Tìm hiểu SPF, DKIM, DMARC: Hướng dẫn đơn giản

 (github.com/nicanorflavier)
20 điểm bởi GN⁺ 2024-06-18 | 3 bình luận | Chia sẻ qua WhatsApp

Hướng dẫn này dành cho ai?

  • Đây là hướng dẫn thiết yếu dành cho những người phát triển, hỗ trợ và vận hành các ứng dụng gửi email.
  • Giúp đảm bảo email đến hộp thư đến của người nhận thay vì rơi vào thư mục spam.
  • Giải thích cách bảo vệ tên miền khỏi tội phạm mạng và những kẻ gửi thư rác.

Vì sao nên chọn hướng dẫn này?

  • Giải thích SPF, DKIM và DMARC theo cách dễ hiểu với mô tả ngắn gọn, rõ ràng cùng ví dụ minh họa.
  • Được lưu trữ trên GitHub nên có thể tích hợp với môi trường phát triển để truy cập thông tin nhanh chóng.
  • Là tài liệu mà cộng đồng có thể liên tục cập nhật và duy trì.

Hướng dẫn này không nhằm mục đích gì?

  • Không đề cập đến các chủ đề nâng cao như cấu hình máy chủ email, mã hóa hay cổng email bảo mật.

Giải thích ngắn gọn về SPF, DKIM, DMARC

SPF (Sender Policy Framework)

  • SPF: Giống như một danh sách bạn bè được phép gửi email.
  • Bản ghi SPF: Lưu danh sách bạn bè này trong bản ghi DNS TXT.
  • Ví dụ: v=spf1 ip4:123.123.123.123 ~all

DKIM (DomainKeys Identified Mail)

  • DKIM: Giống như đặt một ghi chú bí mật bên trong email.
  • Bản ghi DKIM: Lưu khóa công khai trong bản ghi DNS TXT để người nhận có thể xác minh tính xác thực của email.
  • Ví dụ: v=DKIM1; k=rsa; p=NICfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDBolTXCqbxwoRBffyg2efs+Dtlc+CjxKz9grZGBaISRvN7EOZNoGDTyjbDIG8CnEK479niIL4rPAVriT54MhUZfC5UU4OFXTvOW8FWzk6++a0JzYu+FAwYnOQE9R8npKNOl2iDK/kheneVcD4IKCK7IhuWf8w4lnR6QEW3hpTsawIDAQ0B

DMARC (Domain-based Message Authentication, Reporting & Conformance)

  • DMARC: Giống như tạo ra một cuốn sổ quy tắc lớn tổng hợp các quy tắc của SPF và DKIM.
  • Bản ghi DMARC: Lưu cuốn sổ quy tắc này trong bản ghi DNS TXT để người nhận quyết định cách xử lý email.
  • Ví dụ: v=DMARC1; p=none; rua=mailto:postmaster@example.com

Ví dụ sử dụng thực tế của SPF, DKIM, DMARC

  • Ứng dụng di động: Khi ứng dụng thể dục hoặc ứng dụng ngân hàng gửi email, SPF, DKIM và DMARC giúp đảm bảo email đến hộp thư đến thay vì thư mục spam.
  • Nhà cung cấp dịch vụ email: Gmail, Yahoo, Outlook... sử dụng SPF, DKIM và DMARC để xác thực email nhận được.
  • Nền tảng mạng xã hội: LinkedIn, Facebook, Twitter... sử dụng SPF, DKIM và DMARC khi gửi email thông báo.
  • Doanh nghiệp: Khi gửi email quảng bá, SPF, DKIM và DMARC giúp email không bị đánh dấu là spam và ngăn tên miền bị lợi dụng cho email giả mạo.
  • Cơ quan chính phủ: Khi gửi thông báo cho người dân, SPF, DKIM và DMARC giúp ngăn chặn các cuộc tấn công phishing.

Bây giờ cần làm gì?

  1. Xác định địa chỉ email và tên miền: Xác định các địa chỉ email và tên miền mà ứng dụng đang sử dụng.
  2. Kiểm tra trạng thái hiện tại: Xem đã có bản ghi SPF, DKIM, DMARC hay chưa và chúng có được cấu hình đúng không.
  3. Quyền truy cập tên miền: Xác nhận bạn có quyền thay đổi các bản ghi DNS hay không.
  4. Giám sát DMARC: Theo dõi các báo cáo DMARC để bảo đảm không có vấn đề và chỉnh sửa khi cần.

Kiểm tra trạng thái SPF, DKIM, DMARC

FAQ's with SPF, DKIM and DMARC

  1. Địa chỉ email dùng cho báo cáo DMARC: Nên sử dụng một hộp thư dùng chung để nhiều người có thể cùng kiểm tra.
  2. Khác biệt giữa ~all, -all, ?all, +all trong bản ghi SPF:
    • ~all (SoftFail): Vẫn cho phép email từ máy chủ không có trong danh sách nhưng có thể bị xem là đáng ngờ.
    • -all (Fail): Từ chối email từ máy chủ không có trong danh sách.
    • ?all (Neutral): Xử lý email mà không có chỉ dẫn đặc biệt.
    • +all (Pass): Cho phép email từ mọi máy chủ.
  3. Có thể thiết lập DMARC mà không có SPF không?: Có thể, nhưng không hiệu quả. Nên dùng SPF cùng với DKIM.
  4. Khi thấy nhiều SPF fail và một số SPF pass trong header email: Bạn nên tin vào kiểm tra SPF liên quan đến chính tên miền của mình.

Kết luận

  • SPF, DKIM và DMARC là những anh hùng thầm lặng của bảo mật email.
  • Cả ba đóng vai trò quan trọng trong việc duy trì độ tin cậy của email.

Ý kiến của GN⁺

  • Tầm quan trọng của bảo mật email: Email là một phương tiện giao tiếp quan trọng, vì vậy bảo mật là cực kỳ cần thiết.
  • Sự cần thiết của SPF, DKIM, DMARC: Ba công nghệ này là thiết yếu để ngăn chặn email giả mạo và các cuộc tấn công phishing.
  • Những điều cần cân nhắc khi triển khai: Cần có cấu hình và giám sát; cấu hình sai có thể gây ra vấn đề trong việc phân phối email.
  • Công cụ liên quan: Có thể dễ dàng kiểm tra trạng thái cấu hình bằng các công cụ như MXToolbox và DMARCTester.
  • Tiêu chuẩn ngành: Để tăng cường bảo mật email, SPF, DKIM và DMARC đã trở thành tiêu chuẩn của ngành.

Bài viết liên quan

3 bình luận

 
kty1965 2024-06-21

Có vẻ như giờ đây SPF, DKIM và DMARC đã trở nên quá quan trọng.
 
ninebow 2024-06-19

Khi dùng Google Workspace hay SES thì ngoài bản ghi MX còn phải cấu hình thêm từng thứ như SPF, DKIM nữa. Trước giờ mình cũng không định tìm hiểu kỹ, chỉ nghĩ kiểu chắc ở đâu đó mọi thứ vẫn đang chạy ổn thôi, nên cảm ơn bạn nhé! :D
 
GN⁺ 2024-06-18
Ý kiến trên Hacker News

  • Kinh nghiệm của quản trị viên IT: Trong quá trình quản lý IT tại một doanh nghiệp vừa và nhỏ, thường nhận được yêu cầu gỡ các email bị đưa vào cách ly do bản ghi SPF sai. Thay vì whitelist, đã hỗ trợ chỉnh sửa bản ghi SPF. Để tự động hóa việc này, đã viết một script bằng ngôn ngữ Racket.

  • Gợi ý sách: Michael W. Lucas đang chuẩn bị một cuốn sách tên là "Run Your Own Mail Server", trong đó đề cập chi tiết đến cấu hình SPF/DKIM/DMARC. Đã tham dự tutorial và bài nói chuyện của ông tại BSDCan, và khuyên nên đọc cuốn sách này.

  • Sự cần thiết của hướng dẫn SPF/DKIM/DMARC: Cần có một hướng dẫn SPF/DKIM/DMARC dành cho các nhà phát triển ứng dụng gửi email qua tên miền khác. Nhiều hệ thống ticket và nền tảng marketing vẫn chưa hiểu rõ các khái niệm này.

  • Tầm quan trọng của tự động hóa: Đang vận hành một startup tự động hóa việc cấu hình SPF/DKIM/DMARC và đánh giá rất cao chất lượng của hướng dẫn này. Tuy nhiên, vì người dùng thường chỉ gặp vấn đề một lần nên rất khó để họ hiểu lâu dài. Vì vậy, tự động hóa là rất quan trọng.

  • Gợi ý công cụ gỡ lỗi: Chia sẻ liên kết đến một công cụ tốt để gỡ lỗi các vấn đề về DMARC.

  • Gợi ý công cụ kiểm thử: Đề xuất phiên bản miễn phí của mail-tester.com và eu.dmarcian.com làm công cụ kiểm thử. Đồng thời chia sẻ một liên kết blog để hiểu rõ hơn về DKIM.

  • Vấn đề spam: Ngay cả khi cấu hình email hoàn hảo, vẫn có trường hợp bị Gmail phân loại là spam. Đã đầu tư hàng trăm giờ nhưng vẫn không giải quyết được, nên cuối cùng chuyển sang dùng dịch vụ hosting bên thứ ba như iCloud.

  • Sự cần thiết của tính đa dạng trong email: Không nên phụ thuộc vào dịch vụ email của các tập đoàn lớn như Apple, Google, Microsoft; thay vào đó nên sử dụng máy chủ email riêng khi có thể.

  • Dịch vụ giám sát DMARC miễn phí: Một dịch vụ tên là Postmark cung cấp dịch vụ giám sát DMARC miễn phí.

  • Kết quả cấu hình SPF/DKIM/DMARC: Chia sẻ kết quả cho thấy SPF, DKIM và DMARC đều vượt qua kiểm tra trên một tên miền ví dụ.