Sự xuất hiện của DMARC đại diện cho một bước tiến quan trọng trong sự phát triển của công nghệ xác thực email. Vậy, DMARC là gì? Nó mang lại những ưu điểm gì trong việc xác thực email? Tại sao vai trò của DMARC lại đặc biệt quan trọng như vậy? Và làm thế nào để triển khai DMARC trên domain? Mời bạn cùng tìm hiểu trong bài viết sau đây của VinaHost.

1. DMARC là gì?

DMARC (Domain-based Message Authentication, Reporting & Conformance) là một giao thức sử dụng Sender Policy Framework (SPF) và DomainKeys Identified Mail (DKIM) để xác định tính xác thực của một email.

Giao thức này giúp nhà cung cấp dịch vụ internet (ISP) ngăn chặn các hoạt động email độc hại, như việc giả mạo domain để lừa đảo và thu thập thông tin cá nhân của người nhận.

dmarc la gi — DMARC là một giao thức xác định tính xác thực của một email.

Về cơ bản, DMARC cho phép người gửi email quy định cách xử lý các email không rõ nguồn gốc thông qua SPF hoặc DKIM. Người gửi có thể lựa chọn đưa những email này vào thư mục rác hoặc chặn chúng hoàn toàn. Điều này giúp ISP phát hiện được người gửi thư rác một cách hiệu quả hơn và ngăn chặn email độc hại xâm nhập vào hộp thư đến của người dùng.

DMARC record được xuất bản kèm theo các DNS record bao gồm SPF, A-record, CNAME, và DKIM. Lưu ý rằng không phải tất cả các máy chủ nhận đều thực hiện kiểm tra DMARC trước khi chấp nhận email, tuy nhiên, tất cả các ISP chính thường triển khai và thực hiện nó.

Xem thêm: Email Là Gì? Tổng Hợp Toàn Bộ Kiến Thức [A-Z] Về Email

2. Tại sao phải cần sử dụng DMARC?

Rất nhiều công ty trên toàn cầu vẫn chưa hiểu tầm quan trọng của chính sách DMARC đối với sự an toàn của thương hiệu và khách hàng của họ. Điều này là một trong những nguyên nhân khiến tỷ lệ lừa đảo và giả mạo email vẫn đang ở mức cao. Nếu thiếu giao thức này thì việc phân biệt giữa email thật và giả sẽ trở nên khó khăn. DMARC cung cấp cho chủ sở hữu tên miền khả năng bảo vệ domain của họ.

Nếu bạn sử dụng email, việc áp dụng giao thức này sẽ mang lại lợi ích cho bạn. Khi các biện pháp kiểm soát bảo mật được triển khai để chống lại email lừa đảo, quá trình phân phối sẽ trở nên đơn giản và sự tin cậy của thương hiệu cũng được tăng cao.

3. Lợi ích khi sử dụng DMARC là gì?

Dưới đây là một số lợi ích nổi bật mà DMARC mang lại.

3.1. Hiển thị tên miền

Giao thức này cung cấp thông tin về cách mà tên miền của bạn được sử dụng trên Internet. Cơ chế báo cáo DMARC cung cấp số liệu về các email được gửi bằng miền của bạn từ tất cả các nguồn trên internet. Các báo cáo này sẽ tiết lộ những thông tin chi tiết như:

Ai đang sử dụng tên miền của bạn để gửi email (bao gồm cả nguồn hợp pháp và bất hợp pháp).
Số lượng email được gửi bởi mỗi nguồn.
Phần trăm email được gửi bởi các nguồn hợp pháp đang được xác thực.
Các nguồn gửi email chưa được xác thực.
Phương thức xác thực nào (SPF, DKIM, DMARC) gặp lỗi.

Các báo cáo này cung cấp cái nhìn tổng quan về việc sử dụng miền email của bạn và cung cấp cơ hội để cải thiện thông tin liên lạc qua email của bạn.

Xem thêm: Email Domain Là Gì? Tổng Hợp Kiến Thức về Email Domain

3.2. Toàn quyền kiểm soát email

Giao thức này mang lại cho bạn quyền kiểm soát hoàn toàn đối với các email được gửi từ miền của bạn. Nếu có bất kỳ vi phạm nào đối với miền của bạn, bạn sẽ ngay lập tức thấy thông tin về việc này trong báo cáo DMARC. Ngoài ra, báo cáo còn cung cấp chi tiết về các nguồn gửi email hợp pháp nhưng chưa được xác thực. Điều này giúp bạn có thể can thiệp và khắc phục các vấn đề xác thực kịp thời.

Báo cáo cũng bao gồm thông tin về lượng email được gửi từ các miền của bạn. Vì thế, nếu bạn phát hiện sự tăng đột ngột về số lượng email gửi đi, bạn có thể kiểm tra xem liệu chúng được gửi từ nguồn hợp pháp hay là từ một cuộc tấn công mạng.

3.3. Khả năng bảo mật

Các tổ chức thường có ít quyền kiểm soát đối với các miền của họ để ngăn chặn việc mạo danh. Giao thức này có thể giúp giải quyết tình trạng này. Bạn có thể chỉ đạo hệ thống nhận email thông qua chính sách DMARC về cách xử lý khi một thông báo được nhận từ miền của bạn nhưng không được xác thực đúng cách.

Bạn có thể yêu cầu nhà cung cấp hộp thư từ chối mọi thư được gửi từ miền của bạn mà không vượt qua kiểm tra DMARC. Điều này giúp bảo vệ miền của bạn khỏi sự giả mạo và bảo vệ người nhận email khỏi các thư rác.

3.4. Nhận diện thương hiệu tốt hơn

Giao thức này cho phép truy cập vào tiêu chuẩn BIMI (Brand Indicators for Message Identification). Đây là một tiêu chuẩn email mới đang ngày càng được nhiều nhà cung cấp dịch vụ email áp dụng và hỗ trợ. Hiện tại, chỉ có Yahoo và Gmail hỗ trợ BIMI.

BIMI cung cấp cho người gửi email một cách mới để nổi bật hơn trong hộp thư đến của người nhận bằng cách hiển thị logo của họ bên cạnh thư. Lựa chọn này giúp email của bạn thể hiện thương hiệu và uy tín ngay lập tức.

3.5. Khả năng cung cấp

Giao thức này củng cố SPF (Khung chính sách người gửi) và DKIM (Thư được xác định bằng khóa miền). Nếu thư được tuân thủ theo DMARC, thì email đó luôn được ưu tiên do hệ thống nhận email tin tưởng vào các email đã được xác thực.

Trong trường hợp thiếu DMARC:

Người nhận không thể phân biệt email của một công ty hợp pháp với email mạo danh.
Nhà cung cấp dịch vụ email (ESP) không đủ cơ sở để đưa ra quyết định chính xác về email nào là giả mạo và email nào là thật.
Người gửi không nhận biết được các hoạt động trái phép trên miền mà họ sử dụng để gửi email.

Xem thêm: Email Relay là gì? | Lúc nào nên sử dụng Email Relay?

4. Nguyên lý hoạt động của DMARC là gì?

Dựa trên cơ sở của DKIM và SPF, DMARC đã được phát triển. Vì vậy, trước hết, chúng ta sẽ cùng tìm hiểu về DKIM và SPF là gì?

4.1. DMARC – DKIM (Domainkeys Identified Mail)

DKIM là một cách thức để xác thực tính hợp lệ của email. Mỗi email khi được gửi đi sẽ được gắn với một khóa private key, sau đó sẽ được xác thực bởi máy chủ email nhận bằng một khóa public key được thiết lập trong bản ghi DNS.

Quá trình này đảm bảo rằng email không bị thay đổi trong quá trình truyền tải đến người nhận. Nó ngăn chặn bất kỳ ai cố gắng can thiệp vào email của bạn, sửa đổi nó và sau đó gửi đi với nội dung mới. Ý nghĩa của nó tương tự như giao thức SSH mà chúng ta thường sử dụng hàng ngày.

DKIM cũng hỗ trợ các ISP sử dụng thông tin này để đánh giá mức độ tin cậy của domain thông qua một thước đo thường được gọi là “reputation”. Việc gửi email một cách tích cực với tỷ lệ SPAM và bounces thấp, cùng tỷ lệ chấp nhận cao sẽ tăng cường độ tin cậy của domain đó đối với các ISP.

Xem thêm: DKIM là gì? | Hướng dẫn cách cấu hình DKIM chi tiết A-Z

4.2. DMARC – SPF (Sender Policy Framework)

SPF là cách để xác định xem một máy chủ email có được phép gửi email dưới tên một domain cụ thể không. Ví dụ, chỉ có máy chủ email từ @<tên miền>.com và địa chỉ IP 123.123.123.123 mới được phép gửi email, các máy chủ email khác có IP khác gửi từ @<tên miền>.com sẽ bị xem là giả mạo và bị từ chối bởi SPF.

Trong trường hợp này, máy chủ email nhận sẽ tự động loại bỏ tất cả các email gửi từ @<tên miền>.com nhưng có địa chỉ IP không phải 123.123.123.123. Tuy nhiên, máy chủ email nhận phải được cấu hình để kiểm tra SPF, nếu không, việc cấu hình SPF cũng không có ý nghĩa.

Để thiết lập bản ghi SPF cho domain, bạn thêm một bản ghi với thông tin sau:

Host Records: <tên miền>.com
Record Type: TXT
Address: v=spf1 a mx:<tên miền>.com ip4:123.123.123.123 ~all

Trong đó, 123.123.123.123 là địa chỉ IPv4 của máy chủ SMTP.

Xem thêm: SPF Record là gì? | Hướng dẫn tạo TXT SPF Record A-Z

4.3. DMARC kết hợp DKIM và SPF

DMARC đi một bước xa hơn so với DKIM và SPF khi nó cho phép chúng ta thiết lập một chính sách để loại bỏ (reject) hoặc cách ly (quarantine – thường là đưa email vào thư mục SPAM) một email không rõ nguồn hoặc không đáng tin cậy, dựa trên kết quả của DKIM và SPF.

Giao thức này cho phép chúng ta chỉ định cho các máy chủ email phía nhận cách xử lý khi SPF hoặc DKIM không thành công hoặc không tồn tại. Dưới đây là mô tả về cách SPF và DKIM hoạt động cùng với DMARC.

5. Hướng dẫn cách triển khai DMARC trên domain

Cách triển khai trên domain được thực hiện như sau.

5.1. DMARC record là gì?

DMARC record là một bản ghi, nơi định rõ các quy tắc của DMARC. Bản ghi này thông báo cho các nhà cung cấp dịch vụ email (như Gmail, Microsoft, Yahoo!, v.v.) biết liệu một miền có sử dụng DMARC hay không.

Bản ghi DMARC phải được đặt trong DNS của bạn. Tên bản ghi TXT cần được đặt là “_dmarc.yourdomain.com.” trong đó “yourdomain.com” thay thế bằng tên miền thực của bạn (hoặc miền phụ).

Bạn có thể truy cập https://www.valimail.com/ để xem DMARC record cho bất kỳ domain nào nếu chúng đã được gửi đi.

Dưới đây là một ví dụ về bản ghi DMARC của SendGrid:

v=DMARC1; p=none; rua=mailto:dmarc@sendgrid.com; ruf=mailto:dmarc@sendgrid.com; rf=afrf; pct=100

5.2. Ý nghĩa của DMARC Record

v = DMARC1

Lệnh v = DMARC1 là phiên bản mà máy chủ sẽ tìm trong bản ghi DNS cho miền nhận thông báo. Nếu không có bản ghi txt nào bắt đầu bằng v = DMARC1, máy chủ nhận sẽ không thực hiện kiểm tra DMARC.

p = none

Trong bản ghi DMARC của bạn,việc lựa chọn chính sách sẽ hướng dẫn server email của người nhận về cách xử lý email không đáp ứng SPF và DKIM. Ở trường hợp này, chính sách đã được đặt là “none”. Có ba loại chính sách mà bạn có thể áp dụng:

p = none: Yêu cầu người nhận không thực hiện bất kỳ hành động nào đối với email không đáp ứng tiêu chuẩn, nhưng vẫn gửi báo cáo email đến mailto: trong bản ghi DMARC
p = quarantine: Yêu cầu người nhận đưa email không đáp ứng tiêu chuẩn vào chế độ cách ly (có thể là gửi đến thư mục thư rác).
p = reject: Yêu cầu người nhận từ chối toàn bộ email không đáp ứng tiêu chuẩn. Khi tính năng này được kích hoạt, chỉ có email được xác minh 100% từ miền của bạn mới có thể được chấp nhận vào hộp thư đến. Mọi email không đáp ứng đều bị từ chối mà không được trả lại.

rua = mailto: dmarc@sendgrid.com

Phần này chỉ cho máy chủ biết nơi gửi báo cáo tổng hợp về các lỗi DMARC. Báo cáo tổng hợp được gửi hàng ngày đến quản trị viên của miền có bản ghi DMARC. Chúng cung cấp thông tin tổng quan về các vấn đề nhưng không cung cấp chi tiết cụ thể về mỗi vấn đề. Địa chỉ email có thể là bất kỳ địa chỉ nào bạn chọn.

ruf = mailto: dmarc@sendgrid.com

Trong phần này, ruf = mailto: dmarc@sendgrid.com giúp máy chủ nhận biết nơi gửi báo cáo về các lỗi DMARC. Các báo cáo này được gửi theo thời gian thực đến quản trị viên của miền có bản ghi DMARC. Chúng chứa thông tin chi tiết về từng lỗi. Địa chỉ email này phải thuộc về miền mà bản ghi DMARC được gửi từ.

rf = afrf

Phần này xác định định dạng báo cáo mà chủ sở hữu chính sách muốn. Trong trường hợp này, rf = afrf biểu thị định dạng báo cáo lỗi tổng hợp.

pct = 100

Phần này cho biết tỷ lệ phần trăm email của họ phải tuân theo các thông số của chính sách DMARC. Bạn có thể chọn bất kỳ số nào từ 1-100. Trong trường hợp này, nếu p = được thiết lập thành reject, 100% email không tuân thủ DMARC sẽ bị từ chối.

sp =

Phần này sẽ thông báo cho máy chủ nhận biết liệu chính sách DMARC có áp dụng cho các subdomain hay không.

adkim =

Nhiệm vụ của phần này là thiết lập cân nhắc DKIM. Nó có thể được đặt thành “s” strict hoặc “r” relaxed. Strict có nghĩa là phần xác thực DKIM của DMARC chỉ sẽ được chấp nhận nếu trường DKIM d = khớp chính xác với domain. Nếu được đặt thành relaxed, các email sẽ chấp nhận phần xác thực DKIM của giao thức này nếu trường DKIM d = phù hợp với root domain của địa chỉ.

ri =

Phần này xác định khoảng thời gian cho tần suất mà bạn muốn nhận báo cáo tổng hợp về các lỗi DMARC.

5.3. Bước 1: Tạo một bản ghi DMARC

Bắt đầu bằng cách tạo một bản ghi như sau:

_dmarc.domain.com TXT v=DMARC1; p=none; pct=100; rua=mailto:dmarc-reports@domain.com;

Ở đây, “none” cho biết đây là chế độ thử nghiệm. Mail Server bên nhận sẽ kiểm tra từng email được gửi đến nhưng chỉ gửi về các báo cáo mà không thực hiện bất kỳ hành động nào.

Quy trình này giúp thu thập thông tin về các địa chỉ mail server gửi đến trước khi quyết định thực hiện hành động phù hợp.

5.4. Bước 2: Phân tích DMARC report

Có 3 thống kê quan trọng mà bạn cần lưu ý:

Processed: Số lượng email đã được gửi report.
Fully Aligned: Số lượng email được chấp nhận bởi SPF và DKIM.
Failed: Số lượng email không được chấp nhận bởi SPF hoặc DKIM.

Tiếp theo, chúng ta sẽ kiểm tra hai phần: Trusted sources và Unknown/Threats:

Trusted sources: Đây là các địa chỉ email server bao gồm cả domain và IP đã được chấp nhận bởi SPF và DKIM.
Unknown/Threats: Đây là những địa chỉ email server không được chấp nhận bởi SPF hoặc DKIM. Trong nhiều trường hợp, Unknown là những nguồn gốc hợp lệ đang gửi email nhưng không sử dụng DKIM hoặc SPF. Do đó, điều này làm cho việc thực thi DMARC trở nên rất khó khăn.

5.5. Bước 3: Chuyển tất cả các địa chỉ đã biết (xác định là hợp lệ) để gán DMARC

Sau khi thu thập được những địa chỉ hợp lệ, chúng ta sẽ tạo một danh sách cho chúng và đối chiếu. Mục tiêu cuối cùng là kiểm tra việc pass cả DKIM và SPF, trong những trường hợp đặc biệt như email forwarding, khi Return-path bị thay đổi và SPF failed nhưng có DKIM, email vẫn được xem là hợp lệ.

5.6. Bước 4: Thực thi thực tế

Bước cuối cùng là áp dụng vào thực tế, sau khi đã thu thập được các đối tượng hợp lệ. Bạn tiến hành chuyển bản ghi sang chế độ giám sát chặt chẽ hơn là “p=quarantine”.

Đối với các email gửi đến nhưng bị thất bại, chúng sẽ được chuyển vào thư mục Spam hoặc Junk. Cuối cùng, chúng ta sẽ đặt chế độ khắt khe nhất là “p=reject”. Mục đích là loại bỏ hoàn toàn tất cả các email gửi đến nhưng bị thất bại.

Xem thêm: [Tìm hiểu] MDaemon là gì? | 8 tính năng nổi bật của MDaemon

6. Tổng kết

DMARC là một bước tiến quan trọng trong việc xác thực email. Đây là một minh chứng tuyệt vời về sự hợp tác giữa người gửi email và ISP để bảo vệ và ngăn chặn email rác. Hy vọng bạn đã hiểu được DMARC là gì và cách sử dụng nó. Bạn có thể truy cập vào Blog của VinaHost TẠI ĐÂY để xem thêm nhiều bài viết hấp dẫn khác. Hoặc liên hệ ngay cho chúng tôi khi cần hỗ trợ nhé: