DMARC, SPF, DKIM và Nghị định 356: Hướng dẫn Tuân thủ kỹ thuật email cho IT Manager

Nếu bạn là IT Manager hoặc System Administrator tại doanh nghiệp, khả năng cao bạn sẽ sớm nhận được yêu cầu kiểm tra mức độ tuân thủ hệ thống email marketing trước các quy định về dữ liệu cá nhân. Những câu hỏi như “hệ thống đã đáp ứng yêu cầu pháp lý chưa?” hay “cần audit toàn bộ email trong thời gian ngắn” đang trở thành áp lực thực tế từ phía lãnh đạo và bộ phận pháp lý.

Trong bối cảnh đó, việc hiểu rõ các tiêu chuẩn kỹ thuật như DMARC, SPF và DKIM không còn là lựa chọn mà là yêu cầu bắt buộc. Bài viết này cung cấp góc nhìn kỹ thuật giúp bạn chủ động audit, chuẩn hóa và sẵn sàng cho các yêu cầu compliance liên quan đến hệ thống email doanh nghiệp.

Tại sao Nghị định 356 khiến doanh nghiệp buộc phải quan tâm đến DMARC?

Nhiều người nghĩ bảo vệ dữ liệu chỉ liên quan đến nơi lưu trữ data, server ở đâu, ai có quyền truy cập. Thực tế, Nghị định 356 quan tâm đến cả tính toàn vẹn và xác thực của luồng dữ liệu.

Email là một trong những vector tấn công phổ biến nhất: phishing, spoofing, email giả mạo thương hiệu doanh nghiệp để lừa đảo khách hàng. Khi tội phạm mạo danh email từ domain công ty bạn để gửi cho khách hàng về mặt pháp lý, doanh nghiệp bạn có thể chịu trách nhiệm liên đới vì không có biện pháp kỹ thuật đủ mạnh để ngăn chặn.

Nghị định 356 yêu cầu các tổ chức xử lý dữ liệu cá nhân phải có biện pháp kỹ thuật phù hợp để bảo vệ tính toàn vẹn và xác thực của dữ liệu. DMARC ở mức p=quarantine trở lên là tiêu chuẩn kỹ thuật đáp ứng yêu cầu này trong bối cảnh email.

Xem thêm: Luật Bảo vệ dữ liệu cá nhân 2026: những điều doanh nghiệp Việt cần biết trước khi bị phạt 5% doanh thu

Giải thích các khái niệm quan trọng: SPF, DKIM, DMARC 

Ba giao thức này hoạt động như ba lớp bảo mật độc lập nhưng bổ sung cho nhau. Hiểu từng lớp giúp bạn debug khi có vấn đề và giải thích cho management khi cần.

SPF - Sender Policy Framework

SPF là danh sách trắng cho phép bạn chỉ định những server nào được phép gửi email từ domain của mình. Khi server nhận mail kiểm tra email đến từ @bizfly.vn, nó sẽ tra DNS để xem IP của server gửi có nằm trong danh sách SPF không.

Ví dụ SPF record đơn giản:

v=spf1 ip4:203.0.113.0/24 include:_spf.bizmail.vn ~all

Điểm yếu của SPF: nó chỉ kiểm tra IP của server gửi, không kiểm tra nội dung email hay header "From". Kẻ tấn công có thể vượt qua SPF bằng cách dùng subdomain khác.

DKIM - DomainKeys Identified Mail

DKIM thêm một chữ ký số vào header của mỗi email. Server nhận mail dùng public key trong DNS của bạn để xác minh chữ ký đó có hợp lệ không đảm bảo email không bị thay đổi trong quá trình truyền tải.

Khi BizMail gửi email cho bạn, DKIM header trông như thế này:

DKIM-Signature: v=1; a=rsa-sha256; d=bizfly.vn; s=mail2024;

  h=from:to:subject:date;

  bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;

  b=ABC123...

DKIM mạnh hơn SPF vì nó xác thực cả nội dung, không chỉ nguồn gốc. Nhưng DKIM một mình vẫn chưa đủ — nó không nói cho server nhận biết phải làm gì khi xác thực thất bại.

DMARC - Domain-based Message Authentication, Reporting & Conformance

DMARC là lớp điều phối đứng trên SPF và DKIM. Nó làm ba việc:

Một là yêu cầu email phải pass ít nhất một trong hai (SPF hoặc DKIM) và phần "From" domain phải khớp với domain được xác thực — gọi là "alignment".

Hai là cho server nhận biết phải làm gì với email không pass xác thực: none (không làm gì, chỉ báo cáo), quarantine (chuyển vào spam), hoặc reject (từ chối hoàn toàn).

Ba là gửi báo cáo tổng hợp về tất cả email được gửi từ domain của bạn, giúp bạn phát hiện ai đang mạo danh domain.

DMARC record ở mức tuân thủ tối thiểu theo Nghị định 356:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.vn; pct=100

Dedicated IP vs Shared IP: Phương án nào an toàn cho doanh nghiệp?

Đây là quyết định kỹ thuật có ảnh hưởng lớn đến deliverability và thường bị quyết định sai vì hiểu nhầm.

Shared IP nghĩa là nhiều khách hàng của nền tảng email marketing dùng chung pool IP để gửi mail. Ưu điểm: reputation IP thường cao vì được duy trì bởi nhà cung cấp. Nhược điểm: nếu một khách hàng khác trong pool gửi spam hoặc bị báo cáo IP của bạn bị ảnh hưởng theo. Bạn không kiểm soát được "hàng xóm" của mình.

Dedicated IP nghĩa là bạn có IP riêng, reputation hoàn toàn phụ thuộc vào cách bạn gửi mail. Ưu điểm tuyệt đối cho Enterprise: toàn quyền kiểm soát reputation, không bị ảnh hưởng bởi người khác, dễ theo dõi và tối ưu. Nhược điểm: IP mới cần thời gian warmup để xây dựng reputation.

Với doanh nghiệp gửi trên 100.000 email/tháng, Dedicated IP là lựa chọn bắt buộc để đảm bảo deliverability ổn định và kiểm soát pháp lý đầy đủ.

Domain Warmup: Quy trình quan trọng các doanh nghiệp không thể bỏ qua

Domain Warm Up là quá trình xây dựng reputation cho IP và domain gửi email mới bằng cách tăng dần khối lượng gửi theo thời gian có kiểm soát. Đây là bước nhiều doanh nghiệp bỏ qua khi chuyển nền tảng  và trả giá bằng tỷ lệ vào inbox giảm sâu.

Tại sao cần warmup? Gmail, Outlook, Yahoo đánh giá IP/domain mới với mức độ nghi ngờ cao. Nếu một IP lạ đột ngột gửi 500.000 email trong một ngày  các email filter sẽ coi đây là hành vi spam và block hoặc chuyển vào spam folder. Reputation một khi bị hỏng rất khó phục hồi.

Lộ trình warmup chuẩn quốc tế cho Dedicated IP:

Lưu ý: trong giai đoạn warmup, chỉ gửi cho những người có engagement cao nhất  (những ai thường xuyên mở và click email). Tránh hoàn toàn danh sách cũ chưa được làm sạch.

Tìm hiểu thêm: Vì sao hàng loạt tập đoàn Việt đang bỏ Mailchimp, GetResponse để quay về tool nội địa?

Hướng dẫn Audit hệ thống email cho doanh nghiệp với 10 tiêu chí kiểm tra kỹ thuật

Dưới đây là checklist đầy đủ để đánh giá trạng thái kỹ thuật hiện tại. Với mỗi điểm, mình ghi rõ công cụ kiểm tra miễn phí.

1. SPF record tồn tại và đúng cú pháp Công cụ: MXToolbox SPF Checker (mxtoolbox.com/spf.aspx) Yêu cầu: record tồn tại, không quá 10 DNS lookup, kết thúc bằng -all hoặc ~all

2. DKIM được thiết lập cho tất cả domain gửi Công cụ: MXToolbox DKIM Lookup Yêu cầu: public key tồn tại trong DNS, key length tối thiểu 1024-bit (khuyến nghị 2048-bit)

3. DMARC ở mức p=quarantine trở lên Công cụ: MXToolbox DMARC Check Yêu cầu: p=quarantine hoặc p=reject, có địa chỉ nhận báo cáo rua

4. DMARC reports đang được thu thập và đọc Yêu cầu: có người hoặc tool đọc DMARC aggregate reports ít nhất mỗi tuần. Nếu không ai đọc report thì DMARC không có tác dụng thực sự.

5. Không có "SPF PermError" do quá nhiều DNS lookup SPF cho phép tối đa 10 DNS lookup. Nhiều doanh nghiệp vô tình vượt giới hạn này khi thêm nhiều service. Công cụ: MXToolbox SPF Lookup, xem cột "lookup count".

6. Blacklist check cho tất cả IP gửi Công cụ: MXToolbox Blacklist Check Yêu cầu: không có IP nào nằm trong blacklist. Nếu có, cần điều tra nguyên nhân trước khi bất kỳ chiến dịch nào được gửi.

7. Bounce rate dưới 2% Yêu cầu: hard bounce rate dưới 2% cho mỗi chiến dịch. Nếu cao hơn danh sách cần được làm sạch ngay.

8. Spam complaint rate dưới 0.1% Google Postmaster Tools và Yahoo Complaint Feedback Loop cung cấp số liệu này. Nếu spam rate vượt 0.3% Gmail sẽ bắt đầu block email từ domain của bạn.

9. Unsubscribe rate và mechanism Yêu cầu: có one-click unsubscribe trong mọi email marketing, unsubscribe được xử lý trong vòng 10 ngày làm việc theo yêu cầu CAN-SPAM và tương tự.

10. Inbox placement test trước chiến dịch lớn Công cụ: Mail-tester.com (miễn phí, 3 lần/ngày), GlockApps (trả phí) Yêu cầu: inbox rate tối thiểu 85% trước khi gửi chiến dịch quy mô lớn.

Lộ trình migrate kỹ thuật 90 ngày không downtime

Đây là framework đã được kiểm chứng qua nhiều dự án chuyển đổi Enterprise thực tế.

Tháng 1 - Audit và chuẩn bị (30 ngày)

Tuần 1–2: Audit toàn bộ hệ thống hiện tại theo 10 điểm checklist. Lập danh sách tất cả domain, subdomain đang dùng để gửi email. Kiểm tra và làm sạch danh sách email (email validation, remove hard bounces, segment theo engagement).

Tuần 3–4: Setup môi trường mới: domain, DNS records (SPF, DKIM, DMARC ở mức p=none ban đầu), Dedicated IP. Bắt đầu DMARC reporting để có baseline data trước khi chuyển đổi.

Tháng 2 -  Warmup song song (30 ngày)

Chạy song song hệ thống cũ và mới. Bắt đầu warmup Dedicated IP với 10–20% danh sách engaged nhất. Tăng dần volume theo tuần theo lộ trình warmup chuẩn. Monitor chặt chẽ inbox rate, bounce rate, spam complaint rate hàng ngày.

Tháng 3 - Cutover và tối ưu (30 ngày)

Tuần 1: Nâng DMARC từ p=none lên p=quarantine. Chuyển 50% volume sang hệ thống mới. Tuần 2: Chuyển 100% volume. Tắt cấu hình gửi trên hệ thống cũ. Tuần 3–4: Tối ưu dựa trên DMARC reports và deliverability data. Nâng DMARC lên p=reject nếu reports ổn định.

Kết luận

Tuân thủ kỹ thuật email không phải là một nhiệm vụ “làm một lần rồi xong”, mà là một quá trình vận hành liên tục: từ  theo dõi báo cáo DMARC, làm sạch danh sách định kỳ, cập nhật SPF khi thêm dịch vụ mới cho đến bước kiểm tra blacklist thường xuyên. Tin tốt là phần lớn các bước này không quá phức tạp nếu doanh nghiệp có checklist rõ ràng và công cụ phù hợp. Điều quan trọng là bắt đầu càng sớm càng tốt trước khi có audit, thay vì chạy theo xử lý khi rủi ro đã xảy ra.

Tại Bizfly, chúng tôi cung cấp BizMail dịch vụ Domain Warmup & Deliverability Optimization - Giải pháp chuyên sâu giúp doanh nghiệp xây dựng và duy trì uy tín IP/domain theo chuẩn quốc tế. Với đội ngũ hơn 500 kỹ sư từ Bizfly VCCorp, BizMail đã đồng hành triển khai thành công cho nhiều doanh nghiệp lớn như LPBank, EVN SPC hay Sun Phú Quốc Airways.