Blog Spaceship

SPF, DKIM và DMARC là gì?

Khi nói đến email, niềm tin là tất cả. Nhưng trước khi thư của bạn đến được hộp thư đến của ai đó, nó phải vượt qua một vài bước kiểm tra bảo mật âm thầm. SPF, DKIM và DMARC quyết định liệu email của bạn có trông hợp lệ hay sẽ rơi vào thư rác.

Hiểu cách các bản ghi này hoạt động và cách thiết lập chúng đúng cách có thể bảo vệ tên miền của bạn, đồng thời đảm bảo thư của bạn luôn đến đúng nơi cần đến.

SPF, DKIM và DMARC trong email là gì?

Từ lúc nhấn gửi đến khi email của bạn được chuyển đến, một chuỗi kiểm tra âm thầm bắt đầu. Mỗi bước đều đặt ra cùng một câu hỏi: đây có thực sự là từ bạn không?

SPF, DKIM và DMARC tạo thành một vòng phản hồi giữa người gửi và người nhận, xác minh danh tính của bạn trước khi thư rời khỏi tên miền, khi thư đến nơi hoặc cả hai. Kết hợp lại, chúng là thứ đứng giữa thư của bạn và thư mục thư rác.

Giải thích ngắn gọn về SPF, DKIM và DMARC:

  • SPF – kiểm tra xem máy chủ gửi thư của bạn có nằm trong danh sách được phê duyệt của tên miền hay không. Nếu có, email sẽ được chuyển qua. Nếu không, nó sẽ bị gắn cờ. Hãy nghĩ về nó như danh sách khách mời cho tên miền của bạn.

  • DKIM – thêm một con dấu số vào thư của bạn trước khi nó rời khỏi hộp thư đi. Khi đến phía bên kia, máy chủ nhận sẽ mở con dấu đó để đảm bảo không có gì bị thay đổi trong quá trình truyền tải.

  • DMARC – quyết định điều gì sẽ xảy ra nếu một trong hai bước kiểm tra đó thất bại. Nó cho máy chủ nhận biết phải làm gì, liệu có chuyển thư, gửi vào thư rác hay chặn hoàn toàn.

Ba yếu tố này hoạt động cùng nhau: một yếu tố xác minh người gửi, một yếu tố bảo vệ thư và một yếu tố thực thi các quy tắc.

Tại sao SPF, DKIM và DMARC lại quan trọng đối với bảo mật email?

SPF, DKIM và DMARC bảo vệ khỏi hai trong số những mối đe dọa lớn nhất đối với email hiện nay: thư rác và giả mạo. Kẻ tấn công thường gửi thư giả vờ là người khác. Hãy tưởng tượng bạn nhận được email từ Support@yourbank.com, yêu cầu bạn xác nhận thông tin tài khoản. Ba bước kiểm tra này đảm bảo rằng “ngân hàng” của bạn thực sự là ngân hàng của bạn:

Trong một cuộc tấn công lừa đảo, tin tặc sử dụng email giả để lừa mọi người chia sẻ mật khẩu, số thẻ tín dụng hoặc nhấp vào các liên kết độc hại. Nếu không có những biện pháp bảo vệ này, tên miền của bạn có thể bị mạo danh và khách hàng có thể nhận được những thư rất thuyết phục trông như được gửi từ bạn. Khi SPF, DKIM và DMARC được thiết lập, những thư giả đó thường sẽ bị chặn trước khi chúng kịp đến hộp thư đến.

  • SPF sẽ kiểm tra xem email có được gửi từ một máy chủ đã được phê duyệt hay không.

  • DKIM sẽ đảm bảo email không bị can thiệp trong quá trình truyền tải.

  • Nếu một trong hai bước kiểm tra này thất bại, thì DMARC sẽ đảm bảo email bị loại bỏ trước khi đến hộp thư đến của bạn

Tương tự, trong một cuộc tấn công lừa đảo, tin tặc gửi email giả để lừa mọi người tiết lộ mật khẩu hoặc nhấp vào các liên kết nguy hiểm. Nếu tên miền của công ty bạn không được bảo vệ, chúng có thể giả làm nhân viên và gửi email cho khách hàng của bạn để yêu cầu thông tin của họ. Nếu SPF, DKIM và DMARC được thiết lập, phần lớn những thư giả này sẽ không bao giờ đến được hộp thư đến của khách hàng, vì các máy chủ nhận có thể nhận ra rằng chúng không thực sự đến từ bạn.

Vì sao chúng cũng quan trọng đối với khả năng gửi đến (không chỉ là bảo mật)

Nếu bạn gửi bản tin, hóa đơn hoặc chiến dịch tiếp thị, mục tiêu của bạn có lẽ không chỉ là gửi đi mà còn là được nhìn thấy. Nhưng khi thư rác toàn cầu gia tăng, các nhà cung cấp lớn như Gmail và Yahoo đã đưa ra các quy tắc mới để giữ cho hộp thư đến luôn sạch sẽ.

Kể từ năm 2024, các nhà cung cấp này đã yêu cầu người gửi xác thực tên miền của họ bằng SPF, DKIM và DMARC. Nếu không có chúng, email của bạn có thể bị từ chối trước cả khi rời khỏi hộp thư đi. Việc liên tục vượt qua các bước kiểm tra này sẽ nâng cao uy tín người gửi của bạn và ngăn email của bạn rơi vào thư rác. Uy tín càng tốt, tốc độ gửi càng nhanh, càng ít bị gắn cờ là thư rác và độ tin cậy càng cao. Việc xây dựng uy tín đó trên một tên miền gửi mới — hoặc khôi phục nó trên một tên miền đã bị ảnh hưởng — chính là điều mà các nền tảng làm ấm chuyên dụng như Warmy được thiết kế để làm: tăng dần khối lượng gửi đi theo từng mức tăng hằng ngày có kiểm soát và tạo ra các tín hiệu tương tác tích cực với các nhà cung cấp hộp thư lớn để thư đã được xác thực bằng SPF, DKIM và DMARC luôn vào hộp thư đến chính thay vì mục quảng cáo hoặc thư rác.

SPF so với DKIM so với DMARC — Khác nhau ở điểm nào?

Mỗi lần bạn lên máy bay, bạn đều trải qua một quy trình gần như giống hệt cách SPF, DKIM và DMARC hoạt động. Điều đó có thể nghe lạ, nhưng ba thuật ngữ này không hẳn dễ nhớ, và sẽ hữu ích hơn nếu có một cách đơn giản hơn để ghi nhớ chúng. Hơn nữa, nếu không thiết lập ba thứ này, email của bạn rất có thể sẽ kết thúc giống như bạn khi lỡ làm thủ tục chuyến bay. Bị bỏ lại bên ngoài trong giá lạnh.

SPF – Trạm kiểm tra bảo mật đầu tiên của email bạn

Khi bạn đến quầy, sẵn sàng lên máy bay, nhân viên sẽ kiểm tra vé của bạn với danh sách chuyến bay. Nếu tên bạn có trong đó, bạn được phép bay. Nếu không, không có thẻ lên máy bay, không có chuyến bay.

SPF hoạt động theo cách tương tự. Mỗi tên miền, như example.com, giữ một “danh sách hành khách” hoặc bản ghi về những máy chủ thư nào được phép gửi email thay mặt cho tên miền đó. Khi bạn gửi email, máy chủ nhận sẽ kiểm tra xem máy chủ gửi của bạn có nằm trong danh sách đó hay không. Bằng cách thiết lập bản ghi SPF, về cơ bản bạn đang thêm tên mình vào danh sách để thư của bạn có thể vượt qua kiểm tra bảo mật mà không bị chậm trễ.

DKIM – Kiểm tra ID cho hộp thư đến của bạn

Khi vé của bạn hợp lệ, đã đến lúc chứng minh danh tính. Ảnh hộ chiếu xác nhận bạn thực sự là bạn, một chữ ký vật lý không dễ bị làm giả. DKIM cũng làm điều tương tự, nhưng dành cho email.

DomainKeys Identified Mail (DKIM) thêm chữ ký số vào mỗi thư gửi đi. Chữ ký này chứng minh email không bị thay đổi hoặc can thiệp trong quá trình truyền tải và ngăn email của bạn bị theo dõi. Khi bạn nhấn gửi, máy chủ của bạn sẽ ký email bằng khóa riêng. Khi email đến nơi, máy chủ nhận sẽ xác minh chữ ký đó, xác nhận rằng thư là thật và không bị chỉnh sửa.

DMARC – Điều gì xảy ra khi có sự cố

Nếu bạn đến sân bay mà không có vé hoặc hộ chiếu, hãng hàng không sẽ có chính sách rõ ràng về việc điều gì xảy ra tiếp theo. DMARC hoạt động theo cách tương tự khi kiểm tra SPF hoặc DKIM thất bại.

DMARC cho máy chủ nhận biết phải làm gì với email nếu kiểm tra SPF hoặc DKIM thất bại. Nó có thể:

  • Không làm gì cả

  • Cách ly thư (gửi vào thư rác)

  • Từ chối hoàn toàn thư

Là người gửi, bạn quyết định quy tắc nào được áp dụng. Bạn thiết lập nó trong DNS của mình, xác định điều gì sẽ xảy ra khi thư của bạn không vượt qua kiểm tra.

Cách thiết lập SPF, DKIM và DMARC cho tên miền của bạn

Để thiết lập SPF, DKIM, DMARC, bạn sẽ cần quyền truy cập vào DNS của mình. Đây là nơi máy chủ tên của tên miền của bạn trỏ đến, tức là nhà đăng ký hoặc máy chủ DNS.

Như chúng tôi đã đề cập ở trên, SPF hoạt động như một danh sách hành khách, cho máy chủ nhận biết máy chủ nào có thể gửi thư cho tên miền của bạn. Vì vậy, để thiết lập SPF, bạn cần đưa email của mình vào danh sách hành khách đó. Để làm điều này có một vài bước.

1. Kiểm tra xem bạn đã có SPF chưa

Bắt đầu bằng cách sử dụng công cụ tra cứu DNS miễn phí để kiểm tra xem tên miền của bạn đã có bản ghi SPF hay chưa. Nếu công cụ trong tab TXT hiển thị một bản ghi bắt đầu bằng v=spf1, điều đó có nghĩa là SPF đã được thiết lập cho tên miền của bạn.

Nếu không có bản ghi như vậy xuất hiện, bạn sẽ cần tạo một bản ghi SPF mới từ đầu.

2. Thêm bản ghi SPF mới trong DNS

Để thêm bản ghi SPF mới, hãy vào phần cài đặt DNS của nhà cung cấp tên miền của bạn. Đó có thể là Spaceship, Google, Outlook, v.v., tùy thuộc vào nhà cung cấp của bạn là ai. Tìm danh sách các bản ghi hiện có và chọn Add Record, sau đó chọn TXT từ menu loại.

Tiếp theo, điền vào các trường như hiển thị bên dưới để tạo mục SPF của bạn.

Đối với Spacemail, sẽ trông như sau:Type: TXT Record | Host: @ | Value: v=spf1 include:spf.spacemail.com ~all | TTL: Automatic

Lưu lại và đợi vài phút để bản ghi được cập nhật.

3. Xác minh bản ghi

Lúc này, bạn có thể chạy một lần kiểm tra khác trên công cụ tra cứu DNS của mình. Nếu công cụ hiển thị giá trị của bạn, thì mọi thứ đã ổn. Cũng cần nhớ rằng bản ghi máy chủ có thể mất đến 24 giờ để cập nhật, vì vậy đừng lo lắng nếu nó chưa xuất hiện ngay.

Bước 2. Cập nhật cài đặt DKIM của bạn

DKIM thêm chữ ký số vào mọi email mà tên miền của bạn gửi đi, chứng minh rằng email đó không bị can thiệp.

1: Tạo bản ghi DKIM của bạn

Bắt đầu trong phần cài đặt của nhà cung cấp email của bạn.

  1. Đi đến phần xác thực tên miền hoặc bảo mật email.

  2. Tìm tùy chọn có nhãn DKIM, DomainKeys hoặc nội dung tương tự.

  3. Chọn nút để tạo khóa DKIM mới.

Nhà cung cấp của bạn sẽ cung cấp cho bạn hai thông tin quan trọng:

  • Một bộ chọn (ví dụ: selector1._domainkey)

  • Chính bản ghi DKIM — một chuỗi dài văn bản được mã hóa

Bạn nên sao chép cả hai vào nơi an toàn, vì bạn sẽ cần chúng ở bước tiếp theo.

2: Thêm bản ghi DKIM vào DNS của bạn

Tiếp theo, đăng nhập vào nhà cung cấp DNS của bạn.

  1. Mở các bản ghi DNS của bạn và tạo một mục mới.

  2. Chọn CNAME nếu bản ghi ngắn hoặc TXT nếu đó là khóa dài hơn.

  3. Trong trường Host hoặc Name, nhập bộ chọn DKIM (ví dụ: selector1._domainkey).

  4. Trong trường Value, dán bản ghi DKIM từ nhà cung cấp email của bạn.

  5. Lưu các thay đổi của bạn.

Hãy đợi vài phút vì các thay đổi DNS có thể mất một lúc để cập nhật.

Đối với email doanh nghiệp Spacemail, bạn có thể thiết lập bản ghi DKIM bằng hướng dẫn này.

Bước 3. Thêm cài đặt DMARC

Sau khi SPF và DKIM được thiết lập, bước cuối cùng là DMARC. Bạn chỉ cần thêm một bản ghi TXT nữa vào DNS của tên miền. Bản ghi này cho các máy chủ thư nhận biết phải làm gì nếu email từ tên miền của bạn không vượt qua xác thực, đồng thời cho bạn khả năng theo dõi ai đang gửi thư thay mặt bạn.

Bản ghi DMARC có một vài phần chính mà bạn cần hiểu trước khi thêm nó:

  • v=DMARC1 – phần này cho máy chủ thư biết rằng bạn đang sử dụng DMARC. Nó luôn đứng đầu tiên.

  • p= – phần này đặt chính sách của bạn về cách xử lý các thư chưa được xác thực:

  • rua=mailto: – phần này cho máy chủ thư biết nơi gửi báo cáo DMARC hằng ngày của bạn. Bạn có thể dùng địa chỉ như security@yourdomain.com hoặc dmarc@yourdomain.com. Những báo cáo này cho thấy IP nào đang gửi thay mặt tên miền của bạn, giúp bạn phát hiện bất kỳ điều gì bất thường.

1: Tạo bản ghi DMARC cho tên miền của bạn

Mở công cụ tạo bản ghi DMARC (bạn có thể dùng bất kỳ công cụ tạo DMARC nào bạn thích) và điền tên miền của bạn vào thanh tìm kiếm. Sau khi hoàn tất, nhấp vào nút Check DMARC Record. Tùy chỉnh cài đặt DMARC theo nhu cầu của bạn và lấy bản ghi đã được tạo.

2: Thêm bản ghi DMARC của bạn vào cài đặt DNS

Đi đến nhà cung cấp DNS của bạn. Tạo một bản ghi mới, chọn TXT làm loại bản ghi máy chủ. DMARC sử dụng định dạng bản ghi TXT, giống như SPF.

Sử dụng host: _dmarcAdd value, giá trị bạn đã tạo trước đó

Sau khi thêm xong, hãy lưu các thay đổi và đợi vài phút để bản ghi được cập nhật. Bạn có thể sử dụng các công cụ như MX Lookup Tool hoặc các công cụ miễn phí khác để kiểm tra rằng bản ghi DMARC của bạn đã được thiết lập đúng cách.

Bạn có thể dùng hướng dẫn này để thiết lập bản ghi DMARC cho tên miền của bạn với Spacemail.

Thiết lập email của bạn đúng cách

Nếu thư của bạn liên tục rơi vào thư rác hoặc biến mất giữa chừng, nguyên nhân có thể là do thiếu xác thực. SPF, DKIM và DMARC cung cấp cho email của bạn các thông tin xác thực cần thiết để đến hộp thư đến một cách an toàn.

Khi nghe giải thích về SPF, DKIM và DMARC, mọi thứ có thể nghe có vẻ phức tạp, nhưng điều tuyệt vời là chúng không đòi hỏi công cụ đắt tiền hay thiết lập phức tạp, chỉ cần một vài bản ghi DNS và một chút kiên nhẫn. Chúng là một trong những giao thức email đơn giản nhất mà bạn có thể thêm vào hệ thống email của mình và sẽ mang lại hiệu quả mỗi khi thư của bạn đến đúng nơi cần đến.

Câu hỏi thường gặp

SPF xác minh rằng email của bạn được gửi từ một máy chủ đã được phê duyệt. Bảo mật email DKIM hoạt động bằng cách ký mỗi thư bằng một khóa số để người nhận biết rằng thư không bị can thiệp. DMARC liên kết chúng lại với nhau, cho máy chủ biết phải làm gì nếu có điều gì đó không ổn. Cùng nhau, chúng giúp email của bạn đáng tin cậy, được xác minh và an toàn.

Khi so sánh DMARC với SPF và DKIM, chúng hoạt động tốt nhất khi là một đội. Xác thực email SPF và DKIM thực hiện việc kiểm tra, còn DMARC quyết định điều gì xảy ra nếu các bước kiểm tra đó thất bại. Nếu không có DMARC, email của bạn vẫn có thể vượt qua, nhưng bạn sẽ không kiểm soát được điều gì xảy ra khi chúng không vượt qua. Thiết lập cả ba một lần và bạn sẽ bao quát đầy đủ cho cả bảo mật lẫn khả năng gửi đến.

Giả mạo xảy ra khi ai đó gửi email giả vờ là bạn. SPF kiểm tra thư đến từ đâu, DKIM xác nhận thư không bị thay đổi và DMARC chặn bất kỳ điều gì đáng ngờ.

Nếu không có DMARC, sẽ không có quy tắc rõ ràng về cách các máy chủ thư xử lý những thư đáng ngờ. Điều đó có nghĩa là email giả có thể lọt qua hoặc email thật của bạn có thể bị đánh dấu là thư rác. DMARC là phần thực thi các quy tắc và nếu không có nó, tên miền của bạn sẽ không được bảo vệ.

Không hẳn, chúng chỉ đảm nhiệm những công việc khác nhau. SPF kiểm tra ai đang gửi email; DKIM kiểm tra xem email có bị thay đổi hay không. Không cái nào hoạt động hoàn hảo khi đứng một mình, nhưng cùng nhau chúng tạo nên một tuyến phòng thủ đầu tiên mạnh mẽ.


Bài viết đề xuất

Chia sẻ suy nghĩ của bạn

Yêu cầu nhiều hơn 10 ký tự.
Danh tính của bạn để hiển thị công khai.
Việc cung cấp địa chỉ email là tùy chọn. Nó sẽ không được chia sẻ với bên thứ ba.

Giúp chúng tôi cải thiện blog của mình

Chia sẻ suy nghĩ của bạn trong một cuộc khảo sát nhanh chóng hai phút.

Cần có địa chỉ email hợp lệ