Những kẻ gửi spam tận dụng SPF, DKIM và DMARC tốt hơn

 (toad.social)
14 điểm bởi GN⁺ 2025-03-26 | 2 bình luận | Chia sẻ qua WhatsApp
  • Các phương thức xác thực email như DMARC, SPF và DKIM được dùng để giảm spam, nhưng trên thực tế lại bị những kẻ gửi spam tận dụng tốt hơn.
  • Những phương thức xác thực này hầu như không mang lại lợi ích đáng kể cho đa số người gửi, và việc từ chối thư dựa trên lỗi xác thực thậm chí có thể gây hại.
  • Những kẻ gửi spam biết rõ cách mua các tên miền giá rẻ để vượt qua xác thực.

Chuyển tiếp email và vấn đề với Gmail

  • Gmail yêu cầu các cơ chế xác thực như DMARC, và điều này có thể gây ra vấn đề khi chuyển tiếp email.
  • Khi chuyển tiếp email, SPF có thể bị phá vỡ, còn DKIM vẫn được giữ nguyên miễn là không sửa nội dung hoặc header.
  • Tính năng thu thập POP3 của Gmail khó kích hoạt thủ công và khoảng thời gian tự động khá dài.

Giới hạn của xác thực email

  • Xác thực email ngăn chặn việc mạo danh một tên miền cụ thể, nhưng không ngăn được spam dùng tên miền tương tự hoặc lỗi gõ.
  • Xác thực hữu ích để kiểm tra danh tính người gửi, nhưng là vấn đề tách biệt với việc cấp quyền.
  • Những kẻ gửi spam cũng có thể thiết lập chính sách xác thực, và điều này có thể đóng một vai trò nhất định trong việc kiểm soát spam.

Chống spam và bảo mật email

  • Nhiều phương pháp được dùng để chống spam, nhưng không có giải pháp hoàn hảo.
  • Các dịch vụ như Spamhaus hữu ích trong việc chặn spam, nhưng có thể phát sinh false positive.
  • Bảo mật email đòi hỏi quản lý và cập nhật liên tục.

Bài viết liên quan

2 bình luận

 
GN⁺ 2025-03-26
Ý kiến trên Hacker News

  • Là người vận hành máy chủ email cá nhân, tôi nhận thấy các địa chỉ IP từ Nga liên tục cố gửi email bằng tên miền của tôi

    • Những người sống bằng việc gửi email biết cách cấu hình email cho đúng
    • Tôi ngạc nhiên khi nhiều quản trị viên hệ thống còn không thiết lập đúng các cấu hình cơ bản
    • Nếu nhận được email DMARC nói rằng email Sendgrid bị từ chối vì chữ ký SPF sai, có lẽ nên hỏi bộ phận marketing xem họ có đang dùng nó một cách hợp lệ hay không
    • Chữ ký tự động có giá trị hạn chế, nhưng việc từ chối dựa trên SPF và DKIM hiếm khi là nhầm lẫn
    • Ở các tổ chức lớn tình hình có thể tệ hơn, nhưng với các máy chủ email nhỏ thì việc từ chối ở mức kỹ thuật thường là quyết định đúng
    • Mailing list là ngoại lệ, nhưng những người dùng nó có thể tự tìm cách thêm ngoại lệ

  • Tôi đã cấu hình đúng SPF, DKIM, DMARC và có tên miền với điểm spam bằng 0, nhưng vẫn gặp tình trạng thư bị đưa vào thư mục spam

    • Để email được Gmail chấp nhận thì cần có "uy tín"
    • Nếu email cứ đi thẳng vào spam thì tôi không hiểu uy tín đó sẽ được xây dựng thế nào
    • Email từ Linkedin không phải spam, và các dark pattern của họ khiến người dùng bị thêm vào danh sách email nhưng vẫn không bị chặn

  • SPF/DKIM liên quan đến uy tín của máy chủ mail

    • Điều này chủ yếu có lợi cho các máy chủ lớn như Google, Microsoft và Yahoo
    • Các nỗ lực chống spam của những nhà cung cấp lớn lại gây hại cho các nhà cung cấp nhỏ
    • Không cần theo dõi uy tín của máy chủ email, mà nên theo dõi uy tín của người gửi
    • Cần có khả năng xử lý khác nhau giữa email ẩn danh và email từ người mình thực sự biết
    • Hiện tại không có cách nào để một người gửi email đã biết có thể giới thiệu an toàn một người gửi chưa biết

  • SPF và DKIM không chặn được hoàn toàn spam, nhưng DMARC có lẽ gần như vô dụng

    • Người gửi spam cũng có thể đọc các tiêu chuẩn này, nên SPF/DKIM không thể ngăn hoàn toàn spam
    • Trước khi SPF/DKIM được áp dụng, tôi thường nhận nhiều email phishing dùng địa chỉ như support@paypal.com
    • Paypal có thể công khai rõ các địa chỉ IP được phép bằng SPF, và có thể xác thực email bằng DKIM
    • Spamassassin sẽ giảm mạnh điểm spam cho các email có DKIM hợp lệ và đến từ paypal.com

  • Mục đích của SPF/DKIM/DMARC là gắn email với tên miền để ngăn giả mạo

    • Kỳ vọng chỉ riêng việc xác thực có thể làm giảm spam là quá ngây thơ

  • Google rất kém trong việc xử lý SPF và DKIM

    • Vài tháng trước tôi đã cố trả lời qua email một thông báo từ bug tracker của Chromium nhưng thất bại
    • Email không được xử lý vì kiểm tra SPF/DKIM thất bại
    • SPF và DKIM của tôi không có vấn đề gì
    • Công cụ mà Google bảo dùng khi thiết lập Google Workspace đã không hoạt động đúng trong thời gian dài
    • Ngay cả liên kết phản hồi cũng không hoạt động đúng

  • Tôi vận hành máy chủ email cá nhân, và phần lớn spam không vượt qua được SPF/DKIM

    • Tỷ lệ spam vượt qua được đang tăng lên trong vài năm gần đây
    • 90-95% email mà tôi mong đợi nhận được đều vượt qua SPF/DKIM
    • Tôi đang áp dụng các quy tắc nghiêm ngặt với người gửi
    • Tôi đã công khai địa chỉ email trên website nhưng hầu như không có spam

  • Tôi đang vận hành một bộ lọc spam đơn giản dựa trên heuristic

    • Tôi kiểm tra thư mình đã gửi, và các thư có chứa địa chỉ hoặc tiêu đề mà tôi từng gửi sẽ không bị đánh dấu là spam
    • Spam từ địa chỉ mới sẽ được đánh dấu là chưa đọc
    • Những thứ như email xác nhận đăng ký sẽ nằm ở đầu thư mục spam

  • Tôi đã chuyển email sang Proton, và quá trình thêm bản ghi DNS cùng xác thực rất dễ dàng

    • Lúc đầu tôi thấy sợ bước này, nhưng hóa ra xử lý rất đơn giản

  • Tôi từng nghĩ giá trị của SPF, DKIM, DMARC là chuyển uy tín từ nền tảng dựa trên IP sang dựa trên tên miền

    • Tôi kỳ vọng rằng nếu duy trì tốt uy tín tên miền và cấu hình đúng SPF, DKIM, DMARC thì có thể host máy chủ SMTP trên bất kỳ IP nào
    • Tôi thắc mắc vì sao mọi thứ lại không hoạt động theo cách đó