Các cấu hình SPF, DKIM, DMARC là cấu hình bảo mật nâng cao giúp mail của các bạn được an toàn & bảo mật hơn. Với cấu hình chuẩn sẽ giúp thư gửi đi không bị đánh dấu là spam. Mình cũng đã gặp một số trường hợp người dùng không quan tâm đế các cấu hình này và cấu hình sai; dẫn đến trường hợp thư gửi đi liên tục vào hộp spam của người đọc.
Trong bài viết, mình sẽ hướng dẫn các bạn cách cấu hình SPF, DKIM, DMARC trên Google Workspace cho chuẩn nhé!
1. Bản Ghi SPF là gì? Cách cấu hình SPF cho Google Workspace
a. Giới thiệu về SPF (sender policy framework)
SPF record (sender policy framework) là 1 kiểu bản ghi của dịch vụ tên miển (DNS) được dùng để xác định máy chủ mail được quyền gửi mail đại diện cho domain của bạn. Mục đích của bản ghi SPF là ngăn chặn kẻ gởi tin rác gởi tin nhắn giả mạo từ địa chỉ tên miền của bạn. Người nhận có thể tham chiếu đến bản ghi SPF để xác định liệu nội dung tin nhắn tới từ domain của bạn có được thẩm quyền từ máy chủ mail.
Ví dụ:
Giả sử domain 1backup.net dùng gmail. Bạn tạo bản ghi SPF để xác định Google Apps mail server chứng thực mail server cho domain của ban. Khi người nhận của máy chủ mail nhận tin nhắn từ user@hostingviet.vn, nó có thể kiểm tra bản ghi SPF của hostingviet.vn để xác định liệu nó có là tin nhắn hợp lệ. Nếu tin nhắn đến từ 1 domain # Google Apps mail server được tìm thấy trong bản ghi SPF thì người nhận sẽ từ chối mail như là 1 mail rác. Nếu domain của bạn ko co bản ghi SPF, một vài người nhận của các domain có lẽ sẽ chối từ tin nhắn người dùng của bạn bởi vì họ không thể xác nhận rằng tin nhắn này đến từ 1 server mail được ủy quyền.
b. Cách cấu hình SPF cho Google Workspace
Để cấu hình xác thực SPF cho Google Workspace bạn cần phải vào trong phần quản trị của tên miền tạo một bản ghi TXT và 1 bảng ghi SPF Record với nội dung như sau:
Bảng ghi TXT
Typle: TXT
Host/Name: @
Value/Destination: v=spf1 include:_spf.google.com ~all
Bảng ghi SPF
Typle: SPF
Host/Name: @
Value/Destination: v=spf1 include:_spf.google.com ~all
Đối với một số nhà cung cấp dịch vụ không có tuỳ chọn bảng ghi SPF bạn cũng có thể chỉ cần thêm mỗi TXT là được.
2. Bản Ghi DKIM là gì? Cách cấu hình DKIM cho Google Workspace
a. Giới thiệu về DKIM
DKIM viết tắt của Domain Keys Identified Mail, là một phương thức giúp xác nhận các email thông qua chữ ký số của miền gửi thư, việc này giúp tránh email giả mạo, mục đích chính ban đầu của DKIM được thiết kế ra là để người nhận có thể xác định email đến từ tên miền cụ thể nào, tên miền đó thật không, có được ủy quyền hay không.
Bên cạnh đó, DKIM cũng có khả năng chặn các địa chỉ email giả mạo, chức năng được hữu ích được sử dụng rất nhiều ngày nay, nhất là đối với các dòng thư giả mạo, thư lừa đảo, email spam chứa các mã độc,…
b. Cách cấu hình DKIM
Để cấu hình DKIM các bạn có thể làm theo hướng dẫn sau:
Bước 1: Truy cập vào Admin Console và tìm trên thanh tìm kiếm từ khoá DKIM hoặc truy cập theo link này
Bước 2: Nhấp vào Generate new record và chọn Prefix selector là google
- Chọn Generate
- Chọn 1 trong 2 loại bản ghi DKIM: DKIM 1024 bit và DKIM 2048 bit. (DKIM 1024: Nhiều nhà cung cấp dịch vụ DNS hỗ trợ. (Khuyến nghị nếu sử dụng nhà cung cấp DNS ở Vietnam. DKIM 2048: Ít nhà cung cấp dịch vụ DNS hỗ trợ, nhưng bảo mật cao hơn DKIM 1024 bit)
Bước 3: Truy cập vào trang quản trị DNS và thêm vào 1 TXT records mà Google vừa tạo.
Bản ghi DKIM cần cấu hình trên DNS sẽ có giá trị như sau:
- Type: TXT
- Host/name: google._domainkey
- Value: *Giá trị mà quản trị viên vừa khởi tạo*
Bước 4: Sau khi cập nhật bản ghi TXT trên trang quản trị DNS như hướng dẫn trên, quản trị viên hệ thống quay trở lại Google Admin Console để xác thực email bằng cách Nhấn chọn START AUTHENTICATION
2. Bản Ghi DMARC là gì? Cách cấu hình DMARC cho Google Workspace
a. Giới thiệu về bảng ghi DMARC trong email
DMARC viết tắt của Domain-based Message Authentication, Reporting & Conformance là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữu mà không được sự cho phép của họ mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những mail hợp lệ mới được chấp nhận vào hệ thống.
DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiết lập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF. DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là môt mô tả cách thức SPF và DKIM cùng làm việc với DMARC.
Lưu ý: Chỉ thêm bản ghi DMARC sau khi đã cấu hình hoàn chỉnh bản ghi SPF và DKIM cho hệ thống.
b. Cách cấu hình DMARC cho email
Để cấu hình DMARC bạn hãy truy cập vào trang quản trị DNS và thêm vào 1 TXT records
- Host/Name: _dmarc
- Value/Destination: v=DMARC1; p=reject; rua=mailto:postmaster@your_domain.com (có thể thay thế bằng tài khoản Admin để nhận thông báo hoặc không điền)
Ngoài ra, Google cũng khuyến cáo người dùng nên duyệt email trên giao diện web của Google (tương tự gmail.com) để các bản ghi nâng cấp bảo mật SPF, DKIM, DMARC hoạt động hiệu quả, kết hợp với các tính năng cảnh báo email, report spam, report phishing email giúp tài khoản luôn được an toàn và tránh các rủi ro liên quan đến bảo mật thông tin trong doanh nghiệp
Sau khi cấu hình xong các bạn cũng có thể sử dụng công cụ Check MX tại đây để kiểm tra xem mọi thứ đã hoạt động đúng chưa: https://toolbox.googleapps.com/apps/checkmx/
Xin cảm ơn các bạn đã theo dõi. Nếu thấy bài viết hữu ích hãy cho mình 1 đánh giá 5 sao nhé!
Chúc các bạn thành công.
