Defaults.Exposed › Cách khắc phục › Guides
Thiết Lập Email Trên Tên Miền Mới: Danh Sách Kiểm Tra SPF, DKIM và DMARC 20 Phút (2026)
Đã xuất bản 2026-07-08
Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu tổng hợp trên 261 triệu tên miền được chấm điểm. Xem cách chúng tôi chấm điểm.
Một tên miền mới cần bốn thứ trước email đầu tiên: quét đường cơ sở, một bản ghi SPF nêu tên nhà cung cấp thực sự của bạn, ký DKIM tên miền tùy chỉnh, và bản ghi DMARC có báo cáo ngay từ ngày đầu. Hầu hết tên miền không bao giờ đạt được điều đó — 46.4% (121,145,609 trong số 261,086,232 tên miền được chấm điểm) không có SPF nào cả, theo kiểm tra Defaults.Exposed (tính đến 2026-06-29).
Xuất bản mọi thứ mất khoảng 20 phút: quét để có đường cơ sở, thêm một bản ghi SPF, bật DKIM tên miền tùy chỉnh của nhà cung cấp, xuất bản DMARC p=none với địa chỉ báo cáo, tùy chọn thêm MTA-STS, sau đó quét lại và lưu báo cáo. Những gì mất lâu hơn là thứ mà không danh sách kiểm tra nào có thể đẩy nhanh — lan truyền DNS và danh tiếng gửi — và hướng dẫn này thành thật về cả hai.
20 phút có thực sự đủ không?
Để xuất bản các bản ghi, có — mỗi bước dưới đây là một mục DNS cộng thêm vài cú nhấp trong bảng điều khiển quản trị của nhà cung cấp. Hai thứ mất lâu hơn, và giả vờ ngược lại là cách các tên miền mới kết thúc trong spam:
- Lan truyền. Các bản ghi mới thường được giải quyết trong vài phút, nhưng các resolver cache theo TTL và tên miền mới được ủy quyền có thể mất vài giờ để trả lời nhất quán. Xác minh với
dig; đừng hoảng loạn chỉnh sửa trong khi cache bắt kịp. - Khởi động. Tên miền mới có danh tiếng gửi bằng không, và xác thực là điều kiện tiên quyết cho danh tiếng, không phải thay thế. Bắt đầu với khối lượng thấp, quy mô con người và tăng dần trong nhiều tuần.
Tuyên bố trung thực: 20 phút mua xác thực được xuất bản đúng cách. Vài tuần gửi hợp lý tiếp theo mua khả năng gửi.
Danh sách kiểm tra 20 phút
- Chạy quét miễn phí tại defaults.exposed trước. Quét tên miền mới trước khi đụng vào DNS. Đường cơ sở “chưa cấu hình gì” được chấm điểm chỉ mất vài giây để ghi lại và làm cho báo cáo sau có ý nghĩa — bạn sẽ muốn cặp trước và sau (bước 6).
- Xuất bản một bản ghi SPF cho nhà cung cấp thực sự của bạn. Đúng một bản ghi TXT bắt đầu bằng
v=spf1, chứa include của nhà cung cấp — ví dụv=spf1 include:_spf.google.com ~allcho Google Workspace, hoặcinclude:spf.protection.outlook.comcho Microsoft 365; nếu DNS của bạn tại bảng đăng ký tên miền, hướng dẫn GoDaddy bao gồm các điểm khác biệt trong UI. Chỉ một bản ghi: hai bản ghiv=spf1là lỗi vĩnh viễn làm vô hiệu SPF hoàn toàn — trạng thái mà 1,013,416 tên miền bị mắc kẹt, khoảng một trong 138 tên miền cố thử SPF (kiểm tra tính đến 2026-06-29), thường là di sản từ di chuyển. Đừng thêm include “phòng hờ”: SPF giới hạn tra cứu DNS ở 10, và ít nhất 797,263 tên miền đã vô hiệu hóa bản ghi của mình bằng cách vượt quá giới hạn đó. Và biết SPF thực sự kiểm tra gì: máy chủ nhận đánh giá nó dựa trên tên miền Return-Path (RFC5321.MailFrom) — địa chỉ bounce — không phải header From mà người nhận thấy. - Bật ký DKIM tên miền tùy chỉnh. Nhà cung cấp của bạn ký thư bằng cách nào đó; câu hỏi là tên miền nào mà chữ ký đặt tên. Cho đến khi bạn hoàn thành bước này, Google Workspace ký với mặc định
gappssmtp.comvà Microsoft 365 vớionmicrosoft.com— các chữ ký vượt qua DKIM nhưng không căn chỉnh với tên miền của bạn, vì vậy DMARC vẫn thất bại. Tạo khóa trong bảng điều khiển quản trị và xuất bản những gì nhà cung cấp cung cấp cho bạn: bản ghi TXT 2048-bit cho Google, hai CNAME (selector1/selector2) cho Microsoft 365. Nếu bản ghi không vừa trong bảng DNS của bạn, xem sửa DKIM — các khóa dài bị bóp méo bởi UI là vấn đề thường gặp. - Xuất bản DMARC ngay từ ngày đầu —
p=nonevới địa chỉ báo cáo. Một bản ghi TXT tại_dmarc.yourdomain.com:v=DMARC1; p=none; rua=mailto:[email protected]. Hãy rõ ràng về điều này làm gì:p=nonechưa bảo vệ gì — đây là chế độ giám sát. Nhưng nó không tốn gì, và các báo cáo tổng hợp sau đó bao gồm lịch sử gửi của tên miền từ tin nhắn đầu tiên. Các tên miền đã có từ lâu trải qua nhiều tuần báo cáo chỉ để phát hiện các nguồn gửi họ đã quên; bạn đang mua khả năng hiển thị đó miễn phí, từ ngày không. Xem sửa DMARC để biết giải phẫu bản ghi. - Tùy chọn nhưng rẻ trên tên miền mới: MTA-STS và TLS-RPT. MTA-STS nói với các máy chủ gửi rằng tên miền của bạn yêu cầu TLS cho thư đến (một bản ghi DNS cộng một tệp chính sách nhỏ được lưu trữ); TLS-RPT báo cáo các lỗi mã hóa gửi. Trên tên miền đã có từ lâu, những thứ này cần cẩn thận; trên tên miền mới với một nhà cung cấp thư không có gì để hỏng, và
mode: testinggần như không có rủi ro. Thiết lập chúng ngay hoặc bỏ qua — nhưng hãy quyết định, đừng để trôi. - Quét lại và lưu báo cáo. Chạy lại quét — SPF, DKIM và DMARC đều phải hiển thị xanh. Lưu báo cáo được chấm điểm: bằng chứng có ngày tháng về trạng thái của tên miền khi ra mắt, và chính xác những gì một bảo hiểm hoặc bảng câu hỏi khách hàng sẽ yêu cầu.
Có bao nhiêu tên miền thực sự hoàn thành danh sách kiểm tra này?
Rất ít — và hầu hết ngã ngay ở bước đầu. Trong số 261,086,232 tên miền được chấm điểm trong kiểm tra Defaults.Exposed (tính đến 2026-06-29):
| Mốc danh sách kiểm tra | Thực tế kiểm tra (trong số 261,086,232 tên miền được chấm điểm, tính đến 2026-06-29) |
|---|---|
| Bước 2 — xuất bản bất kỳ bản ghi SPF nào | 46.4% không bao giờ làm: 121,145,609 tên miền không có SPF nào cả |
| Bước 4+ — DMARC với chính sách thực thi | 10.59% (27,640,987 tên miền); 89.41% không có chính sách thực thi |
| Bộ ba đầy đủ — SPF + DKIM + DMARC thực thi | 3.87% (10,092,481 tên miền) |
20 phút mà trang này mô tả đưa tên miền hoàn toàn mới lên trước khoảng 96% của internet về bộ ba đầy đủ. Mô hình trưởng thành áp dụng SPF phân tích chi tiết mỗi bậc thang đó.
Tên miền mới có thể đạt p=reject nhanh bao lâu?
Vài tuần, không phải vài tháng — lợi thế thực sự của việc bắt đầu từ đầu. Điều làm cho thực thi DMARC chậm trên các tên miền đã có là di sản: bộ kết nối CRM bị quên, công cụ lập hóa đơn ai đó kết nối từ năm 2019, nền tảng newsletter mà không ai ghi lại. Mỗi cái phải được tìm thấy trong báo cáo và sửa trước khi chính sách có thể thắt chặt — do đó việc triển khai mất vài tháng theo tiêu chuẩn.
Tên miền mới không có người gửi di sản: bạn đã tự cấu hình mọi nguồn gửi, tuần này, và báo cáo của bước 4 sẽ xác nhận điều đó. Chạy p=none trong hai đến bốn tuần gửi thực tế, kiểm tra báo cáo bao gồm mọi thứ bạn thực sự dùng (hộp thư, hóa đơn, biên lai, form liên hệ của website), sau đó chuyển sang p=quarantine và tiếp đến p=reject khi chúng chạy sạch. Cơ chế theo giai đoạn — tăng pct, chính sách subdomain, những gì cần xem — có trong từ p=none đến p=reject; trên tên miền mới bạn sẽ tiến qua chúng nhanh chóng, đến nơi mà chỉ 10.59% tên miền được chấm điểm đã đạt được.
Còn tên miền cũ bạn đang thay thế thì sao?
Nếu tên miền mới này là một phần của việc đổi thương hiệu, tên miền bạn để lại giờ là rủi ro email lớn nhất của bạn: vẫn là của bạn, vẫn được đối tác tin tưởng, không còn được theo dõi. Đừng từ bỏ nó — hãy khóa nó lại một cách rõ ràng. Đó là công việc ngắn riêng: tên miền cũ từ việc đổi thương hiệu của bạn là cánh cửa bạn để mở.
Câu hỏi thường gặp
Tôi có thể xuất bản các bản ghi này trước khi chọn nhà cung cấp thư không?
DMARC, có — p=none với rua độc lập với nhà cung cấp, vì vậy hãy xuất bản ngay ngày đăng ký. SPF cần include của nhà cung cấp; cho đến khi bạn chọn được một, hãy xuất bản v=spf1 -all (không có gì được ủy quyền gửi) và thay thế nó ở bước 2. Điều đó tốt hơn hẳn so với trạng thái không có bản ghi mà 121,145,609 tên miền đang ở (46.4% của 261,086,232 được chấm điểm, tính đến 2026-06-29).
Tôi có cần DKIM nếu SPF đã vượt qua không? Có. SPF bị hỏng khi chuyển tiếp theo thiết kế, và nó xác thực tên miền Return-Path, thứ mà với nhiều công cụ không phải là của bạn — DKIM căn chỉnh là nhánh tồn tại trong cả hai trường hợp. Chỉ 3.87% tên miền được chấm điểm hoàn thành bộ ba SPF+DKIM+DMARC thực thi đầy đủ (kiểm tra tính đến 2026-06-29); DKIM là bước mà hầu hết những người bỏ cuộc bỏ qua. Bắt đầu ở sửa DKIM nếu quét phát hiện vấn đề.
Tên miền mới nên dùng ~all hay -all?
Trên tên miền đã có từ lâu, ~all là lựa chọn thận trọng trong khi bạn tìm các nguồn gửi bị quên. Tên miền mới không có nguồn nào để tìm: khi include của nhà cung cấp đã có và DKIM đang ký, -all an toàn sớm hơn nhiều. Muốn chắc chắn hơn? Xác nhận với hai tuần báo cáo DMARC sạch trước.
Cả ba bản ghi đều vượt qua — tại sao thư vẫn vào spam? Vì xác thực và danh tiếng là hai thứ khác nhau: bản ghi vượt qua có nghĩa là máy chủ nhận có thể xác minh thư là của bạn, không phải là họ đã tin tưởng bạn. Các tên miền mới kiếm được sự tin tưởng bằng cách gửi thư nhất quán, được muốn, khối lượng thấp và tăng dần. Nếu thư đang thất bại kiểm tra hơn là chỉ vào spam, bắt đầu ở sửa SPF và làm theo kết quả quét.
Gửi báo cáo cho chủ sở hữu
Nếu bạn đang thiết lập tên miền này cho khách hàng, hãy kết thúc công việc với bằng chứng. Chạy lại quét miễn phí sau bước 6 và chuyển tiếp báo cáo được chấm điểm cho chủ doanh nghiệp: SPF, DKIM và DMARC vượt qua, bằng ngôn ngữ đơn giản, có ngày tháng khi ra mắt. Đó là tài liệu họ sẽ cần cho lần gia hạn bảo hiểm mạng và bảng câu hỏi bảo mật nhà cung cấp tiếp theo — và nó chứng minh tên miền bắt đầu cuộc đời theo cách mà 96% của internet không bao giờ làm được.
Kiểm tra tên miền của bạn → · Từ p=none đến p=reject mà không mất email hợp lệ → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý ở EU.