Phân tích chuyên sâu về hiệu suất gửi email năm 2024

 (xomedia.io)
3 điểm bởi GN⁺ 2024-04-02 | 1 bình luận | Chia sẻ qua WhatsApp

Phân tích chuyên sâu về khả năng gửi email

  • Vào tháng 10 năm 1971, Ray Tomlinson, một cựu sinh viên MIT, đã gửi email đầu tiên qua mạng.
  • Năm ngoái, khoảng 121 nghìn tỷ email đã được gửi giữa khoảng 4,3 tỷ người.
  • Email là phương tiện giao tiếp bằng văn bản quan trọng nhất trên Trái Đất và sẽ còn như vậy trong tương lai gần.

Tổng quan

  • Ngày 3 tháng 10 năm 2023, Google và Yahoo đã công bố các tiêu chuẩn bảo mật email mới nhằm ngăn chặn spam, phishing và các nỗ lực phát tán malware.
  • Khi các nhà cung cấp dịch vụ email áp dụng các chính sách này, việc tuân thủ các hướng dẫn về khả năng gửi email trở thành điều bắt buộc.
  • Thay đổi lớn nhất là việc triển khai các tiêu chuẩn xác thực email như SPF, DKIM và DMARC.
  • Trong trường hợp của Gmail, thư không được xác thực sẽ bị chặn.

Những ai bị ảnh hưởng

  • Các đơn vị gửi thư hàng loạt là nhóm bị ảnh hưởng chủ yếu và phải kích hoạt SPF, DMARC, DKIM trên domain của mình.
  • Ngay cả khi không phải là đơn vị gửi thư hàng loạt, bạn vẫn có thể bị ảnh hưởng nếu không tuân thủ các hướng dẫn.

Mốc thời gian

  • Google yêu cầu các đơn vị gửi thư hàng loạt phải xác thực email từ tháng 2 năm 2024.
  • Yahoo cũng áp dụng cùng các yêu cầu này từ quý 1 năm 2024.

Hướng dẫn

  • Xác thực người gửi: triển khai các giao thức xác thực email như SPF, DKIM, DMARC.
  • Yêu cầu đối với đơn vị gửi thư hàng loạt: tránh gửi email hàng loạt không cần thiết để không bị lọc spam và làm tổn hại danh tiếng.
  • Hủy đăng ký dễ dàng: triển khai tùy chọn hủy đăng ký một cách thuận tiện.
  • Tương tác: tránh tiêu đề gây hiểu nhầm, cá nhân hóa quá mức và nội dung quảng bá dễ kích hoạt bộ lọc spam.

Xác thực người gửi

  • SPF, DKIM và DMARC là 3 tiêu chuẩn xác thực giúp bảo vệ email của tổ chức.
  • Việc cấu hình đúng các tiêu chuẩn này giúp bảo vệ trước các cuộc tấn công và tăng khả năng gửi, để email đến hộp thư đến thay vì thư mục spam.

Tác động

  • Google liên tục cập nhật thuật toán và dữ liệu báo cáo từ người dùng để cải thiện việc lọc email và trải nghiệm người dùng.
  • Các hướng dẫn bảo mật mới cho thấy tác động của chúng đối với khả năng gửi email và mức độ tương tác.

Công cụ

  • Cung cấp danh sách các tài nguyên trực tuyến miễn phí giúp thiết lập, kiểm tra và duy trì email hygiene.

Triển khai

  • Việc triển khai các hướng dẫn này có thể là thách thức đối với các tổ chức nhỏ có nguồn lực hạn chế.
  • Hãy tham khảo tài nguyên hoặc hỗ trợ từ nhà cung cấp dịch vụ để triển khai xác thực email.

Bonus

  • Giới thiệu một số cách hacker khai thác các lỗ hổng bảo mật email.

Ý kiến của GN⁺

  • Bài viết này nhấn mạnh tầm quan trọng của việc tuân thủ các tiêu chuẩn mới nhất liên quan đến bảo mật email. Điều này góp phần nâng cao độ tin cậy của giao tiếp qua email và bảo vệ người dùng khỏi các mối đe dọa như spam hoặc phishing.
  • Khi các nhà cung cấp dịch vụ email thực thi các tiêu chuẩn bảo mật mới, các tổ chức cần nỗ lực thích ứng và tuân thủ những thay đổi này. Điều này càng quan trọng hơn trong thời đại nhạy cảm với quyền riêng tư và bảo mật dữ liệu.
  • Bài viết này có thể đặc biệt hữu ích với các doanh nghiệp vận hành hoạt động liên quan đến email marketing. Vì email marketing vẫn là một kênh tiếp thị quan trọng với nhiều doanh nghiệp, việc duy trì khả năng gửi email là điều thiết yếu cho các chiến dịch thành công.
  • Việc triển khai các tiêu chuẩn xác thực email có thể là một thách thức kỹ thuật, đặc biệt với các tổ chức lần đầu tiếp cận các giao thức như SPF, DKIM, DMARC. Khi áp dụng các tiêu chuẩn này, có thể cần hỗ trợ kỹ thuật và tài nguyên, điều này đòi hỏi thời gian và chi phí.
  • Bài viết này có thể giúp các tổ chức muốn tăng cường bảo mật email bằng cách cung cấp các hướng dẫn và công cụ hữu ích, qua đó khắc phục các điểm yếu của hệ thống email và cải thiện trải nghiệm người dùng.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-04-02
Ý kiến trên Hacker News

  • Lo ngại về các cuộc tấn công nhắm mục tiêu làm thất bại việc phân phối email

    • Bày tỏ thắc mắc về các cuộc tấn công "làm thất bại việc phân phối email có chủ đích" nhằm vào các thực thể kinh doanh, xét đến mức độ ảnh hưởng mà các nhà cung cấp dịch vụ email nắm giữ.
    • Mô tả phương thức tấn công trong đó kẻ tấn công nhận các email mà nạn nhân gửi với số lượng lớn (doanh nghiệp, mailing list, NGO, v.v.), rồi đánh dấu chúng là spam để bộ lọc spam AI của dịch vụ email phân loại hoặc xóa các email trong tương lai là spam.
    • Điều này khiến doanh nghiệp bị thiệt hại theo từng quý, còn bộ phận quảng cáo thì đặt câu hỏi về mức độ tương tác qua email bị suy giảm.
    • Chỉ ra rằng các công ty lớn có thể chịu đựng vấn đề này, nhưng các doanh nghiệp nhỏ hoặc NGO có thể bị ảnh hưởng như sụt giảm tiền quyên góp.

  • Không thể phân biệt giữa spam và nội dung độc hại

    • Spam không thể tách biệt khỏi nội dung độc hại, và địa chỉ email dùng cho các bản tin mà người dùng không mong muốn có thể bị chuyển cho các tác nhân xấu, gây ra vấn đề.
    • Khi nhấp vào liên kết, người dùng có thể bị dẫn tới một trang web không hề quan tâm đến lợi ích của họ, và trong trường hợp xấu nhất có thể dẫn tới việc cài đặt phần mềm độc hại.
    • Khuyến nghị không nhấp vào liên kết hủy đăng ký, hãy dùng nút báo cáo spam, và không sử dụng các dịch vụ email lớn phớt lờ báo cáo spam.

  • Sự cần thiết của xác thực email dựa trên tên miền

    • Việc yêu cầu chủ sở hữu tên miền gửi email số lượng lớn phải ký thông điệp là một thay đổi cần thiết và đã quá muộn, vì nó giúp phân biệt rõ hơn email tốt và email xấu dựa trên danh tiếng tên miền.
    • Khi ngày càng nhiều tên miền gửi email qua không gian IP dùng chung, việc gán danh tiếng một cách đáng tin cậy cho tên miền gửi sẽ giúp giảm lạm dụng.

  • Các tập đoàn lớn thất bại trong việc hủy đăng ký chỉ với một cú nhấp

    • Chỉ ra rằng nhiều tập đoàn lớn không làm được việc hủy đăng ký chỉ bằng một cú nhấp, khiến khách hàng thường xuyên bấm nút báo cáo spam.

  • Vấn đề phân phối giữa các dịch vụ email

    • Đề cập rằng chức năng chuyển tiếp giữa các dịch vụ email đã thay đổi, ví dụ việc chuyển tiếp từ địa chỉ email của trường đại học sang tài khoản Gmail cá nhân không còn hoạt động nữa.
    • Có vẻ thay đổi này không ảnh hưởng đến đa số người dùng, nhưng lại gây bất tiện cho những người bị tác động.

  • Tầm quan trọng của cấu hình bảo mật email hoàn chỉnh

    • Bày tỏ sự ngạc nhiên khi email vẫn được phân phối dù SPF, DKIM, DMARC chưa được cấu hình hoàn chỉnh, đồng thời chia sẻ rằng dù đã tự cấu hình tốt máy chủ email self-hosted, đôi khi vẫn gặp khó khăn về phân phối.

  • Sự nhầm lẫn giữa phong bì email và header

    • Chỉ ra rằng liên quan đến việc kiểm tra xem tên miền trong trường 'From:' của email có khớp với một tên miền khác đã được SPF hoặc DKIM xác thực hay không, thì phong bì email không có header, còn header nằm trong phần thân email.
    • Đề xuất xem bài thuyết trình của dmarc.org về xác thực email.

  • DMARC thất bại và vấn đề chuyển tiếp email

    • Đề cập rằng DMARC thường xuyên thất bại, đặc biệt là với Microsoft, và khi người nhận chuyển tiếp thư thì sự khớp SPF bị phá vỡ.
    • Bày tỏ ý kiến rằng gần đây đã đổi từ 'p=quarantine' sang 'p=none' do vấn đề email hợp lệ không vượt qua được DMARC, và sẽ không dùng 'p=reject' cho đến khi giải quyết được các vấn đề như chuyển tiếp email.

  • Nhận thức tiêu cực về email marketing

    • Với tư cách là người làm trong một ngành nhận rất nhiều email marketing không mong muốn, chia sẻ trải nghiệm cá nhân rằng chưa từng mua hàng vì email marketing và hầu hết các email đều bị xóa mà không mở.

  • Vấn đề spam đến từ tài khoản Gmail và Hotmail/Outlook

    • Nói rằng khoảng 50% số spam nhận được mỗi ngày đến từ các tài khoản Gmail và Hotmail/Outlook, đồng thời đặt câu hỏi liệu có biện pháp nào đang được thực hiện cho vấn đề này hay không.