SPF, DKIM, DMARC là ba lớp bảo vệ cho email tên miền — như danh sách người được ủy quyền gửi thư, con dấu niêm phong chống giả, và nội quy + báo cáo cho bên nhận. Hiểu và cách kiểm tra cho người mới.
Khi tìm hiểu về email doanh nghiệp, kiểu gì bạn cũng gặp ba cái tên viết tắt khó nhớ: SPF, DKIM và DMARC. Chúng là ba cơ chế giúp chống giả mạo email và giúp thư của bạn không bị đánh dấu spam. Vậy SPF DKIM DMARC là gì và người mới cần làm gì? Bài này giải thích thật dễ hiểu. Nếu chưa rõ email theo tên miền, đọc trước bài email theo tên miền là gì.
Bộ ba SPF DKIM DMARC đều là cơ chế xác thực email — cách để bên nhận (như Gmail, Yahoo) kiểm tra một email có thật sự đến từ tên miền của bạn hay là kẻ gian mạo danh. Chúng được khai báo dưới dạng vài bản ghi trong phần quản lý tên miền, và làm hai việc lớn: chặn kẻ giả mạo gửi thư nhân danh bạn, và giúp email thật của bạn vào hộp thư đến thay vì rơi vào spam.
Hãy hình dung cách một công ty bảo vệ những công văn có đóng dấu của mình khỏi bị làm giả. Có ba lớp: một danh sách những người được phép gửi thư nhân danh công ty, một con dấu niêm phong độc nhất khó làm giả, và một bản nội quy dặn bưu điện phải làm gì khi nhận thư đáng ngờ. SPF, DKIM, DMARC lần lượt đóng đúng ba vai đó cho email của bạn.
SPF (Sender Policy Framework) là một bản ghi liệt kê những máy chủ, dịch vụ được phép gửi email cho tên miền của bạn. Khi một email tự nhận là từ @congty.com gửi tới, máy nhận sẽ đối chiếu: nguồn gửi có nằm trong danh sách được phép không? Nếu đến từ một máy lạ không có trong danh sách, thư đó lập tức đáng ngờ.
Cứ như danh sách bưu tá công ty đã ủy quyền: chỉ những người trong danh sách mới được cầm thư đi giao nhân danh công ty. Ai đó tự xưng là người của công ty nhưng không có tên trong danh sách thì bên nhận có quyền nghi ngờ ngay.
DKIM (DomainKeys Identified Mail) gắn vào mỗi email một chữ ký số — như một con dấu niêm phong. Chữ ký này chứng minh hai điều: email đúng là xuất phát từ tên miền của bạn, và nội dung không bị sửa đổi trên đường đi. Nếu ai đó chặn giữa đường rồi chỉnh sửa nội dung, con dấu sẽ không còn khớp và bên nhận biết ngay thư đã bị can thiệp.
Đó đúng là con dấu niêm phong khó làm giả: kẻ gian có thể bắt chước tên công ty, nhưng không làm giả được con dấu, và không mở sửa thư mà giữ nguyên được dấu.
SPF và DKIM giúp phát hiện thư đáng ngờ, nhưng ai sẽ quyết định xử lý thế nào? Đó là việc của DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC là một bản ghi nói cho bên nhận biết: khi một email nhân danh tên miền bạn không qua được SPF hoặc DKIM thì phải làm gì. Có ba mức thường dùng:
Quan trọng không kém: DMARC còn gửi báo cáo về cho bạn, cho biết có ai đang cố giả danh tên miền của mình gửi thư đi. Nói cách khác, DMARC là bản nội quy kèm sổ báo cáo cho bưu điện bên nhận: thư nào không đúng danh sách, không có dấu thật thì trả lại hoặc để riêng, và báo về cho công ty biết.
Ba cơ chế bổ trợ nhau, thiếu một là hở một chỗ:
Chỉ có SPF và DKIM mà thiếu DMARC thì giống như có bảo vệ kiểm tra giấy tờ nhưng không ai ra lệnh phải làm gì với người khả nghi — nên cả ba nên đi cùng nhau.
@congty.com để lừa khách hàng, đối tác của bạn — và bạn mang tiếng oan.Về cơ bản, bạn thêm ba bản ghi (dạng bản ghi TXT) vào phần DNS của tên miền — mỗi bản ghi ứng với SPF, DKIM và DMARC. Bạn không phải tự nghĩ ra nội dung: nhà cung cấp dịch vụ email sẽ cấp sẵn các giá trị để bạn dán vào, hoặc cấu hình giúp luôn. Nếu chưa quen bản ghi trong DNS, xem bài các loại bản ghi DNS.
Các bước thêm thường như sau:
Các giá trị này nhìn như những dòng chữ kỹ thuật. Ví dụ, một bản ghi SPF thường có dạng v=spf1 include:... ~all, còn DMARC bắt đầu bằng v=DMARC1; p=none; .... Bạn không cần hiểu từng ký tự — chỉ cần dán đúng thứ nhà cung cấp đưa cho là được.
Muốn biết tên miền của mình đã thiết lập chưa, bạn dùng một công cụ kiểm tra. Nhập tên miền vào, công cụ soi ngay bản ghi SPF và DMARC còn thiếu hay sai. Riêng DKIM hơi đặc biệt: mỗi nhà cung cấp email lưu nó dưới một cái tên riêng gọi là selector, nên bạn cần nhập thêm selector đó (nhà cung cấp cho biết) thì công cụ mới soi đúng. Bạn có thể dùng công cụ kiểm tra tên miền tại cloudmoon.net.
Cách nhàn nhất cho người mới là chọn một dịch vụ email theo tên miền đã cấu hình sẵn SPF, DKIM, DMARC — bạn khỏi phải tự đụng vào phần kỹ thuật.
Hai rủi ro chính: kẻ gian dễ giả mạo tên miền của bạn để gửi email lừa đảo, và email thật của bạn dễ bị các nhà cung cấp đánh dấu spam. Với doanh nghiệp gửi email cho khách, đây là điều nên tránh.
Ngày càng gần như bắt buộc. Từ 2024, Gmail và Yahoo yêu cầu người gửi email số lượng lớn phải có đủ SPF, DKIM, DMARC. Kể cả gửi ít, mọi doanh nghiệp cũng nên thiết lập để bảo vệ thương hiệu và tăng khả năng vào hộp thư đến.
Được. Nhà cung cấp email cấp sẵn các giá trị, bạn chỉ việc dán ba bản ghi vào phần DNS của tên miền theo hướng dẫn. Nếu ngại kỹ thuật, chọn dịch vụ email đã cấu hình sẵn thì không phải làm gì.
Người mới nên bắt đầu ở mức chỉ theo dõi (none) để quan sát báo cáo mà không chặn nhầm email thật. Khi đã chắc mọi nguồn gửi hợp lệ đều đạt SPF/DKIM, bạn siết dần lên cách ly rồi từ chối.
Dùng công cụ kiểm tra tên miền. Chỉ cần nhập tên miền là công cụ soi ra bản ghi SPF và DMARC còn thiếu hay sai. Với DKIM, bạn nhập thêm "selector" (do nhà cung cấp email cấp) để công cụ soi đúng bản ghi đó.
Tóm lại, SPF DKIM DMARC là ba lớp bảo vệ cho email tên miền — như danh sách người được ủy quyền gửi thư, con dấu niêm phong chống giả, và bản nội quy kèm báo cáo cho bên nhận. Có đủ ba, bạn vừa chặn kẻ mạo danh, vừa giúp email vào hộp thư đến. Bạn có thể kiểm tra tên miền của mình ngay, hoặc chọn một dịch vụ email theo tên miền cấu hình sẵn tại cloudmoon.net để khỏi lo phần kỹ thuật.
Chưa có bình luận nào. Hãy là người đầu tiên!