SPF record là gì? 5 bước tạo bản ghi TXT chuẩn cho tên miền

SPF record là gì?

SPF (Sender Policy Framework) là một bản ghi trong hệ thống DNS dùng để xác thực email. Nó giúp ngăn chặn spam và giả mạo địa chỉ mail bằng cách chỉ định rõ những máy chủ email nào được phép gửi thư thay mặt cho tên miền của bạn.

SPF record

TXT SPF record hoạt động ra sao?

Khi một email được gửi, máy chủ người nhận (ví dụ Gmail, Outlook) sẽ tiến hành kiểm tra SPF record như sau:

Lấy domain từ Return‑Path (hay “envelope‑from”) – là email gốc dùng cho giao tiếp SMTP.
Tra bản ghi TXT trong DNS có nội dung bắt đầu bằng v=spf1, đây là nơi lưu các cơ chế như ip4, ip6, a, mx, include và cuối cùng là all.
So khớp IP của máy gửi với các cơ chế:

Nếu IP trùng với ip4:/ip6: hoặc nằm trong các host a, mx, hoặc include, kết quả là pass và email được chấp nhận.
Nếu không trùng, kết quả là fail, soft‑fail, hoặc neutral, tùy theo ký hiệu -all, ~all, ?all.

Xử lý kết quả:

-all → từ chối (reject) hoặc bỏ (bounce)
~all → đánh dấu spam hoặc giữ soft‑fail
?all → giữ trung lập, không xử lý quá nghiêm ngặt

>>> XEM THÊM: DNS records là gì & 10 bản ghi DNS hàng đầu

Ưu điểm khi sử dụng TXT SPF record là gì?

Điểm qua những lợi ích nổi bật khi sử dụng SPF record cho tên miền của bạn như sau:

Ngăn chặn giả mạo email (phishing/spoofing): SPF giúp nhận diện xem một email đến có thực sự được gửi từ máy chủ bạn ủy quyền hay không. Nếu không, email đó dễ dàng bị từ chối hoặc đánh dấu spam, giúp bảo vệ thương hiệu và người nhận.
Tăng khả năng email vào đúng inbox: Khi SPF được cấu hình đúng, email thường tránh khỏi thư rác và được ưu tiên gửi vào hộp thư đến. Thống kê cho thấy email có SPF đúng có cơ hội đến hộp thư cao hơn đến 99% so với không có SPF.
Cải thiện uy tín tên miền: Các nhà cung cấp dịch vụ email như Gmail, Outlook, và các ISP dựa vào SPF như một trong những tín hiệu quan trọng để đánh giá độ tin cậy của domain. Một SPF record tốt giúp xây dựng thương hiệu uy tín hơn, giảm nguy cơ vào blacklist.
Ngăn chặn phishing và spam: Với SPF, kẻ xấu sẽ gặp khó khăn trong việc giả mạo email để lừa người dùng. Trong thực tế, tổ chức dùng SPF giúp giảm 40 % phishing và nạn gửi thư rác ghi nhận con số đáng kể.
Hỗ trợ DMARC và DKIM: SPF là 1 trong 3 nền tảng quan trọng cho DMARC. Khi kết hợp với DKIM và DMARC, bạn tạo một lớp bảo mật mạnh mẽ, giúp kiểm soát sâu hơn cách xử lý email không hợp lệ.

SPF record

5 bước chi tiết tạo TXT SPF record đơn giản

Để bảo vệ domain khỏi bị giả mạo khi gửi email, việc thiết lập bản ghi SPF là điều cần thiết. Với 5 bước đơn giản dưới đây, bạn hoàn toàn có thể tạo một bản ghi TXT SPF chính xác và hiệu quả.

Bước 1: Xác định các địa chỉ IP dùng gửi email

Trước tiên, bạn cần lập danh sách toàn bộ máy chủ email được phép gửi thư cho domain của mình. Danh sách này có thể bao gồm các mail server nội bộ (như Microsoft Exchange), hệ thống email trực tuyến, mail server của nhân viên, nhà cung cấp dịch vụ email (ESP) hoặc các đơn vị thứ ba được ủy quyền. Nếu không chắc chắn, bạn nên liên hệ quản trị viên hệ thống hoặc nhà cung cấp email để xác minh địa chỉ IP chính xác.

Bước 2: Xác định các domain gửi thư

Nhiều doanh nghiệp sở hữu nhiều tên miền, trong đó không phải tên miền nào cũng dùng để gửi email. Tuy nhiên, bạn nên thiết lập SPF cho tất cả tên miền, kể cả những tên miền không dùng để gửi thư để ngăn chặn hành vi giả mạo và đảm bảo bảo mật toàn diện cho hệ thống email.

Bước 3: Tạo nội dung TXT SPF record

Một SPF record luôn bắt đầu bằng phiên bản v=spf1, theo sau là các tag chỉ định địa chỉ IP hoặc domain được phép gửi email. Ví dụ:

v=spf1 ip4:192.0.2.1 include:_spf.google.com -all

Trong đó:

ip4: hoặc ip6: dùng để liệt kê các địa chỉ IP cụ thể.
include: dùng để cho phép bên thứ ba gửi mail thay bạn.
Kết thúc bằng -all, ~all hoặc +all để chỉ định chính sách xử lý email từ server không xác định.

Gợi ý: nên dùng -all để đảm bảo các email không hợp lệ bị từ chối hoàn toàn.

Bước 4: Công bố bản ghi SPF vào DNS

Sau khi tạo xong nội dung bản ghi, bạn cần truy cập hệ thống quản trị DNS (DNS manager) để thêm record mới. Cách thực hiện:

Đăng nhập tài khoản quản lý domain.
Tìm phần quản lý DNS.
Chọn domain muốn cấu hình.
Thêm bản ghi TXT mới với giá trị là SPF record bạn vừa tạo.
Đặt TTL là 3600 (hoặc để mặc định) rồi lưu lại.

Bản ghi có thể cần từ vài phút đến 48 giờ để cập nhật hoàn toàn.

Bước 5: Kiểm tra và xác minh SPF record

Cuối cùng, hãy sử dụng công cụ kiểm tra SPF (SPF record checker) để đảm bảo bản ghi hoạt động đúng. Kiểm tra các tiêu chí như: bản ghi có được nhận diện, số lần “lookup” không vượt quá 10, và địa chỉ IP thực sự khớp với hệ thống gửi email hiện tại.

Khi tạo TXT SPF record thường gặp lỗi gì?

Khi tiến hành tạo TXT SPF record, bạn sẽ bắt gặp một số lỗi khi thiết lập, bao gồm:

Tạo hơn một bản ghi SPF (ví dụ hai bản ghi TXT v=spf1...) điều này có thể dẫn đến bản ghi không hợp lệ, nhận diện SPF thất bại.
Dùng quá nhiều include:, a, mx, ptr, exists, redirect, khiến số truy vấn vượt 10.
Gõ sai, thiếu ký tự, thêm dấu cách không đúng… Ví dụ: ip4: 1.2.3.4 (dư dấu cách sau :), dùng ipv4: thay vì ip4:, quên v=spf1 hoặc dùng ký hiệu không hỗ trợ như +all, ?all, ptr, wildcard * không đúng cách.
Bản ghi không có cơ chế all hoặc đặt cơ chế này không đúng cuối cùng.
Một TXT record dài quá 255 ký tự mà không chia nhỏ, do đó sẽ bị cắt bớt hoặc lỗi khi tải dẫn đến SPF không hiệu lực.
Include domain không đúng (ví dụ: include:google.com thay vì _spf.google.com, hoặc include domain tự tham chiếu).

SPF record

Cơ chế của bản ghi SPF record như thế nào?

Email server khi nhận thư sẽ dựa vào SPF record để kiểm tra xem IP gửi có nằm trong danh sách máy chủ được ủy quyền không. Các cơ chế (mechanisms) trong SPF giúp xác định chi tiết cách so khớp IP này - từ kiểm tra IP cụ thể cho đến tra cứu qua DNS.

Cơ chế	Mô tả
ip4: / ip6:	Khớp trực tiếp với IP (IPv4/IPv6) hoặc mạng có prefix. Không cần tra cứu DNS nếu đúng định dạng.
a	So sánh IP gửi với bản ghi A/AAAA của domain (mức mặc định) hoặc domain được chỉ định .
mx	Khớp với IP từ bản ghi A của các MX record của domain .
include:	Nhập và áp dụng SPF của domain khác; nếu domain đó pass → bạn cũng pass .
all	Luôn khớp, thường đặt cuối với qualifier như -all, ~all, ?all để xử lý IP không khớp .
ptr	Kiểm tra reverse DNS IP → lấy hostname → đối chiếu với A record, không khuyến nghị dùng do chậm và kém tin cậy.
exists:	Thực hiện DNS A lookup vào domain xác định; nếu có record trả về thì cơ chế khớp.
redirect=	Modifier (không phải cơ chế): chuyển toàn bộ SPF record sang domain khác nếu không có cơ chế nào khớp.
exp=	Modifier: khi SPF fail, dùng để chỉ domain chứa thông điệp giải thích lý do từ chối.

>>> Các bài viết liên quan “domain”:

- Tạo Subdomain trên cPanel nhanh chóng, đơn giản

- Bảo mật an toàn với cài SSL cho Domain Pointer trên DirectAdmin

Lời kết

Việc duy trì và cập nhật SPF record định kỳ giúp tên miền của bạn luôn đảm bảo được tính xác thực và uy tín trong hệ sinh thái email, đồng thời giảm thiểu rủi ro bị lọc nhầm hoặc giả mạo. Hơn nữa, kết hợp cấu hình SPF record với các phương pháp xác thực khác như DKIM và DMARC sẽ tạo nên bộ khung bảo mật toàn diện. Nếu bạn còn có bất kỳ thắc mắc nào về cách thiết lập hoặc tối ưu, xin vui lòng liên hệ Web4s để được hỗ trợ nhanh chóng và chuyên nghiệp.

Thông tin liên hệ: