Thiết lập SPF, DKIM, DMARC chống giả mạo

Thiết lập SPF, DKIM, DMARC là bộ ba hành động kỹ thuật quan trọng nhất mà bất kỳ chủ sở hữu tên miền nào cũng phải thực hiện để bảo vệ hệ thống email của mình.

Trong thời đại mà tấn công giả mạo email (spoofing) và lừa đảo (phishing) diễn ra hàng ngày, việc không có các bản ghi này giống như để cửa ngỏ cho kẻ gian mạo danh thương hiệu của bạn gửi thư rác, lừa đảo khách hàng.

Điều này không chỉ phá hủy uy tín mà còn khiến email của bạn bị các nhà cung cấp (như Google, Microsoft) đánh dấu là Spam. Bài viết này sẽ hướng dẫn chi tiết quy trình cấu hình ba bản ghi này.

Tại sao việc xác thực email này lại quan trọng?

Trước khi đi vào kỹ thuật, chúng ta cần hiểu “tại sao”. Ban đầu, giao thức email (SMTP) được thiết kế không có cơ chế xác thực. Điều này có nghĩa là, về cơ bản, bất kỳ ai cũng có thể gửi một email và khai báo trường “From” (Từ) là ceo@congtycuaban.com.

Đây chính là lỗ hổng “giả mạo email” (Email Spoofing).

Kẻ xấu lợi dụng điều này để:

• Gửi thư lừa đảo (Phishing): Giả mạo email từ ngân hàng, đối tác, hoặc thậm chí là sếp của bạn để yêu cầu chuyển tiền, tiết lộ mật khẩu.

• Phát tán mã độc: Gửi virus, ransomware mạo danh một nguồn tin cậy.

• Hủy hoại uy tín thương hiệu: Gửi thư rác hàng loạt dưới tên miền của bạn, khiến tên miền bị đưa vào “danh sách đen” (blacklist).

Để giải quyết vấn đề này, bộ ba phương pháp xác thực đã ra đời. Việc cấu hình các bản ghi này chính là cách bạn xây dựng một “hàng rào” bảo mật, cung cấp cho các máy chủ nhận (như Gmail) một cơ chế để kiểm tra xem email gửi đến có thực sự đến từ bạn hay không.

Giải mã bộ ba: SPF, DKIM, DMARC là gì?

Để thực hiện việc thiết lập một cách chính xác, bạn cần hiểu rõ vai trò của từng thành phần. Chúng giống như 3 lớp kiểm tra an ninh tại sân bay.

SPF (Sender Policy Framework) – “Giấy phép lái xe”

• SPF là gì? Đây là một bản ghi DNS (loại TXT) liệt kê tất cả các địa chỉ IP hoặc máy chủ được phép gửi email thay mặt cho tên miền của bạn.

• Cách hoạt động (Ví von): Khi máy chủ Gmail nhận được email từ info@tenmien.com, nó sẽ kiểm tra IP của máy chủ gửi (ví dụ: 1.2.3.4). Sau đó, nó tra cứu bản ghi SPF của tenmien.com. Nếu IP 1.2.3.4 có trong “danh sách khách mời” (bản ghi SPF) của bạn, email sẽ vượt qua (Pass). Nếu không, nó sẽ bị đánh dấu là nghi ngờ.

• Vai trò: Xác định AI được phép gửi.

 DKIM (DomainKeys Identified Mail) – “Niêm phong thư”

• DKIM là gì? Đây là một phương thức thêm một “chữ ký điện tử” (digital signature) vào tiêu đề (header) của mỗi email được gửi đi. Chữ ký này được mã hóa bằng một khóa riêng (private key) trên máy chủ của bạn.

• Cách hoạt động (Ví von): Máy chủ nhận (Gmail) sẽ sử dụng một khóa công khai (public key) được lưu trữ trên DNS của bạn (cũng là một bản ghi TXT) để giải mã chữ ký. Nếu giải mã thành công, điều đó chứng minh hai điều: 1) Email này thực sự đến từ bạn, và 2) Nội dung email không bị thay đổi trên đường truyền.

• Vai trò: Xác minh TÍNH TOÀN VẸN (nội dung) và NGUỒN GỐC (người gửi) của email.

 DMARC (Domain-based Message Authentication, Reporting, and Conformance) – “Chính sách An ninh”

• DMARC là gì? Đây là bản ghi “thống lĩnh” cả hai. DMARC là một chính sách bạn công bố trên DNS, chỉ thị cho các máy chủ nhận (Gmail, Microsoft) phải làm gì khi một email thất bại (Fail) trong việc kiểm tra SPF hoặc DKIM.

• Cách hoạt động (Ví von): DMARC là “cuốn sổ tay chính sách” của an ninh sân bay. Nó nói rằng: “Nếu ai đó không có giấy phép lái xe (SPF fail) HOẶC con dấu bị vỡ (DKIM fail), hãy thực hiện một trong ba hành động sau”:

  1. p=none: (Chế độ giám sát) Vẫn cho qua, nhưng hãy báo cáo cho tôi biết.

  2. p=quarantine: (Cách ly) Chuyển thư đó vào thư mục Spam.

  3. p=reject: (Từ chối) Chặn hoàn toàn, không nhận thư đó.

• Vai trò: Thực thi chính sách và báo cáo (reporting) về các hoạt động email.

Việc cấu hình bộ ba này là một quy trình đòi hỏi sự phối hợp của cả ba yếu tố để đạt hiệu quả cao nhất.

Hướng dẫn chi tiết thiết lập SPF, DKIM, DMARC

Đây là phần thực hành cốt lõi. Mọi thao tác đều được thực hiện trong trang quản lý DNS của tên miền của bạn (tại GoDaddy, Namecheap, Cloudflare, Mắt Bão, v.v.).

Bước 1: Cách thiết lập SPF

Nguyên tắc vàng: Mỗi tên miền chỉ được phép có MỘT bản ghi SPF duy nhất.

1. Xác định các nguồn gửi email: Hãy liệt kê TẤT CẢ các dịch vụ bạn dùng để gửi email. Ví dụ:

   • Google Workspace (Gmail)

   • Microsoft 365

   • Dịch vụ Email Marketing (SendGrid, Mailchimp)

   • Hệ thống website (gửi email thông báo đơn hàng)

2. Soạn thảo bản ghi SPF: Bản ghi SPF luôn bắt đầu bằng v=spf1. Sau đó, bạn sử dụng các cơ chế “include” để thêm các nguồn gửi đã được ủy quyền.

   • Ví dụ 1 (Chỉ dùng Google Workspace): v=spf1 include:_spf.google.com ~all

   • Ví dụ 2 (Dùng cả Google và SendGrid): v=spf1 include:_spf.google.com include:sendgrid.net ~all

   • Giải thích các phần:

     • include:: Chỉ định một tên miền khác chứa danh sách IP được phép.

     • ~all (SoftFail): Khuyến nghị. Nghĩa là “Nếu IP không khớp, hãy đánh dấu là nghi ngờ, nhưng vẫn có thể nhận.”

     • -all (Fail): Nghiêm ngặt. “Nếu IP không khớp, hãy từ chối.”

3. Thêm bản ghi vào DNS:

   • Loại (Type): TXT

   • Host/Name: @ (đại diện cho tên miền gốc)

   • Value (Giá trị): v=spf1 include:_spf.google.com include:sendgrid.net ~all

   • TTL: Để 3600 (1 giờ) hoặc Tự động.

Đây là bước đầu tiên trong quy trình xác thực.

Bước 2: Cách thiết lập DKIM

DKIM phức tạp hơn vì nó yêu cầu tạo ra các “khóa”. Bạn phải lấy khóa này từ nhà cung cấp dịch vụ email của mình.

1. Tạo khóa DKIM tại Dịch vụ Email:

   • Với Google Workspace: Đăng nhập Google Admin -> Apps -> Gmail -> Authenticate email -> “Generate new record”. Google sẽ cho bạn một “selector” (thường là google) và một giá trị TXT rất dài (khóa công khai).

   • Với SendGrid/Mailchimp: Trong cài đặt tài khoản, tìm phần “Authentication” hoặc “Verified Domains”, dịch vụ sẽ hướng dẫn bạn tạo khóa.

2. Thêm bản ghi vào DNS: Bạn sẽ tạo một bản ghi TXT với tên Host/Name rất đặc biệt.

   • Loại (Type): TXT

   • Host/Name: [selector]._domainkey (Ví dụ: google._domainkey)

   • Value (Giá trị): Dán toàn bộ chuỗi ký tự dài (ví dụ: v=DKIM1; k=rsa; p=MIIBIjANBg...) mà nhà cung cấp đã đưa cho bạn.

   • TTL: Để 3600 (1 giờ) hoặc Tự động.

Hoàn thành bước này là bạn đã đi được 2/3 chặng đường.

Bước 3: Cách thiết lập DMARC (Quan trọng nhất)

DMARC kết nối SPF và DKIM lại với nhau. Đây là bước mà nhiều người bỏ qua, khiến cho các nỗ lực trước đó trở nên vô nghĩa.

Lộ trình triển khai DMARC an toàn: Không bao giờ nhảy thẳng đến p=reject. Bạn phải bắt đầu bằng p=none để theo dõi.

1. Giai đoạn 1: Giám sát (p=none) Tạo bản ghi TXT sau để nhận báo cáo mà không ảnh hưởng đến luồng email:

   • Loại (Type): TXT

   • Host/Name: _dmarc

   • Value (Giá trị): v=DMARC1; p=none; rua=mailto:dmarc-reports@tenmien.com; pct=100

   • Giải thích:

     • p=none: Chính sách “Không làm gì cả”, chỉ giám sát.

     • rua=mailto:email...: Yêu cầu các máy chủ nhận gửi báo cáo tổng hợp hàng ngày về email này.

     • pct=100: Áp dụng chính sách này cho 100% email.

2. Giai đoạn 2: Phân tích báo cáo Sau vài ngày, bạn sẽ nhận được các file báo cáo XML (khó đọc). Bạn có thể dùng các dịch vụ miễn phí như Dmarcian để dịch các file này. Báo cáo sẽ cho bạn biết:

   • Những IP nào đang gửi email mạo danh bạn.

   • Những dịch vụ hợp pháp nào (ví dụ: một hệ thống CRM) bạn quên thêm vào SPF.

3. Giai đoạn 3: Thực thi (p=quarantine hoặc p=reject) Sau khi bạn chắc chắn 100% rằng tất cả các nguồn gửi hợp pháp của mình đều đã vượt qua (pass) SPF và DKIM, bạn có thể siết chặt chính sách.

   • Sửa bản ghi DMARC thành: v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tenmien.com; pct=100

   • Hoặc (mạnh nhất): v=DMARC1; p=reject; rua=mailto:dmarc-reports@tenmien.com; pct=100

Việc chuyển sang p=reject là mục tiêu cuối cùng của toàn bộ quá trình này.

Lộ trình triển khai chiến lược

Việc cấu hình các bản ghi này không phải là một hành động “làm xong rồi quên”. Đó là một quy trình cần được quản lý.

1. Tuần 1: Triển khai SPF và DKIM cho tất cả các nguồn gửi đã biết. Triển khai DMARC với p=none.

2. Tuần 2-4: Thu thập và phân tích báo cáo DMARC hàng ngày. Bạn sẽ phát hiện ra các dịch vụ “bóng tối” mà phòng ban khác đang dùng.

3. Tuần 5: Cập nhật lại bản ghi SPF và cấu hình DKIM cho các dịch vụ hợp pháp vừa phát hiện.

4. Tuần 6: Khi tỷ lệ email hợp pháp vượt qua DMARC đạt 99-100%, hãy chuyển chính sách sang p=quarantine (Cách ly).

5. Tuần 8: Theo dõi thêm. Nếu không có khiếu nại (ví dụ: email đối tác không nhận được), hãy tự tin chuyển sang p=reject (Từ chối).

Chỉ khi đạt đến p=reject, bạn mới hoàn thành xuất sắc nhiệm vụ xác thực email.

Các lỗi sai phổ biến

• Lỗi 1: Có nhiều hơn 1 bản ghi SPF. Một tên miền chỉ có MỘT bản ghi SPF. Nếu bạn có 2 bản ghi, cả 2 sẽ bị vô hiệu. Nếu cần thêm nguồn, hãy dùng cơ chế “include” trong 1 bản ghi duy nhất.

• Lỗi 2: Vượt quá 10 lần tra cứu DNS (SPF). Bản ghi SPF của bạn không được phép có quá 10 lần “tra cứu” (ví dụ: 10 include:). Nếu vượt quá, bản ghi sẽ bị lỗi.

• Lỗi 3: Đặt DMARC là p=reject quá sớm. Đây là lỗi nguy hiểm nhất. Nếu bạn còn nguồn gửi hợp pháp (như hệ thống CRM) chưa cấu hình SPF/DKIM, việc bật p=reject sẽ khiến toàn bộ email từ CRM đó bị chặn.

Kết luận

Bằng cách triển khai đúng và có chiến lược bộ ba này, bạn không chỉ ngăn chặn 100% các hành vi giả mạo email, bảo vệ khách hàng và uy tín thương hiệu, mà còn gửi một tín hiệu mạnh mẽ đến Google và Microsoft rằng “Tôi là một người gửi thư đáng tin cậy”. Kết quả là tỷ lệ email vào Inbox của bạn sẽ tăng lên đáng kể. Đừng chần chừ, hãy bắt đầu quá trình xác thực email ngay hôm nay.

Thực hiện bởi: Tây Nguyên Web