Lý thuyết: Custom Domain & DNS cho Microsoft 365
Thêm domain riêng, cấu hình DNS và xác thực DKIM/DMARC
Tại sao cần Custom Domain?
Mặc định tenant dùng <org>.onmicrosoft.com. Custom domain cho phép user đăng nhập bằng [email protected] và email gửi từ domain doanh nghiệp. Ngoài ra có thể thêm nhiều domain cho các công ty con hoặc thương hiệu khác nhau.
Các DNS record bắt buộc
| Record type | Mục đích | Ví dụ giá trị |
|---|---|---|
| TXT (verification) | Xác minh sở hữu domain với Microsoft | MS=msXXXXXXXX |
| MX | Mail flow — email đến Exchange Online | <domain>.mail.protection.outlook.com (priority 0) |
| CNAME (Autodiscover) | Outlook tự động cài đặt email | autodiscover.outlook.com |
| CNAME (Teams/SfB) | Lyncdiscover và SIP cho Teams | sipdir.online.lync.com |
| TXT (SPF) | Xác thực server gửi email — chống spam | v=spf1 include:spf.protection.outlook.com -all |
| CNAME (DKIM) | Ký số email — chống giả mạo | selector1._domainkey → selector1-domain._domainkey.tenant.onmicrosoft.com |
| TXT (DMARC) | Chính sách xử lý email giả mạo | v=DMARC1; p=quarantine; rua=mailto:[email protected] |
DKIM và DMARC — tại sao quan trọng?
| Cơ chế | Bảo vệ | Không có thì sao |
|---|---|---|
| SPF | Xác minh IP server gửi được phép | Email có thể bị giả mạo từ IP khác |
| DKIM | Ký số header email bằng private key | Không chứng minh email không bị sửa |
| DMARC | Cho biết nhận phải làm gì nếu SPF/DKIM fail | Không có hướng dẫn xử lý → spam/inbox tùy nhà cung cấp |
Lab thực hành: Thêm Custom Domain và Bật DKIM
Xác minh domain, cấu hình DNS và bật DKIM/DMARC
Lab A — Thêm và xác minh Custom Domain
- Vào admin.microsoft.com → Settings → Domains → + Add domain.
- Nhập domain:
contoso.vn→ Use this domain. - Wizard hiển thị TXT record để xác minh (ví dụ:
MS=ms12345678). Vào DNS provider (GoDaddy, Cloudflare, Nhanhoa...) thêm record này. - Quay lại Admin Center → Verify. Đợi 5–60 phút nếu DNS chưa propagate.
- Sau khi verify: wizard gợi ý thêm MX, CNAME, SPF. Chọn Add DNS records — wizard tự động hướng dẫn theo DNS provider đã chọn.
Domain contoso.vn xuất hiện trong danh sách Domains với trạng thái Healthy. Email gửi/nhận qua Exchange Online.
Lab B — Bật DKIM cho Custom Domain
- Vào security.microsoft.com → Email & collaboration → Policies & rules → Threat policies → DKIM.
- Chọn domain
contoso.vn→ click Enable. - Portal hiển thị 2 CNAME records cần thêm vào DNS (selector1 và selector2). Sao chép và thêm vào DNS provider.
- Đợi DNS propagate (tối đa 48h). Quay lại bật DKIM — trạng thái chuyển sang Enabled.
Lab C — Cấu hình DMARC TXT record
# Host: _dmarc.contoso.vn
# Type: TXT
# Value:
v=DMARC1; p=quarantine; pct=100; rua=mailto:[email protected]; ruf=mailto:[email protected]; sp=reject; adkim=s; aspf=s
# Giải thích các tham số:
# p=quarantine → email fail DMARC → chuyển vào Junk
# p=reject → email fail DMARC → từ chối hoàn toàn (khuyến nghị sau khi ổn định)
# rua → địa chỉ nhận báo cáo tổng hợp
# adkim=s → strict alignment cho DKIM
https://mxtoolbox.com/dmarc/contoso.vn
DMARC Record Found
Policy: quarantine
Sub-domain Policy: reject
DKIM Alignment: strict
SPF Alignment: strict
Tình huống thực tế: Masan Group và Multi-Domain Email
Quản lý email cho 5 thương hiệu khác nhau
Masan Group — 5 domain thương hiệu khác nhau
Masan Group sở hữu nhiều thương hiệu: Masan Consumer, Masan MeatLife, WinMart, Phuc Long, Techcombank (liên kết). Mỗi thương hiệu có domain email riêng: masanconsumer.vn, masanmeatlife.vn, winmart.vn, phuclong.com.vn. Tất cả chạy trên một tenant M365 duy nhất. IT team cấu hình DKIM cho từng domain — đảm bảo email marketing không bị vào Spam. DMARC policy ban đầu p=none (monitor mode) → sau 3 tháng chuyển sang p=quarantine.
Lộ trình triển khai DMARC
| Giai đoạn | Thời gian | Hành động | Mục tiêu |
|---|---|---|---|
| 1 — Monitor | Tháng 1–2 | p=none; gửi rua reports | Phân tích nguồn email hợp lệ |
| 2 — Quarantine | Tháng 3–4 | p=quarantine; pct=25 | Test với 25% traffic |
| 3 — Scale up | Tháng 5–6 | pct=50 → 100 | Tăng dần đến 100% quarantine |
| 4 — Reject | Tháng 7+ | p=reject | Toàn bộ email giả mạo bị từ chối |