn hoàn toàn khi gửi khối lượng dù nhỏ tới nhiều tổ chức khác nhau. Với cold email B2B, đây gần như là điều kiện tối thiểu.

Domain mới mất bao lâu để triển khai đầy đủ spf dmarc dkim?

Cấu hình DNS mất vài phút đến vài giờ để lan truyền, nhưng giai đoạn giám sát an toàn với p=none nên kéo dài ít nhất 2-4 tuần trước khi nâng chính sách, để tránh chặn nhầm nguồn gửi hợp lệ chưa kịp align.

Báo cáo rua và ruf trong DMARC dùng để làm gì?

Báo cáo rua là bản tổng hợp định kỳ cho biết những nguồn nào đang gửi thư nhân danh domain của bạn và có align hay không, còn ruf là báo cáo chi tiết từng email fail. Đọc báo cáo rua thường xuyên là cách duy nhất để phát hiện giả mạo hoặc cấu hình sai trước khi nó ảnh hưởng đến deliverability.

Quan trọng: đây không phải là email hàng loạt hay spam. Chúng tôi làm việc theo cách có mục tiêu: mỗi tin nhắn được gửi tới một người phụ trách cụ thể tại một công ty cụ thể, vì lý do kinh doanh chính đáng, với khối lượng nhỏ mỗi ngày và được cá nhân hóa cho từng người nhận. Mỗi email đều nêu rõ người gửi và có liên kết hủy đăng ký chỉ bằng một cú nhấp; yêu cầu hủy đăng ký và danh sách chặn được áp dụng cho mọi chiến dịch sau đó, không ngoại lệ.

Muốn áp dụng điều này vào outreach của bạn?

Chúng tôi sẽ chỉ cho bạn cách nó hoạt động với phân khúc và sản phẩm của bạn — trước khi bắt đầu.

Trao đổi ngay