Giả sử, trong trường hợp giả thuyết, ai đó cố gắng sử dụng thương hiệu của bạn để thực hiện gian lận. Vâng, cách tốt nhất để họ làm điều đó là gửi email nhân danh bạn, giả vờ là chủ sở hữu miền—bạn!

Mặc dù chúng tôi hy vọng tình huống này sẽ không xảy ra thực tế, chỉ cần một hacker giả mạo miền và họ có thể lạm dụng khách hàng, khách tiềm năng của bạn và bất kỳ ai khác có địa chỉ email.

Giả mạo bạn là chủ sở hữu miền có thể gây hại cho danh tiếng thương hiệu của bạn, khiến email hợp pháp của bạn bị đánh dấu là thư rác và thậm chí có thể khiến tổ chức của bạn phải đối mặt với các vụ kiện. Để đảm bảo rằng những người nhận email của bạn có thể phân biệt email của bạn với những email gian lận, bạn sẽ cần sử dụng xác thực phù hợp.

Trong các bài viết trước, chúng tôi đã đề cập đến những kiến thức cơ bản về giải pháp xác thực email hoạt động như một tập hợp các hệ thống bảo mật để xác thực tính xác thực của email.

Các hệ thống bảo mật được đề cập là ba giao thức xác thực email nổi tiếng: DKIM (Domain-Keys Identified Mail), SPF (Sender Policy Framework), và trọng tâm của bài viết này: giao thức xác thực email DMARC.

DMARC là gì?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) là một tiêu chuẩn xác thực email được thiết kế để bảo vệ cả người gửi email và người nhận khỏi những kẻ tấn công gửi email spam và phishing bằng cách giả mạo miền và giả mạo chủ sở hữu miền.

Đây là giao thức xác thực email xác minh địa chỉ IP của người gửi so với chủ sở hữu miền được cho là của miền người gửi để xác định xem người gửi có thực sự là người họ tuyên bố hay không.

Spoofing có nghĩa là thay đổi trường "From" của email để có vẻ như nó được gửi từ một tổ chức hoặc miền bị giả mạo. Nó hoạt động cùng với và dựa vào hai phương pháp xác thực email khác: SPF và DKIM.

DMARC nâng cao các phương pháp xác thực khác bằng giao thức cho phép người gửi yayông công khai các chính sách loại bỏ đoán mò từ xử lý ở phía bên nhận và cũng cung cấp cho người nhận phương tiện gửi báo cáo trở lại người gửi liên quan đến các tin nhắn vượt qua hoặc không vượt qua đánh giá DMARC.

DMARC hoạt động như thế nào?

DMARC là tiêu chuẩn xác thực email được thiết kế để bảo vệ cả người gửi email và người nhận khỏi những kẻ tấn công gửi email spam và phishing bằng cách giả mạo miền.

Nó hoạt động kết hợp với hai phương pháp xác thực khác: DKIM và SPF. Để tìm hiểu DKIM và SPF là gì, và cách triển khai chúng, hãy đọc các bài viết của chúng tôi về DKIM là gì? và SPF record là gì?

Để hiểu chức năng của DMARC và trả lời các câu hỏi, "DMARC là gì?" và "DMARC hoạt động như thế nào?", cần thiết là phải hiểu rõ sự tích hợp của nó với DKIM và SPF.

DMARC yêu cầu triển khai trước DKIM hoặc SPF.

Giống như DKIM và SPF, DMARC sử dụng bản ghi DNS để chỉ định các hành động trong trường hợp xác thực email không thành công và cách báo cáo chính xác các sự cố đó. DMARC giới thiệu khái niệm "domain alignment" để nâng cao xác thực email.

Mặc dù SPF xác minh trường envelope-from, DMARC yêu cầu sự liên kết giữa miền trong trường From (hiển thị cho người nhận email) và trường envelope-from cho SPF.

Đối với DKIM, cần phải liên kết giữa miền trong trường From và miền được chỉ định trong các thẻ d= và s= của trường DKIM-signature. Sự liên kết này đảm bảo quy trình xác minh toàn diện, giảm khả năng giả mạo email.

Để xem hướng dẫn nhanh "cho người mới bắt đầu" về DMARC, hãy xem video PowerDMARC bên dưới.

DMARC record là gì?

Bản ghi DMARC đóng vai trò quan trọng trong việc triển khai xác thực DMARC cho email. Bản ghi TXT này, được gọi là bản ghi DMARC, được công bố trong DNS (Domain Name System) của miền dưới nhãn subdomain "dmarc" (ví dụ: dmarc.yourdomain.com).

Bao gồm một bộ hướng dẫn và thông số kỹ thuật quan trọng, bản ghi DMARC hướng dẫn xử lý lỗi xác thực email và hỗ trợ các thủ tục báo cáo phù hợp.

Bản ghi DMARC, với các thẻ name=value của nó, đóng vai trò then chốt trong việc xác định các chính sách và hành động liên quan đến xác thực DMARC. Các thẻ này, tương tự như bản ghi SPF và DKIM, cung cấp hướng dẫn rõ ràng cho các máy chủ mail về cách xử lý các tin nhắn không vượt qua kiểm tra xác thực.

Khi thiết lập bản ghi DMARC, cần xem xét các yếu tố sau, được bao gồm trong chính bản ghi DMARC:

• Phiên bản (v) Thẻ v biểu thị phiên bản của DMARC đang được sử dụng, chẳng hạn như "v=DMARC1."

• Chính sách (p) Thẻ p phân định chính sách DMARC chi phối cách xử lý xác thực không thành công. Nó có thể nhận một trong ba giá trị: "none" (không chỉ hành động nhưng báo cáo lỗi), "quarantine" (biểu thị cách ly tin nhắn không thành công), hoặc "reject" (biểu thị từ chối tin nhắn không thành công).

• Chính sách miền phụ (sp) Thẻ sp thiết lập chính sách cho các miền phụ thuộc miền được chỉ định trong bản ghi DMARC. Nó chia sẻ các giá trị tiềm năng giống nhau như thẻ chính sách.

• Phần trăm (pct) Thẻ pct xác định phần trăm email không được xác thực phải tuân theo chính sách được xác định. Ví dụ: "pct=100" ngụ ý rằng chính sách áp dụng cho tất cả email không được xác thực.

• URI báo cáo tổng hợp (rua) Thẻ rua chỉ định URI (địa chỉ email) nơi báo cáo DMARC tổng hợp sẽ được gửi. Các báo cáo này cung cấp dữ liệu thống kê về các tin nhắn nhận được.

• URI báo cáo pháp y (ruf) Thẻ ruf cho phép bao gồm URI nơi có thể chuyển tiếp các báo cáo pháp y hoặc báo cáo theo thời gian thực liên quan đến xác thực email không thành công.

Đảm bảo định dạng chính xác và biểu diễn chính xác các chính sách và cơ chế báo cáo mong muốn trong bản ghi DMARC là cực kỳ quan trọng.

Giám sát thường xuyên các báo cáo DMARC được khuyến khích cao, vì nó cho phép đánh giá hiệu suất xác thực email và tạo điều kiện cho các điều chỉnh cần thiết để nâng cao bảo mật tổng thể.

Tóm lại, bản ghi DMARC tạo nên thành phần quan trọng trong việc triển khai xác thực DMARC. Thông qua cấu hình chính xác và bảo trì, chủ sở hữu miền có thể tăng đáng kể bảo mật và độ tin cậy của giao tiếp email của họ với sự trợ giúp của bản ghi DMARC.

Bản ghi DMARC hoạt động như một khuôn khổ hướng dẫn, hướng dẫn máy chủ mail hoặc các máy chủ mail về các hành động và giao thức báo cáo thích hợp.

Triển khai DMARC để xác thực email

Để triển khai DMARC, chủ sở hữu miền phải yayông công một bản ghi TXT trong DNS với nhãn miền phụ "dmarc" (ví dụ: dmarc.yourdomain.com). Bản ghi TXT này bao gồm các thẻ name=value được phân cách bằng dấu chấm phẩy, tương tự như bản ghi SPF và DKIM.

Ví dụ:

Trong ví dụ này, thẻ v biểu thị phiên bản, p biểu thị chính sách, sp xác định chính sách miền phụ, pct chỉ định phần trăm email không được xác thực phải tuân theo chính sách, và rua biểu thị URI để gửi báo cáo DMARC tổng hợp đến.

Báo cáo tổng hợp chứa dữ liệu thống kê về các tin nhắn nhận được sẽ được gửi đến dmarcreports@yourdomain.com. Báo cáo pháp y hoặc báo cáo theo thời gian thực về xác thực email không thành công cũng có thể được bao gồm bằng cách sử dụng thẻ ruf .

Nâng cao dần các chính sách DMARC

Bạn nên áp dụng phương pháp dần dần khi triển khai và nâng cao các chính sách DMARC. Bắt đầu bằng chính sách DMARC không nghiêm ngặt và giám sát báo cáo DMARC cho phép nâng cao có hệ thống xác thực email.

DMARC cung cấp ba giá trị chính sách:

• không Mục nhập cấp này của chính sách DMARC không thực hiện bất kỳ hành động cụ thể nào nếu các tin nhắn không thành công xác thực. Tuy nhiên, nó chỉ định trong báo cáo phản hồi rằng các tin nhắn không vượt qua xác thực.

• cách ly Với chính sách này, các tin nhắn không thành công xác thực sẽ bị cách ly, thường chuyển hướng chúng đến thư mục spam của người nhận. Điều này cung cấp mức độ bảo vệ cao hơn chống lại email gian lận hoặc đáng ngờ.

• từ chối Chính sách DMARC từ chối hoàn toàn từ chối các tin nhắn không thành công xác thực, ngăn chặn việc gửi chúng đến hộp thư đến của người nhận. Chính sách này mang lại mức độ bảo vệ nghiêm ngặt nhất.

Ngoài ra, thẻ pct cho phép chỉ định phần trăm email mà chính sách được áp dụng. Bất kỳ tin nhắn còn lại nào sẽ tuân theo chính sách ít nghiêm ngặt hơn (không có nếu p=quarantine được chỉ định hoặc cách ly nếu p=reject được chỉ định).

Cân nhắc triển khai DMARC

Khi triển khai DMARC, cần lưu ý một vài cân nhắc quan trọng:

• Thực thi chính sách dần dần Bạn nên bắt đầu với chính sách "none" và giám sát cẩn thận các báo cáo DMARC trước khi chuyển sang các chính sách nghiêm ngặt hơn như "quarantine" hoặc "reject". Phương pháp dần dần này cho phép các tổ chức xác định và khắc phục bất kỳ vấn đề xác thực nào mà không có rủi ro email hợp pháp bị chặn hoặc gửi không đúng cách.

• Liên kết miền phụ DMARC giới thiệu khái niệm sự liên kết miền, yêu cầu sự liên kết giữa trường From và trường envelope-from cho xác thực SPF, cũng như miền trong trường DKIM-signature cho DKIM. Điều quan trọng là đảm bảo sự liên kết phù hợp để tối đa hóa hiệu quả của DMARC trong ngăn chặn giả mạo email.

• Tỷ lệ phần trăm chính sách Thẻ "pct" trong bản ghi DMARC cho phép các tổ chức chỉ định phần trăm email sẽ tuân theo chính sách được xác định. Điều quan trọng là xem xét cẩn thận cài đặt này để đạt được sự cân bằng giữa thực thi nghiêm ngặt và triển khai dần dần.

• Giám sát và điều chỉnh thường xuyên Các tổ chức nên thường xuyên xem xét các báo cáo DMARC, phân tích dữ liệu và thực hiện các điều chỉnh cần thiết cho thiết lập xác thực email của họ. Giám sát các báo cáo DMARC giúp xác định bất kỳ điểm bất thường, mối đe dọa bảo mật tiềm ẩn hoặc vấn đề cấu hình cần chú ý.

DMARC tại sao quan trọng?

DMARC thêm hai yếu tố tưởng như nhỏ, nhưng lại quan trọng trong quy trình xác thực email:

1. Liên kết miền

2. Báo cáo rõ ràng

Lưu ý rằng ngay cả DMARC cũng không bảo vệ người nhận khỏi email gian lận được gửi từ các miền khác trông giống như miền của bạn (ví dụ: d0ma1n.com so với domain.com), nhưng nếu bạn thêm DMARC vào miền của mình, nó ít nhất sẽ giúp email hợp pháp của bạn tìm đến hộp thư đến của người nhận.

Triển khai DMARC mang lại nhiều lợi ích cho người gửi email. Bằng cách sử dụng DMARC, các tổ chức có thể:

• Bảo vệ danh tiếng thương hiệu của họ DMARC giúp ngăn chặn giả mạo email và các cuộc tấn công phishing, có thể gây hại cho danh tiếng của công ty. Bằng cách xác thực email, DMARC đảm bảo rằng người nhận có thể tin tưởng nhận dạng của người gửi và phân biệt giữa email hợp pháp và những email gian lận.

• Cải thiện khả năng giao hàng email DMARC giúp cải thiện tỷ lệ giao hàng email bằng cách giảm khả năng email hợp pháp bị đánh dấu là spam hoặc nỗ lực phishing. Khi những người nhận email thấy rằng miền đã triển khai DMARC và email vượt qua xác thực, họ có khả năng giao hàng email đến hộp thư đến của người nhận cao hơn.

• Nhận báo cáo có thể hành động được DMARC cung cấp phản hồi dưới dạng báo cáo tổng hợp, cung cấp thông tin chi tiết có giá trị về các lỗi xác thực email. Các báo cáo này có thể giúp các tổ chức xác định các vấn đề về thiết lập xác thực email của họ và thực hiện các hành động khắc phục để nâng cao các biện pháp bảo mật của họ.

DMARC đóng vai trò quan trọng trong xác thực email bằng cách giới thiệu sự liên kết miền và cung cấp các cơ chế báo cáo rõ ràng. Nó nâng cao bảo mật tổng thể của miền của bạn và giúp bảo vệ danh tiếng thương hiệu của bạn.

Mặc dù DMARC không thể ngăn chặn email gian lận được gửi từ các miền khác bắt chước của bạn, việc triển khai DMARC tăng khả năng email hợp pháp đến hộp thư đến của người nhận.

Bằng cách liên kết các trường miền và dần dần tăng cường chính sách xác thực, bạn có thể giảm thiểu rủi ro gian lận dựa trên email, duy trì hình ảnh thương hiệu tích cực và cải thiện khả năng giao hàng các tin nhắn quan trọng của bạn.

Bằng cách sử dụng DMARC kết hợp với DKIM (DomainKeys Identified Mail) và xác thực SPF (Sender Policy Framework), bạn thiết lập khuôn khổ xác thực email mạnh mẽ giúp tăng cường bảo mật và độ tin cậy của giao tiếp email của bạn.

Đó là DMARC được giải thích, bạn bè!

Mailer To Go hỗ trợ DMARC không?

Hoàn toàn đúng! Mailer To Go hỗ trợ DMARC và bản ghi DMARC.

DMARC không được đặt cho mỗi dịch vụ email mà là cho toàn bộ miền của bạn. Chúng tôi khuyến khích bạn bắt đầu bằng cách thêm bản ghi DMARC TXT vào miền của bạn, có giá trị cho máy chủ mail biết rằng chỉ gửi báo cáo tổng hợp cho bạn để bạn có thể tìm hiểu xem bạn đã thiết lập các phương pháp xác thực cho tất cả các cơ chế gửi email của mình tốt như thế nào.

Giá trị sau yêu cầu máy chủ chỉ gửi báo cáo tổng hợp đến dmarc@yourdomain.com:

"v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com;"

Đọc thêm về các phương pháp xác thực email

• Phần #1: DKIM là gì?

• Phần #2: SPF record là gì?

Câu hỏi thường gặp

DMARC là gì?

DMARC, viết tắt của Domain-based Message Authentication, Reporting, and Conformance, là giao thức xác thực email xác minh địa chỉ IP của người gửi so với chủ sở hữu miền được cho là của miền người gửi. Nó được thiết kế để cấp cho chủ sở hữu miền email khả năng bảo vệ miền của họ khỏi việc sử dụng trái phép, thường được gọi là giả mạo email.

Mục đích của DMARC là gì?

Mục đích của DMARC là ngăn chặn email giả mạo. Tin nhắn giả mạo có vẻ như nó được gửi từ tổ chức hoặc miền bị giả mạo. DMARC cũng cho phép bạn yêu cầu báo cáo từ máy chủ email nhận tin nhắn từ miền của bạn, cung cấp khả năng hiển thị vào hệ sinh thái email của bạn.

DMARC hoạt động như thế nào?

DMARC cho phép chủ sở hữu miền chỉ định cách máy chủ mail của người nhận sẽ xử lý email không vượt qua kiểm tra xác thực SPF và DKIM. Nó cũng cung cấp cơ chế báo cáo trở lại chủ sở hữu miền về các hành động này.

Lợi ích của việc sử dụng DMARC là gì?

DMARC cung cấp bảo vệ email và cấp cho bạn toàn quyền kiểm soát giao hàng email cho miền của công ty bạn. Nó giúp ngăn chặn giả mạo email, phishing và các cuộc tấn công dựa trên email khác. Nó cũng cải thiện khả năng giao hàng email bằng cách đảm bảo email hợp pháp được xác thực chính xác.

Cách thiết lập DMARC?

Thiết lập DMARC liên quan đến việc tạo bản ghi DMARC trong các bản ghi DNS của miền bạn. Bản ghi này bao gồm chính sách DMARC của bạn, chỉ định cách máy chủ mail sẽ xử lý mail không vượt qua kiểm tra DMARC. Nhà cung cấp dịch vụ email giao dịch như Mailer To Go có thể hỗ trợ thiết lập và quản lý DMARC cho miền của bạn.

Báo cáo trong DMARC là gì?

Báo cáo trong DMARC là tính năng cho phép bạn theo dõi trạng thái xác thực email và các lỗi giao hàng. Nó cung cấp những hiểu biết có giá trị về ai đang gửi email nhân danh miền của bạn, có thể giúp xác định những người gửi hợp pháp cũng như hoạt động gian lận tiềm ẩn.

Hãy nhớ rằng, triển khai DMARC là một bước quan trọng trong việc bảo mật miền email của bạn và cải thiện khả năng giao hàng email.