Bỏ qua đến nội dung chính
Email doanh nghiệp

Cấu hình SPF, DKIM, DMARC cho email doanh nghiệp

Hướng dẫn doanh nghiệp lập danh sách nguồn gửi, cấu hình SPF, bật DKIM, triển khai DMARC theo từng bước và kiểm tra email sau khi đổi DNS.

Tác giả: Ban biên tập VietInbox Đăng: Cập nhật:

SPF, DKIM và DMARC là ba cơ chế xác thực quan trọng cho email dùng tên miền doanh nghiệp. Chúng không thay thế bộ lọc spam, nhưng giúp máy chủ nhận kiểm tra nguồn gửi, chữ ký thư và mối quan hệ giữa các tên miền xuất hiện trong quá trình gửi.

Cấu hình đúng cần bắt đầu bằng việc kiểm kê tất cả hệ thống gửi thư, không phải sao chép một bản ghi mẫu trên mạng.

SPF, DKIM và DMARC khác nhau thế nào?

Cơ chếKiểm tra chínhĐược công bố ở đâu?
SPFMáy chủ nào được phép gửi cho miền MAIL FROMBản ghi TXT trong DNS
DKIMThư có chữ ký hợp lệ và phần được ký có bị thay đổi khôngKhóa công khai trong DNS; khóa riêng ở hệ thống gửi
DMARCSPF hoặc DKIM có đạt và căn chỉnh với miền hiển thị trong From khôngBản ghi TXT tại _dmarc.tenmien

SPF một mình không bảo vệ đầy đủ địa chỉ From mà người dùng nhìn thấy. DKIM có thể hợp lệ nhưng ký bằng một tên miền khác. DMARC bổ sung yêu cầu alignment—tên miền xác thực phải liên quan đúng với tên miền trong From theo chế độ đã chọn.

Microsoft mô tả SPF, DKIM và DMARC là các lớp hoạt động cùng nhau; DKIM riêng lẻ không đủ để ngăn giả mạo tên miền tùy chỉnh. Google cũng khuyến nghị tổ chức thiết lập cả ba.

Bước 1: Liệt kê tất cả nguồn gửi email

Trước khi sửa SPF hoặc DMARC, hãy lập bảng nguồn gửi:

  • Mailbox nhân viên trên Lark, Google Workspace hoặc Microsoft 365.
  • Website gửi form liên hệ hoặc thông báo đơn hàng.
  • CRM và phần mềm chăm sóc khách hàng.
  • Phần mềm hóa đơn điện tử, ERP hoặc nhân sự.
  • Công cụ email marketing.
  • Máy chủ, thiết bị hoặc ứng dụng nội bộ gửi cảnh báo.

Với mỗi nguồn, ghi rõ:

  • Địa chỉ From đang sử dụng.
  • Miền MAIL FROM/return-path nếu biết.
  • Có hỗ trợ DKIM bằng tên miền doanh nghiệp không.
  • Giá trị SPF do nhà cung cấp công bố.
  • Người chịu trách nhiệm vận hành.

Nguồn gửi bị bỏ sót là nguyên nhân phổ biến khiến SPF hoặc DMARC thất bại sau khi chính sách được siết chặt.

Bước 2: Cấu hình SPF đúng cách

SPF là một bản ghi TXT tại tên miền gửi. Ví dụ minh họa:

v=spf1 include:_spf.google.com ~all

Giá trị thực tế phải dựa trên nền tảng đang dùng. Không dùng ví dụ này cho Microsoft 365, Lark hoặc hệ thống có nhiều nguồn gửi nếu tài liệu của nhà cung cấp yêu cầu giá trị khác.

Nguyên tắc quan trọng của SPF

  • Chỉ có một bản ghi SPF bắt đầu bằng v=spf1 cho mỗi tên miền.
  • Nếu đã có SPF, hợp nhất nguồn mới vào bản ghi hiện tại; không tạo bản ghi thứ hai.
  • Chỉ thêm nguồn thực sự gửi email thay mặt tên miền.
  • Theo dõi giới hạn tra cứu DNS của SPF.
  • Không chuyển sang -all trước khi đã xác định đủ nguồn hợp lệ.

Google hướng dẫn tất cả người gửi tới Gmail cá nhân cần SPF hoặc DKIM; người gửi số lượng lớn phải dùng SPF, DKIM và DMARC. Dù doanh nghiệp không gửi số lượng lớn, xác thực đầy đủ vẫn là thiết kế tốt hơn.

Bước 3: Bật DKIM cho tên miền tùy chỉnh

DKIM dùng khóa riêng tại hệ thống gửi để ký thư và khóa công khai trong DNS để hệ thống nhận xác minh.

Quy trình tổng quát:

  1. Mở phần DKIM trong trang quản trị nền tảng email.
  2. Tạo selector hoặc khóa DKIM.
  3. Thêm bản ghi TXT hoặc CNAME do nền tảng cung cấp vào DNS.
  4. Chờ bản ghi được công khai.
  5. Quay lại trang quản trị và bật ký DKIM.
  6. Gửi thư thử ra một hệ thống bên ngoài.

Không tự tạo giá trị DKIM nếu nền tảng yêu cầu sinh khóa trong trang quản trị. Google Workspace thường cung cấp selector và giá trị TXT; Microsoft 365 dùng các CNAME theo giá trị cụ thể của tenant.

Trong Microsoft 365, thư từ tên miền onmicrosoft.com có thể được ký tự động, nhưng tên miền tùy chỉnh cần cấu hình DKIM riêng để đạt mức bảo vệ phù hợp. Mỗi subdomain dùng để gửi cũng cần được xem xét riêng.

Bước 4: Triển khai DMARC theo từng giai đoạn

DMARC được đặt tại _dmarc.tenmien. Ví dụ khởi đầu để thu thập báo cáo:

v=DMARC1; p=none; rua=mailto:[email protected]

Đây chỉ là ví dụ về cấu trúc. Địa chỉ nhận báo cáo phải tồn tại và có quy trình xử lý dữ liệu báo cáo.

Lộ trình an toàn

  1. Đảm bảo SPF và DKIM đã hoạt động ổn định.
  2. Bắt đầu với p=none để quan sát.
  3. Phân tích báo cáo và sửa các nguồn không đạt alignment.
  4. Thử p=quarantine với tỷ lệ nhỏ nếu phù hợp.
  5. Tăng dần phạm vi sau khi theo dõi.
  6. Chỉ dùng p=reject khi đã hiểu rõ luồng gửi hợp lệ.

Google khuyến nghị thiết lập SPF và DKIM ít nhất 48 giờ trước DMARC và triển khai DMARC theo lộ trình. Việc sao chép ngay một chính sách p=reject có thể làm thư hợp lệ từ website, CRM hoặc nhà cung cấp hóa đơn bị từ chối.

Bước 5: Kiểm tra sau cấu hình

Không chỉ kiểm tra DNS tồn tại. Hãy gửi thư thật từ từng nguồn tới Gmail và Outlook bên ngoài, sau đó xem tiêu đề thư.

Các kết quả cần kiểm tra:

  • spf=pass với nguồn gửi mong đợi.
  • dkim=pass và miền ký phù hợp.
  • dmarc=pass cho miền hiển thị trong From.
  • Thư trả lời và thư chuyển tiếp vẫn hoạt động như dự kiến.
  • Form website và phần mềm nghiệp vụ không bị bỏ sót.

Sau khi bật DMARC, tiếp tục theo dõi báo cáo. Xác thực “pass” không bảo đảm mọi thư sẽ vào Inbox vì hệ thống nhận còn xem xét danh tiếng, nội dung và hành vi gửi; tuy nhiên, cấu hình sai chắc chắn làm tăng rủi ro phân loại hoặc từ chối.

Những lỗi cấu hình thường gặp

Có hai bản ghi SPF

Hai chuỗi v=spf1 riêng biệt không có nghĩa là hệ thống sẽ tự cộng chúng lại. Hãy hợp nhất đúng cú pháp và kiểm tra giới hạn tra cứu.

DKIM đã thêm DNS nhưng chưa bật ký

Một số nền tảng yêu cầu quay lại trang quản trị để kích hoạt sau khi bản ghi được phát hiện.

DMARC không có alignment

SPF hoặc DKIM có thể pass bằng tên miền của nhà cung cấp nhưng DMARC vẫn fail nếu miền đó không căn chỉnh với From.

Quên hệ thống gửi ngoài mailbox

Website, CRM, hóa đơn và marketing thường là các nguồn dễ bị bỏ sót nhất.

Dùng chính sách mạnh ngay ngày đầu

p=reject nên là kết quả của quá trình quan sát và sửa lỗi, không phải bước đầu tiên.

Checklist bàn giao DNS email

  • Chỉ có một SPF cho tên miền.
  • Tất cả nguồn gửi hợp lệ đã được ghi nhận.
  • DKIM đã bật và thư thử có dkim=pass.
  • DMARC có địa chỉ nhận báo cáo được quản lý.
  • Đã thử từ mailbox, website, CRM và hệ thống hóa đơn.
  • Có bản lưu cấu hình DNS trước và sau thay đổi.
  • Có người chịu trách nhiệm theo dõi báo cáo DMARC.

Nếu doanh nghiệp không có nhân sự quản trị DNS, xem dịch vụ cấu hình email doanh nghiệp hoặc liên hệ VietInbox để rà soát theo đúng nền tảng đang dùng.

Nguồn tham khảo