Best Practices: Cấu hình SPF, DKIM, DMARC để tăng độ uy tín email
Để email gửi từ SMTP tùy chỉnh của bạn có độ uy tín cao, tránh rơi vào Spam và cải thiện khả năng gửi (deliverability), bạn cần cấu hình đầy đủ SPF, DKIM và DMARC trên domain của mình.
SPF (Sender Policy Framework)
SPF cho phép bạn xác định máy chủ nào được phép gửi email thay mặt domain của bạn.
Nếu không có SPF hoặc cấu hình sai, email có thể bị:
Đánh dấu là giả mạo
Từ chối bởi máy chủ nhận
Rơi vào Spam
Cách cấu hình SPF
Trong DNS, tạo bản ghi TXT:
Thay YOUR_SMTP_PROVIDER bằng:
smtp.gmail.com(Google Workspace / Gmail)spf.protection.outlook.com(Microsoft 365)Hoặc record SPF do nhà cung cấp SMTP cung cấp
Best practice SPF
Chỉ dùng một bản ghi SPF duy nhất
Không để SPF quá dài
Không sử dụng
+all(rất nguy hiểm)Khuyến nghị dùng
~allhoặc-all
DKIM (DomainKeys Identified Mail)
DKIM giúp email của bạn được ký số để chứng minh email là hợp lệ và không bị chỉnh sửa trong quá trình gửi.
Hầu hết nhà cung cấp SMTP đều cung cấp key DKIM để bạn thêm vào DNS.
Cách cấu hình DKIM
Tạo 1 hoặc nhiều bản ghi TXT
Theo đúng Hostname và giá trị mà SMTP provider cung cấp
Ví dụ DKIM Gmail:
Hostname:
Value:
Lợi ích DKIM
Tăng độ tin cậy email
Giảm khả năng email rơi vào spam
Giúp các hệ thống xác thực người gửi dễ dàng
DMARC (Domain-based Message Authentication Reporting & Conformance)
DMARC là lớp bảo vệ nâng cao, hoạt động dựa trên SPF và DKIM.
DMARC cho phép bạn:
Xác định cách xử lý email không hợp lệ (None, Quarantine, Reject)
Nhận báo cáo hàng ngày về tình trạng gửi email
Ngăn chặn giả mạo domain
DMARC cơ bản (khuyên dùng ban đầu)
DMARC nâng cao (chặn email không hợp lệ)
Lời khuyên DMARC
Bắt đầu với
p=none→ theo dõiSau đó chuyển sang
quarantinehoặcrejectđể bảo vệ domainLuôn khai báo
ruađể nhận báo cáo
Troubleshooting SMTP – Lỗi phổ biến và cách khắc phục
SMTP Error: Authentication Failed
Nguyên nhân:
Username hoặc password sai
Nhà cung cấp yêu cầu App Password
Khắc phục:
Kiểm tra lại thông tin đăng nhập
Nếu dùng Gmail/Outlook → dùng App Password
Bật “Less secure apps” nếu provider yêu cầu (ít phổ biến)
SMTP Error: Connection Timeout
Nguyên nhân:
Cổng SMTP bị chặn
Firewall của hosting không cho phép outbound SMTP
Port sai (465/587)
Khắc phục:
Kiểm tra lại port đề xuất:
SSL: 465
TLS: 587
Kiểm tra firewall hoặc hỏi nhà cung cấp hosting
Test bằng Telnet để xác minh cổng có mở
Emails Go to Spam Folder
Nguyên nhân:
Không có SPF, DKIM, DMARC
Nội dung email chứa từ khóa spam
Domain mới chưa có uy tín
Khắc phục:
Cấu hình SPF, DKIM, DMARC đầy đủ
Tránh dùng từ khóa spam như “FREE, CLICK NOW…”
Gửi email thử nghiệm qua mail-tester.com
SMTP Error: SSL/TLS Handshake Failed
Nguyên nhân:
Chọn sai loại mã hóa
Provider yêu cầu STARTTLS thay vì SSL
Khắc phục:
Thử chuyển giữa SSL ↔ TLS
Kiểm tra tài liệu SMTP provider
Kiểm tra chứng chỉ SSL của server
SMTP Error: Relay Access Denied
Nguyên nhân:
Provider không cho phép gửi từ domain khác
From Email không khớp username
Khắc phục:
Set From Email giống với username SMTP
Kiểm tra cấu hình “Allowed senders” của provider
Checklist để kiểm tra SMTP sau khi cấu hình
Kiểm tra thông tin cấu hình
SMTP Host
Port đúng (465/587)
SSL/TLS đúng yêu cầu
Username chính xác
Password hoặc App Password đúng
Kiểm tra DNS
SPF hợp lệ
DKIM đã kích hoạt và pass
DMARC đang hoạt động
Không có bản ghi SPF trùng lặp
Kiểm tra thử email
Gửi email thử → Inbox
Không rơi vào Spam
Kiểm tra header email để xác nhận:
SPF: PASS
DKIM: PASS
DMARC: PASS
Kiểm tra tính ổn định
Gửi 10 email liên tục không bị timeout
Không bị giới hạn gửi của provider
Kiểm tra log SMTP nếu provider cung cấp
Kiểm tra bảo mật
App Password được lưu trữ an toàn
Không chia sẻ thông tin SMTP
From Email thuộc domain hợp lệ
