Defaults.Exposed › Cài đặt › SPF

Cách thiết lập SPF trên Microsoft 365

Thêm bản ghi SPF để thông báo cho thế giới biết rằng máy chủ của Microsoft 365 được phép gửi email từ tên miền của bạn.

Tại sao điều này quan trọng với doanh nghiệp của bạn

SPF (Sender Policy Framework) là một ghi chú ngắn trong DNS của tên miền, liệt kê những máy chủ thư nào được phép gửi email “từ” tên miền của bạn. Nếu không có nó, kẻ lừa đảo có thể giả mạo địa chỉ của bạn để gửi hóa đơn giả, yêu cầu thanh toán hoặc báo giá giả đến khách hàng và đối tác — và email hợp lệ của bạn càng dễ bị rơi vào thư rác. Thiết lập SPF hoàn toàn miễn phí, chỉ mất vài phút và là một trong những biện pháp rẻ nhất, hiệu quả nhất để bảo vệ danh tiếng doanh nghiệp và đảm bảo email đến được hộp thư.

Quan trọng: việc này thực sự được thực hiện ở đâu

Điểm này khiến nhiều người nhầm lẫn, vì vậy cần nói rõ:

• Microsoft 365 chạy email của bạn (hộp thư đặt trên Exchange Online). Nhưng Microsoft 365 là nền tảng thư — không nhất thiết là nơi DNS của tên miền bạn được đặt.
• Bản ghi SPF được thêm tại nhà cung cấp DNS của bạn — công ty kiểm soát nameserver của tên miền. Đó có thể là nơi bạn mua tên miền (GoDaddy, Namecheap, v.v.), nhà cung cấp hosting, hoặc Cloudflare.
• Nếu bạn để Microsoft quản lý DNS, thì nhà cung cấp DNS của bạn là Microsoft, và bạn sẽ chỉnh sửa bản ghi trong Microsoft 365 admin center → Settings → Domains → DNS records. Trong trường hợp đó, Microsoft thường tự động thêm bản ghi SPF đúng cho bạn khi thiết lập tên miền.

Vậy: Microsoft cho bạn biết nội dung bản ghi là gì; bạn thêm nó tại nơi DNS của bạn đặt. Cài đặt hộp thư trong Microsoft 365 không lưu trữ bản ghi này trừ khi Microsoft cũng quản lý DNS của bạn.

Đầu tiên: công ty nào đang quản lý DNS của bạn?

Bản ghi DNS chỉ có hiệu lực nếu bạn thêm nó ở bất cứ đâu mà nameserver của tên miền trỏ đến. Nếu không chắc, hãy kiểm tra tên miền trong tài khoản registrar và xem mục Nameservers, hoặc hỏi người thiết lập website của bạn. Nếu nameserver trỏ đến nơi khác ngoài Microsoft, hãy thêm bản ghi SPF trong cài đặt DNS của công ty đó (tìm DNS / Records / Advanced DNS). Thêm vào sai chỗ sẽ không có tác dụng gì.

Những gì bạn sẽ thêm

Một bản ghi TXT duy nhất cho Microsoft 365. Giá trị chuẩn là:

v=spf1 include:spf.protection.outlook.com -all

• include:spf.protection.outlook.com cho phép máy chủ thư của Microsoft 365 gửi thay mặt bạn.
• -all là giá trị Microsoft khuyến nghị — “hard fail” yêu cầu người nhận từ chối bất cứ thứ gì không có trong danh sách. Nếu chưa chắc chắn mọi nguồn gửi đã được bao gồm, bạn có thể bắt đầu bằng ~all nhẹ hơn và chặt chẽ hơn bằng -all sau.

Bạn chỉ nên có một bản ghi SPF (một TXT bắt đầu bằng v=spf1) cho mỗi tên miền. Nếu đã có một bản — ví dụ vì bạn cũng gửi qua công cụ newsletter hay CRM — đừng thêm bản thứ hai. Hãy chỉnh sửa bản hiện có và thêm phần của Microsoft vào đó, ví dụ:

v=spf1 include:spf.protection.outlook.com include:servers.mcsv.net -all

Các bước thực hiện

1. Đăng nhập vào nhà cung cấp DNS của bạn (registrar, nhà cung cấp hosting, hoặc nhà cung cấp DNS — hoặc Microsoft 365 admin center nếu Microsoft quản lý DNS của bạn).
2. Mở cài đặt DNS cho tên miền của bạn (tìm DNS / Records / Advanced DNS).
3. Thêm bản ghi mới và chọn TXT làm loại.
4. Trong trường Name / Host, nhập @ (nghĩa là “chính tên miền đó”). Đừng gõ tên miền đầy đủ vào đây.
5. Trong trường Value / Data, dán v=spf1 include:spf.protection.outlook.com -all (hoặc bản ghi kết hợp nếu có nguồn gửi khác).
6. Để TTL ở mức mặc định (1 giờ là ổn).
7. Lưu lại.

Những lỗi phổ biến

• Đây không phải cài đặt hộp thư. Mọi người tìm kiếm “SPF” trong cài đặt Microsoft 365 nhưng không tìm được chỗ nhập — vì bản ghi này thuộc về DNS của bạn, không phải trong cài đặt hộp thư hay Exchange admin.
• Chỉ một bản ghi SPF. Hai bản ghi bắt đầu bằng v=spf1 phá vỡ SPF hoàn toàn. Hãy kết hợp các nguồn gửi vào một bản ghi duy nhất bằng cách thêm các mục include:.
• @ cho tên, không phải tên miền của bạn. Gõ tên miền đầy đủ vào trường Name có thể tạo bản ghi ở sai chỗ.
• Chú ý dấu ngoặc kép. Hầu hết các nhà cung cấp DNS tự thêm dấu ngoặc cho bạn — hãy dán giá trị thuần túy. Nếu nhà cung cấp đã hiển thị giá trị được bọc trong "...", đừng thêm thêm dấu ngoặc nữa; bản ghi bị ngoặc kép đôi sẽ bị lỗi.
• Microsoft dùng spf.protection.outlook.com. Các bản ghi cũ hoặc sao chép từ nơi khác có thể tham chiếu tên máy chủ khác — hãy đảm bảo include chính xác là spf.protection.outlook.com.
• Thay đổi không có hiệu lực ngay. DNS có thể mất từ vài phút đến vài giờ để cập nhật khắp nơi.

Xác minh hoạt động

Sau khi lưu, hãy kiểm tra bản ghi đã được áp dụng và chính xác với công cụ kiểm tra miễn phí trên Defaults.Exposed. Nhập tên miền của bạn và hệ thống sẽ cho biết bằng ngôn ngữ đơn giản liệu SPF của bạn đã được thiết lập đúng chưa. Dữ liệu của bạn được xử lý tại EU.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.