Cách cấu hình DKIM va SPF để xác thực tên miền gửi email

15/12/2023

DKIM là viết tắt của "DomainKeys Identified Mail," là một phương pháp xác định thư điện tử (email) thông qua việc ký điện tử của thông điệp. Nó giúp xác minh rằng email được gửi từ một máy chủ email cụ thể và không bị sửa đổi trên đường truyền.

SPF là gì?

SPF là viết tắt của "Sender Policy Framework" (Khuôn khổ Chính sách Người gửi), và đây là một cơ chế chính xác để xác định xem một máy chủ email có được phép gửi thư từ một tên miền cụ thể hay không. SPF giúp ngăn chặn việc giả mạo nguồn gửi thư điện tử, một kỹ thuật thường được sử dụng trong các cuộc tấn công phishing và spam.

Cụ thể, SPF thường được triển khai dưới dạng một bản ghi DNS (Domain Name System) của tên miền. Bản ghi SPF chứa thông tin về các máy chủ mail được phép gửi thư từ tên miền đó. Khi một máy chủ nhận một email, nó có thể kiểm tra bản ghi SPF để xác định xem máy chủ gửi thư đó có được phép hay không.

Ví dụ về một bản ghi SPF:

v=spf1 a mx include:_spf.example.com ~all

v=spf1: Đây là phiên bản SPF 1.0.
a: Cho phép sử dụng địa chỉ IP của tên miền.
mx: Cho phép sử dụng địa chỉ IP của các máy chủ MX của tên miền.
include:_spf.example.com: Cho phép sử dụng các máy chủ được xác định trong bản ghi SPF của tên miền _spf.example.com.
~all: Nếu không có sự khớp, đối với những máy chủ không được xác định trong bản ghi SPF, nó sẽ được xem xét nhưng không bị từ chối ("soft fail").

SPF là một phần của các chuẩn bảo mật email khác như DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting, and Conformance), giúp tăng cường khả năng xác định và ngăn chặn thư rác, phishing và các loại tấn công email khác.

DKIM là gì?

DKIM là viết tắt của "DomainKeys Identified Mail," là một phương pháp xác định thư điện tử (email) thông qua việc ký điện tử của thông điệp. Nó giúp xác minh rằng email được gửi từ một máy chủ email cụ thể và không bị sửa đổi trên đường truyền.

Quy trình hoạt động của DKIM như sau:

Ký điện tử (Signing): Máy chủ gửi thư tạo một chữ ký điện tử bằng cách sử dụng khóa riêng (private key). Chữ ký này sẽ được thêm vào header của email.
Gửi Email:
- Email, bao gồm chữ ký điện tử, được gửi đến máy chủ đích.
Xác minh (Verification): Máy chủ đích sử dụng khóa công khai tương ứng để kiểm tra chữ ký điện tử và xác minh xem email có bị sửa đổi hay không và liệu nó có được gửi từ máy chủ đúng hay không.

Nếu chữ ký hợp lệ và email không bị sửa đổi, máy chủ nhận email có thể tin tưởng rằng nó được gửi từ nguồn đáng tin cậy.

Bản ghi DKIM thường được cấu hình dưới dạng một bản ghi DNS (Domain Name System) cho tên miền gửi thư. Điều này chứa thông tin về khóa công khai mà máy chủ nhận thư có thể sử dụng để kiểm tra chữ ký điện tử. Điều này giúp bảo vệ khỏi việc giả mạo nguồn gửi email và cũng đảm bảo tính toàn vẹn của nội dung email trong quá trình truyền.

DKIM thường được sử dụng cùng với các biện pháp bảo mật email khác như SPF (Sender Policy Framework) và DMARC (Domain-based Message Authentication, Reporting, and Conformance) để cung cấp một cơ sở hạ tầng bảo mật mạnh mẽ cho gửi và nhận thư điện tử.

Xác thực bản ghi SPF như thế nào?

Để xác thực một bản ghi SPF (Sender Policy Framework), bạn có thể sử dụng một số công cụ trực tuyến hoặc thực hiện một số thao tác thủ công. Dưới đây là cách bạn có thể thực hiện xác thực SPF:

Sử dụng Công cụ Trực Tuyến:

SPF Record Lookup:
- Sử dụng các công cụ trực tuyến như MXToolbox hoặc Kitterman SPF Record Testing Tool.
- Truy cập trang web, nhập tên miền và kiểm tra SPF record.
Email Header Analysis:
- Kiểm tra email header để xem xác thực SPF. Bạn có thể sử dụng Google Apps Toolbox hoặc các công cụ kiểm tra email headers trực tuyến.

Thực Hiện Thủ Công:

Dùng Lệnh NSLOOKUP:
- Mở cửa sổ dòng lệnh trên máy tính của bạn.
- Gõ lệnh nslookup -type=txt tên-miền. Thay thế "tên-miền" bằng tên miền bạn muốn kiểm tra (ví dụ: nslookup -type=txt example.com).
- Kết quả sẽ hiển thị bản ghi SPF của tên miền đó.
Đọc SPF Record:
- Mở bản ghi SPF và đọc nó. Bản ghi SPF thường có dạng văn bản và mô tả các quy tắc cho việc xác định xem một máy chủ cụ thể có quyền gửi thư từ tên miền đó hay không.

Ví dụ, nếu bạn có bản ghi SPF như sau:

v=spf1 include:_spf.example.com ~all

Thì nó có nghĩa là máy chủ gửi thư của bạn nằm trong danh sách _spf.example.com và có quyền gửi thư. Ký hiệu ~all có nghĩa là "soft fail", tức là, nếu không khớp, nó sẽ được xem xét nhưng không bị từ chối.

Lưu ý rằng quá trình xác thực SPF chỉ cho biết xác định xem một email có được gửi từ một máy chủ cụ thể hay không. Nó không thể chứng minh rằng email đó là không giả mạo (chống phishing) hay không có malware. SPF chỉ là một phần trong các biện pháp bảo mật email toàn diện.

Xác thực DKIM như thế nào?

Xác thực DKIM thường được thực hiện bởi máy chủ nhận thư (receiving mail server). Dưới đây là các bước thực hiện xác thực DKIM:

Nhận Thư:
- Máy chủ nhận thư (receiving mail server) nhận được email từ máy chủ gửi thư (sending mail server).
Kiểm Tra Bản Ghi DNS:
- Máy chủ nhận thư sử dụng tên miền trong chữ ký DKIM để tìm bản ghi DKIM trong DNS. Bản ghi này thường chứa khóa công khai DKIM.
Trích Xuất Chữ Ký:
- Máy chủ nhận thư trích xuất chữ ký DKIM từ phần header của email. Chữ ký này được tạo bởi khóa riêng tư tương ứng ở máy chủ gửi thư.
Kiểm Tra Chữ Ký:
- Máy chủ nhận thư sử dụng khóa công khai từ bản ghi DNS để kiểm tra chữ ký. Nếu chữ ký hợp lệ, email được coi là chưa bị sửa đổi và đến từ nguồn đáng tin cậy.
Kiểm Tra Thời Hạn Chữ Ký (Optional):
- Một số triển khai DKIM có thể kiểm tra xem chữ ký có hết hạn hay không. Điều này đảm bảo rằng chữ ký vẫn hợp lệ trong khoảng thời gian nhất định.

Nếu chữ ký DKIM không hợp lệ hoặc email đã bị sửa đổi, máy chủ nhận thư có thể xử lý email theo cách mà họ xác định, có thể là đánh dấu như spam hoặc thậm chí từ chối nó.

Để xác định xem một email có sử dụng DKIM hay không, bạn có thể kiểm tra header của email. Nếu có một header có tên như DKIM-Signature, nó cho biết email này đã được ký điện tử bằng DKIM.

Ví dụ: Cấu hình bản ghi DKIM cho tên miền panpic.vn sử dụng Zohomail