Defaults.Exposed › Cài đặt › SPF

Cách thiết lập SPF trên Cloudflare

Thêm bản ghi SPF trong DNS Cloudflare để các nhà cung cấp hộp thư có thể phân biệt email thật của bạn với email giả mạo.

Tại sao điều này quan trọng với doanh nghiệp của bạn

SPF (Sender Policy Framework) là một ghi chú ngắn trong DNS của tên miền, liệt kê những máy chủ thư nào được phép gửi email từ tên của bạn. Khi ai đó nhận được thư tự xưng là từ bạn, nhà cung cấp thư của họ sẽ kiểm tra danh sách đó. Nếu máy chủ gửi không có trong danh sách, thư trông đáng ngờ — và sẽ bị đưa vào thư rác hoặc bị chặn.

Nói nôm na: SPF giúp kẻ gian khó giả mạo doanh nghiệp của bạn qua email, đồng thời giúp email hợp lệ của bạn vào hộp thư đến thay vì thư rác. Chỉ cần một bản ghi, hoàn toàn miễn phí và mất vài phút.

Trước khi bắt đầu: Cloudflare có thực sự đang quản lý DNS của bạn không?

Đây là bước nhiều người hay bỏ qua nhất. Bản ghi DNS chỉ hoạt động nếu Cloudflare là nơi trả lời các câu hỏi DNS cho tên miền của bạn.

Cloudflare là nhà cung cấp DNS, không phải nhà cung cấp hộp thư — nó trả lời DNS nhưng không vận hành hộp thư của bạn. Để DNS của Cloudflare có hiệu lực, nameserver của tên miền (được đặt tại nơi bạn đăng ký tên miền) phải trỏ đến hai nameserver Cloudflare hiển thị trong bảng điều khiển. Trong Cloudflare, mở tên miền và kiểm tra trang Overview: sẽ hiển thị Cloudflare có đang hoạt động cho tên miền không. Nếu nameserver vẫn trỏ đến registrar hay nhà cung cấp khác, mọi thứ bạn thêm vào Cloudflare đều vô nghĩa — hãy thêm bản ghi SPF tại nơi DNS thực sự đang đặt.

Tìm trước một thông tin: ai đang gửi email của bạn?

SPF phải liệt kê mọi dịch vụ gửi thư cho tên miền của bạn. Ví dụ phổ biến là Google Workspace, Microsoft 365, hoặc nhà cung cấp lưu trữ hộp thư. Mỗi dịch vụ đều công bố giá trị để đặt vào bản ghi SPF (thường là include:_spf.google.com cho Google hoặc include:spf.protection.outlook.com cho Microsoft 365). Hãy xem trang hỗ trợ của nhà cung cấp email để biết giá trị chính xác.

Nếu bạn dùng Cloudflare Email Routing để chuyển tiếp thư, lưu ý rằng tính năng này thêm bản ghi DNS riêng cho chuyển tiếp nhưng không gửi thư đi thay mặt bạn — SPF của bạn vẫn cần liệt kê dịch vụ bạn thực sự gửi từ đó.

Hướng dẫn từng bước trên Cloudflare

1. Đăng nhập vào Cloudflare và chọn tên miền trong bảng điều khiển.
2. Trong menu bên trái, vào cài đặt DNS (tìm DNS / Records).
3. Nhấp Add record.
4. Đặt Type thành TXT.
5. Trong trường Name, nhập @ — ký hiệu @ có nghĩa là “chính tên miền đó”. Không gõ tên miền đầy đủ vào đây.
6. Trong trường Content, nhập nội dung SPF. Bản ghi thông thường trông như sau: v=spf1 include:_spf.google.com ~all Thay phần include: bằng giá trị mà nhà cung cấp email thực sự của bạn chỉ định.
7. Để TTL ở Auto.
8. Nhấp Save.

Những lỗi phổ biến trên Cloudflare

• Chỉ một bản ghi SPF cho mỗi tên miền. Không thể có hai bản ghi TXT v=spf1 — các nhà cung cấp thư sẽ coi đó là lỗi. Nếu đã có một bản, hãy chỉnh sửa để thêm dịch vụ mới thay vì tạo bản thứ hai.
• Không bọc trong dấu ngoặc kép. Cloudflare tự xử lý việc đặt dấu ngoặc. Chỉ cần dán văn bản thuần túy bắt đầu bằng v=spf1. Nếu tự thêm dấu ", bạn có thể tạo ra bản ghi bị lỗi.
• Name là @, không phải tên miền của bạn. Nếu bạn gõ tên miền đầy đủ, Cloudflare thường tự gộp về root, nhưng @ là lựa chọn rõ ràng và đáng tin cậy hơn.
• Proxy (đám mây cam) không áp dụng. SPF nằm trong bản ghi TXT, vốn không bao giờ được proxy — không có tùy chọn bật/tắt đám mây cam/xám nào để lo lắng với bản ghi TXT.
• ~all so với -all. ~all (softfail) nghĩa là “bất cứ thứ gì không có trong danh sách thì đáng ngờ”; -all (hardfail) nghĩa là “từ chối bất kỳ thứ gì không có trong danh sách”. Bắt đầu bằng ~all trong khi xác nhận mọi thứ gửi đúng, sau đó chặt chẽ hơn bằng -all khi chắc chắn danh sách đã đầy đủ.
• Thay đổi không có hiệu lực ngay. Cập nhật DNS có thể mất từ vài phút đến vài giờ để lan rộng.

Xác minh hoạt động

Sau khi lưu bản ghi và cho một chút thời gian để có hiệu lực, hãy xác minh bằng công cụ kiểm tra miễn phí trên trang này. Hệ thống sẽ cho biết bằng ngôn ngữ đơn giản liệu bản ghi SPF của bạn có tồn tại và được định dạng đúng không.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.