Nội dung chính
DMARC là gì?
Báo cáo và Tuân thủ Xác thực Thư dựa trên Miền (DMARC) là một phương pháp xác thực thư email. Chính sách DMARC cho máy chủ email nhận phải làm gì sau khi kiểm tra các bản ghi Khung chính sách người gửi (SPF) và Khung chính sách người gửi (DKIM) của miền, là các phương pháp xác thực email bổ sung.
DMARC và các phương pháp xác thực email khác là cần thiết để ngăn chặn việc giả mạo email. Mỗi địa chỉ email đều có miền, là phần của địa chỉ đứng sau ký hiệu “@”. Các bên độc hại và những kẻ gửi thư rác đôi khi cố gắng gửi email từ một miền mà họ không được phép sử dụng – chẳng hạn như ai đó viết sai địa chỉ gửi lại trên một lá thư. Họ có thể làm điều này để cố gắng lừa người dùng (như trong một cuộc tấn công lừa đảo), trong số các lý do khác.
Cùng với nhau, DMARC, DKIM và SPF có chức năng giống như kiểm tra lý lịch về người gửi email, để đảm bảo rằng họ thực sự là người như họ nói.
Ví dụ: hãy tưởng tượng một người gửi thư rác gửi email từ địa chỉ “[email protected]“, mặc dù thực tế là họ không được phép gửi email từ miền “example.com“. Người gửi spam sẽ thực hiện việc này bằng cách thay thế tiêu đề “Từ” trong email bằng “[email protected]” – họ sẽ không gửi email từ máy chủ email thực tế example.com. Máy chủ email nhận email này có thể sử dụng DMARC, SPF và DKIM để phát hiện ra rằng đây là email trái phép và chúng có thể đánh dấu email là spam hoặc từ chối gửi.
DMARC policy là gì?
DMARC policy (chính sách DMARC) xác định điều gì sẽ xảy ra với email sau khi nó được kiểm tra dựa trên các bản ghi SPF và DKIM. Email đạt hoặc không đạt SPF và DKIM. Chính sách DMARC xác định xem lỗi có dẫn đến việc email bị đánh dấu là spam, bị chặn hoặc được gửi đến người nhận dự kiến hay không. (Máy chủ email vẫn có thể đánh dấu email là thư rác nếu không có bản ghi DMARC, nhưng DMARC cung cấp hướng dẫn rõ ràng hơn về thời điểm nên làm như vậy.)
Chính sách miền của example.com có thể là:
“Nếu email không thực hiện được các bài kiểm tra DKIM và SPF, hãy đánh dấu email đó là thư rác.”
Các chính sách này không được ghi lại dưới dạng các câu con người có thể đọc được, mà là các lệnh có thể đọc được bằng máy để các dịch vụ email có thể tự động giải thích chúng. Chính sách DMARC đó thực sự sẽ giống như sau:
v=DMARC1; p=quarantine; adkim=s; aspf=s;
Điều đó có nghĩa là gì?
v=DMARC1
chỉ ra rằng bản ghi TXT này chứa chính sách DMARC và phải được máy chủ email hiểu như vậy.p=quarantine
chỉ ra rằng các máy chủ email nên “cách ly” các email không đạt DKIM và SPF – coi chúng có khả năng là spam. Các cài đặt có thể có khác cho điều này bao gồmp=none
, cho phép các email không thành công vẫn được chuyển qua vàp=reject
, hướng dẫn các máy chủ email chặn các email không thành công.adkim=s
có nghĩa là kiểm tra DKIM là “strict”. Điều này cũng có thể được đặt thành “relaxed” bằng cách thay đổi s thành r, nhưadkim=r
.aspf=s
giống nhưadkim=s
, nhưng đối với SPF.- Lưu ý rằng aspf và adkim là các cài đặt tùy chọn. Thuộc tính p= cho biết máy chủ email phải làm gì với những email không có SPF và DKIM.
Nếu quản trị viên example.com muốn thực hiện chính sách này chặt chẽ hơn nữa và báo hiệu mạnh mẽ hơn cho các máy chủ email để coi thư trái phép là spam, họ sẽ điều chỉnh thuộc tính “p=” như vậy:
1 |
v=DMARC1; p=reject; adkim=s; aspf=s; |
Về cơ bản, điều này nói: “Nếu một email không đạt được các bài kiểm tra DKIM và SPF, thì đừng gửi nó.”
DMARC report là gì?
Chính sách DMARC có thể chứa các hướng dẫn để gửi báo cáo về các email đạt hoặc không đạt DKIM hoặc SPF. Thông thường, quản trị viên thiết lập các báo cáo để gửi đến dịch vụ của bên thứ ba để chuyển chúng xuống dạng dễ tiêu hóa hơn, do đó, quản trị viên không bị choáng ngợp với thông tin. Báo cáo DMARC cực kỳ quan trọng vì chúng cung cấp cho quản trị viên thông tin họ cần để quyết định cách điều chỉnh chính sách DMARC của mình – ví dụ: nếu email hợp pháp của họ không có SPF và DKIM hoặc nếu kẻ gửi thư rác đang cố gửi email không hợp pháp.
Quản trị viên example.com sẽ thêm phần rua của chính sách này để gửi báo cáo DMARC của họ đến dịch vụ bên thứ ba (với địa chỉ email là “[email protected]”):
1 |
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:example@third-party-example.com; |
DMARC Record là gì?
DMARC Record – Bản ghi DMARC là bản ghi TXT trong vùng DNS của trang web của bạn. DMARC khiến những kẻ gửi thư rác khó ‘giả mạo’ tên miền của bạn hơn, có nghĩa là họ giả vờ sử dụng miền của bạn khi họ gửi thư rác.
Vì vậy, DMARC Record giúp đảm bảo không thể gửi email lừa đảo và phần mềm độc hại từ địa chỉ email của bạn.
Dưới đây là ví dụ về bản ghi DMARC cho google.com từ trình phân tích DMARC. Thanh màu xanh lục hiển thị bản ghi DMARC thực và bảng bên dưới giải thích ý nghĩa của từng phần của bản ghi:
Nếu bạn đang sử dụng WP Mail SMTP để xử lý email WordPress của mình, nó sẽ cho bạn biết liệu DMARC có được thiết lập không chính xác trên miền của bạn hay không.
Các bước dưới đây sẽ giúp bạn giải quyết vấn đề.
Cách thêm bản ghi DMARC
Hãy cùng bước qua quá trình thiết lập bản ghi DMARC trên miền của bạn.
1. Kiểm tra DNS của bạn bằng Trình phân tích DMARC
Nếu bạn không chắc mình đã thiết lập DMARC trên trang web của mình hay chưa, bạn có thể sử dụng trình kiểm tra DMARC như MXToolbox để quét các bản ghi DNS của mình.
Nếu bạn chưa thiết lập DMARC, bộ phân tích DMARC sẽ hiển thị thông báo lỗi.
Nếu bạn đang sử dụng WP Mail SMTP, bạn cũng có thể kiểm tra xem DMARC có đang hoạt động hay không bằng cách gửi một email thử nghiệm. Trong bảng điều khiển WordPress, nhấp vào WP Mail SMTP, sau đó nhấp vào Cài đặt, sau đó nhấp vào tab Kiểm tra email.
Sau khi gửi email, hãy cuộn xuống và kiểm tra xem có thông báo cảnh báo hay không.
Cuộn xuống dưới một chút. Bạn có thấy cảnh báo cho biết DMARC không được thiết lập cho miền của bạn không?
Điều này có nghĩa rằng:
- Bạn không có bản ghi DMARC trong vùng DNS của mình
- Bản ghi DMARC của bạn chưa được phổ biến
- Bản ghi DMARC có thể không được định dạng đúng.
Hãy đăng nhập và thêm bản ghi DMARC.
2. Thêm bản ghi DMARC
Bây giờ mình sẽ chỉnh sửa DNS cho miền của bạn và thêm bản ghi DMARC.
DNS là một tập hợp các hướng dẫn cho các máy chủ biết nơi tìm nội dung trang web, hộp thư email của bạn và hơn thế nữa. Để chỉnh sửa DNS của bạn, bạn (hoặc chủ sở hữu miền) cần đăng nhập vào nhà cung cấp xử lý vùng DNS cho miền của bạn.
Nếu bạn không chắc nó ở đâu, bạn có thể thử:
- Bảng điều khiển lưu trữ web của bạn: Nếu bạn đã mua miền và lưu trữ dưới dạng gói, thì DNS của bạn có thể do công ty lưu trữ web của bạn xử lý. Bạn sẽ muốn đăng nhập vào bảng điều khiển lưu trữ của mình và tìm menu có tên là DNS hoặc DNS Zone.
- Công ty đăng ký DNS của bạn: Nếu bạn đã tự mua miền của mình, thì DNS có thể được quản lý bởi công ty bạn đã mua nó.
- Nhà cung cấp CDN của bạn: Nếu bạn đang sử dụng CDN như Cloudflare, các bản ghi DNS của bạn sẽ được lưu trữ trong cài đặt CDN.
Trong ví dụ này, Chiasefree.com sẽ hướng dẫn bạn cách tạo bản ghi DMARC trong Cloudflare.
Khi bạn mở DNS của mình, hãy kiểm tra kỹ để đảm bảo rằng bạn chưa thiết lập bất kỳ bản ghi DMARC nào.
Bạn không được có nhiều hơn 1 bản ghi DMARC trong DNS của mình. Nhưng đừng lo lắng: bản ghi ví dụ của chiasefree sẽ bao gồm tất cả các miền phụ trong miền của bạn và tất cả các địa chỉ email mà bạn gửi thư từ đó.
Giả sử bạn không, hãy tiếp tục và thêm bản ghi TXT DMARC.
3. Sao chép và dán ví dụ DMARC sau
Thật dễ dàng để thêm bản ghi DMARC bằng cách sử dụng ví dụ này. Không cần sử dụng bộ tạo DMARC.
Trên màn hình bản ghi DNS của tổ chức đăng ký tên miền của bạn, nhấp vào Thêm bản ghi để tạo bản ghi DMARC. Chiasefree sẽ sử dụng Cloudflare trong ví dụ này.
Bản ghi DMARC là bản ghi TXT bắt đầu bằng _dmarc.
Vì vậy, trong menu thả xuống Loại, hãy chọn TXT.
Trong trường Name, nhập _dmarc.
với dấu chấm (.) ở cuối. Một số máy chủ không cần dấu chấm, vì vậy họ sẽ xóa dấu chấm hoặc hiển thị lỗi. Trong trường hợp đó, bạn có thể yên tâm sử dụng _dmarc
là được.
Trong trường lớn trong bản ghi DNS, hãy dán vào ví dụ bản ghi DMARC này (bạn nhớ thay địa chỉ mail cho thích hợp).
v=DMARC1; p=none; fo=1; rua=mailto:[email protected]
Đây là những gì quy tắc này thực hiện:
- Chiasefree đang sử dụng
p=none
vì đây là cài đặt ít hạn chế nhất. Bạn vẫn sẽ nhận được báo cáo qua email nếu có sự cố với DNS của mình, nhưng điều này không có khả năng ảnh hưởng đến việc gửi email của chính bạn. Nếu bạn bắt đầu nhận được các báo cáo DMARC đáng ngờ, bạn có thể thay đổi phần này của quy tắc thànhp=quarantine
. - Đảm bảo thay đổi địa chỉ
rua=mailto:
. Lý tưởng nhất là nó nên được đặt thành địa chỉ email mà dịch vụ bưu phẩm của bạn cung cấp trong tài liệu của nó. Nếu nó không cung cấp một địa chỉ email, bạn có thể sử dụng một địa chỉ email tại miền của riêng bạn. - Theo thuật ngữ cơ bản, cài đặt TTL (Thời gian tồn tại) giống như ngày hết hạn cho DNS của bạn. Chúng tôi khuyên bạn nên để cài đặt TTL ở chế độ Tự động, thường là 4 giờ. Cài đặt này không quan trọng, vì vậy bạn có thể chọn 24 giờ hoặc 14400 một cách an toàn nếu đó là tùy chọn duy nhất bạn có.
Một số nhà cung cấp có thể yêu cầu một quy tắc căn chỉnh. Có thể loại trừ điều đó vì DMARC không bắt buộc phải hoạt động.
Nếu bạn đã có quy tắc DMARC trong DNS của mình, hãy kiểm tra định dạng cẩn thận. Chú ý đến trường Tên; nếu bạn sử dụng @
hoặc tên miền của mình trong trường Name, nó sẽ không hoạt động.
Chờ Bản ghi DMARC của bạn được cập nhật
Bất cứ khi nào bạn thực hiện các thay đổi đối với DNS của trang web của mình, bạn sẽ cần đợi tối đa 48 giờ để các thay đổi có hiệu lực. Nếu đang sử dụng Cloudflare, bạn thường thấy rằng các thay đổi sẽ diễn ra trong vòng vài phút.
Khi thay đổi đã cập nhật, hãy quay lại trình kiểm tra DMARC dựa trên web như MXToolbox. Kiểm tra lại bằng công cụ DMARC của nó.
Quy tắc DMARC của bạn sẽ hiển thị trong thanh màu xanh lục để bạn biết nó đang hoạt động.
Bạn cũng có thể sử dụng WP Mail SMTP để gửi một email thử nghiệm khác từ WordPress. Thao tác này sẽ tự động chạy kiểm tra DNS mới của bạn và tìm kiếm bản ghi DMARC của bạn.
Và thế là xong! Bây giờ bạn đã thêm DMARC Record vào DNS của mình.
Add Comment