3 điểm bởi GN⁺ 2024-04-02 | 1 bình luận | Chia sẻ qua WhatsApp

Phân tích chuyên sâu về khả năng gửi email

  • Vào tháng 10 năm 1971, Ray Tomlinson, một cựu sinh viên MIT, đã gửi email đầu tiên qua mạng.
  • Năm ngoái, khoảng 121 nghìn tỷ email đã được gửi giữa khoảng 4,3 tỷ người.
  • Email là phương tiện giao tiếp bằng văn bản quan trọng nhất trên Trái Đất và sẽ còn như vậy trong tương lai gần.

Tổng quan

  • Ngày 3 tháng 10 năm 2023, Google và Yahoo đã công bố các tiêu chuẩn bảo mật email mới nhằm ngăn chặn spam, phishing và các nỗ lực phát tán malware.
  • Khi các nhà cung cấp dịch vụ email áp dụng các chính sách này, việc tuân thủ các hướng dẫn về khả năng gửi email trở thành điều bắt buộc.
  • Thay đổi lớn nhất là việc triển khai các tiêu chuẩn xác thực email như SPF, DKIM và DMARC.
  • Trong trường hợp của Gmail, thư không được xác thực sẽ bị chặn.

Những ai bị ảnh hưởng

  • Các đơn vị gửi thư hàng loạt là nhóm bị ảnh hưởng chủ yếu và phải kích hoạt SPF, DMARC, DKIM trên domain của mình.
  • Ngay cả khi không phải là đơn vị gửi thư hàng loạt, bạn vẫn có thể bị ảnh hưởng nếu không tuân thủ các hướng dẫn.

Mốc thời gian

  • Google yêu cầu các đơn vị gửi thư hàng loạt phải xác thực email từ tháng 2 năm 2024.
  • Yahoo cũng áp dụng cùng các yêu cầu này từ quý 1 năm 2024.

Hướng dẫn

  • Xác thực người gửi: triển khai các giao thức xác thực email như SPF, DKIM, DMARC.
  • Yêu cầu đối với đơn vị gửi thư hàng loạt: tránh gửi email hàng loạt không cần thiết để không bị lọc spam và làm tổn hại danh tiếng.
  • Hủy đăng ký dễ dàng: triển khai tùy chọn hủy đăng ký một cách thuận tiện.
  • Tương tác: tránh tiêu đề gây hiểu nhầm, cá nhân hóa quá mức và nội dung quảng bá dễ kích hoạt bộ lọc spam.

Xác thực người gửi

  • SPF, DKIM và DMARC là 3 tiêu chuẩn xác thực giúp bảo vệ email của tổ chức.
  • Việc cấu hình đúng các tiêu chuẩn này giúp bảo vệ trước các cuộc tấn công và tăng khả năng gửi, để email đến hộp thư đến thay vì thư mục spam.

Tác động

  • Google liên tục cập nhật thuật toán và dữ liệu báo cáo từ người dùng để cải thiện việc lọc email và trải nghiệm người dùng.
  • Các hướng dẫn bảo mật mới cho thấy tác động của chúng đối với khả năng gửi email và mức độ tương tác.

Công cụ

  • Cung cấp danh sách các tài nguyên trực tuyến miễn phí giúp thiết lập, kiểm tra và duy trì email hygiene.

Triển khai

  • Việc triển khai các hướng dẫn này có thể là thách thức đối với các tổ chức nhỏ có nguồn lực hạn chế.
  • Hãy tham khảo tài nguyên hoặc hỗ trợ từ nhà cung cấp dịch vụ để triển khai xác thực email.

Bonus

  • Giới thiệu một số cách hacker khai thác các lỗ hổng bảo mật email.

Ý kiến của GN⁺

  • Bài viết này nhấn mạnh tầm quan trọng của việc tuân thủ các tiêu chuẩn mới nhất liên quan đến bảo mật email. Điều này góp phần nâng cao độ tin cậy của giao tiếp qua email và bảo vệ người dùng khỏi các mối đe dọa như spam hoặc phishing.
  • Khi các nhà cung cấp dịch vụ email thực thi các tiêu chuẩn bảo mật mới, các tổ chức cần nỗ lực thích ứng và tuân thủ những thay đổi này. Điều này càng quan trọng hơn trong thời đại nhạy cảm với quyền riêng tư và bảo mật dữ liệu.
  • Bài viết này có thể đặc biệt hữu ích với các doanh nghiệp vận hành hoạt động liên quan đến email marketing. Vì email marketing vẫn là một kênh tiếp thị quan trọng với nhiều doanh nghiệp, việc duy trì khả năng gửi email là điều thiết yếu cho các chiến dịch thành công.
  • Việc triển khai các tiêu chuẩn xác thực email có thể là một thách thức kỹ thuật, đặc biệt với các tổ chức lần đầu tiếp cận các giao thức như SPF, DKIM, DMARC. Khi áp dụng các tiêu chuẩn này, có thể cần hỗ trợ kỹ thuật và tài nguyên, điều này đòi hỏi thời gian và chi phí.
  • Bài viết này có thể giúp các tổ chức muốn tăng cường bảo mật email bằng cách cung cấp các hướng dẫn và công cụ hữu ích, qua đó khắc phục các điểm yếu của hệ thống email và cải thiện trải nghiệm người dùng.

1 bình luận

 
GN⁺ 2024-04-02
Ý kiến trên Hacker News
  • Nhìn vào mức độ ảnh hưởng của các nhà cung cấp email như “Gmail”, “Outlook”, “Yahoo”, tôi luôn tự hỏi liệu có thể tạo ra thất bại trong khả năng đến đích có chủ đích như một kiểu tấn công khác nhắm vào doanh nghiệp hay không
    Kẻ tấn công khiến nạn nhân, đặc biệt là doanh nghiệp, danh sách gửi thư hoặc NGO, gửi email hàng loạt đến các địa chỉ do kẻ tấn công sở hữu, rồi kẻ tấn công đánh dấu các email đó là spam trên Gmail/Yahoo/Outlook
    Khi đó bộ lọc spam AI học đây là hoạt động spam mới, và về sau có thể xử lý cả email gửi đến khách hàng thật như spam hoặc xóa trước khi chúng đến nơi
    Sau khoảng một năm, công ty có thể mất tiền theo từng quý, bộ phận quảng cáo bối rối vì tỷ lệ tương tác qua email giảm, còn bộ phận kỹ thuật thì rơi vào hỗn loạn
    Công ty lớn có thể chịu được hoặc bỏ hẳn email, nhưng công ty nhỏ, NGO hay danh sách gửi thư chính trị có thể chịu thiệt hại như quyên góp giảm
    Thành thật mà nói, đây có lẽ là hướng tấn công có xác suất thấp, nhưng là ý nghĩ cứ luôn vương lại trong đầu tôi

    • Tôi biết một nạn nhân mà spammer thực sự đã đánh cắp nguyên mẫu email hợp pháp của họ để dùng
      Spammer nhúng mẫu hợp pháp vào email theo cách không hiển thị, và chỉ để hiện vài dòng nội dung lừa đảo thật sự
      Cách này nhằm khiến bộ lọc đánh giá phần lớn email là bình thường và cho qua; cuối cùng, khi đủ người dùng báo cáo spam, chính mẫu email đó sẽ gây ra việc bị chặn
      Sau đó spammer chuyển sang mẫu email của nạn nhân tiếp theo vẫn còn vượt qua bộ lọc, còn nạn nhân đầu tiên phải tự xử lý hậu quả là thư của mình không đến được đâu cả
    • Tôi từng nghĩ về chuyện này không phải từ góc độ tấn công doanh nghiệp, mà từ góc độ quyền người tiêu dùng hoặc tẩy chay
      Vì có trải nghiệm quá tệ với một công ty lớn luôn nêu cao tối đa hóa giá trị cổ đông, tôi đã lục lại lịch sử email cũ và đánh dấu mọi trao đổi từ công ty đó là spam
      Có thể chỉ là một giọt nước, nhưng trong thế giới spam có lẽ cũng không cần quá nhiều phiếu
      Tôi nghĩ việc chuyển phát email rồi sẽ tiến hóa thành một mô hình trả phí để được đi qua trắng trợn hơn, và biết đâu các thỏa thuận hậu trường đã tồn tại rồi
    • Vì vậy hầu hết các trang thương mại điện tử gửi email marketing từ một domain riêng
      Dù domain đó bị báo cáo, email giao dịch vẫn có thể tiếp tục được gửi từ domain chính
      Tất nhiên điều này giả định hai máy chủ mail nằm trên các IP khác nhau
    • Một diễn đàn web mà tôi biết có quy tắc yêu cầu không đánh dấu các thông báo email họ gửi là spam
      Có thể hủy nhận trên trang, nhưng họ yêu cầu đừng xử lý là spam từ phía email client
      Với tổ chức nhỏ, đây có thể là một rủi ro khá thực tế
      Tôi không rõ các tổ chức lớn giảm thiểu việc này như thế nào
    • Tôi nghĩ chuyện đó chẳng phải có thể chặn bằng chính sách DMARC sao
      Nếu email do kẻ tấn công gửi thất bại SPF/DKIM, có thể đặt chính sách DMARC để Gmail không chuyển phát email giả mạo đó ngay từ đầu
      Khi đó kiểu tấn công như vậy không thể hình thành
  • Thay đổi này là cần thiết và đã quá muộn
    Nếu buộc chủ sở hữu domain gửi lượng email lớn phải ký thư đúng cách, bên nhận có thể phân biệt email tốt và xấu rõ ràng hơn dựa trên uy tín domain, thay vì uy tín địa chỉ IP
    Trong bối cảnh ngày càng nhiều domain gửi email qua không gian IP dùng chung của các dịch vụ giao dịch và marketing, khả năng gắn uy tín một cách ổn định vào domain gửi là rất hữu ích để giảm lạm dụng

    • Điều kiện “lượng lớn” thực ra không đúng
      Google nói các yêu cầu mới chỉ bắt buộc khi gửi trên 5.000 email mỗi ngày, nhưng đó là nói dối
      Tôi nhiều lắm chỉ gửi vài email một ngày, thường thì tài khoản Gmail cũng không gửi nổi một email mỗi ngày, và dù chỉ triển khai một phần yêu cầu, Google đã bắt đầu từ chối thư của tôi
      Cuối cùng tôi phải lãng phí thời gian triển khai tất cả, kể cả một số yêu cầu khá trùng lặp
    • Với tư cách quản trị hệ thống, tôi tự hỏi phải làm gì khi 5% email rơi vào spam vì cấu hình sai máy chủ mail Office365 của người nhận
      Nhìn chung tôi đồng ý đây là thay đổi tích cực, nhưng thật sự rất bực khi lý do email vào thư mục spam là lỗi cấu hình phía người nhận
      Ví dụ có trường hợp SPF bị hỏng trong quá trình chuyển tiếp
    • Chúng ta cũng đang dần chuyển sang IPv6, và nếu có thể có bao nhiêu địa chỉ IP mới tùy ý thì uy tín dựa trên IP sẽ phần nào trở nên vô dụng
      Nếu người gửi ác ý có thể gửi mỗi email từ một địa chỉ IPv6 khác nhau, có lẽ về cơ bản phải mặc định không tin cậy tất cả các địa chỉ IPv6 mới xuất hiện
    • Đồng ý, đây là lợi thế rõ ràng
      Dù có bất tiện, tôi hy vọng thay đổi này sẽ giúp dọn dẹp hệ sinh thái email
  • Spam không thể phân biệt được với nội dung độc hại
    Bạn chưa từng đăng ký nhận “newsletter” đó, và địa chỉ email của bạn đã bị thu thập rồi chuyển cho một tác nhân độc hại muốn quấy rối bạn
    Nếu bấm vào bất cứ thứ gì, bạn sẽ được đưa tới một website nơi công ty đó có thông tin của bạn và hoàn toàn không cân nhắc lợi ích của bạn
    Trường hợp tốt nhất, bạn chỉ có thể loại bỏ một nguồn rác trong hộp thư đến; trường hợp tệ nhất, bạn bấm vào thứ gì đó cài mã độc lên máy tính
    Vì vậy đừng bấm liên kết hủy đăng ký, hãy nhấn nút báo cáo spam, và ngừng dùng các dịch vụ email lớn phớt lờ báo cáo spam
    Gmail dung túng để các tập đoàn lớn khác gửi spam cho bạn, trong khi thậm chí không cho bạn tùy chọn tự chặn toàn bộ domain
    Nội dung độc hại sẽ tiếp tục lọt vào hộp thư đến cho đến khi bạn chuyển sang nhà cung cấp email nghiêm túc về quyền riêng tư và bảo mật

    • Đánh giá hợp lý
      Tôi tò mò bạn đang dùng nhà cung cấp dịch vụ email nào
  • Thật ngạc nhiên là có nhiều doanh nghiệp lớn không vượt qua được bài kiểm tra hủy đăng ký bằng một cú nhấp như vậy
    Kiểu như Cloudflare hoặc Akamai chặn kết nối, trang mất hơn 5 giây để tải, hoặc yêu cầu đăng nhập hay nhập lại địa chỉ email
    Làm thế rồi thì đừng ngạc nhiên khi khách hàng bấm nút báo cáo spam

    • Với những email tôi không đồng ý nhận, tôi không hủy đăng ký
      Vì vậy tôi bấm báo cáo spam
    • Tôi đang dùng NextDNS kèm danh sách chặn quảng cáo, thực chất là Pi-hole trên đám mây
      Điều khó chịu nhất là người gửi email dùng các tên miền bị danh sách chặn quảng cáo chặn để theo dõi lượt nhấp
      Tôi có một phiên bản trình duyệt riêng để sao chép và dán các liên kết như vậy, nhưng làm thế thì lại phải đăng nhập
      Tôi thích gửi email hủy đăng ký hơn là nhấp vào liên kết, và Gmail có thể tự động hóa việc này
    • Tôi sẽ hủy đăng ký, nhưng đến năm 2024 rồi thì những câu nhảm kiểu “có thể mất 14 ngày để áp dụng” không thể chấp nhận được nữa
      Nếu vài ngày sau lại có email đến, tôi sẽ đánh dấu là spam
      Nếu TripAdvisor có thể tạo lịch trình du lịch bằng AI, thì họ cũng phải tìm ra cách không gửi nó qua email
    • Rốt cuộc tôi nghĩ đây chỉ là một cuộc cạnh tranh UI đơn giản
      Khách hàng sẽ chọn cách nào tiện hơn, dù là hủy đăng ký hay báo cáo spam
  • Một trong những thứ bị thay đổi tháng 4 làm hỏng là chuyển tiếp giữa các dịch vụ email
    Ví dụ, nếu bạn đang chuyển tiếp từ địa chỉ đại học cũ foo@school.edu sang tài khoản Gmail cá nhân bar@gmail.com, việc đó sẽ không còn hoạt động nữa
    Nhìn cách các nhà cung cấp lớn thúc đẩy thì đây có lẽ là trường hợp sử dụng khá hiếm, nhưng với những người bị ảnh hưởng thì đó là một thay đổi khá phiền phức

    • Tôi không hiểu vì sao lại không còn hoạt động nữa
      Khi chuyển tiếp email, miễn là bên chuyển tiếp không sửa nội dung thư, nó vẫn khớp với chữ ký DKIM nên phải vượt qua chứ
    • Đây không phải là thay đổi mới
      SPF từ trước đến nay luôn làm hỏng các bộ chuyển tiếp không động đến địa chỉ người gửi trong phong bì, và như vậy là đúng và hợp lý
      Việc chuyển tiếp email vẫn có thể thực hiện, nhưng bên chuyển tiếp phải viết lại return path
    • Khá nghiêm trọng đấy, vậy có nghĩa là giờ không thể chuyển tiếp email nữa à?
  • Thật ngạc nhiên là vẫn có người cho thư đi qua dù SPF, DKIM, DMARC chưa được thiết lập hoàn hảo
    Tôi đã vận hành một máy chủ email cá nhân tự host được cấu hình tốt trong nhiều năm mà đôi khi vẫn gặp khó khăn để thư được chấp nhận, dù có vẻ tình hình đang dần cải thiện

    • Việc bạn đã thiết lập SPF, DKIM, DMARC hoàn hảo không có nghĩa là máy chủ nhận cũng nhìn nhận như vậy
      Đặc biệt các máy chủ Microsoft thường ngẫu nhiên đánh trượt cấu hình DKIM hoàn toàn không có vấn đề gì mà chẳng có lý do
    • Không chỉ là vấn đề cấu hình, uy tín cũng quan trọng
      Nếu lưu lượng gửi thấp, bạn có nguy cơ bị bỏ qua chỉ vì không phải là người gửi nổi tiếng
    • Tôi cũng đã vật lộn với vấn đề này nhiều năm rồi
      Ba ông lớn đã công bố và minh bạch hóa các hướng dẫn như thế này, nên hy vọng hành vi sẽ nhất quán hơn
    • Theo kinh nghiệm của tôi, DKIM là không cần thiết, và trong hướng dẫn mới của Google, nếu dùng SPF thì nó vẫn không bắt buộc
    • Thật ngạc nhiên khi mọi người chỉ nhìn khả năng email đến được hộp thư qua cấu hình SPF, DKIM, DMARC
      Spammer cũng có thể làm y như vậy vì rào cản gia nhập thấp
      Chúng quan trọng, nhưng liên quan rất ít đến khả năng gửi đến nơi trong thực tế
  • Điều khó nhất với DMARC là nó thường thất bại, đặc biệt ở Microsoft
    Và nó cũng gây vấn đề trong mọi trường hợp người nhận chuyển tiếp thư, lúc này căn chỉnh SPF bị hỏng
    Vì muốn làm theo thực hành tốt nhất, gần đây tôi đã đổi p=quarantine thành p=none
    Vì tôi sợ rằng email hợp pháp sẽ không vượt qua DMARC dù DKIM và SPF đã được thiết lập đúng
    Tôi rất muốn dùng p=reject, nhưng chưa thể cho đến khi các máy chủ nhận sửa để xử lý các ngoại lệ tương tự, nơi DMARC bị hỏng do người nhận chuyển tiếp email

    • Người gửi muốn email của mình được chuyển tiếp trong khi áp dụng DMARC nên dùng DKIM
      Chuyển tiếp một thư đã được ký DKIM hoàn toàn không làm hỏng DMARC
  • Tệ nhất là nhận thư rồi âm thầm đánh dấu là spam, sau đó nhét nó vào nơi mà người nhận dự định sẽ không bao giờ thấy
    Gmail của Google làm việc này tệ nhất
    Email doanh nghiệp không còn là email nữa, mà là một khu vườn có tường bao và silo giống Facebook

    • May mà có những bức tường đó
      Nếu không thì chúng ta đã chết chìm trong spam cold email rồi
      Nói nghiêm túc, tôi đã từ bỏ việc vận hành và quản trị máy chủ riêng nên dùng Gmail cho mọi công ty
      Việc chuyện này trở nên khó đến vậy là một bi kịch
      Cảm giác như nếu không nằm trên một Gmail Workspace được cấu hình tốt, thì dù là thư hợp pháp cũng không có cơ hội đi qua
    • Thực sự rất khó chịu
      Theo tôi hiểu, có vẻ họ không muốn cho spammer tín hiệu rằng thư đã được phân loại là thư thường hay spam
      Tôi muốn biết spammer thực sự tận dụng thông tin như vậy thông minh đến mức nào
      Phần lớn spam trông giống như những nỗ lực bắn phá không tính đến phản hồi thất bại
      Trên máy chủ mail của tôi, các thư bị phân loại là rác tiếp tục bị tạm từ chối kèm thông báo lỗi chung
      Ít nhất người gửi hợp pháp bị phân loại sai sẽ nhận được DSN trì hoãn, và cuối cùng nhận được phản hồi rằng thư chưa được nhận
      Có vẻ nhiều máy chủ và dịch vụ mail coi việc không đưa tín hiệu cho spammer quan trọng hơn việc đưa tín hiệu hữu ích cho người dùng hợp pháp bị phân loại nhầm
      Có lẽ họ nghĩ bộ phân loại của mình xuất sắc đến mức không bao giờ phân loại nhầm
    • Tôi không nói là đúng, nhưng nó có hiệu quả
      Bộ lọc spam và bộ lọc quảng cáo của Gmail đáng tin cậy trên 99% từ góc nhìn người dùng, và dương tính giả cũng thực sự ít
    • Đáng tiếc là nhiều biện pháp bảo vệ pháp lý chống spam không mong muốn chỉ áp dụng cho mục đích tiêu dùng
      Trong B2B, gần như marketer nào biết địa chỉ email của bạn thì có quyền gửi bao nhiêu thư tùy thích
      Nếu không có bức tường đó thì email đã hoàn toàn không dùng nổi
  • VM cá nhân của tôi bị đưa vào một RBL nào đó, vì toàn bộ không gian địa chỉ /24 đã bị đưa vào danh sách đen
    Nghe nói có ai đó đã gửi spam, và giờ cả máy của tôi, vốn chỉ gửi khoảng ba email mỗi tuần, cũng bị chặn

    • Vấn đề là nhà cung cấp VM vô tình đang cấp cùng không gian địa chỉ đó cho spammer
      Có thể spammer đã dùng một địa chỉ bất kỳ trong dải đó, hoặc ai đó đã dựng một máy chủ SMTP cấu hình sai cho phép relay
      Việc vận hành máy chủ SMTP gửi đi trong dải IP khách hàng vốn dĩ rất dễ phát sinh vấn đề
      Những dải như vậy có thể bị xem là đáng ngờ toàn bộ, vì spammer dùng chúng mà không quan tâm đến uy tín
    • Đúng vậy, chuyện này rất khổ sở
      Có vẻ các bên vận hành danh sách chặn hoặc không xác minh tốt các báo cáo lạm dụng, hoặc cố tình gây thiệt hại phụ để buộc nhà vận hành mạng phải hành động
      Tôi không thích bị đưa vào danh sách chặn, nhưng có thể xét trên Internet rộng lớn thì nó vẫn có tác động ròng tích cực
      Tôi cho rằng các máy chủ và dịch vụ mail đang dùng sai các danh sách chặn dựa trên IP
      Có thể dùng nó như một trong nhiều tín hiệu, và tăng trọng số với những người gửi lần đầu
      Nhưng nếu một IP từng trao đổi qua lại liên tục các thông điệp đã được xác thực bằng SPF/DKIM/DMARC bỗng bị đưa vào danh sách chặn, thì uy tín tích cực trước đó nên mạnh hơn việc bị chặn đó
      Ta vẫn phải có thể tiếp tục liên lạc với các đối tác đã biết, và chỉ sau khi họ đánh dấu là spam thì mới từ chối chuyển phát về sau hoặc đưa vào thư rác
      Hiện nay có vẻ nhiều máy chủ và dịch vụ mail áp dụng danh sách chặn IP từ rất sớm trong quá trình SMTP để giảm tải hệ thống
      Điều này tốt cho tải hệ thống, nhưng xấu cho hiệu quả phân tích
      Nhìn chung, ngay cả các dịch vụ mail miễn phí lớn cũng có vẻ không giỏi tận dụng uy tín sẵn có khi phân biệt thư hợp lệ/spam
      Gần đây tôi đã đổi dịch vụ web trực tuyến mình làm sang đăng ký dựa trên email; giống như đăng ký mailing list, người dùng gửi email đến một địa chỉ cụ thể để đăng ký
      Ý tưởng là khi người dùng gửi email cho dịch vụ của tôi, tôi sẽ được đưa vào danh sách các đối tác đã biết của người dùng
      Khi đó, thư trả lời xác nhận từ máy chủ mail của tôi, được căn chỉnh SPF/DKIM/DMARC, lẽ ra đương nhiên phải được chấp nhận
      Không biết còn cần opt-in rõ ràng hơn thế đến mức nào nữa
      Tôi thử với vài dịch vụ mail miễn phí lớn thì Yahoo thậm chí còn đưa cả thư trả lời xác nhận có tham chiếu thông điệp gốc vào thư mục rác
      Với những ai nghĩ rằng không thể cạnh tranh với các dịch vụ mail lớn, tôi muốn nói rằng tiêu chuẩn không cao như bạn tưởng
    • Thật đáng tiếc
      Sửa uy tín, dù làm tốt, cũng gần như là ác mộng
      Tôi cũng từng thấy đề xuất mua một domain khác và gửi email từ đó để bảo vệ domain chính, nhưng tôi không mấy muốn làm vậy
  • Có vẻ trong bài đã dùng lẫn lộn envelope (RFC5321)header (RFC5322)
    Bài nói rằng “tên miền trong trường From: của header envelope email được kiểm tra và căn chỉnh với một domain khác đã được xác thực bằng SPF hoặc DKIM”, nhưng envelope không có header, còn header nằm trong nội dung/thân email
    Ảnh chụp màn hình “ví dụ envelope email của một tổ chức vượt qua mọi hướng dẫn bảo mật email” cũng không phải thông tin envelope mà là header mail
    dmarc.org có một tài liệu thuyết trình rất hay về chủ đề này
    https://dmarc.org/presentations/Email-Authentication-Basics-...