ตั้งค่า SPF, DKIM, และ DMARC ให้ Google Workspace for Education

ครูอาร์ม
23 Apr 69
522

ในช่วงหลายเดือนที่ผ่านมา Google ประกาศบังคับใช้มาตรฐานการยืนยันตัวผู้ส่งอีเมลอย่างเข้มงวดขึ้น สถานศึกษาหลายแห่งที่ใช้ Google Workspace for Education เริ่มเจอปัญหาอีเมลที่ส่งจากโดเมนโรงเรียนถูกตีกลับ ถูกจัดเป็นสแปม หรือส่งไม่ถึงผู้รับเลย ปัญหานี้ไม่ได้เกิดจาก Google แต่เกิดจากการที่โดเมนของโรงเรียนยังไม่ได้ตั้งค่า SPF, DKIM และ DMARC ให้ครบถ้วน

บทความนี้จะอธิบายทั้ง 3 เรื่องนี้แบบเข้าใจง่าย พร้อมขั้นตอนตั้งค่าที่ผู้ดูแลระบบของโรงเรียนหรืออาชีวศึกษาทำตามได้ทันที

ทำไมอีเมลสถานศึกษาถึงถูกบล็อกหรือตีกลับ?

ลองนึกภาพว่ามีคนแอบอ้างชื่อโรงเรียนของเราไปส่งอีเมลหลอกลวง ผู้รับจะเชื่อหรือไม่ว่านั่นคืออีเมลจริงจากเรา? ระบบอีเมลปลายทางอย่าง Gmail, Outlook, Yahoo จึงต้องการ “หลักฐาน” ว่าอีเมลที่อ้างว่ามาจาก @yourschool.ac.th ถูกส่งจากเซิร์ฟเวอร์ที่โรงเรียนอนุญาตจริง และเนื้อหาไม่ถูกแก้ไขระหว่างทาง

หลักฐานนั้นมาในรูปแบบของ DNS record 3 ตัวที่ทำงานร่วมกัน คือ SPF, DKIM และ DMARC หากขาดตัวใดตัวหนึ่ง โอกาสที่อีเมลจะถูกมองว่าน่าสงสัยก็สูงขึ้นทันที

ตั้งค่าครบทั้ง 3 อย่าง = อีเมลปลอดภัย ถึงผู้รับแน่นอน ลดความเสี่ยงการถูกปลอมแปลง ปกป้องชื่อเสียงของสถานศึกษา

1. SPF — ใครได้รับอนุญาตให้ส่งอีเมลในนามโรงเรียน

SPF (Sender Policy Framework) คือการกำหนดว่าเซิร์ฟเวอร์ใดบ้างที่ได้รับอนุญาตให้ส่งอีเมลในนามของโดเมนโรงเรียน เปรียบเหมือน “รายชื่อบุรุษไปรษณีย์ที่ได้รับอนุญาต” — ถ้าอีเมลถูกส่งมาจาก IP ที่ไม่อยู่ในรายชื่อ ระบบปลายทางจะรู้ทันทีว่าน่าสงสัย

ขั้นตอนตั้งค่า SPF

  1. เข้าสู่ระบบผู้ให้บริการ DNS ของโดเมนโรงเรียน (เช่น THNIC, Cloudflare, GoDaddy)
  2. เลือกโดเมนที่ต้องการตั้งค่า
  3. เพิ่มบันทึก TXT ใหม่ด้วยค่าต่อไปนี้:
Type TXT
ชื่อ/โฮสต์ @
ค่า TXT v=spf1 include:_spf.google.com ~all
TTL อัตโนมัติ หรือ 3600 วินาที

ข้อควรระวัง: แต่ละโดเมนมี SPF record ได้เพียง รายการเดียวเท่านั้น หากโรงเรียนใช้บริการอีเมลหลายเจ้า (เช่น Google + MailChimp) ต้องรวมไว้ในบรรทัดเดียวกันโดยใช้ include: ซ้อนกัน เช่น v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

2. DKIM — ตราประทับลับที่ป้องกันการปลอมแปลงเนื้อหา

DKIM (DomainKeys Identified Mail) คือการใส่ลายเซ็นดิจิทัลในอีเมลทุกฉบับที่ส่งออกจากโดเมนโรงเรียน ทำหน้าที่เป็น “ตราประทับลับ” ที่บอกผู้รับได้ 2 เรื่อง คือ อีเมลมาจากโรงเรียนจริงและเนื้อหาไม่ถูกแก้ไขระหว่างทาง

ขั้นตอนตั้งค่า DKIM สำหรับ Google Workspace

  1. เข้า Google Admin Console ที่ admin.google.com
  2. ไปที่ แอป → Google Workspace → Gmail → ตรวจสอบสิทธิ์อีเมล
  3. คลิก สร้างระเบียนใหม่
  4. เลือกความยาวบิตของคีย์ DKIM เป็น 1024 (แนะนำ)
  5. ในช่องตัวเลือกคำนำหน้า พิมพ์ google
  6. คลิก สร้าง
  7. คัดลอกค่า ชื่อโฮสต์ DNS (จะได้เป็น google._domainkey) และ ค่า TXT (ขึ้นต้นด้วย v=DKIM1; k=rsa; p=...)
  8. นำข้อมูล 2 ค่านี้ไปเพิ่มเป็น TXT record ใน DNS ของโดเมน
  9. กลับมาที่ Google Admin แล้วกด เริ่มต้นการตรวจสอบสิทธิ์

Google จะใช้เวลาตรวจสอบระหว่าง 24–72 ชั่วโมง เมื่อสถานะเปลี่ยนเป็น “เปิดใช้งานสำหรับทุกคน” แสดงว่า DKIM พร้อมใช้งานแล้ว

3. DMARC — ผู้คุมกฎที่บอกให้ทำอย่างไรกับอีเมลปลอม

DMARC (Domain-based Message Authentication, Reporting & Conformance) คือนโยบายที่บอกระบบปลายทางว่า “ถ้าอีเมลที่อ้างว่ามาจากโรงเรียนเราไม่ผ่าน SPF หรือ DKIM ควรทำอย่างไร?” เปรียบเหมือนผู้คุมกฎที่ตัดสินใจในชั้นสุดท้าย

ขั้นตอนตั้งค่า DMARC

  1. เข้าสู่ระบบ DNS ของโดเมน
  2. เพิ่มบันทึก TXT ใหม่:
Type TXT
ชื่อ/โฮสต์ _dmarc
ค่า TXT v=DMARC1; p=none; rua=mailto:postmaster@yourdomain.com
TTL อัตโนมัติ หรือ 3600 วินาที

เปลี่ยน yourdomain.com ให้เป็นโดเมนของโรงเรียนจริง เช่น postmaster@sbtvc.ac.th

3 ระดับนโยบายของ DMARC

  • p=none — เพียงเฝ้าดูและรับรายงาน ไม่มีการบล็อกใด ๆ (เหมาะสำหรับเริ่มต้น)
  • p=quarantine — ส่งอีเมลที่น่าสงสัยเข้าโฟลเดอร์สแปม
  • p=reject — ปฏิเสธอีเมลที่ไม่ผ่านการตรวจสอบ ไม่ให้ส่งถึงผู้รับเลย

คำแนะนำ: เริ่มต้นด้วย p=none เพื่อเก็บรายงานก่อน เมื่อมั่นใจว่า SPF และ DKIM ทำงานถูกต้องครบทุกช่องทาง จึงค่อยเปลี่ยนเป็น quarantine แล้วสุดท้ายจึงเป็น reject การขยับทีละขั้นแบบนี้จะช่วยไม่ให้อีเมลที่ถูกต้องถูกบล็อกโดยไม่ตั้งใจ

4. ตรวจสอบผลด้วย dmarcian.com

หลังตั้งค่าครบแล้ว การตรวจสอบว่าทั้ง 3 ตัวทำงานถูกต้องเป็นขั้นตอนที่ขาดไม่ได้ เครื่องมือฟรีที่ใช้งานง่ายที่สุดคือ dmarcian

  1. เข้าเว็บไซต์ https://dmarcian.com แล้วเลือกเมนู Domain Checker
  2. กรอกโดเมนของโรงเรียนในช่อง Enter domain
  3. กดปุ่ม CHECK DOMAIN

ผลลัพธ์ที่ต้องการเห็นคือ:

  • SPF: PASS
  • DKIM: PASS
  • DMARC: PASS

ถ้ามีตัวใดขึ้น FAIL หรือ WARNING ให้กลับไปตรวจสอบค่าที่กรอกใน DNS อีกครั้ง โดยเฉพาะช่องว่าง เครื่องหมายเซมิโคลอน และชื่อโดเมนที่อาจพิมพ์ผิด

ข้อควรรู้สำหรับผู้ดูแลระบบในสถานศึกษา

  • DNS Propagation ใช้เวลาประมาณ 5–60 นาที บางกรณีอาจนานถึง 48 ชั่วโมง อย่าเพิ่งตกใจถ้าตรวจสอบแล้วยังไม่ผ่านทันที
  • SPF record ได้เพียง 1 รายการ ต่อ 1 โดเมน ถ้ามีอยู่แล้วให้แก้ไขของเดิม อย่าสร้างใหม่
  • DKIM key ควรหมุนทุก 6–12 เดือน เพื่อความปลอดภัย Google Workspace มีตัวเลือกให้สร้างคีย์ใหม่ได้ใน Admin Console
  • ติดตามรายงาน DMARC ที่ Google ส่งมาที่ postmaster ของโรงเรียนเป็นประจำ เพื่อดูว่ามีใครพยายามปลอมแปลงชื่อโรงเรียนเราบ้าง

สรุป

การตั้งค่า SPF, DKIM และ DMARC ไม่ใช่แค่เรื่องเทคนิคของฝ่าย IT แต่เป็นการปกป้องชื่อเสียงและความน่าเชื่อถือของสถานศึกษาในยุคที่การโจมตีทางอีเมลมีความแนบเนียนขึ้นทุกวัน ใช้เวลาแค่ไม่กี่ชั่วโมงในการตั้งค่า แต่ได้ผลลัพธ์คืออีเมลถึงผู้รับแน่นอน ลดความเสี่ยงการถูกปลอมแปลง และระบบสื่อสารของโรงเรียนน่าเชื่อถือมากขึ้น

หากโรงเรียนของท่านยังไม่ได้ตั้งค่าทั้ง 3 ตัวนี้ แนะนำให้รีบดำเนินการ เพราะ Google กำลังเข้มงวดมากขึ้นเรื่อย ๆ กับโดเมนที่ไม่มีการยืนยันตัวผู้ส่ง

หากบทความนี้เป็นประโยชน์ ฝากแชร์ต่อให้เพื่อนครูหรือผู้ดูแลระบบของสถานศึกษาอื่นด้วยนะครับ