SPF, DKIM, DMARC email là gì? Cách ứng dụng hiệu quả trong doanh nghiệp

Email gửi đi nhưng lại rơi vào spam là vấn đề khiến nhiều doanh nghiệp “đau đầu” vì mất cơ hội tiếp cận khách hàng tiềm năng và ảnh hưởng trực tiếp đến doanh thu. Dù nội dung được đảm bảo chỉn chu, đầu tư kỹ lưỡng, email vẫn không vào inbox như mong muốn.

Vậy nguyên nhân nằm ở đâu? SPF, DKIM, DMARC email đóng vai trò như thế nào để giải quyết bài toán trên? Việc hiểu rõ SPF, DKIM, DMARC và cách ứng dụng hiệu quả là bước cần thiết để tối ưu hệ thống email doanh nghiệp.

1. Tổng quan về xác thực email

Trong bối cảnh email ngày càng được sử dụng rộng rãi trong giao tiếp cá nhân, trao đổi nội bộ lẫn marketing, xác thực email (email authentication) là một yếu tố then chốt để đảm bảo tính bảo mật và toàn vẹn thông tin khi gửi đi. 

Xác thực email là tập hợp các kỹ thuật được dùng để chứng thực danh tính người gửi và đảm bảo nội dung của email không bị giả mạo trong quá trình truyền tải. Các phương pháp xác thực email được sử dụng phổ biến nhất bao gồm: SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting & Conformance). 

Dưới đây là 4 vai trò quan trọng của xác thực email trong Email Marketing và hệ thống Mail Server: 

• Bảo mật hệ thống email: Khi các biện pháp xác thực được thiết lập đúng cách, Mail Server nhận có thể phân biệt giữa email thật và email giả mạo. Điều này giúp ngăn chặn các cuộc tấn công phishing và spam tinh vi.
• Bảo vệ danh tiếng domain: Khi email của doanh nghiệp bị giả mạo để tấn công khách hàng, uy tín thương hiệu sẽ bị tổn hại nghiêm trọng. Xác thực email giúp bảo vệ danh tiếng domain, tạo trải nghiệm tương tác an toàn và xây dựng lòng tin từ khách hàng.
• Tăng khả năng vào inbox: Nhà cung cấp dịch vụ email (như Gmail, Outlook…) ưu tiên email có tính xác thực cao, từ đó cải thiện tỷ lệ gửi đến hộp thư đến thay vì vào thư mục spam.
• Tối ưu chiến dịch Email Marketing: Nếu xác thực email đầy đủ, các chiến dịch gửi hàng loạt (campaign, automation) sẽ đạt hiệu quả cao hơn vì tỷ lệ mở (open rate) và nhấp (click‑through rate) được cải thiện rõ rệt do email đến đúng inbox.

 

2. SPF là gì? Cơ chế xác thực người gửi email

SPF (Sender Policy Framework) là một cơ chế xác thực email dựa trên tên miền, cho phép chủ sở hữu domain quy định những máy chủ nào được phép gửi email thay mặt cho mình. Thông tin này được lưu trong bản ghi SPF (dạng TXT) trên hệ thống DNS. 

Có thể nói, SPF giống như “danh sách cho phép” các máy chủ được quyền gửi email từ domain của bạn.

 2.1. SPF hoạt động như thế nào?

Quy trình xác thực SPF sẽ diễn ra theo 4 bước cơ bản sau:

Bước 1: Email được gửi đi

Khi doanh nghiệp gửi email, hệ thống sẽ đính kèm thông tin về máy chủ gửi (địa chỉ IP hoặc dịch vụ email).

Bước 2: Máy chủ nhận truy vấn DNS

Khi email đến, máy chủ nhận sẽ kiểm tra DNS của domain người gửi để tìm bản ghi SPF (dạng TXT, ví dụ: v=spf1 include:_spf.google.com ~all).

Bước 3: Đối chiếu thông tin gửi

Máy chủ nhận so sánh địa chỉ IP hoặc dịch vụ gửi email với danh sách được cho phép trong SPF record.

• Trường hợp trùng khớp: Email được xác thực hợp lệ, tăng khả năng vào inbox. 
• Trường hợp không khớp: Email có thể bị từ chối hoặc đánh dấu spam. 

Bước 4: Đánh giá theo chính sách SPF

Dựa vào cấu hình SPF, hệ thống sẽ xử lý email với 3 mức độ khác nhau. Cụ thể: 

• -all: Từ chối hoàn toàn email không hợp lệ.
• ~all: Cảnh báo mềm, thường đưa vào spam.
• ?all: Chỉ ghi nhận, không áp dụng chặn nghiêm ngặt.

 

 2.2. Ưu điểm và hạn chế của SPF

Hiện nay, SPF là nền tảng quan trọng và được sử dụng rộng rãi trong xác thực email. Tuy nhiên, phương thức này vẫn tồn tại một số hạn chế cần lưu ý khi triển khai thực tế. 

 

3. DKIM là gì? Cách ký điện tử email để đảm bảo toàn vẹn

DKIM (DomainKeys Identified Mail) là cơ chế xác thực email bằng chữ ký số, giúp người nhận kiểm tra email có được gửi từ domain hợp lệ và nội dung có bị chỉnh sửa hay không. Có thể nói, DKIM giống như “con dấu xác nhận” giúp đảm bảo email không bị thay đổi hay giả mạo nội dung.

DKIM hoạt động dựa trên cơ chế mã hóa bất đối xứng với hai thành phần chính: ký (signing) và xác minh (verification). Cụ thể: 

Đối với bên gửi email

Bước 1: Tạo cặp khóa gồm Private Key và Public Key (thường dùng OpenSSL).

Bước 2: Công bố Public Key lên DNS dưới dạng bản ghi TXT của domain gửi email.

Bước 3: Mail server sử dụng Private Key để tạo chữ ký số và chèn vào header email (trường DKIM-Signature).

Đối với bên nhận email

Bước 1: Hệ thống nhận kiểm tra email có chứa DKIM-Signature hay không.

Bước 2: Thực hiện truy vấn DNS để lấy Public Key của domain gửi.

Bước 3: Xác minh bằng cách dùng Public Key để giải mã chữ ký:

• Nếu hợp lệ: Email đáng tin cậy, nội dung không bị thay đổi. 
• Nếu không hợp lệ: Email có thể bị giả mạo hoặc chỉnh sửa.

3.1. Lợi ích của DKIM trong Email Marketing

Việc triển khai DKIM không chỉ giúp bảo mật email mà còn đóng vai trò quan trọng trong việc nâng cao hiệu quả các chiến dịch Email Marketing. 

• Ngăn chặn email giả mạo và phishing: DKIM sử dụng chữ ký số để xác minh danh tính domain gửi, khiến đối tượng xấu không thể giả mạo email nếu không có khóa riêng tư. Nhờ đó, các email lừa đảo, giả danh thương hiệu sẽ bị phát hiện hoặc chặn lại kịp thời. 
• Giảm nguy cơ email vào spam và cải thiện khả năng vào Inbox: Các nhà cung cấp email như Gmail hay Outlook ưu tiên những email đã được xác thực DKIM. Khi vượt qua kiểm tra nghiêm ngặt này, email của doanh nghiệp được đánh giá là đáng tin cậy hơn, từ đó tăng khả năng vào Inbox (kể cả tab chính) thay vì thư rác hoặc Promotions, đồng thời cải thiện tỷ lệ mở và phản hồi.
• Xây dựng và duy trì uy tín người gửi: DKIM xác minh email thực sự được gửi từ domain của doanh nghiệp thông qua chữ ký số hợp lệ. Điều này giúp nâng cao uy tín tên miền theo thời gian, khiến các email sau dễ dàng được hệ thống tiếp nhận và phân phối ổn định hơn.
• Tăng cường niềm tin của khách hàng: Email có DKIM đảm bảo nội dung không bị chỉnh sửa trong quá trình truyền tải. Người nhận sẽ cảm thấy yên tâm khi tương tác với email, từ đó nâng cao mức độ tin tưởng và hình ảnh thương hiệu.

4. DMARC là gì? Lớp bảo vệ nâng cao cho email domain

DMARC (Domain-based Message Authentication, Reporting & Conformance) là một giao thức xác thực email cho phép chủ sở hữu tên miền quy định cách kiểm tra và xử lý các email được gửi từ domain của mình. 

Có thể nói, DMARC giống như “bộ luật quản lý”, quyết định xử lý email sai và cung cấp báo cáo để kiểm soát toàn bộ hệ thống email.

4.1. DMARC có hoạt động dựa trên SPF & DKIM hay không?

DMARC không hoạt động độc lập mà dựa trên hai cơ chế xác thực là SPF và DKIM để kiểm tra tính hợp lệ của email. Trong trường hợp một email được gửi đi, hệ thống nhận sẽ sử dụng SPF và DKIM để xác minh nguồn gửi và tính toàn vẹn của nội dung.

Tuy nhiên, DMARC bổ sung thêm cơ chế “alignment” (đối chiếu domain). Điều này có nghĩa là domain trong địa chỉ gửi (MAIL FROM) và domain hiển thị trong trường From phải trùng khớp hoặc có liên kết hợp lệ. Nếu không đáp ứng điều kiện này, email có thể bị coi là không đáng tin cậy dù có thể đã vượt qua “bài kiểm tra” của SPF hoặc DKIM. 

Ngoài ra, DMARC còn cho phép chủ sở hữu domain thực hiện các hành động sau:

• Thiết lập chính sách xử lý email không đạt xác thực (none, quarantine, reject)
• Nhận báo cáo (report) từ các máy chủ nhận để theo dõi hoạt động gửi email

4.2. Chính sách DMARC (none, quarantine, reject)

DMARC cho phép chủ sở hữu tên miền xác định cách xử lý các email không vượt qua xác thực thông qua ba chính sách chính:

 

 

 

4.3. Báo cáo DMARC giúp doanh nghiệp kiểm soát các yếu tố nào?

Báo cáo DMARC là công cụ quan trọng giúp doanh nghiệp theo dõi toàn bộ luồng gửi email và quản lý hoạt động email từ tên miền. Các thông tin doanh nghiệp có thể kiểm soát qua báo cáo DMARC bao gồm: 

• Nhận diện máy chủ hoặc dịch vụ bên thứ ba đang gửi email thay mặt cho domain của doanh nghiệp. 
• Xác định tỷ lệ email hợp lệ vượt qua kiểm tra DMARC, từ đó đánh giá hiệu quả xác thực email.
• Phát hiện máy chủ hoặc dịch vụ gửi email thất bại trong xác thực DMARC, giúp ngăn chặn tình trạng giả mạo.
• Theo dõi hành động của máy chủ nhận đối với email không xác thực từ domain: none (chỉ giám sát), quarantine (gửi vào spam), hoặc reject (từ chối hoàn toàn).

5. So sánh SPF, DKIM và DMARC: Điểm khác nhau và cách thức bổ trợ 

SPF, DKIM và DMARC là ba cơ chế xác thực email quan trọng, nhưng mỗi phương thức đảm nhận một vai trò khác nhau và chỉ thực sự hiệu quả khi được triển khai cùng nhau. Cụ thể: 

Điểm khác nhau giữa SPF, DKIM và DMARC: 

• SPF: Phương thức kiểm tra ai được phép gửi, xác minh nguồn gửi. 
• DKIM: Phương thức kiểm tra email có bị thay đổi không, xác minh tính toàn vẹn của nội dung. 
• DMARC: Phương thức kiểm tra email có thực sự đến từ domain hiển thị không và đưa ra chính sách xử lý. 

Cách SPF, DKIM và DMARC bổ trợ cho nhau: 

Nhiệm vụ của SPF: Xác định máy chủ nào được phép gửi email từ tên miền

Vấn đề của SPF: 

• Chỉ kiểm tra MAIL FROM, không kiểm tra From hiển thị
• Dễ gặp lỗi khi chuyển tiếp email
• Không đảm bảo nội dung email an toàn

Nhiệm vụ của DKIM: 

• Gắn chữ ký điện tử vào email
• Đảm bảo nội dung email không bị chỉnh sửa

DKIM giải quyết gì cho SPF?

• Không phụ thuộc IP nên không bị lỗi khi chuyển tiếp email
• Bổ sung xác thực nội dung mà SPF không có

Vấn đề của DKIM: 

• Không bắt buộc tên miền ký phải trùng tên miền hiển thị
• Vẫn có thể bị giả mạo danh tính

Nhiệm vụ của DMARC:  

• Kiểm tra sự khớp domain  
• Quy định cách xử lý email không hợp lệ

DMARC giải quyết gì cho SPF & DKIM?

• Bắt buộc tên phải khớp để chống giả mạo
• Kết hợp SPF & DKIM để xác thực email chính xác hơn
• Xử lý reject/quarantine email giả mạo

 

6. Vì sao SPF, DKIM, DMARC giúp tăng tỷ lệ vào inbox?

SPF, DKIM và DMARC giúp tăng tỷ lệ email vào inbox vì các cơ chế này cho phép nhà cung cấp email xác minh rằng email thực sự được gửi từ nguồn hợp lệ và không bị giả mạo. Khi được cấu hình đầy đủ, SPF, DKIM và DMARC cải thiện độ tin cậy của domain, bảo vệ uy tín người gửi khỏi các hành vi giả mạo, từ đó nâng cao đánh giá của hệ thống lọc spam. Nhờ vậy, email có nhiều khả năng được phân loại vào hộp thư đến thay vì thư rác.

7. Ứng dụng SPF, DKIM, DMARC trong Email Marketing

 

Các doanh nghiệp hiện nay thường sử dụng Email Marketing để chạy các chiến dịch hàng loạt, gửi newsletter, hoặc triển khai automation. Nhưng khi gửi email số lượng lớn mà không xác thực, uy tín domain của doanh nghiệp sẽ bị ảnh hưởng, dẫn đến tỷ lệ thư gửi đến inbox giảm, tỷ lệ mở email thấp và tăng nguy cơ thương hiệu bị giả mạo. Việc triển khai SPF, DKIM và DMARC trong Email Marketing là giải pháp then chốt để giải quyết những vấn đề này.

• Đảm bảo email đến mục inbox và tăng open rate: Xác thực email bằng SPF, DKIM, DMARC giúp các nhà cung cấp hòm thư (Gmail, Microsoft) coi tên miền của doanh nghiệp là “đáng tin cậy”. Điều này nâng tỷ lệ mở email và đảm bảo chiến dịch marketing hoặc automation hiệu quả hơn. Cụ thể, báo cáo ghi nhận các khách hàng triển khai đầy đủ SPF, DKIM, DMARC có open rate tăng đến 28%. 
• Bảo vệ thương hiệu khỏi email giả mạo: Chính sách DMARC (quarantine hoặc reject) giúp ngăn gần như toàn bộ email giả mạo dùng domain của doanh nghiệp, giảm rủi ro phishing và bảo vệ khách hàng.
• Tuân thủ yêu cầu của các nhà cung cấp lớn: Tính đến năm 2026, Gmail và Microsoft đã thực thi các chính sách nghiêm ngặt, yêu cầu các doanh nghiệp gửi email hàng loạt phải thiết lập SPF, DKIM và DMARC để email được chấp nhận. Nếu không xác thực, email dễ bị trả lại hoặc vào thư mục spam, ảnh hưởng trực tiếp đến hiệu quả chiến dịch.
• Tích hợp vào hệ thống Email Service Providers (ESP): Các nền tảng như Mailchimp, Klaviyo hay Salesforce Marketing Cloud hỗ trợ cấu hình SPF, DKIM và DMARC. Điều này giúp chạy chiến dịch automation và campaign hiệu quả, an toàn, giảm tỷ lệ email không hợp lệ và nâng khả năng gửi đến inbox chính.

 

8. Doanh nghiệp nên bắt đầu từ đâu để tối ưu xác thực email?

Thay vì thực hiện rời rạc, doanh nghiệp nên triển khai xác thực email theo một lộ trình rõ ràng với 6 bước cơ bản như sau: 

Bước 1: Kiểm tra domain hiện tại

Đây là bước xác định chính xác các nguồn gửi hợp lệ để tránh thiếu sót khi cấu hình. Trước khi thực hiện, doanh nghiệp cần rà soát toàn bộ hệ thống email với các thông tin: 

• Domain đã có SPF, DKIM, DMARC chưa?
• Có bao nhiêu nguồn đang gửi email (Google Workspace, CRM, tool marketing…)?
• Có dấu hiệu bị giả mạo hoặc spam không?

Bước 2: Triển khai SPF - Xác định nguồn gửi hợp lệ

• Truy cập hệ thống DNS của domain gồm Đăng nhập vào nơi quản lý domain và tìm mục quản lý bản ghi DNS (DNS Records).
• Tạo bản ghi SPF dạng TXT với cấu trúc: v=spf1 ip4:xxx.xxx.xxx.xxx include:service.com -all.
• Thay ip4:192.168.0.1 bằng địa chỉ IP thực tế của mail server nếu bạn gửi email từ server riêng.
• Thay include:service.com bằng các dịch vụ gửi email bên thứ ba được phép (ví dụ: include:_spf.google.com, include:spf.protection.outlook.com). 
• Đảm bảo khai báo đầy đủ tất cả nguồn gửi email như hệ thống nội bộ, công cụ marketing, CRM hoặc các nền tảng automation. 
• Lựa chọn cơ chế kiểm soát phù hợp với giai đoạn triển khai: ~all (soft fail) để theo dõi ban đầu hoặc -all (hard fail) khi đã xác nhận cấu hình chính xác. 
• Kiểm tra và xác thực bản ghi SPF bằng các công cụ như MXToolbox để đảm bảo không có lỗi cú pháp hoặc vượt quá giới hạn DNS lookup. 

Bước 3: Triển khai DKIM - Xác thực nội dung email

• Tạo cặp khóa DKIM (private key và public key) thông qua email server hoặc nhà cung cấp dịch vụ email (ESP). 
• Xuất bản public key dưới dạng bản ghi TXT trong DNS với tên dạng: selector._domainkey.yourdomain.com.
• Dán public key vào giá trị của bản ghi DKIM theo định dạng do hệ thống cung cấp. 
• Cấu hình email server hoặc dịch vụ gửi email để ký các email gửi đi bằng private key. 
• Kiểm tra DKIM bằng các công cụ như Mail Tester để đảm bảo email được ký hợp lệ và pass DKIM. 

Bước 4: Triển khai DMARC - Chính sách & báo cáo

• Truy cập hệ thống DNS của domain và tạo bản ghi TXT với cấu trúc: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:forensic@yourdomain.com; fo=1.
• Thay yourdomain.com bằng domain thực tế và thiết lập địa chỉ email để nhận báo cáo DMARC.
• Bắt đầu với chính sách theo dõi p=none để thu thập dữ liệu mà không ảnh hưởng đến việc gửi email.
• Phân tích báo cáo DMARC bằng các công cụ như MxToolbox hoặc DMARC Analyzer để phát hiện nguồn gửi không hợp lệ và lỗi xác thực.
• Cập nhật dần chính sách DMARC từ p=none sang p=quarantine để đưa email nghi ngờ vào spam và cuối cùng là p=reject để chặn hoàn toàn email không đạt xác thực.

Bước 5: Theo dõi report DMARC thường xuyên

• DMARC sẽ gửi báo cáo tổng hợp (aggregate reports) về email của bạn, bao gồm thông tin về SPF/DKIM pass hoặc fail và các nguồn gửi email từ domain.
• Sử dụng công cụ như Dmarcian hoặc MXToolbox để đọc báo cáo.
• Sau 30 - 60 ngày: Nếu mọi nguồn hợp lệ đều pass, chuyển sang thực thi:  p=quarantine (đưa vào spam) rồi p=reject (chặn hoàn toàn).

Bước 6: Kết hợp với nội dung & danh sách email

Tối ưu nội dung email gồm các yếu tố: 

• Tránh nhồi nhét từ khóa như FREE, SALE…
• Tiêu đề rõ ràng, cụ thể và không gây hiểu nhầm
• Nội dung mang giá trị thực như chia sẻ kiến thức, cung cấp ưu đãi khả dụng…

Tối ưu danh sách email gồm các yếu tố: 

• Không dùng email mua sẵn
• Xóa email không tương tác
• Chỉ gửi cho người đã opt-in

Hiện nay, BizMail của Bizfly VCCorp là giải pháp Email toàn diện, giúp doanh nghiệp giải quyết mọi bài toán từ email marketing & automation đến Email Delivery. Hệ thống duy trì uy tín domain bằng cách kiểm soát kỹ thuật và dữ liệu đầu vào, áp dụng các cơ chế xác thực quan trọng như SPF, DKIM và DMARC. Kết hợp với dịch vụ vận hành email chuyên nghiệp gồm tư vấn chiến lược triển khai, xây dựng kịch bản Email Marketing và hỗ trợ setup, vận hành chiến dịch email, BizMail giúp tăng tỷ lệ inbox, giảm rủi ro giả mạo thương hiệu và nâng cao hiệu quả chiến dịch gửi email số lượng lớn. Một số dự án nổi bật có thể kể đến như triển khai BizMail Delivery cho Công ty Cổ phần Quản lý quỹ LPB. 

9. Kết luận 

Tóm lại, việc hiểu rõ SPF, DKIM, DMARC email là gì không chỉ mang tính kỹ thuật mà còn là yếu tố cốt lõi giúp doanh nghiệp cải thiện khả năng gửi email vào inbox, bảo vệ uy tín domain và tối ưu hiệu quả marketing. Khi được triển khai đúng cách, ba cơ chế này sẽ giúp xác thực nguồn gửi, đảm bảo tính toàn vẹn nội dung và kiểm soát chặt chẽ các email không hợp lệ. Đây chính là nền tảng quan trọng để xây dựng hệ thống email bền vững và đáng tin cậy cho doanh nghiệp trong dài hạn.