Bạn vừa mua tên miền yourbrand.com và muốn có email hello@yourbrand.com để gửi cho khách. Nhưng Google Workspace tốn 6 USD/tháng cho mỗi người dùng, Microsoft 365 cũng tương tự — quá nhiều cho một mình bạn dùng.

Tin tốt: bạn có thể tạo email theo tên miền riêng hoàn toàn miễn phí, vẫn nhận và gửi qua Gmail quen thuộc, đảm bảo email đến đúng hộp thư đến của người nhận chứ không vào thư rác. Bài này hướng dẫn từng bước — khoảng 20 phút là xong.

Bài viết này dành cho ai

  • Chủ doanh nghiệp nhỏ, founder, freelancer
  • 1 mình hoặc 2 người dùng email, chưa cần hộp thư riêng cho mỗi nhân viên
  • Đã có Gmail cá nhân, không muốn mở thêm app email mới
  • Cần email chuyên nghiệp đại diện thương hiệu — gửi cho khách, đối tác không bị nhãn “via gmail.com” hay rơi vào thư rác

Khi nào nên nâng cấp lên Google Workspace: khi bạn cần các tính năng mà bộ công cụ miễn phí này không cung cấp — đội nhóm 3+ người mỗi người 1 hộp thư riêng, lịch và file dùng chung trong tổ chức, công cụ quản trị tập trung (bắt buộc 2FA, kiểm tra ai đăng nhập khi nào, xoá dữ liệu khi nhân viên nghỉ). Setup miễn phí trong bài này không “thiếu chuẩn” — chỉ là tối giản cho 1 người dùng.

Bộ công cụ chúng ta sẽ dùng

Thành phầnCông cụChi phí
Quản lý DNS / tên miềnCloudflareMiễn phí
Nhận email (inbound)Cloudflare Email RoutingMiễn phí, không giới hạn
Gửi email (outbound)Resend SMTPMiễn phí 3.000 email/tháng
Đọc và soạn mailGmail (cá nhân có sẵn)Miễn phí
DNS và SMTP là gì?
  • DNS (Domain Name System) — sổ địa bạ của internet. Khi gõ yourbrand.com, DNS chỉ trình duyệt biết website thật nằm ở máy chủ nào. Email cũng dựa vào DNS để biết gửi đến đâu.
  • SMTP (Simple Mail Transfer Protocol) — giao thức để gửi email đi. Cần 1 “máy chủ SMTP” để bưu điện ảo này hoạt động.
  • Inbound / Outbound — email vào (người khác gửi cho bạn) và email ra (bạn gửi đi). Hai chiều này cần cấu hình khác nhau.

Nguyên lý: tách riêng việc nhận và gửi cho 2 dịch vụ chuyên biệt, giữ Gmail làm giao diện duy nhất bạn tương tác.

Sơ đồ luồng email

Sơ đồ luồng email: người gửi → Cloudflare Email Routing → Gmail cá nhân → Resend SMTP → người nhận thấy email từ địa chỉ thương hiệu

Khi có người gửi email đến hello@yourbrand.com, Cloudflare nhận và chuyển tiếp về Gmail cá nhân của bạn. Bạn trả lời ngay trong Gmail với địa chỉ tuỳ chỉnh. Lúc gửi đi, Resend ký chữ ký xác thực của tên miền cho email, nên người nhận thấy email đến từ chính địa chỉ thương hiệu — không nhãn lạ, không vào thư rác.

Bước 1 — Đưa tên miền về Cloudflare quản lý DNS

Bước này chuyển quyền quản lý DNS của tên miền sang Cloudflare, là điều kiện bắt buộc để dùng Cloudflare Email Routing ở Bước 2.

Lưu ý là quản lý DNS không đồng nghĩa với sở hữu tên miền. Bạn vẫn sở hữu tên miền và vẫn gia hạn ở nơi đã mua (GoDaddy, Namecheap, Mắt Bão…). Cloudflare chỉ làm “trung tâm điều phối” cho các bản ghi DNS, quyết định email gửi đi đâu, website trỏ về máy chủ nào.

Sau này nếu muốn chuyển luôn việc gia hạn tên miền về Cloudflare để được giá gốc không cộng phụ phí, đó là một bước riêng gọi là “transfer registrar”. Bài này không làm bước đó.

Nameserver, bản ghi DNS là gì?
  • Nameserver — máy chủ giữ “sổ địa chỉ” của tên miền. Mỗi tên miền có 2-4 nameserver. Đổi nameserver = đổi nơi quản lý DNS.
  • Bản ghi DNS — các dòng “chỉ dẫn” trong sổ địa chỉ. Vd:
    • A record chỉ tới địa chỉ IP của máy chủ website
    • MX record chỉ tới máy chủ nhận email
    • TXT record chứa thông tin xác minh, chữ ký bảo mật
    • CNAME record chỉ tới một tên miền khác

Quy trình thực hiện:

  1. Vào https://dash.cloudflare.com và đăng ký tài khoản miễn phí
  2. Nhấn Add a site, nhập tên miền của bạn, chọn Free plan
  3. Cloudflare quét các bản ghi DNS hiện tại. Kiểm tra danh sách Cloudflare hiển thị có đầy đủ không (xem cảnh báo bên dưới), rồi nhấn Continue
  4. Cloudflare cấp 2 nameserver (ví dụ xxx.ns.cloudflare.com). Vào nhà cung cấp tên miền (nơi bạn mua domain) và đổi nameserver sang 2 cái này
  5. Đợi DNS lan truyền — vài phút đến vài tiếng. Cloudflare sẽ gửi email báo khi xong.

Rủi ro cần biết

Với website đang chạy bình thường, đổi nameserver sang Cloudflare sẽ không làm gián đoạn — miễn là Cloudflare đã quét đầy đủ bản ghi DNS ở bước 3. Tuy vậy, một vài bản ghi đặc biệt như DKIM của email cũ, bản ghi xác minh dịch vụ SaaS hoặc các subdomain ít dùng có thể bị quét sót. Nếu sót, tính năng tương ứng sẽ tạm ngừng cho đến khi bạn thêm thủ công. Vì vậy nên so sánh kỹ danh sách Cloudflare hiển thị với danh sách DNS gốc ở nhà cung cấp cũ, và chụp lại toàn bộ DNS cũ trước khi đổi nameserver — nếu có sự cố, bạn có thể đổi ngược lại trong vài phút.

Nếu trước đó tên miền đang chạy một dịch vụ email khác như Workspace hay Zoho, các bản ghi MX cũ phải được giữ lại trong Cloudflare để email vào không bị ngắt. Bước 2 trong bài này sẽ thay MX cũ bằng MX của Cloudflare, nên nếu bạn cần giữ email cũ thì đừng làm Bước 2.

Một rủi ro khác cần biết là Cloudflare có thể khoá tài khoản nếu phát hiện vi phạm điều khoản, lúc đó bạn mất quyền quản lý DNS (không mất tên miền). Bật 2FA và dùng email recovery riêng biệt để hạn chế rủi ro này.

Bước 2 — Bật Cloudflare Email Routing để nhận email

Bước này cấu hình Cloudflare tự động chuyển tiếp mọi email gửi đến you@yourdomain.com về Gmail cá nhân của bạn, hoàn toàn miễn phí.

  1. Trong Cloudflare Dashboard, chọn tên miền, mở tab Email (thanh bên trái), chọn Email Routing
  2. Nhấn Get started
  3. Cloudflare đề xuất các bản ghi MX và TXT cần thiết. Nhấn Add records and enable. Cloudflare tự cấu hình DNS xong, bạn không cần làm gì thêm
  4. Mở tab Routes, nhấn Create address:
    • Custom address: hello@yourbrand.com (hoặc you@, contact@ — tuỳ bạn)
    • Action: Send to an email
    • Destination: personal@gmail.com (Gmail cá nhân của bạn)
  5. Cloudflare gửi email xác minh tới Gmail cá nhân. Mở Gmail và nhấn link xác nhận

Kiểm tra ngay: dùng tài khoản khác (ví dụ điện thoại) gửi email tới hello@yourbrand.com. Kiểm tra Gmail cá nhân, sẽ thấy email trong vòng 1-2 phút.

Mẹo: trong Cloudflare Email Routing, mở Settings và bật Catch-all để mọi địa chỉ *@yourbrand.com đều được chuyển tiếp về Gmail. Hữu ích khi bạn đăng ký các dịch vụ với địa chỉ tuỳ biến (ví dụ vercel@yourbrand.com, notion@yourbrand.com) để theo dõi xem dịch vụ nào rò rỉ email của bạn.

Bước 3 — Cài đặt Resend để gửi email

Cloudflare Email Routing chỉ lo phần nhận. Để gửi đi với địa chỉ hello@yourbrand.com mà email không bị xếp thư rác, ta cần một dịch vụ SMTP có chữ ký xác thực đúng tên miền.

Vì sao chọn Resend mà không dùng Gmail SMTP?

Có cách miễn phí hơn nữa: dùng Gmail SMTP với “App Password” (mật khẩu ứng dụng) của chính Gmail cá nhân bạn. Setup nhanh hơn (chỉ 2 phút). Nhưng có vấn đề:

  • Email gửi đi sẽ được Gmail ký chữ ký DKIM bằng gmail.com chứ không phải yourbrand.com
  • Một số máy chủ email (Outlook, máy chủ doanh nghiệp) hiển thị dòng “via gmail.com” cạnh tên người gửi, hoặc gắn cờ vào thư rác
  • Không phù hợp khi gửi cho khách hàng quốc tế hay đối tác lớn

Resend ký chữ ký DKIM bằng chính tên miền của bạn, nên email “sạch”, không nhãn lạ, không vào thư rác. Setup mất thêm 10 phút nhưng đáng giá nếu bạn gửi email business.

Nếu bạn chỉ trao đổi cá nhân vài email/ngày với người quen, dùng Gmail SMTP cũng được. Bài này chọn Resend làm mặc định vì hướng tới người dùng business.

DKIM, SPF, DMARC là gì?

Ba “tem dán” giúp máy chủ email của người nhận xác minh rằng email thực sự đến từ tên miền bạn nói (chứ không phải kẻ giả mạo):

  • SPF (Sender Policy Framework) — danh sách các máy chủ được phép gửi email với danh nghĩa tên miền của bạn
  • DKIM (DomainKeys Identified Mail) — chữ ký số gắn vào mỗi email, chứng minh email không bị sửa và đến từ đúng nguồn
  • DMARC (Domain-based Message Authentication) — chính sách hướng dẫn máy chủ nhận làm gì khi SPF/DKIM thất bại (chấp nhận, đánh dấu thư rác, hay từ chối)

Cả 3 đều là bản ghi TXT trong DNS. Resend tự tạo 2 cái đầu (SPF, DKIM); DMARC bạn có thể thêm thủ công sau.

Đăng ký và xác minh tên miền trên Resend

  1. Vào https://resend.com và đăng ký tài khoản miễn phí
  2. Trong Dashboard, mở Domains, nhấn Add Domain, nhập tên miền và chọn khu vực ap-southeast-1 (Singapore — gần Việt Nam, độ trễ thấp)
  3. Resend đưa danh sách bản ghi DNS (thường là 1 MX cộng với 2-3 TXT/CNAME cho DKIM, SPF). Giữ tab này mở
  4. Mở tab mới, vào Cloudflare DNS và thêm từng bản ghi Resend yêu cầu (sao chép đúng Type, Name, Content)
  5. Quay lại Resend, nhấn Verify DNS Records và đợi tất cả trạng thái chuyển sang ✓ Verified (1-5 phút)

Tạo API Key cho Gmail

API Key là gì?

Một chuỗi ký tự dài (vd re_abc123xyz...) đóng vai trò “mật khẩu” để chương trình của bạn (ở đây là Gmail) chứng minh với Resend rằng có quyền gửi email qua tài khoản của bạn. Coi như chìa khoá — ai có chìa khoá là gửi được, nên cần giữ bí mật.

  1. Trong Resend Dashboard, mở API Keys và nhấn Create API Key
  2. Tên: gì cũng được (ví dụ “Gmail Send As”)
  3. Permission: Sending access (mặc định)
  4. Sao chép API key (dạng re_xxxxxxxx) — lưu lại, key này chỉ hiện 1 lần

Bước 4 — Thêm “Send As” trong Gmail

Bước cuối cấu hình Gmail để khi soạn email mới, bạn có thể chọn gửi từ hello@yourbrand.com thay vì Gmail cá nhân.

  1. Trong Gmail, mở ⚙ (góc phải), chọn See all settings, mở tab Accounts and Import
  2. Tại mục Send mail as, nhấn Add another email address
  3. Điền:
    • Name: tên hiển thị (ví dụ “Your Brand”)
    • Email address: hello@yourbrand.com
    • Bỏ chọn “Treat as an alias”
  4. Nhấn Next Step và điền thông tin SMTP:
    • SMTP Server: smtp.resend.com
    • Port: 465
    • Username: resend
    • Password: dán API key vừa tạo (re_xxx)
    • Secured connection: chọn SSL
  5. Nhấn Add Account. Gmail gửi mã xác minh tới hello@yourbrand.com, mã được Cloudflare chuyển tiếp về Gmail cá nhân của bạn. Sao chép mã 7 chữ số, dán vào hộp thoại và nhấn Verify

Xong. Khi soạn email mới, menu xổ xuống From sẽ có cả Gmail cá nhân và hello@yourbrand.com — chọn cái cần dùng.

Kiểm tra cuối — đảm bảo email gửi đi đạt chuẩn

  1. Soạn email mới trong Gmail, From = hello@yourbrand.com, gửi tới một Gmail khác
  2. Mở email vừa nhận, nhấn 3 chấm và chọn Show original
  3. Tìm 3 dòng DKIM, SPF, DMARC. Cả ba phải hiển thị PASS, và đặc biệt DKIM phải có d=yourbrand.com chứ không phải gmail.com. DMARC chỉ xuất hiện khi bạn đã cấu hình bản ghi DMARC riêng — nếu chưa làm thì có thể bỏ qua dòng này.
  4. Trường From chỉ hiển thị hello@yourbrand.com, không được có chuỗi “via gmail.com” hay “via resend.com” đi kèm.

Nếu cả ba chỉ số đều PASS, cài đặt đã chuẩn. Email của bạn được gửi với uy tín của chính tên miền bạn — không khác gì tài khoản Workspace có trả phí.

So sánh với các giải pháp miễn phí khác

Khi tìm “email tên miền riêng miễn phí”, bạn sẽ thấy nhiều bài liệt kê đủ loại dịch vụ. Hầu hết thông tin đã lỗi thời hoặc không phù hợp cho người Việt làm việc với khách quốc tế. Mình điểm qua từng cái để bạn không phải mất thời gian thử:

Zoho Mail Free

  • Miễn phí: 5 người dùng, 5GB/người, hỗ trợ IMAP/SMTP đầy đủ, có giao diện web riêng
  • Ưu điểm: Dịch vụ ổn định, email đến hộp thư đến tốt, DKIM ký đúng tên miền
  • Nhược điểm: Phải dùng web/app của Zoho — không tích hợp Gmail. Nếu bạn không gắn bó Gmail thì đây là lựa chọn tốt nhất ngoài bộ công cụ chúng ta vừa cài.
  • Khi nào chọn: muốn 1 dịch vụ làm cả nhận và gửi, không cần giao diện Gmail

ProtonMail Free

  • Miễn phí: 1 tên miền tuỳ chỉnh, 1 địa chỉ, chỉ 500MB
  • Nhược điểm: Gói miễn phí không có IMAP/SMTP, nên không Send As từ Gmail được. Phải dùng Proton Bridge (chỉ gói trả phí). Dung lượng quá ít.
  • Kết luận: Bỏ qua — chỉ phù hợp nếu trả tiền và ưu tiên bảo mật/mã hoá

Yandex Mail

  • Miễn phí: Không giới hạn người dùng, 10GB/người
  • Nhược điểm nghiêm trọng:
    • Nhiều máy chủ email ở Mỹ/EU chặn hoặc gắn cờ email từ IP của Yandex, đặc biệt sau 2022 — gửi cho khách quốc tế dễ vào thư rác hoặc bị trả lại
    • Lo ngại quyền riêng tư (dữ liệu ở Nga, chính phủ Nga có thể truy cập)
    • Giao diện mặc định tiếng Nga
  • Kết luận: Tránh — không đáng để đánh đổi rủi ro

Google Workspace Free Tier

Không tồn tại từ 2012. Google đã ngừng “Google Apps Standard” (gói miễn phí cũ cho tên miền tuỳ chỉnh) và không có gói thay thế miễn phí. Bài nào nói có gói miễn phí Workspace đều là thông tin lỗi thời.

Mailgun / SendGrid free tier

  • Miễn phí: Mailgun 5.000 email/tháng đầu rồi 100/ngày, SendGrid 100/ngày
  • Vấn đề: Đây là dịch vụ gửi email tự động qua API, không phải hộp thư. Không có nơi đọc/trả lời email. Cùng nhóm với Resend — chỉ dùng để app/website gửi mail tự động.
  • Kết luận: Sai mục đích nếu bạn muốn email cá nhân. Resend tốt hơn vì gói miễn phí rộng rãi hơn cho dùng cá nhân.

Migadu

Không còn gói miễn phí từ khoảng 2020, hiện tại tối thiểu 19 USD/năm. Bài nào liệt kê Migadu free đều là thông tin lỗi thời.

iCloud Mail Custom Domain

  • Miễn phí: Có sẵn nếu bạn có gói iCloud+ (từ 0.99 USD/tháng — nên không thực sự miễn phí)
  • Ưu điểm: Tích hợp hệ sinh thái Apple
  • Nhược điểm: Bị khoá vào Apple, không Send As từ Gmail dễ dàng, gửi đi tạm được nhưng không bằng Resend
  • Khi nào chọn: Đã có iCloud+, dùng Mac/iPhone hoàn toàn, không cần Gmail

Bảng tổng kết so sánh

Bộ công cụChi phíNhậnGửi (DKIM tên miền)Dùng GmailKết luận
Cloudflare + Resend + GmailMiễn phíKhông giới hạn✓ (3.000/tháng)Tốt nhất cho cá nhân
Zoho Mail FreeMiễn phí5 người✗ (giao diện Zoho)Tốt nếu chấp nhận Zoho
ProtonMail FreeMiễn phí1 người, 500MB✗ (không SMTP gói miễn phí)Bỏ qua
Yandex FreeMiễn phíKhông giới hạnTránh
Google Workspace6 USD/người/thángKhi đội từ 3 người
Mailgun/SendGrid freeMiễn phí✗ (không có hộp thư)N/ASai mục đích
Migadu19 USD/nămTrả tiền nhỏ, OK
iCloud+ Custom Domain0.99 USD/thángCho người dùng Apple

Câu hỏi thường gặp

Tôi có thể tạo nhiều địa chỉ trên cùng tên miền không?

Có. Trong Cloudflare Email Routing, tạo nhiều routes: hello@, support@, billing@, … mỗi tuyến chuyển tiếp về Gmail cá nhân (hoặc các Gmail khác nhau). Phần Send As trong Gmail cũng thêm được nhiều địa chỉ — mỗi địa chỉ xác minh 1 lần.

Gói miễn phí 3.000 email/tháng của Resend có đủ không?

Cho cá nhân hoặc chủ doanh nghiệp nhỏ trả lời email thông thường: thoải mái dùng. Trung bình một người gửi 10-30 email/ngày, tương đương 300-900 email/tháng — còn cách rất xa giới hạn 3.000. Chỉ chạm giới hạn nếu bạn dùng email này để gửi marketing hoặc email mời chào hàng loạt (lúc đó nên dùng công cụ riêng như Mailchimp, không gửi qua Gmail).

Khi nào cần nâng cấp lên Google Workspace?

Khi bạn cần các tính năng mà setup miễn phí này không có:

  • Đội nhóm từ 3 người trở lên, mỗi người 1 hộp thư riêng có dung lượng độc lập
  • Lịch chung của tổ chức, kho lưu trữ tài liệu chung (Google Drive ở cấp công ty thay vì cá nhân)
  • Công cụ quản trị tập trung: bắt buộc 2FA cho cả đội, xem ai đăng nhập khi nào, xoá toàn bộ dữ liệu khi nhân viên nghỉ
  • Hộp thư dùng chung đúng nghĩa (nhiều người cùng xử lý 1 hộp thư, không phải chỉ chuyển tiếp)

Nếu chỉ là 1-2 người dùng và không cần các tính năng trên, bộ công cụ này đủ và tiết kiệm hơn 144 USD/năm cho 2 người.

Có cách nào “đúng hơn” mà vẫn miễn phí không?

Có — Zoho Mail Free: 1 hộp thư thật trên tên miền riêng, miễn phí, IMAP/SMTP đầy đủ, có giao diện web riêng. Đánh đổi: phải dùng web/app Zoho thay vì Gmail. Nếu bạn không gắn bó với Gmail thì Zoho gọn hơn (1 dịch vụ làm cả nhận và gửi).

Có rủi ro gì không?

  • API key Resend bị lộ: người khác có thể gửi email với danh nghĩa tên miền của bạn. Phòng tránh: không lưu API key vào code công khai (git), không chia sẻ. Nếu nghi bị lộ, thu hồi key cũ trên Resend, tạo key mới và cập nhật lại trong Gmail Send As.
  • Quên gia hạn tên miền: mất hết. Bật tự gia hạn ở nơi mua tên miền. Cân nhắc dùng nhà cung cấp bán tên miền không cộng phụ phí (như Cloudflare Registrar hoặc Porkbun) để giá ổn định nhiều năm.

Tổng kết

Tạo email theo tên miền riêng không cần phải tốn 72 USD/năm cho mỗi người dùng Google Workspace. Với khoảng 20 phút cài đặt ban đầu, bạn có:

  • ✓ Email you@yourdomain.com chuyên nghiệp
  • ✓ Đọc và gửi ngay trong Gmail quen thuộc
  • ✓ DKIM/SPF/DMARC chuẩn, không bị thư rác
  • ✓ Miễn phí 3.000 email/tháng (Resend) + nhận không giới hạn (Cloudflare)
  • ✓ Dễ mở rộng: thêm địa chỉ mới chỉ mất 1 phút trong Cloudflare

Khi doanh nghiệp lớn hơn, có đội nhóm, cần các tính năng quản trị tập trung — chuyển sang Workspace lúc đó. Còn bây giờ, tiết kiệm để dồn lực cho thứ quan trọng hơn.