Tổng quan về DMARC

DMARC, viết tắt của “Xác thực, báo cáo và tuân thủ thư dựa trên tên miền”, là một giao thức xác thực email. Giao thức này được xây dựng dựa trên giao thức SPF và DKIM được triển khai rộng rãi, đồng thời bổ sung chức năng báo cáo để cho phép người gửi và người nhận cải thiện và giám sát tình hình bảo vệ tên miền chống email lừa đảo, cho phép giao tiếp bảo mật qua email.

Kẻ gửi thư rác thường “giả mạo” “địa chỉ Từ” trong email và làm cho email có vẻ như được gửi từ tên miền của bạn. Để ngăn chặn kiểu lạm dụng tên miền của bạn như thế này và thông báo cho các tên miền người nhận khác về chính sách tên miền gửi đi của bạn, bạn có thể phát hành bản ghi DMARC, để các dịch vụ email sử dụng tiêu chuẩn DMARC có thể xử lý các email chưa được xác thực. Điều này cũng giúp kiểm soát những hành vi Lừa đảo và Phân tán ngược email sử dụng tên miền của bạn và giúp bảo vệ danh tiếng cho tên miền của bạn.

Trước khi phát hành DMARC

Chính sách DMARC cho phép người gửi thông báo rằng email của họ được bảo vệ bằng SPF và/hoặc DKIM, đồng thời hướng dẫn người nhận hành động, nếu cả kiểm tra SPF và DKIM đều không đạt, chẳng hạn như Cách ly hoặc từ chối thư. DMARC giúp người nhận xử lý những thư bị lỗi hiệu quả hơn và do đó hạn chế hoặc loại bỏ khả năng người nhận cuối tiếp xúc với những email giả mạo này bằng Tên miền. DMARC cũng cung cấp một cách để người nhận email báo cáo lại với người gửi về email đạt và/hoặc không đạt đánh giá DMARC.

Chính sách DMARC chỉ có hiệu lực khi bạn gửi tất cả email bằng tên miền của chính mình. Email được gửi thay mặt cho tên miền của bạn, thông qua dịch vụ bên thứ ba sẽ có vẻ như chưa được xác thực và có thể bị từ chối dựa trên chính sách DMARC đã phát hành. Để cho phép gửi email qua nhà cung cấp bên thứ ba, bạn cần chia sẻ khóa DKIM cần bao gồm trong tiêu đề hoặc email phải được gửi qua máy chủ SMTP đã phát hành Khóa DKIM và bản ghi SPF được ủy quyền.

Bạn cần cấu hình Bản ghi SPF và Khóa DKIM cho tên miền trước khi phát hành Chính sách DMARC. Chính sách DMARC dựa trên Khóa SPF và DKIM, để đảm bảo tính xác thực của email. Những email sử dụng địa chỉ email tên miền của bạn mà không đạt kiểm tra SPF và/hoặc kiểm tra DKIM sẽ kích hoạt chính sách DMARC.

Phát hành chính sách DMARC

Để phát hành chính sách DMARC, bạn cần tạo bản ghi TXT trong DNS ở định dạng sau.

Tên của Bản ghi TXT:

_dmarc.yourdomain.com trong đó phải thay yourdomain.com bằng tên miền của bạn.

Giá trị bản ghi TXT:

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

p=none là chính sách cơ bản được khuyến nghị. Sau đó, bạn có thể thay đổi thành p=quarantine và sau đó thành p=reject.

Triển khai chính sách DMARC theo từng giai đoạn

Chúng tôi đặc biệt khuyến nghị nên triển khai chính sách DMARC theo từng giai đoạn. Để triển khai theo từng giai đoạn, bạn sẽ thay đổi thông số “p” từ none (không có) thành quarantine (cách ly) và cuối cùng thành reject (từ chối). Tương tự, trong Giai đoạn 2 hoặc (Giai đoạn cách ly) và Giai đoạn 3 (Giai đoạn từ chối), bạn có thể sử dụng thông số tùy chọn “pct” để kiểm soát tỷ lệ phần trăm email đang bị cách ly hoặc từ chối.

Giai đoạn 1: Giám sát báo cáo và lưu lượng

"v=DMARC1; p=none; rua=mailto:admin@yourdomain.com"

Bạn có thể đặt chính sách thành p=none trong giai đoạn này. Thao tác này sẽ gửi cho bạn báo cáo vi phạm đến địa chỉ email được xác định trong chính sách. Báo cáo này cung cấp cho bạn thông tin về những điểm bất thường trong email, nguồn của những email không được Ký hoặc những email có vẻ là Giả mạo. Bạn có thể xem lại nguồn và có thể bao gồm địa chỉ IP hợp lệ trong bản ghi SPF hoặc cấu hình nguồn bằng DKIM nếu nguồn là hợp lệ. Khi bạn thấy báo cáo chỉ có những email đúng là giả mạo, bạn có thể thay đổi chính sách thành Cách ly.

Giai đoạn 2: Cách ly email và phân tích

"v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com"

Bạn có thể đặt chính sách thành p=quarantine trong giai đoạn này. Thao tác này sẽ gửi cho bạn báo cáo vi phạm đến địa chỉ email được xác định trong chính sách, đồng thời gửi những email này đến Vùng cách ly. Bạn có thể giám sát email trong Vùng cách ly và phê duyệt hoặc từ chối email từ Vùng cách ly. Bạn có thể xem lại báo cáo cũng như giám sát các email trong Vùng cách ly.

Bạn cũng có thể sử dụng thông số “pct” trong mẫu bản ghi DMARC TXT để xác định tỷ lệ phần trăm email bị ảnh hưởng bởi chính sách trong giai đoạn 2 và từ từ tăng tỷ lệ phần trăm lên 100% để hoàn tất việc triển khai. Điều quan trọng là phải đảm bảo bạn giám sát báo cáo email thường xuyên để đảm bảo những email hợp lệ không bị từ chối hoặc bị ảnh hưởng.

"v=DMARC1; p=quarantine; pct=20; rua=mailto:admin@yourdomain.com"

Trong ví dụ trên, chỉ có 20% email giả mạo sẽ bị cách ly và những chi tiết email còn lại sẽ chỉ được bao gồm trong báo cáo.

Sau khi bạn thay đổi bản ghi TXT thành ví dụ trên và xóa thông số pct, tất cả email không đạt chính sách DMARC sẽ bị từ chối.

Khi bạn chắc chắn rằng chỉ những email giả mạo mới bị từ chối và tất cả email hợp lệ đều được ký, bạn có thể thay đổi chính sách thành “Từ chối” để triển khai DMARC đầy đủ.

Giai đoạn 3: Từ chối email giả mạo

"v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com"

Bạn có thể đặt chính sách thành p=reject trong giai đoạn này. Những email giả mạo sử dụng tên miền của bạn sẽ bị từ chối sau khi bạn thực hiện thay đổi này. Bạn có thể theo dõi email bị từ chối, thông qua báo cáo bạn nhận được qua email được gửi đến địa chỉ email được cung cấp trong bản ghi TXT.