Defaults.Exposed › Cách khắc phục › Guides
Email Mailchimp, Brevo hoặc Klaviyo Thất Bại DMARC? Bật Xác Thực Tên Miền Thực Sự (2026)
Đã xuất bản 2026-07-08
Số liệu tính đến 2026-06-29 · phương pháp v7. Dữ liệu tổng hợp trên 261 triệu tên miền được chấm điểm. Xem cách chúng tôi chấm điểm.
Các nền tảng newsletter thất bại DMARC khi gửi “từ” tên miền của bạn mà không xác thực là tên miền của bạn. Bản sửa là xác thực tên miền tùy chỉnh của nền tảng — các CNAME DKIM của nó, cùng với tên miền bounce tùy chỉnh khi được cung cấp. Khoảng cách là bình thường: trong số 740,321 tên miền cho phép SendGrid, chỉ 18.0% thực thi DMARC, theo kiểm tra của Defaults.Exposed trên 261,086,232 tên miền (2026-06-29).
Bản sửa chỉ cần một vài bản ghi DNS và mười phút trong cài đặt nền tảng của bạn. Dưới đây: lý do tại sao xác thực dùng chung của nền tảng không còn đủ từ tháng 2 năm 2024, switch nào cần bật trong Mailchimp, Brevo, Klaviyo và SendGrid, và các bước sửa theo thứ tự — bao gồm cả việc chuyển khỏi địa chỉ From freemail, thứ mà không có bản ghi DNS nào có thể cứu được.
Tại sao email newsletter thất bại DMARC khi nền tảng nói mọi thứ đã được xác minh?
Vì nền tảng đã xác thực chính nó, không phải bạn. Theo mặc định, một ESP gửi chiến dịch của bạn với tên miền bounce của riêng nó trên Return-Path, và thường ký DKIM với tên miền của riêng nó. Máy chủ nhận đánh giá SPF dựa trên tên miền Return-Path (RFC5321.MailFrom), không phải header From, vì vậy SPF vượt qua sạch sẽ… cho tên miền nền tảng.
DMARC không quan tâm SPF hay DKIM có vượt qua hay không theo nghĩa chung. Nó hỏi liệu một trong hai có vượt qua cho tên miền trong địa chỉ From của bạn hay không — sự khớp đó được gọi là căn chỉnh. SPF của ESP vượt qua trên tên miền bounce của nó, không phải của bạn; không có DKIM tên miền tùy chỉnh, chữ ký của nó là trên tên miền của nó, không phải của bạn. Không có gì căn chỉnh, vì vậy tên miền From của bạn thất bại DMARC — trong khi bảng điều khiển của nền tảng hiển thị dấu tích xanh, vì từ góc nhìn của nó, xác thực đang hoạt động. Bật xác thực tên miền tùy chỉnh (DKIM được ký là tên miền của bạn) là toàn bộ bản sửa. Để biết toàn bộ cơ chế căn chỉnh, xem DMARC thất bại nhưng SPF và DKIM vượt qua.
Điều gì đã thay đổi vào tháng 2 năm 2024?
Google và Yahoo bắt đầu thực thi các yêu cầu đối với người gửi hàng loạt: xác thực căn chỉnh cho tên miền From, chính sách DMARC được xuất bản, hủy đăng ký một cú nhấp, và giới hạn tỷ lệ spam. Lối tắt cơ sở hạ tầng dùng chung — dùng xác thực của ESP, gửi từ bất kỳ thứ gì — đã ngừng hoạt động. Hai hệ quả cho người gửi newsletter:
- Mọi ESP nghiêm túc giờ đây thúc đẩy xác thực tên miền tùy chỉnh, vì các chiến dịch không có nó bắt đầu vào spam hoặc bị từ chối hoàn toàn (phiên bản của Gmail là 550-5.7.26).
- Địa chỉ From freemail đã chết đối với gửi hàng loạt. Bạn không thể gửi chiến dịch từ
[email protected]qua ESP nữa: các nhà cung cấp freemail xuất bản các chính sách DMARC nghiêm ngặt, ESP của bạn không bao giờ có thể căn chỉnh với họ, và máy chủ nhận từ chối hoặc bỏ hết. Bạn cần tên miền của riêng mình trong địa chỉ From — không có cách giải quyết nào.
Bộ yêu cầu đầy đủ có trong bài viết dữ liệu của chúng tôi về yêu cầu người gửi của Google và Yahoo.
Switch được gọi là gì trong Mailchimp, Brevo, Klaviyo và SendGrid?
Mỗi nền tảng có cùng tính năng dưới tên khác nhau. Điều nó luôn tạo ra là một bộ nhỏ bản ghi CNAME cho DNS của bạn — đó là cách bạn nhận ra nó, dù menu nói gì.
| Nền tảng | Tên tính năng (xấp xỉ) | Những gì bạn thêm vào DNS | Ghi chú |
|---|---|---|---|
| Mailchimp | Domain authentication | DKIM CNAMEs (k2._domainkey, k3._domainkey) | Căn chỉnh chỉ DKIM — Mailchimp không còn dùng SPF include; đừng thêm một cái |
| Brevo | Authenticate your domain | Bộ DKIM CNAME + bản ghi xác minh | Xác minh bộ bản ghi hiện tại trong tài liệu của Brevo khi thiết lập |
| Klaviyo | Dedicated sending domain | DKIM CNAMEs + tên miền bounce (Return-Path) | Tên miền chuyên dụng cũng cho bạn căn chỉnh SPF |
| SendGrid | Domain authentication (automated security) | Bộ CNAME (DKIM + return-path) | Không cần SPF include — các CNAME đã bao gồm |
Hai điểm đáng chú ý. Thứ nhất, không nền tảng nào muốn thêm include: vào bản ghi SPF của bạn — xác thực ESP hiện đại được ủy quyền qua CNAME, và một include còn sót lại chỉ lãng phí ngân sách tra cứu DNS. Thứ hai, ủy quyền CNAME là một tính năng: nền tảng xoay khóa DKIM phía sau các tên được ủy quyền mà không cần bạn đụng vào DNS nữa.
Làm thế nào để sửa lỗi DMARC newsletter, từng bước?
- Chạy quét miễn phí tại defaults.exposed trước khi đụng vào DNS. Nó hiển thị trạng thái SPF, DKIM và DMARC trực tiếp của tên miền, để bạn có thể thấy khoảng cách căn chỉnh bạn sắp thu hẹp.
- Bật xác thực tên miền tùy chỉnh trong nền tảng (bảng ở trên). Nó tạo ra các bản ghi CNAME dành riêng cho tài khoản của bạn.
- Thêm các CNAME vào DNS của bạn chính xác như được cung cấp. Lỗi thường gặp: các bảng điều khiển DNS tự động thêm zone, biến
k2._domainkey.yourdomain.comthànhk2._domainkey.yourdomain.com.yourdomain.com. Chỉ dán phần host nếu bảng điều khiển của bạn thêm tên miền. Nếu nền tảng sau đó báo cáo “no key for signature”, bản ghi selector chưa được áp dụng — xem DKIM “no key for signature”. - Đặt tên miền bounce tùy chỉnh (Return-Path) khi nền tảng cung cấp. Điều này căn chỉnh cả nhánh SPF, cho DMARC hai cách để vượt qua. Khi không được cung cấp (Mailchimp), DKIM căn chỉnh đơn độc là một lần vượt qua DMARC đầy đủ — DMARC chỉ yêu cầu một nhánh căn chỉnh.
- Chuyển địa chỉ From sang tên miền của bạn nếu nó vẫn là freemail.
[email protected], không phải[email protected]. Là yêu cầu, không phải tùy chọn. - Xác minh trong nền tảng, sau đó quét lại. Chờ kiểm tra của nền tảng chuyển sang xanh (DNS có thể mất vài phút đến vài giờ), gửi cho mình một chiến dịch, và xác nhận header hiển thị DKIM được ký bởi tên miền của bạn. Sau đó xử lý bất kỳ điều gì khác được gắn cờ trên trang sửa DMARC — nếu tên miền của bạn hoàn toàn không có bản ghi DMARC, đó là việc mười phút tiếp theo.
Có bao nhiêu người gửi newsletter thực sự làm đúng?
Kiểm tra đọc từ phía DNS: đối với mỗi nền tảng, có bao nhiêu tên miền cho phép nó — và bao nhiêu trong số đó bảo vệ tên miền đang gửi, theo kiểm tra của Defaults.Exposed trên 261,086,232 tên miền (2026-06-29).
| Nền tảng (mục tiêu SPF) | Tên miền cho phép | Thực thi DMARC |
|---|---|---|
SendGrid (sendgrid.net) | 740,321 | 18.0% |
Mailgun (mailgun.org) | 1,306,692 | 35.9% |
Amazon SES (amazonses.com) | 551,446 | 41.9% |
Dữ liệu tính đến kiểm tra 2026-06-29. “Thực thi DMARC” = tên miền cho phép xuất bản p=quarantine hoặc p=reject.
Ngay cả ở đầu bảng, hầu hết người gửi trên các nền tảng chuyên nghiệp để tên miền không được bảo vệ: 41.9% trong số 551,446 tên miền cho phép Amazon SES thực thi DMARC, 35.9% của 1,306,692 của Mailgun — và chỉ 18.0% của 740,321 của SendGrid. Cơ sở hạ tầng là chuyên nghiệp; việc bảo vệ tên miền hầu hết thì không. Bảng xếp hạng nhà cung cấp đầy đủ — bao gồm cả máy chủ hộp thư — có trong nhà cung cấp email nào có SPF mạnh nhất.
Câu hỏi thường gặp
Tôi có cần thêm Mailchimp vào bản ghi SPF của mình không?
Không — và đừng thêm. Mailchimp dùng căn chỉnh chỉ DKIM qua các CNAME k2/k3 và không còn xuất bản SPF include cho khách hàng. Một include:servers.mcsv.net cũ không làm gì cho DMARC và lãng phí ngân sách tra cứu DNS; nhánh căn chỉnh ở đây là DKIM.
Xác thực tên miền có giúp newsletter của tôi thoát khỏi thư mục spam không? Nó loại bỏ nguyên nhân lớn nhất — thư không căn chỉnh trên tên miền có chính sách DMARC — và đây là yêu cầu bắt buộc theo quy tắc Google/Yahoo. Nó sẽ không sửa các vấn đề chất lượng danh sách: tỷ lệ khiếu nại cao và thiếu hủy đăng ký một cú nhấp vẫn giữ thư trong spam ngay cả khi xác thực hoàn hảo. Sửa xác thực trước; đó là phần có câu trả lời chắc chắn.
Tôi có thể tiếp tục gửi chiến dịch từ địa chỉ @gmail.com của mình không? Không. Các nhà cung cấp freemail xuất bản các chính sách DMARC nghiêm ngặt chính xác để không ai khác có thể gửi như họ, và ESP của bạn không bao giờ có thể căn chỉnh với gmail.com. Từ tháng 2 năm 2024 thư đó bị từ chối hoặc bỏ ở quy mô lớn. Địa chỉ From trên tên miền của riêng bạn là con đường duy nhất.
Tôi đã bật xác thực tên miền — tại sao DMARC vẫn thất bại? Thường là một trong ba điều: các CNAME bị làm hỏng bởi bảng điều khiển DNS thêm zone (bước 3), tên miền From của chiến dịch không khớp với tên miền bạn đã xác thực, hoặc một nguồn gửi khác đang thất bại song song với newsletter. Trên tất cả 261,086,232 tên miền trong kiểm tra 2026-06-29, chỉ 10.59% thực thi DMARC — nếu tên miền của bạn làm vậy, bạn gần đến; quét lại và đọc nhánh nào không căn chỉnh.
Điều này có áp dụng cho danh sách nhỏ, dưới 5.000 email mỗi ngày không? Các ngưỡng nghiêm ngặt nhất chính thức dành cho người gửi hàng loạt, nhưng máy chủ nhận áp dụng các nguyên tắc xác thực cơ bản cho tất cả mọi người, và các ESP giờ yêu cầu xác thực tên miền bất kể khối lượng. Hãy coi đây là bắt buộc: chỉ cần một vài bản ghi DNS, và nó ngăn chiến dịch của bạn bị hỏng ngày danh sách phát triển.
Gửi báo cáo cho chủ sở hữu
Nếu bạn đang sửa điều này cho khách hàng — hoặc bạn sở hữu newsletter nhưng không sở hữu DNS — hãy hoàn thành công việc với bằng chứng. Chạy lại quét miễn phí sau khi các CNAME được áp dụng và chuyển tiếp báo cáo được chấm điểm cho chủ doanh nghiệp: ngôn ngữ đơn giản, có ngày tháng, căn chỉnh DMARC đã sửa. Đây là tài liệu trả lời cho việc gia hạn bảo hiểm mạng và bảng câu hỏi bảo mật khách hàng tiếp theo — một bằng chứng trước và sau được ghi lại, không phải “Tôi đã nhấp vào một số nút trong Mailchimp”.
Kiểm tra tên miền của bạn → · DMARC thất bại nhưng SPF và DKIM vượt qua → · Sửa DMARC → · Sửa DKIM → · Cách chúng tôi chấm điểm → · Chỉ dữ liệu tổng hợp. Dữ liệu được lưu trữ và xử lý ở EU.