Kiến thức

SPF, DKIM, DMARC là gì? Chống giả mạo email cho người mới

CloudMoon 2 giờ trước 2 0

SPF, DKIM, DMARC là ba lớp bảo vệ cho email tên miền — như danh sách người được ủy quyền gửi thư, con dấu niêm phong chống giả, và nội quy + báo cáo cho bên nhận. Hiểu và cách kiểm tra cho người mới.

Khi tìm hiểu về email doanh nghiệp, kiểu gì bạn cũng gặp ba cái tên viết tắt khó nhớ: SPF, DKIMDMARC. Chúng là ba cơ chế giúp chống giả mạo email và giúp thư của bạn không bị đánh dấu spam. Vậy SPF DKIM DMARC là gì và người mới cần làm gì? Bài này giải thích thật dễ hiểu. Nếu chưa rõ email theo tên miền, đọc trước bài email theo tên miền là gì.

SPF, DKIM, DMARC là gì - ba cơ chế xác thực chống giả mạo email

SPF, DKIM, DMARC là gì?

Bộ ba SPF DKIM DMARC đều là cơ chế xác thực email — cách để bên nhận (như Gmail, Yahoo) kiểm tra một email có thật sự đến từ tên miền của bạn hay là kẻ gian mạo danh. Chúng được khai báo dưới dạng vài bản ghi trong phần quản lý tên miền, và làm hai việc lớn: chặn kẻ giả mạo gửi thư nhân danh bạn, và giúp email thật của bạn vào hộp thư đến thay vì rơi vào spam.

Hãy hình dung cách một công ty bảo vệ những công văn có đóng dấu của mình khỏi bị làm giả. Có ba lớp: một danh sách những người được phép gửi thư nhân danh công ty, một con dấu niêm phong độc nhất khó làm giả, và một bản nội quy dặn bưu điện phải làm gì khi nhận thư đáng ngờ. SPF, DKIM, DMARC lần lượt đóng đúng ba vai đó cho email của bạn.

SPF — ai được phép gửi thư nhân danh bạn

SPF (Sender Policy Framework) là một bản ghi liệt kê những máy chủ, dịch vụ được phép gửi email cho tên miền của bạn. Khi một email tự nhận là từ @congty.com gửi tới, máy nhận sẽ đối chiếu: nguồn gửi có nằm trong danh sách được phép không? Nếu đến từ một máy lạ không có trong danh sách, thư đó lập tức đáng ngờ.

Cứ như danh sách bưu tá công ty đã ủy quyền: chỉ những người trong danh sách mới được cầm thư đi giao nhân danh công ty. Ai đó tự xưng là người của công ty nhưng không có tên trong danh sách thì bên nhận có quyền nghi ngờ ngay.

DKIM — con dấu chống sửa và mạo danh

DKIM (DomainKeys Identified Mail) gắn vào mỗi email một chữ ký số — như một con dấu niêm phong. Chữ ký này chứng minh hai điều: email đúng là xuất phát từ tên miền của bạn, và nội dung không bị sửa đổi trên đường đi. Nếu ai đó chặn giữa đường rồi chỉnh sửa nội dung, con dấu sẽ không còn khớp và bên nhận biết ngay thư đã bị can thiệp.

Đó đúng là con dấu niêm phong khó làm giả: kẻ gian có thể bắt chước tên công ty, nhưng không làm giả được con dấu, và không mở sửa thư mà giữ nguyên được dấu.

DMARC — nội quy xử lý và báo cáo

SPF và DKIM giúp phát hiện thư đáng ngờ, nhưng ai sẽ quyết định xử lý thế nào? Đó là việc của DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC là một bản ghi nói cho bên nhận biết: khi một email nhân danh tên miền bạn không qua được SPF hoặc DKIM thì phải làm gì. Có ba mức thường dùng:

  • Chỉ theo dõi (none): vẫn cho thư đi bình thường, nhưng ghi nhận lại để bạn quan sát. Mức này để bắt đầu, tránh chặn nhầm.
  • Cách ly (quarantine): đẩy thư đáng ngờ vào hộp spam.
  • Từ chối (reject): chặn hẳn, không cho thư mạo danh tới người nhận.

Quan trọng không kém: DMARC còn gửi báo cáo về cho bạn, cho biết có ai đang cố giả danh tên miền của mình gửi thư đi. Nói cách khác, DMARC là bản nội quy kèm sổ báo cáo cho bưu điện bên nhận: thư nào không đúng danh sách, không có dấu thật thì trả lại hoặc để riêng, và báo về cho công ty biết.

Ba vai của SPF, DKIM, DMARC trong xác thực email

Ba cái phối hợp với nhau thế nào?

Ba cơ chế bổ trợ nhau, thiếu một là hở một chỗ:

  • SPF trả lời câu hỏi: nguồn gửi này có được phép không?
  • DKIM trả lời: thư có đúng của bạn và có bị sửa không?
  • DMARC trả lời: nếu hai cái trên không đạt thì xử lý ra sao, và báo cho ai?

Chỉ có SPF và DKIM mà thiếu DMARC thì giống như có bảo vệ kiểm tra giấy tờ nhưng không ai ra lệnh phải làm gì với người khả nghi — nên cả ba nên đi cùng nhau.

Sơ đồ email đi qua ba lớp kiểm tra SPF, DKIM và DMARC

Vì sao bạn nên quan tâm?

  • Chống kẻ giả danh bạn: nếu không có ba lớp này, kẻ gian có thể gửi email giả là @congty.com để lừa khách hàng, đối tác của bạn — và bạn mang tiếng oan.
  • Email vào hộp thư đến, không vào spam: các nhà cung cấp email tin tưởng hơn những tên miền có xác thực đầy đủ, nhờ đó thư của bạn ít bị đánh dấu spam (liên quan trực tiếp tới chuyện email doanh nghiệp tới được tay khách hàng).
  • Nhiều nơi nay yêu cầu: từ năm 2024, các dịch vụ lớn như Gmail và Yahoo bắt buộc người gửi email số lượng lớn phải có SPF, DKIM và DMARC — thiếu thì thư dễ bị chặn thẳng.

Làm sao để có và kiểm tra?

Về cơ bản, bạn thêm ba bản ghi (dạng bản ghi TXT) vào phần DNS của tên miền — mỗi bản ghi ứng với SPF, DKIM và DMARC. Bạn không phải tự nghĩ ra nội dung: nhà cung cấp dịch vụ email sẽ cấp sẵn các giá trị để bạn dán vào, hoặc cấu hình giúp luôn. Nếu chưa quen bản ghi trong DNS, xem bài các loại bản ghi DNS.

Các bước thêm thường như sau:

  1. Đăng nhập nơi quản lý tên miền, tìm mục DNS (hoặc "Quản lý bản ghi").
  2. Thêm một bản ghi TXT mới cho từng cơ chế.
  3. Dán đúng giá trị mà nhà cung cấp email đưa vào ô nội dung.
  4. Lưu lại và chờ bản ghi có hiệu lực — thường ít phút đến vài giờ tùy tên miền.

Các giá trị này nhìn như những dòng chữ kỹ thuật. Ví dụ, một bản ghi SPF thường có dạng v=spf1 include:... ~all, còn DMARC bắt đầu bằng v=DMARC1; p=none; .... Bạn không cần hiểu từng ký tự — chỉ cần dán đúng thứ nhà cung cấp đưa cho là được.

Muốn biết tên miền của mình đã thiết lập chưa, bạn dùng một công cụ kiểm tra. Nhập tên miền vào, công cụ soi ngay bản ghi SPFDMARC còn thiếu hay sai. Riêng DKIM hơi đặc biệt: mỗi nhà cung cấp email lưu nó dưới một cái tên riêng gọi là selector, nên bạn cần nhập thêm selector đó (nhà cung cấp cho biết) thì công cụ mới soi đúng. Bạn có thể dùng công cụ kiểm tra tên miền tại cloudmoon.net.

Ba bản ghi TXT SPF, DKIM, DMARC trong DNS và cách kiểm tra

Cách nhàn nhất cho người mới là chọn một dịch vụ email theo tên miền đã cấu hình sẵn SPF, DKIM, DMARC — bạn khỏi phải tự đụng vào phần kỹ thuật.

Câu hỏi thường gặp

Không có SPF, DKIM, DMARC thì sao?

Hai rủi ro chính: kẻ gian dễ giả mạo tên miền của bạn để gửi email lừa đảo, và email thật của bạn dễ bị các nhà cung cấp đánh dấu spam. Với doanh nghiệp gửi email cho khách, đây là điều nên tránh.

Ba cơ chế này có bắt buộc không?

Ngày càng gần như bắt buộc. Từ 2024, Gmail và Yahoo yêu cầu người gửi email số lượng lớn phải có đủ SPF, DKIM, DMARC. Kể cả gửi ít, mọi doanh nghiệp cũng nên thiết lập để bảo vệ thương hiệu và tăng khả năng vào hộp thư đến.

Người mới tự làm được không?

Được. Nhà cung cấp email cấp sẵn các giá trị, bạn chỉ việc dán ba bản ghi vào phần DNS của tên miền theo hướng dẫn. Nếu ngại kỹ thuật, chọn dịch vụ email đã cấu hình sẵn thì không phải làm gì.

Nên đặt DMARC ở mức nào trước?

Người mới nên bắt đầu ở mức chỉ theo dõi (none) để quan sát báo cáo mà không chặn nhầm email thật. Khi đã chắc mọi nguồn gửi hợp lệ đều đạt SPF/DKIM, bạn siết dần lên cách ly rồi từ chối.

Kiểm tra SPF, DKIM, DMARC của tên miền ở đâu?

Dùng công cụ kiểm tra tên miền. Chỉ cần nhập tên miền là công cụ soi ra bản ghi SPF và DMARC còn thiếu hay sai. Với DKIM, bạn nhập thêm "selector" (do nhà cung cấp email cấp) để công cụ soi đúng bản ghi đó.

Tóm lại, SPF DKIM DMARC là ba lớp bảo vệ cho email tên miền — như danh sách người được ủy quyền gửi thư, con dấu niêm phong chống giả, và bản nội quy kèm báo cáo cho bên nhận. Có đủ ba, bạn vừa chặn kẻ mạo danh, vừa giúp email vào hộp thư đến. Bạn có thể kiểm tra tên miền của mình ngay, hoặc chọn một dịch vụ email theo tên miền cấu hình sẵn tại cloudmoon.net để khỏi lo phần kỹ thuật.

Nguồn tham khảo

Bài viết liên quan

Bình luận (0)

Bạn cần đăng nhập để bình luận.

Chưa có bình luận nào. Hãy là người đầu tiên!