DKIM - Thư được xác định bởi khóa tên miền

DKIM là phương pháp xác thực sử dụng mã hóa email bằng khóa công khai/ riêng tư, để xác thực liệu email có được tạo từ máy chủ được ủy quyền hay không, quản trị viên của tên miền gửi sẽ nhận dạng và cấu hình phương pháp xác thực này. Phương pháp xác thực này cho phép giao tiếp qua email bảo mật và ngăn chặn thư rác.

Tại sao phải cấu hình DKIM?

Kẻ gửi thư rác thường gửi những email mạo danh là email từ người gửi xác thực. Những email này chủ yếu được gửi nhằm mục đích khiến người nhận xem email hoặc đôi khi nhằm thu thập thông tin nhạy cảm (mật khẩu, địa chỉ email, v.v.) từ người nhận bằng cách mạo danh là người gửi hợp lệ. Hai thủ thuật mà kẻ gửi thư rác thường sử dụng bao gồm giả mạo email và phân tán ngược.

Giả mạo email:

Giả mạo email là thủ thuật gian lận mà kẻ gửi thư rác lợi dụng để làm cho email có vẻ như được gửi từ tên miền/ địa chỉ email hợp lệ vốn không thuộc về chúng. Chúng thực hiện điều này bằng cách giả mạo tiêu đề email để làm cho email có vẻ hợp lệ để người nhận tin tưởng và mở email.

Kẻ gửi thư rác sử dụng thủ thuật này vì nó khiến nhiều người xem email hơn vì người gửi có vẻ là xác thực. Tuy nhiên, đôi khi, việc này có thể gây ra hậu quả nghiêm trọng nếu chúng tìm cách lấy thông tin nhạy cảm từ người dùng. Có thể phát hiện và phòng tránh email giả mạo bằng cách cấu hình SPF và DKIM. Nếu DKIM được cấu hình, danh tính tên miền được liên kết với mỗi thư sẽ được xác thực.

Nếu quy trình xác thực DKIM này không thành công, những email đó sẽ bị cách ly hoặc bị từ chối dựa trên điều kiện do bạn đặt khi xác thực DKIM không thành công.

Phân tán ngược email:

Kẻ gửi thư rác giả mạo một tên miền và gửi email bằng địa chỉ email bị giả mạo. Nếu tên miền của người nhận từ chối email, nó sẽ gửi thư trả lại đến tên miền bị giả mạo. Những thư bị trả lại như vậy mà người dùng nhận được đối với những email mà họ chưa bao giờ gửi gọi là Phân tán ngược email.

Hãy xem xét trường hợp kẻ gửi thư rác đã giả mạo địa chỉ email của bạn và gửi email rác đến một tên miền khác. Khi những email rác này được gửi đến địa chỉ email không hợp lệ, tên miền người nhận sẽ gửi thư trả lại đến tên miền bị giả mạo. Thư trả lại này, thay vì được gửi lại cho kẻ gửi thư rác, lại được gửi đến tên miền bị giả mạo mà người dùng tự xưng là đang gửi email từ đó. Tên miền người nhận cũng sẽ chặn tên miền bị giả mạo. Nếu DKIM được cấu hình, tên miền có thể được xác thực và có thể tránh được việc tên miền bị chặn. Trong trường hợp bạn nhận được những email rác này, DKIM có thể giúp phát hiện tính xác thực của email và những email không xác thực sẽ không được gửi vào hộp thư của bạn.

Ở một mức độ nhất định, có thể ngăn chặn giả mạo email và phân tán ngược, hai thủ thuật mà kẻ gửi thư rác thường sử dụng, bằng cách cấu hình SPF và DKIM cho tên miền của bạn.

​Cơ chế hoạt động của DKIM

Trong quy trình DKIM, khóa công khai được phát hành dưới dạng bản ghi TXT cho Trình quản lý DNS của tên miền (cơ quan đăng ký tên miền hoặc Nhà cung cấp DNS). Mỗi email gửi đi đều bao gồm chữ ký duy nhất được tạo bằng khóa riêng tư cho tên miền cụ thể. Máy chủ email nhận sẽ sử dụng tổ hợp khóa công khai-riêng tư này để xác thực nguồn email. Nếu xảy ra lỗi xác thực, máy chủ người nhận có thể từ chối email hoặc phân loại email đó là Thư rác/ Giả mạo, dựa trên hành vi của máy chủ.

Việc bật và sử dụng DKIM cho tên miền của bạn sẽ đảm bảo email hợp lệ được gửi bằng Zoho không bị phân loại là thư rác ở phía người nhận.

​Bộ chọn DKIM

Bộ chọn được sử dụng để xác định chi tiết Khóa DKIM công khai của Tên miền. Đây là thuộc tính cho Chữ ký DKIM và được bao gồm trong tiêu đề DKIM của email. Bạn có thể sử dụng nhiều bộ chọn cho một tên miền trong trường hợp bạn cần cung cấp Kiểm soát chữ ký đặc biệt cho các tập hợp người dùng khác nhau.

Sau khi thêm bộ chọn và xác minh bộ chọn, bạn cần đặt bộ chọn này làm mặc định và bật nó cho tên miền. Sau khi bật, tất cả email gửi đi dựa trên tên miền sẽ được ký bằng bộ chọn mặc định, trừ khi người dùng đã được liên kết với bộ chọn khác trong mục Người dùng.

Các bước để thêm chữ ký DKIM cho tên miền của bạn:

Bạn có thể bật DKIM cho tên miền từ bảng điều khiển của Zoho Mail, sau khi tạo bản ghi văn bản cần thiết trong trình quản lý DNS của tên miền. Cấu hình DKIM có ba bước chính:

1. Tạo giá trị Khóa DKIM công khai duy nhất bằng bộ chọn mặc định trong Zoho Mail.
2. Tạo bản ghi TXT trong Trình quản lý DNS của Tên miền (Cơ quan đăng ký tên miền/ Nhà cung cấp DNS).
3. Xác thực bộ chọn và Bật DKIM trong Zoho Mail.

I.Tạo khóa tên miền duy nhất trong Zoho Mail:

1. Đăng nhập vào Bảng điều khiển từ https://mailadmin.zoho.com với tư cách là quản trị viên hoặc siêu quản trị viên.
2. Vào Tên miền từ menu bên trái và chọn tên miền mà bạn muốn cấu hình DKIM.
3. Trong tab Cấu hình email, chọn DKIM
4. Nhấp Thêm để thêm bộ chọn mới cho tên miền.
5. Cung cấp tên bộ chọn cho tên miền được sử dụng với Zoho Mail. Ví dụ: zoho
6. Nhấp Thêm. Bộ chọn sẽ được thêm vào và bản ghi TXT sẽ được tạo và hiển thị trên bộ chọn đã thêm.
7. Bạn có thể sao chép văn bản trong trường giá trị TXT.
8. Bạn cần tạo bản ghi TXT với giá trị này trong Trình quản lý DNS trước khi nhấp vào Xác minh.

II. Tạo Bản ghi TXT trong Trình quản lý DNS.

1. Đăng nhập vào Trình quản lý DNS của miền nơi máy chủ tên miền của bạn được trỏ đến.
2. Tạo bản ghi TXT trong DNS của bạn với tiêu đề là <selector>._domainkey.<yourdomainname.com>
   Ví dụ: zoho._domainkey.zylker.org phải là tên của bản ghi TXT nếu bộ chọn bạn chọn là zoho và tên miền là zylker.org. Thay thế văn bản bằng giá trị tùy chỉnh mà không có dấu ngoặc.
   Nếu DNS của bạn được lưu trữ bằng GoDaddy/ WIX/ Squarespace/ Namecheap, v.v., hãy cung cấp tên bản ghi TXT là zoho._domainkey (Các nhà cung cấp này sẽ tự động nối thêm tên miền)
3. Trong giá trị bản ghi TXT, dán toàn bộ nội dung bạn đã sao chép từ trường văn bản Giá trị bản ghi TXT vào Zoho.
4. Lưu bản ghi TXT trong Trình quản lý DNS.
5. Bạn có thể kiểm tra tính hợp lệ của DKIM bằng trình kiểm tra DKIM này.

Các bước thêm bản ghi TXT trong trình quản lý tên miền GoDaddy:

1. Đăng nhập vào Trình quản lý DNS GoDaddy của bạn. Chọn menu Tài khoản của tôi và chọn Tên miền.
2. Mở rộng Tên miền và nhấp vào nút Quản lý DNS cho tên miền bạn muốn xác minh.
3. Trang Trình quản lý DNS sẽ mở ra, kèm theo thông tin về bản ghi DNS hiện có.
4. Cuộn xuống mục Bản ghi và nhấp vào nút Thêm để thêm bản ghi DNS.
5. Chọn TXT từ menu thả xuống Loại bản ghi.
6. Trong trường Host, hãy nhập <selector>._domainkey
7. Trong trường Giá trị TXT, hãy nhập giá trị Bản ghi TXT được tạo trong bảng điều khiển Zoho Mail của bạn.
   
8. Nhấp vào Hoàn tất.

III. Bật DKIM cho tên miền

1. Nếu Xác thực DKIM thành công ở vị trí bên thứ ba, hãy đăng nhập vào Bảng điều khiển của Zoho Mail.
2. Nhấp vào Xác minh trên bộ chọn cụ thể. Bản ghi văn bản sẽ được sửa đổi thành trạng thái đã xác minh.
3. Sau khi được xác minh, bạn sẽ thấy lời nhắc Bật DKIM ngay lập tức hoặc sau đó. Bạn có thể bật DKIM ngay lập tức để bắt đầu ký chữ ký DKIM cho email từ tên miền của bạn.
4. Sau khi bạn bật, chữ ký DKIM sẽ được thêm vào tất cả email được tạo từ tên miền.

Nhiều bộ chọn DKIM:

Bạn có thể sử dụng nhiều bộ chọn cho một tên miền để cung cấp các chữ ký DKIM riêng biệt cho nhiều văn phòng ở các vị trí khác nhau hoặc cung cấp chữ ký DKIM riêng cho một tập hợp tài khoản.

Ví dụ:

• ukoffice._domainkey.zylker.com
• usoffice._domainkey.zylker.com
• hrteam._domainkey.zylker.com
• marketing._domainkey.zylker.com

Bạn có thể thêm nhiều bộ chọn hơn cho các khóa DKIM cụ thể dành cho các tập hợp người dùng khác nhau hoặc cho những vị trí văn phòng khác nhau.

Bộ chọn tên miền dựa trên người dùng:

Khi bạn có nhiều bộ chọn, bạn có thể liên kết các tập hợp người dùng khác nhau với bộ chọn theo nhu cầu. Bộ chọn mặc định được tự động áp dụng cho tất cả người dùng và do đó sẽ không được liệt kê trong danh sách thả xuống.

Sau khi thêm bộ chọn bổ sung, bạn có thể liên kết với một tập hợp người dùng cụ thể từ mục Danh sách người dùng.

Khắc phục sự cố SPF/ DKIM

TTL dài hơn

TTL (Thời gian tồn tại) là thời gian được xác định trong DNS để mỗi thay đổi trong DNS có hiệu lực. Nếu bạn có giá trị TTL lớn (24 giờ/ 48 giờ), thì Bản ghi TXT/ SPF có thể mất một lúc mới truyền xong. Có thể mất đến 12 - 24 giờ để thay đổi DNS có hiệu lực, dựa theo TTL đã đặt.

Giá trị không chính xác

Cách thêm bản ghi SPF thường khác nhau tùy theo các Nhà cung cấp DNS khác nhau. Do đó, bạn nên kiểm tra trang trợ giúp hoặc sách hướng dẫn của cơ quan đăng ký hoặc liên hệ với nhóm hỗ trợ của nhà cung cấp DNS để thêm bản ghi SPF/ DKIM tương ứng.

Lỗi chính tả/ lỗi đánh máy

Kiểm tra xem bạn đã sao chép-dán đúng thông tin từ trang Thiết lập Zoho chưa. Trong trường hợp DKIM, bạn cần sao chép toàn bộ khóa được hiển thị và cung cấp khóa này dưới dạng giá trị của Bản ghi TXT. Tên Bản ghi TXT phải tuân theo quy ước đặt tên được đề xuất