Bảy DNS record mọi người gửi email tự host cần có

Email là loại bất thường: một setup sender hoàn chỉnh có bảy DNS record riêng biệt trải trên ba hay bốn loại record. Thiếu một cái thì message vẫn truyền qua dây, nhưng mailbox provider sẽ âm thầm hạ bạn xuống thư mục spam. Publish đủ bảy thì bạn vượt qua ngưỡng "tất cả những gì Google yêu cầu" trong /guide/email-deliverability.

Thứ tự quan trọng: SPF và DKIM phải xong trước khi DMARC bắt đầu enforce alignment, nếu không mail hợp lệ bị quarantine. Quy tắc bất biến trên mọi vendor cũng là "đợi DNS propagate" — cho phép ít nhất 30 phút giữa việc publish một record và yêu cầu mailbox provider re-check.

MX record (RFC 1035 §3.3.9) báo cho thế giới nơi deliver mail inbound cho domain của bạn. Ngay cả khi sending domain của bạn là "outbound only" (bạn không đọc reply trên đó), MX record vẫn bắt buộc — nhiều mailbox provider hạ reputation cho domain không có MX, theo lý thuyết rằng sender hợp lệ nhận reply. Một record đơn lẻ trỏ tới bất kỳ mail server reachable nào là đủ, dù server đó chỉ deliver tới một mailbox postmaster.

SPF (RFC 7208) là một TXT record đơn lẻ liệt kê những IP nào được uỷ quyền gửi cho domain. Quy tắc cứng: tổng DNS lookup đệ quy phải dưới 10 (RFC 7208 §4.6.4). Mỗi include: tốn một; include lồng nhau cộng dồn. Cơ chế ip4: / ip6: tốn zero lookup, nên gập include cũ thành dải IP tường minh nếu count cứ trườn lên.

Kết bằng -all (hard-fail) khi bạn đã verify mọi nguồn gửi hợp lệ đã được phủ. Nếu chưa chắc, bắt đầu với ~all (soft-fail) và siết về -all sau hai tuần báo cáo DMARC sạch.

DKIM (RFC 6376) publish nửa public của cặp khoá ký dưới dạng TXT record tại {selector}._domainkey.{domain}. "Selector" là identifier bạn chọn — theo vendor hoặc tuỳ ý. Với SES, AWS cho bạn ba CNAME phân giải thành TXT record do AWS quản lý (để AWS có thể xoay khoá mà bạn không phải đụng vào DNS):

Với Postal hay Postfix+OpenDKIM tự host, bạn tạo cặp khoá local, cấu hình MTA để ký, và publish nửa public dưới dạng TXT:

Đi đường nào cũng vậy, verify bằng dig TXT {selector}._domainkey.{domain} trước khi tuyên bố DKIM xong.

DMARC (RFC 7489) đặt tại _dmarc.{domain}. Bỏ qua bước ramp p=none là sai lầm phổ biến nhất — nhảy thẳng tới p=reject trên một domain mà luồng mail của nó bạn chưa hiểu hết sẽ âm thầm bounce mail hợp lệ (forwarder, mailing list, sender CRM bên thứ ba).

Đọc các báo cáo aggregate XML hằng ngày rớt vào mailbox rua của bạn giữa các giai đoạn. Công cụ như DMARC analyzer của Postmark hay Parsedmarc tự host visualise chúng; XML thô đặc nhưng đọc được.

Mặc định, URL open-pixel và click-tracking của AcelleMail đến từ primary domain của install. Mailbox provider thích thấy root domain nhất quán xuyên qua From, click link, và URL unsubscribe — tất cả trên cùng một domain đã đăng ký. Về branding, link trỏ tới tracker.yourcompany.com cũng phát tín hiệu tin cậy hơn link trỏ tới links.acellemail.com.

Một khi CNAME đã phân giải, AcelleMail viết lại mọi URL click-tracking trong message gửi đi để dùng nó. Domain unsubscribe-link theo cùng quy tắc (và cùng CNAME).

MTA-STS (RFC 8461) báo cho sender khác "luôn yêu cầu TLS khi deliver tới MX của tôi". Không có nó, kẻ tấn công trên đường truyền có thể downgrade một handshake có khả năng TLS xuống cleartext. Có nó, sending server từ chối deliver nếu TLS không thể thiết lập. Implementation là một TXT record trỏ tới file policy được host:

Chạy policy ở mode: testing trong tuần đầu, rồi flip sang mode: enforce. Nhiều bulk sender bỏ qua MTA-STS — triển khai nó là tín hiệu tin cậy miễn phí.

BIMI (Brand Indicators for Message Identification) là cái trẻ nhất trong bảy và là cái duy nhất chưa phải RFC chính thức, nhưng được hỗ trợ bởi Gmail, Yahoo, Apple Mail, Fastmail, và các client khác trong production. Thoả thuận: publish một TXT record trỏ tới logo SVG và (tuỳ chọn) một Verified Mark Certificate (VMC), và các client hỗ trợ sẽ hiển thị logo kế bên message của bạn trong danh sách inbox.

Điều kiện tiên quyết: policy DMARC ở mức ít nhất p=quarantine (BIMI không được honour dưới p=none), và SVG phải là SVG Tiny Portable / Secure (SVG-PS). Mức chấp nhận khác nhau: Gmail yêu cầu một VMC trả phí ($1.500/năm qua DigiCert / Entrust) để hiển thị đầy đủ trong inbox-list; Yahoo và Apple chấp nhận BIMI không cần VMC. Mức nâng open-rate 5-20% thường được báo cáo trong các case study đã publish.

Sau khi publish, gửi cho chính bạn một message thử và kiểm tra header. Gmail web: mở message, click menu ba chấm, "Show original". Tìm:

Ba verdict pass là mức chuẩn. Bất cứ gì kém hơn — fail, softfail, neutral — nghĩa là một record sai, hoặc DNS chưa propagate, hoặc body mail đang bị sửa đổi trên đường truyền (hiếm). Đối chiếu với spec canonical Authentication-Results header (RFC 8601) nếu verdict mơ hồ.