SPF Record là gì? Kiến thức quan trọng về bản ghi SPF

  1. Trang chủ
  2. Công Nghệ

Bạn gửi email cho khách hàng nhưng họ lại không nhận được hoặc tệ hơn, email bị đánh dấu là spam? Bạn lo ngại kẻ xấu có thể giả mạo địa chỉ email của doanh nghiệp mình để lừa đảo người khác? Đó là những rủi ro phổ biến khi tên miền chưa được bảo vệ đúng cách. Trong thế giới số, email là kênh giao tiếp quan trọng nhưng cũng dễ trở thành công cụ cho các cuộc tấn công giả mạo nếu không có biện pháp xác thực rõ ràng. Giải pháp chính là cấu hình SPF record. Vậy SPF record là gì? Tại sao nó lại quan trọng đối với bảo mật email? Bài viết này sẽ giúp bạn hiểu rõ vai trò của bản ghi SPF, cách hoạt động và hướng dẫn thiết lập để bảo vệ uy tín tên miền và hệ thống email của bạn.
 

SPF Record là gì? Kiến thức quan trọng về bản ghi SPF
 

SPF record là gì? 

SPF record (viết tắt của Sender Policy Framework record) là một bản ghi DNS (Domain Name System) dùng để xác thực địa chỉ email gửi đi có hợp lệ hay không. Mục đích chính của SPF là chống giả mạo email (email spoofing), tức là ngăn chặn kẻ xấu giả mạo email gửi từ tên miền của bạn.

SPF record giúp máy chủ nhận biết được máy chủ nào được phép gửi email đại diện cho tên miền của bạn. Khi một email được gửi đến, máy chủ nhận sẽ kiểm tra bản ghi SPF record của tên miền người gửi. Nếu máy chủ gửi không nằm trong danh sách cho phép, email đó có thể bị đánh dấu là spam hoặc bị từ chối. 
 

SPF Record là gì
 

Cách thức hoạt động của SPF record

SPF record hoạt động như một “danh sách cho phép” (whitelist) được công bố công khai trong hệ thống DNS của tên miền. Mỗi khi một email được gửi đi từ tên miền của bạn, máy chủ nhận email (ví dụ như Gmail, Outlook…) sẽ kiểm tra bản ghi SPF của tên miền người gửi để xác minh xem địa chỉ IP gửi email đó có được phép hay không.

Cụ thể, quá trình hoạt động diễn ra theo các bước sau:

- Email được gửi đi từ một máy chủ (Ví dụ: máy chủ của Google, Mailchimp,…).

- Máy chủ nhận email truy vấn DNS của tên miền người gửi để tìm bản ghi SPF.

- Máy chủ nhận so sánh địa chỉ IP của máy chủ gửi với các IP hoặc tên miền được liệt kê trong bản ghi SPF record.

- Nếu địa chỉ IP nằm trong danh sách cho phép, email được xác thực là hợp lệ theo SPF. Nếu không, hệ thống có thể:

(1) Cho qua nhưng đánh dấu "soft fail" (với ~all).

(2) Từ chối luôn (với -all).

(3) Hoặc bỏ qua (nếu dùng +all – không khuyến khích).

Kết quả xác thực bản ghi SPF sẽ giúp hệ thống nhận email quyết định xem có nên chấp nhận email, gửi vào thư rác, hay từ chối hoàn toàn.

 

Cách thức hoạt động SPF record

 

Cấu trúc cơ bản của một SPF record

Cấu trúc cơ bản của một SPF record (Sender Policy Framework record) là một bản ghi DNS (Domain Name System) dạng TXT dùng để xác định các máy chủ (server) được phép gửi email thay mặt cho một tên miền.

Cấu trúc cơ bản của SPF record: 

v=spf1 [các cơ chế và bộ định danh] [các modifier] [qualifier] ~all

Trong đó:

- v=spf1 chỉ định phiên bản SPF.

- Các cơ chế (Mechanisms):

ip4: Chấp nhận IP IPv4 cụ thể gửi mail.

ip6: Chấp nhận IP IPv6 cụ thể gửi mail.

a: Cho phép bất kỳ IP nào trỏ đến bản ghi A của domain.

mx: Cho phép IP của mail server được chỉ định trong bản ghi MX.

include: Bao gồm SPF record của domain khác (thường dùng với Google, Microsoft).

exists: Kiểm tra sự tồn tại của một domain cụ thể.

all: Cơ chế kết thúc, áp dụng cho tất cả các IP khác không được liệt kê.

- Qualifier: Bộ định danh này dùng để xác định hành vi SPF nếu một cơ chế khớp.

(+): Pass (Cho phép) - Mặc định.

(-): Fail (Từ chối).

(~): SoftFail (Cảnh báo, không từ chối hoàn toàn).

(?): Neutral (Không xác định).

- Modifier: Dùng để bổ sung thông tin hoặc điều chỉnh hành vi:

redirect=: Chuyển toàn bộ SPF sang một domain khác.

exp=: Dùng để hiển thị thông báo khi SPF bị từ chối (ít dùng).

Ví dụ SPF record hoàn chỉnh:

- Gmail: v=spf1 include:_spf.google.com ~all.

- Microsoft 365: v=spf1 include:spf.protection.outlook.com -all.

 

Bản ghi SPF
 

Lợi ích khi sử dụng bản ghi SPF

Triển khai SPF record trong hệ thống DNS là một bước quan trọng giúp bảo vệ tên miền và nâng cao hiệu quả giao tiếp qua email. Dưới đây là những lợi ích nổi bật:

- Ngăn chặn email giả mạo tên miền: SPF giúp xác minh rằng email được gửi từ một máy chủ hợp lệ. Nếu một máy chủ không nằm trong danh sách cho phép mà cố gắng gửi email từ tên miền của bạn, hệ thống của người nhận sẽ nghi ngờ và có thể từ chối email đó. Điều này làm giảm nguy cơ bị kẻ gian lợi dụng để gửi email lừa đảo hoặc spam dưới tên miền của bạn.

- Tăng độ tin cậy cho email gửi từ doanh nghiệp: Khi tên miền có cấu hình SPF rõ ràng, các máy chủ email của người nhận sẽ đánh giá cao tính xác thực của email gửi đi. Điều này giúp xây dựng niềm tin với khách hàng, đối tác và tăng độ chuyên nghiệp trong hoạt động giao tiếp qua email.

- Giúp email ít bị rơi vào thư rác: Nhiều bộ lọc spam hiện nay dựa vào xác thực SPF để phân loại email. Nếu bạn không có SPF record, email của bạn có thể bị gắn cờ là spam, ngay cả khi nội dung hoàn toàn hợp lệ. Cấu hình SPF giúp cải thiện tỷ lệ gửi email thành công vào hộp thư chính.

- Bảo vệ domain khỏi bị giả mạo: Khi tên miền bị giả mạo để gửi thư rác hoặc email lừa đảo, uy tín của doanh nghiệp có thể bị ảnh hưởng nghiêm trọng. SPF giúp kiểm soát quyền gửi email từ tên miền của bạn, qua đó ngăn ngừa việc lạm dụng tên miền và bảo vệ hình ảnh thương hiệu trên môi trường số.


Bản ghi SPF record

 

Một số hạn chế của SPF record

Mặc dù SPF là một công cụ hữu ích trong việc xác thực email, nhưng nó vẫn tồn tại một số hạn chế cần lưu ý:

- Không kiểm tra nội dung email: SPF chỉ xác minh địa chỉ IP gửi email, không phân tích nội dung email. Vì vậy, những email có nội dung lừa đảo vẫn có thể vượt qua SPF nếu được gửi từ IP hợp lệ.

- Không hoạt động khi email bị chuyển tiếp: Khi email được chuyển tiếp (forward) qua một máy chủ trung gian, địa chỉ IP của máy chủ đó thường không nằm trong bản ghi SPF record, dẫn đến việc email bị đánh dấu là không hợp lệ.

- Giới hạn 10 lần tra cứu DNS (DNS lookup limit): SPF chỉ cho phép tối đa 10 lần tra cứu DNS để xác minh các máy chủ gửi mail. Vượt quá giới hạn này sẽ khiến SPF không hoạt động đúng cách.

- Chỉ bảo vệ tên miền “Envelope From”: SPF xác thực địa chỉ người gửi trong phần “MAIL FROM” (envelope) chứ không phải địa chỉ hiển thị trong giao diện email (header “From”) nên kẻ gian vẫn có thể giả mạo phần hiển thị này.

- Dễ bị hiểu nhầm nếu cấu hình sai: Việc cấu hình SPF không đúng cách (ví dụ: không khai báo đầy đủ các máy chủ gửi mail hợp lệ) có thể khiến email hợp lệ bị từ chối hoặc đánh dấu là spam.

Sender Policy Framework

Hướng dẫn thiết lập bản ghi SPF

Phần nội dung dưới đây sẽ hướng dẫn bạn từng bước cụ thể từ việc xác định máy chủ gửi email hợp lệ, đến cách tạo và thêm bản ghi SPF vào hệ thống DNS của tên miền, cũng như cách kiểm tra lại để đảm bảo cấu hình đã chính xác và hoạt động hiệu quả.

Bước 1: Xác định các máy chủ gửi email hợp lệ

Đây là bước quan trọng giúp bạn tránh cấu hình thiếu hoặc sai nguồn gửi, dẫn đến việc email bị đánh dấu là spam hoặc bị từ chối hoàn toàn. Bạn cần tổng hợp toàn bộ các máy chủ và dịch vụ có thể gửi email thay mặt cho tên miền của bạn, bao gồm:

- Máy chủ email chính (on-premise hoặc cloud): Nếu đang sử dụng máy chủ riêng, Microsoft Exchange hoặc máy chủ email nội bộ khác, bạn hãy ghi lại địa chỉ IP hoặc domain của máy chủ đó.

- Dịch vụ email hosting: Như Google Workspace (Gmail), Microsoft 365,… các nhà cung cấp này thường có hướng dẫn cụ thể để cấu hình SPF, ví dụ: include:_spf.google.com (Google), include:spf.protection.outlook.com (Microsoft).

- Công cụ email marketing: Các nền tảng như Mailchimp, SendGrid, Amazon SES, GetResponse,…. thường yêu cầu bạn thêm domain của họ vào chuỗi SPF để đảm bảo email không bị chặn. 

- Ứng dụng CRM và nền tảng tự động hóa: Salesforce, HubSpot, ActiveCampaign, các hệ thống gửi email từ ứng dụng quản trị khách hàng, bán hàng hoặc chăm sóc khách hàng.

- Địa chỉ IP tĩnh: Nếu có các máy chủ riêng gửi email trực tiếp, bạn hãy liệt kê địa chỉ IP đó (dưới dạng ip4: hoặc ip6:).

Bước 2: Tạo chuỗi SPF record

Sau khi xác định được danh sách các máy chủ gửi email hợp lệ, bạn cần tạo một chuỗi SPF theo đúng cú pháp. Một chuỗi SPF sẽ bắt đầu bằng v=spf1, theo sau đó là danh sách các máy chủ hoặc domain được phép gửi email. 

Ví dụ
 

Bản ghi Sender Policy Framework record

 

Bước 3: Thêm SPF record vào DNS của tên miền

Sau khi đã có chuỗi SPF hoàn chỉnh, bạn cần truy cập vào bảng quản trị DNS của tên miền (thường qua nhà đăng ký tên miền hoặc nhà cung cấp dịch vụ hosting) để thêm một bản ghi TXT mới.

- Tên bản ghi (Name/Host): Thường để là @ hoặc để trống (tùy nhà cung cấp).

- Loại bản ghi (Type): Chọn TXT.

- Giá trị (Value): Dán chuỗi SPF bạn đã tạo ở bước trước.

Lưu ý: Mỗi tên miền chỉ nên có một bản ghi SPF duy nhất. Nếu có nhiều, bạn cần gộp lại thành một chuỗi duy nhất.

 

Bản ghi Sender Policy Framework
 

Bước 4: Kiểm tra SPF record sau khi cấu hình

Sau khi thiết lập, bạn nên kiểm tra xem SPF record đã hoạt động đúng hay chưa. Có thể sử dụng các công cụ kiểm tra SPF miễn phí như:

- MXToolbox SPF Lookup.

- Google Admin Toolbox CheckMX hoặc chạy lệnh nslookup -type=txt yourdomain.com nếu bạn sử dụng terminal.

Những công cụ này sẽ phân tích chuỗi SPF và cảnh báo nếu có lỗi cú pháp, trùng lặp, hoặc vượt quá giới hạn tra cứu DNS. Việc kiểm tra giúp đảm bảo email của bạn được gửi đi an toàn và không bị đánh dấu là spam.

 

Kiểm tra SPF record

 

Một số lưu ý quan trọng khi cấu hình SPF record 

Cấu hình SPF record tưởng chừng đơn giản nhưng nếu không cẩn thận, bạn có thể gặp phải những lỗi gây ảnh hưởng trực tiếp đến khả năng gửi và nhận email.

- Chỉ tạo một bản ghi SPF duy nhất cho mỗi tên miền: Nếu có nhiều bản ghi SPF (nhiều bản ghi TXT bắt đầu bằng v=spf1), hệ thống nhận email sẽ không biết nên dùng cái nào, dễ dẫn đến lỗi xác thực. Hãy gộp tất cả thông tin vào một chuỗi SPF duy nhất.

- Không vượt quá 10 lần tra cứu DNS (DNS lookups): SPF có giới hạn chỉ cho phép tối đa 10 lần tra DNS qua các include, a, mx, ptr, exists. Vượt quá giới hạn này sẽ khiến SPF bị lỗi và không còn hiệu lực.

- Luôn kết thúc bản ghi SPF bằng ~all hoặc -all: Cụm ~all (soft fail) hoặc -all (hard fail) báo cho máy chủ nhận biết rằng tất cả các nguồn khác ngoài danh sách là không được phép gửi. Không có all thì SPF gần như vô tác dụng.

- Sử dụng cú pháp chính xác và ngắn gọn: Đảm bảo bạn bắt đầu bản ghi bằng v=spf1, không thừa khoảng trắng, không có dấu sai hoặc cú pháp không hợp lệ. Ví dụ hợp lệ: v=spf1 include:_spf.google.com ip4:203.0.113.5 ~all.

- Cập nhật SPF khi thêm dịch vụ gửi email mới: Mỗi khi bạn sử dụng một nền tảng gửi email mới (như CRM, marketing tool...), đừng quên cập nhật bản ghi SPF để thêm include: hoặc IP tương ứng.

- Không sử dụng +all hoặc để trống all: +all cho phép mọi máy chủ gửi email thay mặt bạn, điều này gần như vô hiệu hóa SPF, gây nguy cơ bị giả mạo rất cao.

 

Cấu hình SPF
 

Các vấn đề thường gặp và cách khắc phục khi sử dụng bản ghi SPF

Mặc dù SPF là một phương pháp hiệu quả để xác thực nguồn gửi email và ngăn chặn hành vi giả mạo tên miền, nhưng trong quá trình triển khai, nhiều người dùng thường gặp phải một số lỗi phổ biến gây ảnh hưởng đến khả năng gửi email thành công. 

1. Lỗi "Too many DNS lookups"

Đây là một lỗi phổ biến khi cấu hình SPF, xảy ra khi chuỗi SPF thực hiện quá 10 lần tra cứu DNS (DNS lookups). Điều này thường xuất hiện khi bạn sử dụng quá nhiều include: trong bản ghi SPF, ví dụ như kết hợp nhiều dịch vụ email như Google, SendGrid, Mailchimp,... Mỗi include: đều dẫn đến ít nhất một lần tra cứu DNS.

Cách khắc phục:

- Kiểm tra SPF bằng công cụ như MXToolbox SPF để xem có vượt quá giới hạn hay không.

- Hạn chế các include: không cần thiết. Nếu sử dụng nhiều dịch vụ gửi email, nên xem dịch vụ nào thực sự đang dùng và loại bỏ phần còn lại.

- Một số dịch vụ cung cấp phương án rút gọn SPF hoặc có thể gộp nhiều IP vào một phạm vi để giảm truy vấn.

2. Multiple SPF records

Một lỗi nghiêm trọng khác là việc tạo nhiều bản ghi SPF cho cùng một tên miền. Ví dụ, bạn có một bản ghi cho Google Workspace và một bản ghi khác cho Mailchimp, mỗi cái nằm trong một bản ghi TXT riêng biệt. Điều này sẽ khiến hệ thống nhận email bối rối và không xác minh chính xác SPF, làm email bị đánh giá là không hợp lệ.

Cách khắc phục: Chỉ nên có một bản ghi SPF duy nhất cho mỗi tên miền. Bạn hãy gộp tất cả thông tin từ các dịch vụ vào cùng một chuỗi SPF. Ví dụ: v=spf1 include:zoho.eu include:mailgun.org ~all.
 

Khắc phục lỗi SPF

 

3. Email vẫn vào spam sau khi cấu hình SPF

Thiết lập SPF không phải là bảo chứng tuyệt đối để email luôn vào hộp thư chính. Nếu bạn đã cấu hình SPF nhưng email vẫn bị rơi vào mục spam, nguyên nhân có thể đến từ nội dung email, tên miền mới hoặc thiếu các bản ghi xác thực khác như DKIM và DMARC.

Cách khắc phục:

- Kết hợp SPF với DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting & Conformance) để tăng độ tin cậy.

- Đảm bảo nội dung email không chứa từ ngữ spam, không gửi quá thường xuyên đến danh sách chưa xác thực.

- Kiểm tra "sender reputation" (uy tín của tên miền và IP gửi) bằng các công cụ như Postmark hoặc Talos Intelligence.

4. SPF record không được nhận diện

Đôi khi bạn đã cấu hình SPF nhưng hệ thống nhận email không nhận diện được bản ghi, khiến việc xác thực thất bại. Lỗi này thường do:

- Sai cú pháp SPF (quên v=spf1, thiếu dấu cách, nhầm lẫn tham số...).

- Thêm SPF vào sai loại bản ghi DNS (chẳng hạn dùng loại A hoặc CNAME thay vì TXT).

- Thời gian cập nhật DNS chưa hoàn tất.

Cách khắc phục:

- Đảm bảo bản ghi SPF là TXT, không phải loại khác.

- Kiểm tra cú pháp đúng chuẩn, không thừa khoảng trắng, không thiếu ~all hoặc -all ở cuối.

- Kiên nhẫn chờ DNS cập nhật (thường mất 5 phút đến vài tiếng tùy nhà cung cấp).

- Dùng công cụ như Google Admin Toolbox CheckMX để xác minh SPF có đang hoạt động.
 

Sửa lỗi SPF Record


Qua bài viết của Phương Nam Vina, SPF record là một phần quan trọng trong hệ thống bảo mật email, giúp xác minh ai được phép gửi email từ tên miền của bạn và ngăn chặn tình trạng giả mạo, spam. Việc hiểu rõ và cấu hình đúng bản ghi SPF không chỉ bảo vệ uy tín tên miền mà còn đảm bảo email của bạn đến được hộp thư người nhận thay vì bị đánh dấu là thư rác. Nếu bạn đang quản lý hệ thống email cho doanh nghiệp hoặc cá nhân, đừng bỏ qua bước kiểm tra và thiết lập SPF record một cách chính xác, đây là một nền tảng cơ bản nhưng thiết yếu trong bảo mật email hiện đại.

Tham khảo thêm:

icon thiết kế website XSS là gì? Cách thức hoạt động và phòng tránh tấn công XSS

icon thiết kế website OWASP là gì? Khám phá tổ chức bảo mật web hàng đầu thế giới

icon thiết kế website Sập web là gì? Nguyên nhân và cách khắc phục trang web bị sập

Bài viết mới nhất

Hướng dẫn cài đặt plugin cho WordPress an toàn, không lỗi

Hướng dẫn cài đặt plugin cho WordPress an toàn, không lỗi

Hướng dẫn cài plugin WordPress đúng chuẩn, an toàn để có thể tránh các rủi ro bảo mật, xung đột và tối ưu hiệu suất trang web ngay từ bước đầu.

 
Hướng dẫn cắt giao diện web chi tiết, nhanh và chuẩn

Hướng dẫn cắt giao diện web chi tiết, nhanh và chuẩn

Tìm hiểu cách cắt HTML sang website chuẩn responsive, load nhanh. Hướng dẫn chi tiết giúp bạn tạo giao diện trang web hoàn chỉnh, chuyên nghiệp.

Tổng hợp 24 plugin SEO WordPress mạnh mẽ và đáng dùng nhất

Tổng hợp 24 plugin SEO WordPress mạnh mẽ và đáng dùng nhất

Khám phá 24 plugin SEO WordPress tốt nhất 2025 giúp cải thiện thứ hạng, tối ưu nội dung và quản trị website dễ dàng, phù hợp mọi cấp độ người dùng.

Hotlinking là gì? Hậu quả và cách ngăn chặn hotlink hiệu quả

Hotlinking là gì? Hậu quả và cách ngăn chặn hotlink hiệu quả

Hotlinking là hành động sử dụng trực tiếp hình ảnh hoặc tài nguyên từ website khác. Tìm hiểu hậu quả và cách ngăn chặn hotlinking hiệu quả ngay.

Gestalt là gì? Hiểu rõ nguyên tắc Gestalt trong thiết kế website

Gestalt là gì? Hiểu rõ nguyên tắc Gestalt trong thiết kế website

Hiểu và áp dụng nguyên tắc Gestalt không chỉ giúp website trực quan hơn mà còn nâng tầm trải nghiệm người dùng một cách tinh tế và bền vững.

Gzip là gì? Hướng dẫn bật Gzip để tăng tốc website

Gzip là gì? Hướng dẫn bật Gzip để tăng tốc website

Nén Gzip giảm kích thước file, tăng tốc độ tải, cải thiện Core Web Vitals và trải nghiệm người dùng, hỗ trợ SEO, tiết kiệm băng thông và chi phí.

zalo