DMARC, SPF, DKIM คู่มือ Email Authentication SME ไทย 2026

# DMARC, SPF, DKIM คืออะไร? คู่มือ Email Authentication ป้องกัน Phishing และ Spoofing สำหรับ SME ไทย 2026

ในยุคที่การโจมตีทางอีเมล (Email Attack) ทวีความรุนแรงขึ้นทุกวัน ไม่ว่าจะเป็น Phishing, Business Email Compromise (BEC) หรือ Email Spoofing ที่ปลอมตัวเป็นอีเมลของบริษัทคุณเพื่อหลอกลวงลูกค้าหรือพนักงาน การมีเพียงรหัสผ่านอีเมลที่แข็งแรงนั้นไม่เพียงพออีกต่อไป องค์กรและ SME ไทยต้องการการป้องกันในระดับ Protocol ของอีเมลโดยตรง

บทความนี้จะอธิบายอย่างละเอียดว่า DMARC, SPF และ DKIM คืออะไร ทำงานร่วมกันอย่างไร และคุณจะตั้งค่าอย่างไรเพื่อปกป้อง Domain ของธุรกิจจากการถูกปลอมแปลง พร้อมเพิ่ม Deliverability ให้อีเมล Marketing และ Transactional ส่งถึง Inbox ไม่หลุด Spam

สำหรับเจ้าของธุรกิจและ IT Admin ที่ดูแลระบบอีเมลขององค์กร คู่มือนี้จะช่วยให้คุณเข้าใจภาพรวมและสามารถเริ่มต้น Implement ได้ในวันนี้

SPF (Sender Policy Framework) คืออะไร?

SPF ย่อมาจาก Sender Policy Framework เป็นระบบที่อนุญาตให้เจ้าของ Domain ประกาศไว้ใน DNS ว่ามี Mail Server ใดบ้างที่ได้รับอนุญาตให้ส่งอีเมลในนาม Domain ของตนได้ พูดง่าย ๆ SPF คือ "รายชื่อผู้มีสิทธิ์ส่งอีเมล" ของ Domain คุณ

เมื่อ Mail Server ปลายทาง (เช่น Gmail, Outlook) ได้รับอีเมล จะตรวจสอบ IP ของผู้ส่งกับ SPF Record ของ Domain ถ้า IP ไม่อยู่ใน List จะถือว่า SPF Fail และอาจถูกตีตราเป็น Spam หรือถูกปฏิเสธทันที

ตัวอย่าง SPF Record ที่พบบ่อย:

```

v=spf1 include:_spf.google.com include:sendgrid.net -all

```

ความหมาย: อนุญาตให้ Google Workspace และ SendGrid ส่งอีเมลในนาม Domain นี้ได้ ส่วน `-all` หมายถึงถ้าไม่ใช่ IP เหล่านี้ให้ Reject

DKIM (DomainKeys Identified Mail) คืออะไร?

DKIM คือระบบ Digital Signature ที่เซ็นลายเซ็นดิจิทัลติดไปกับอีเมลทุกฉบับที่ส่งออก ผู้รับสามารถตรวจสอบได้ว่าเนื้อหาของอีเมลไม่ได้ถูกแก้ไขระหว่างทาง และมาจากผู้ส่งที่อ้างจริง

DKIM ใช้ Public-Private Key Cryptography โดย Public Key จะถูกเผยแพร่ไว้ใน DNS ของ Domain ในขณะที่ Private Key ถูกเก็บไว้ที่ Mail Server เมื่อ Mail Server ส่งอีเมล จะ Hash Header + Body แล้วเซ็นด้วย Private Key ผู้รับดึง Public Key มาถอดรหัสเพื่อตรวจสอบ

ประโยชน์หลักของ DKIM:

ยืนยันความสมบูรณ์ของอีเมล (Integrity)

ยืนยันตัวตนของผู้ส่ง (Authenticity)

ลดโอกาสถูก Mark เป็น Spam

จำเป็นสำหรับ DMARC Enforcement

DMARC คืออะไร? ทำไมต้องมีทั้งสามตัว

DMARC ย่อมาจาก Domain-based Message Authentication, Reporting & Conformance เป็น Layer ที่อยู่บน SPF และ DKIM โดยทำหน้าที่สองอย่าง:

กำหนด Policy ว่าจะให้ Mail Server ปลายทางทำอย่างไรเมื่ออีเมลไม่ผ่าน SPF หรือ DKIM (none / quarantine / reject)

รายงานผล กลับมาที่เจ้าของ Domain ว่ามีใครบ้างที่พยายามส่งอีเมลในนาม Domain ของคุณ

DMARC Policy มี 3 ระดับ:

| Policy | ความหมาย | เหมาะกับ |

|--------|----------|----------|

| none | แค่รายงาน ไม่บล็อก | เริ่มต้นเก็บข้อมูล |

| quarantine | ส่งเข้า Spam Folder | Phase กลาง ทดสอบ |

| reject | ปฏิเสธอีเมลทันที | Production Enforcement |

การ Rollout ที่ถูกต้องคือเริ่มจาก `p=none` เพื่อดู Report ก่อน แล้วค่อย ๆ ขยับไปเป็น `quarantine` และ `reject` ตามลำดับ

วิธีตั้งค่า DMARC, SPF, DKIM ทีละขั้นตอน

ขั้นตอนที่ 1 - รวบรวมรายชื่อ Mail Sender ทั้งหมด

ก่อนเริ่มตั้งค่า ให้ทำรายการว่าองค์กรคุณใช้บริการใดในการส่งอีเมลบ้าง เช่น Google Workspace, Microsoft 365, SendGrid, Mailchimp, ระบบ ERP, ระบบ CRM, เครื่องพิมพ์ที่ส่งอีเมล สแกน ฯลฯ การพลาด Sender แม้แต่รายเดียวจะทำให้อีเมลที่ถูกต้องโดน Reject

ขั้นตอนที่ 2 - เพิ่ม SPF Record

เข้าไปที่ DNS Provider ของ Domain (เช่น Cloudflare, GoDaddy, Route 53) แล้วเพิ่ม TXT Record ที่ root ของ Domain

```

Type: TXT

Name: @

Value: v=spf1 include:_spf.google.com include:sendgrid.net ~all

```

ขั้นตอนที่ 3 - เปิดใช้งาน DKIM

เข้าไปใน Admin Console ของ Email Provider (เช่น Google Workspace > Apps > Google Workspace > Gmail > Authenticate email) จะได้ DKIM Public Key มา นำไปใส่ใน DNS เป็น TXT Record ชื่อ `google._domainkey`

ขั้นตอนที่ 4 - เพิ่ม DMARC Record

```

Type: TXT

Name: _dmarc

Value: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100

```

เริ่มจาก `p=none` เพื่อสังเกตการณ์ก่อน 2-4 สัปดาห์ แล้วค่อยปรับเป็น `quarantine` และ `reject`

ขั้นตอนที่ 5 - วิเคราะห์ DMARC Report

DMARC Report จะถูกส่งมาที่อีเมลที่กำหนดใน `rua=` ทุกวัน เป็น XML อ่านยาก แนะนำให้ใช้เครื่องมือช่วยวิเคราะห์ เช่น Postmark DMARC, Dmarcian, Valimail เพื่อดูว่ามี Sender ใดที่ถูกปฏิเสธบ้าง

เปรียบเทียบ DMARC, SPF, DKIM

|--------|-----|------|-------|

| ทดแทนกันได้ | ไม่ | ไม่ | ไม่ ต้องใช้ร่วม |

ข้อผิดพลาดที่พบบ่อยใน SME ไทย

**ตั้ง SPF ซ้ำซ้อน** ส่งผลให้เกิด PermError — ต้องมี SPF Record เดียวเท่านั้นต่อ Domain

**DKIM ไม่ได้เซ็น** เพราะลืมเปิดใน Admin Console ของ Google Workspace

**กระโดดไป p=reject ทันที** โดยไม่วิเคราะห์ Report ทำให้อีเมลสำคัญถูกปฏิเสธ

**เกิน DNS Lookup 10 ครั้งใน SPF** ต้อง Flatten SPF หรือลด Include

**ไม่ Monitor DMARC Report** ต่อเนื่อง จึงไม่รู้ว่า Domain ถูกปลอม

ทำไม SME ไทย 2026 ต้อง Implement ให้ครบ

ตั้งแต่ปี 2024 Google และ Yahoo เริ่มบังคับให้ผู้ส่งอีเมลแบบ Bulk (5,000 ฉบับ/วันขึ้นไป) ต้องมี DMARC Alignment ถ้าไม่มีอีเมลจะไปอยู่ใน Spam ทันที สำหรับ SME ที่ทำ Email Marketing หรือส่ง Transactional Email (เช่น Order Confirmation, OTP) การไม่ตั้งค่าเท่ากับสูญเสียโอกาสทางธุรกิจ

นอกจากนี้มาตรฐาน PDPA, ISO 27001 และแนวปฏิบัติของธนาคารแห่งประเทศไทยก็ระบุให้องค์กรป้องกัน Email Fraud เป็นพื้นฐานของ Cybersecurity Hygiene

สรุปและ Call to Action

DMARC, SPF และ DKIM เป็น 3 เสาหลักของ Email Authentication ที่ต้องใช้งานร่วมกันเพื่อปกป้อง Domain จากการปลอมแปลง เพิ่ม Deliverability และสร้างความเชื่อมั่นให้ลูกค้าของคุณ SME ไทยควรเริ่มต้นจาก:

เปิด SPF ให้ครบทุก Sender

เปิด DKIM ทุก Provider ที่ส่งอีเมลแทน Domain

เริ่ม DMARC ที่ `p=none` แล้วขยับไป `reject`

หากองค์กรของคุณต้องการให้ทีมผู้เชี่ยวชาญจาก ADS FIT ช่วย Setup DMARC, SPF, DKIM และวิเคราะห์ Report อย่างต่อเนื่อง ติดต่อเราได้ที่ adsfit.co.th หรืออ่านบทความอื่น ๆ เกี่ยวกับ Network Security ในบล็อกของเรา

สนใจโซลูชันนี้?

ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

ติดต่อเรา →

DMARC, SPF, DKIM คืออะไร? คู่มือ Email Authentication ป้องกัน Phishing และ Spoofing สำหรับ SME ไทย 2026