Danh sách email của bạn là một trong những tài sản quý giá nhất cho doanh nghiệp của bạn, phải không? Nhưng điều gì sẽ xảy ra khi hầu hết email bạn gửi đi thẳng vào thư mục thư rác của người nhận—hoặc các máy chủ thư đến thậm chí không cho phép nó tới đó?

Ngoài việc tuân thủ các thực hành tốt nhất cơ bản (chẳng hạn như yêu cầu người dùng chọn tham gia danh sách gửi thư của bạn và cung cấp cho họ tùy chọn từ chối), bạn phải áp dụng các quy trình kỹ thuật nhất định để tăng cường xác thực email của bạn và duy trì danh tiếng người gửi tốt.

Xác thực email cho phép các người nhận email của bạn đảm bảo rằng các tin nhắn đến mà họ nhận được từ miền của bạn thực sự được gửi bởi bạn. Điều này rất quan trọng vì giao thức email tiêu chuẩn, SMTP cho phép bất kỳ ai gửi email tuyên bố là từ bất kỳ nguồn hoặc địa chỉ "từ" nào.

Trong bài đăng DKIM là gì? của loạt bài này, chúng tôi đã thảo luận về cách thức hoạt động của DKIM (DomainKeys Identified Mail), cách thiết lập nó, và cách nó giúp xác định người gửi email bằng cách ký từng tin nhắn email.

Lần này, chúng tôi sẽ thảo luận về một phương pháp xác thực email khác: Sender Policy Framework hoặc xác thực SPF. Hãy tiếp tục đọc khi chúng tôi tiếp tục ghép các mảnh ghép lại với nhau.

SPF là gì?

Trong lĩnh vực xác thực email, SPF (Sender Policy Framework), xác thực SPF, và SPF records đóng vai trò quan trọng trong việc bảo vệ danh tiếng miền của bạn và đảm bảo tính hợp pháp của các email đi của bạn. Khi nói đến câu hỏi "SPF record là gì?", việc hiểu các nguyên tắc cơ bản của SPF là rất quan trọng.

Sender Policy Framework là một giao thức xác thực email xác minh tính xác thực của địa chỉ IP của người gửi bằng cách so sánh nó với danh sách được xác định trước của các nguồn gửi được phép.

Nó cho phép chủ sở hữu miền xác định rõ ràng các máy chủ thư được phép gửi email thay mặt cho miền của họ. Bằng cách này, xác thực SPF giảm thiểu rủi ro giả mạo email, các cuộc tấn công lừa đảo, và sử dụng trái phép tên miền trong các tin nhắn email.

Việc triển khai SPF record, được lưu trữ dưới dạng bản ghi DNS TXT (văn bản) (hoặc bản ghi DNS), hoạt động như chữ ký kỹ thuật số cho các email đi của miền bạn.

SPF records thông báo cho các máy chủ thư nhận rằng email mà họ nhận được được gửi hợp pháp từ một nguồn được phép, tăng khả năng gửi email thành công và giảm thiểu khả năng email của bạn bị đánh dấu là thư rác.

Thường xuyên xem xét và cập nhật SPF record của bạn, cũng như giám sát gửi email và nhật ký liên quan đến SPF, đảm bảo rằng việc triển khai SPF của bạn vẫn có hiệu quả và phù hợp với mọi thay đổi trong cơ sở hạ tầng email của bạn.

Bằng cách hiểu và triển khai Sender Policy Framework một cách hiệu quả, bạn có thể bảo vệ danh tiếng miền của mình, tăng khả năng gửi email, và thiết lập lòng tin giữa các người nhận, thúc đẩy giao tiếp email an toàn và đáng tin cậy.

SPF hoạt động như thế nào?

Để sử dụng SPF, bạn phải tạo bản ghi DNS TXT để giữ danh sách các địa chỉ IP và tên miền được phép gửi email thay mặt cho miền của bạn. Điều này được gọi là SPF record của bạn. Một ví dụ SPF record trông như thế này:

"v=spf1 ip4:192.0.3.0/24 include:thirdparty.com a -all"

Tất cả các dải địa chỉ IP được liệt kê (có tiền tố ip4: hoặc ip6:) và tên miền được chỉ định (thường với tiền tố include: , có nghĩa là danh sách SPF của miền sẽ được bao gồm) được phép gửi email thay mặt cho miền.

-all ở cuối danh sách chỉ ra rằng email được gửi từ bất kỳ địa chỉ IP hoặc tên miền nào không được liệt kê trước đó trong danh sách sẽ bị từ chối bởi người nhận. Cũng có những bộ tiêu chuẩn khác có thể được sử dụng, chẳng hạn như ~ viết tắt của SOFTFAIL, có nghĩa là các tin nhắn sẽ được chấp nhận nhưng được gắn thẻ.

Khi nhận được một tin nhắn email, máy chủ nhận sử dụng truy vấn DNS thông thường để lấy thông tin bản ghi SPF hiện có, sau đó so sánh nó với địa chỉ envelope-from. Nếu giá trị không khớp với bất kỳ dải địa chỉ IP được ủy quyền nào hoặc máy chủ được chỉ định trong SPF record, tin nhắn có thể bị từ chối.

Tuy nhiên, các cơ chế SPF và SPF record không hoàn hảo và có thể gây ra vấn đề theo những cách sau:

• SPF records không áp dụng cho trường địa chỉ "Từ"

Như đã đề cập trước đây, Sender Policy Framework hoặc các cơ chế SPF không thực sự kiểm tra trường email "from", đó là những gì hiển thị cho người nhận, mà là địa chỉ envelope-from của SMTP (còn được gọi là địa chỉ bounce hoặc MailFrom).

Điều này có nghĩa là kẻ tấn công có thể gửi email từ miền của họ bằng SPF, sử dụng một miền khác trong trường "from" của email, và vẫn vượt qua các kiểm tra SPF và nhận được từ máy chủ thư đến hộp thư của bạn.

• Bảo trì bản ghi DNS

Khi sử dụng địa chỉ IP, bất kỳ thay đổi nào cũng nên được áp dụng ngay lập tức cho SPF record.

SPF record phải được cập nhật để đảm bảo rằng email được gửi từ các địa chỉ IP mới không bị từ chối và email được gửi từ các địa chỉ IP cũ không còn được xác thực nữa. Điều tương tự cũng đúng khi bạn bắt đầu hoặc ngừng sử dụng dịch vụ thư.

Để có một định nghĩa minh họa về SPF, hãy xem video sau của PowerDMARC.

• Cú pháp SPF record

Khi thiết lập Sender Policy Framework và SPF record của bạn, hãy nhớ tầm quan trọng của việc sử dụng cú pháp thích hợp, bao gồm các cơ chế liên quan như "include," "a," hoặc "mx" để chỉ định các máy chủ được phép.

Mỗi dịch vụ mới bạn đang thêm vào thường cho bạn biết bản ghi SPF nào (vì có nhiều SPF records) để thêm để cho phép nó gửi email thay mặt cho bạn.

Để kết hợp nhiều dịch vụ, tuy nhiên, quản trị viên DNS phải hiểu rõ cú pháp SPF và đảm bảo tránh mọi sai sót khi làm việc với bản ghi TXT SPF.

Cũng rất quan trọng phải nhớ không thêm nhiều hơn một SPF record trên mỗi miền.

Nếu bạn có nhiều hơn một, nó có thể gây ra lỗi xác thực SPF, email của bạn có thể sẽ không vượt qua xác thực SPF.

• Giới hạn SPF 10-lookup

Các thông số kỹ thuật Sender Policy Framework có giới hạn 10 lần tìm kiếm DNS nhằm giảm số lượng tài nguyên được sử dụng bởi các nhà cung cấp hộp thư khi kiểm tra SPF records.

Nếu vượt quá giới hạn, một SPF PermError sẽ được trả lại, gây ra thậm chí email hợp pháp cũng sẽ không vượt qua xác thực, trực tiếp ảnh hưởng đến khả năng gửi email của bạn.

Nguyên nhân của kết quả này không chỉ do sử dụng 10 hoặc nhiều dịch vụ email mà còn có thể xảy ra nếu có các lần tìm kiếm xếp tầng được gây ra bởi các bao gồm lồng nhau.

SPF record là gì?

Một SPF record, được lưu trữ dưới dạng bản ghi TXT (văn bản) trong cài đặt DNS (Domain Name System) của miền, là một yếu tố quan trọng của xác thực email. SPF record phục vụ như một khung chính sách chỉ định các máy chủ thư được phép gửi email thay mặt cho một miền cụ thể.

Bằng cách bao gồm thông tin cụ thể trong SPF record, chẳng hạn như địa chỉ IP hoặc tên miền, bản ghi sẽ xác định các nguồn hợp pháp được ủy quyền gửi email sử dụng tên miền được đề cập. Khi máy chủ thư nhận nhận được email, nó có thể kiểm tra SPF record của miền người gửi để xác thực tính xác thực của nguồn.

Mục đích của SPF record là chống lại giả mạo email và sử dụng trái phép tên miền trong các tin nhắn email. Bằng cách xác định các máy chủ thư được phép, SPF records cho phép các máy chủ nhận xác minh danh tính của người gửi và giảm rủi ro thư rác, các cuộc tấn công lừa đảo, và giả mạo email.

Tóm lại, SPF records cung cấp một lớp bảo mật bổ sung trong giao tiếp email bằng cách xác nhận các nguồn được ủy quyền có thể gửi email thay mặt cho miền. Bằng cách triển khai và duy trì các SPF records chính xác, chủ sở hữu miền có thể tăng khả năng gửi email, bảo vệ danh tiếng của họ, và bảo vệ người nhận khỏi các email độc hại hoặc giả mạo.

Trong khi SPF record bảo vệ chống lại giả mạo email và người gửi trái phép, DKIM thêm một lớp bảo mật bổ sung bằng cách xác nhận tính toàn vẹn và nguồn gốc của chính tin nhắn. Cùng với nhau, SPF và DKIM bổ sung cho nhau để tăng khả năng gửi email và bảo vệ chống lại các loại mối đe dọa dựa trên email khác nhau.

Địa chỉ IP liên quan như thế nào đến SPF records?

Địa chỉ IP đóng một vai trò quan trọng trong SPF (Sender Policy Framework) records. SPF xác minh tính xác thực của địa chỉ IP của người gửi bằng cách so sánh nó với danh sách các nguồn gửi được phép được chỉ định trong SPF record.

Trong SPF record, bạn có thể bao gồm các địa chỉ IP hoặc dải cụ thể, cũng như tên miền, được phép gửi email thay mặt cho miền của bạn. Khi email được nhận, máy chủ thư nhận kiểm tra SPF record của miền người gửi để xác thực xem địa chỉ IP có khớp với một trong những nguồn được ủy quyền hay không.

Nếu địa chỉ IP của người gửi phù hợp với các nguồn được ủy quyền được liệt kê trong SPF record, nó cho thấy rằng email được gửi từ một nguồn hợp pháp.

Do đó, địa chỉ IP hoạt động như một yếu tố chính trong xác thực SPF, đảm bảo rằng chỉ các máy chủ được ủy quyền có địa chỉ IP hoặc miền phù hợp được phép gửi email thay mặt cho một miền cụ thể.

Làm cách nào để tạo SPF record?

Để tạo SPF (Sender Policy Framework) record cho miền của bạn, hãy làm theo các bước sau:

• Xác định nhà cung cấp DNS có thẩm quyền của miền hoặc truy cập giao diện quản lý DNS.

• Định vị tùy chọn để thêm hoặc sửa đổi bản ghi DNS cho miền của bạn.

• Chọn loại bản ghi là TXT (văn bản) để tạo SPF record mới.

• Xác định cú pháp SPF dựa trên cài đặt email của bạn. Bạn có thể sử dụng các cơ chế như "include," "a," hoặc "mx" để chỉ định các máy chủ được phép.

• Kết hợp các cơ chế và bộ tiêu chuẩn để xác định chính sách SPF của bạn. Ví dụ, "+all" cho biết rằng tất cả các máy chủ được chỉ định trong bản ghi được ủy quyền.

• Xây dựng SPF record bằng cách đặt cú pháp SPF trong dấu ngoặc kép là nội dung của bản ghi TXT.

• Lưu bản ghi DNS để xuất bản các thay đổi.

• Kiểm tra SPF record bằng các công cụ kiểm tra bản ghi SPF trực tuyến để đảm bảo nó được cấu hình chính xác và đang lan truyền.

• Thường xuyên xem xét và cập nhật SPF record theo các thay đổi cơ sở hạ tầng email của bạn, chẳng hạn như thêm hoặc xóa các máy chủ được ủy quyền.

• Giám sát gửi email và nhật ký liên quan đến SPF để đảm bảo hoạt động thích hợp của SPF record và giải quyết bất kỳ vấn đề nào có thể phát sinh.

• Hãy nhớ rằng, các bước cụ thể có thể khác nhau tùy thuộc vào giao diện nhà cung cấp DNS của bạn, vì vậy tốt nhất bạn nên tham khảo tài liệu hoặc tài nguyên hỗ trợ của họ để có hướng dẫn chính xác.

SPF có quan trọng không?

Mặc dù có những hạn chế, SPF vẫn được sử dụng bởi các máy chủ thư để kiểm tra tính xác thực của email. Một điều quan trọng cần nhớ: nếu bạn đã sử dụng SPF với một số dịch vụ email, bạn phải đảm bảo thêm chi tiết dịch vụ email mới vào SPF record của bạn.

Nếu không, email được gửi bởi dịch vụ mới sẽ bị bắt bởi cơ chế mặc định ~ALL hoặc -ALL và có thể bị đánh dấu là thư rác. Tóm lại, chúng tôi khuyên bạn nên thêm và cập nhật SPF record của bạn để giúp email của bạn tới được người nhận, để đơn giản hóa quy trình.

SPF chỉ là một trong số ít các giao thức xác thực email mà bạn nên áp dụng để đảm bảo danh tiếng người gửi tuyệt vời và khả năng gửi email tối đa cho thương hiệu của bạn. Chúng tôi khuyên bạn bắt đầu bằng dịch vụ email giao dịch và tiếp thị có khả năng và an toàn như Mailer To Go, sau đó hãy chắc chắn đọc các bài viết khác trong loạt bài giao thức của chúng tôi, được liên kết bên dưới.

Tìm hiểu thêm về các phương pháp xác thực email

• Phần #1: DKIM là gì?

• Phần #3: DMARC là gì?

Mailer To Go có hỗ trợ SPF không?

Là nhà cung cấp dịch vụ email an toàn, được kích hoạt DKIM và SPF, Mailer To Go là giải pháp lý tưởng của bạn cho các email kinh doanh được xác minh và danh tiếng cao.

Dịch vụ nhà cung cấp email Mailer To Go cho phép bạn gửi thư, bao gồm email giao dịch và tiếp thị, từ miền của riêng bạn.

Mặc dù không bắt buộc, bạn nên thêm thẻ Mailer To Go vào SPF record của bạn để đảm bảo rằng email được gửi từ Mailer To Go tới hộp thư đến của người nhận một cách thích hợp.

Những câu hỏi thường gặp

SPF record là gì?

SPF (Sender Policy Framework) record là một loại bản ghi DNS TXT thường được sử dụng cho xác thực email. Nó đảm bảo rằng máy chủ thư gửi được ủy quyền để gửi thư từ miền của người gửi email.

Mục đích của SPF record là gì?

SPF record xác định các máy chủ thư và miền được phép gửi email thay mặt cho miền của bạn. Các máy chủ nhận kiểm tra SPF record của bạn để xác minh rằng các email đến tuyên bố là từ miền của bạn thực sự được ủy quyền bởi bạn.

SPF record hoạt động như thế nào?

SPF record là một dòng văn bản được lưu trữ trong DNS của miền và chỉ định những địa chỉ IP nào được phê duyệt để gửi email cho miền. Khi máy chủ thư nhận được tin nhắn, nó có thể kiểm tra SPF record của miền trong địa chỉ "Từ" để đảm bảo email được gửi từ máy chủ được ủy quyền bởi chủ sở hữu miền.

SPF record giúp xác thực email như thế nào?

SPF là một phương pháp xác thực email tiêu chuẩn. SPF giúp bảo vệ miền của bạn chống lại giả mạo, và giúp ngăn chặn các tin nhắn đi của bạn bị đánh dấu là thư rác. Nó cho phép một miền tuyên bố những máy chủ nào có thể gửi email thay mặt cho nó.

SPF record có thể bảo vệ danh tiếng miền và gửi email của tôi như thế nào?

SPF record có thể bảo vệ danh tiếng miền của bạn bằng cách ngăn chặn sử dụng trái phép của miền của bạn trong các địa chỉ "Từ". Điều này giúp duy trì lòng tin của người nhận và các nhà cung cấp dịch vụ email, và có thể cải thiện tỷ lệ gửi email của bạn.

Để có cách quản lý SPF records đáng tin cậy và hiệu quả, đảm bảo email của bạn được xác thực đúng cách, hãy cân nhắc sử dụng nhà cung cấp dịch vụ email giao dịch như Mailer To Go. Nó cung cấp một loạt các tính năng có thể giúp bạn duy trì danh tiếng miền và cải thiện tỷ lệ gửi email của bạn.