RFC 5617: ADSP — Các Thực Hành Ký Của Miền Tác Giả

Deprecated by DMARC Email Authentication Published March 2026

ELI5: Hãy tưởng tượng bạn điều hành một công ty và đóng dấu sáp lên mỗi lá thư gửi đi. ADSP là một cách để thông báo với cả thế giới: "Mỗi lá thư từ chúng tôi đều có dấu. Nếu bạn nhận được lá thư không có dấu, đó là giả mạo." Ý tưởng hay, nhưng cơ chế thông báo quá cứng nhắc — nó không thể xử lý danh sách gửi thư, chuyển tiếp hay những người gửi bên thứ ba một cách tinh tế. [DMARC](dmarc) cuối cùng đã giải quyết vấn đề tương tự bằng một cách tiếp cận linh hoạt hơn, và ADSP đã được loại bỏ.

Tại Sao Nó Tồn Tại

DKIM (RFC 6376) cho phép một miền ký các tin nhắn gửi đi của nó, nhưng nó không cho người nhận biết phải làm gì khi một tin nhắn thiếu chữ ký hợp lệ. Không có lớp chính sách, người nhận không có cách nào để biết liệu một tin nhắn không có chữ ký từ bank.example.com có hợp pháp (có thể đường gửi đi của họ không luôn ký) hay giả mạo (một kẻ lừa đảo giả mạo ngân hàng).

ADSP là nỗ lực đầu tiên để lấp đầy khoảng trống này. Nó cho phép chủ sở hữu miền công bố hồ sơ DNS khai báo thực tiễn ký của họ:

"unknown" — miền có thể ký hoặc không ký tất cả các tin nhắn (mặc định nếu không có hồ sơ ADSP nào).
"all" — miền ký tất cả các tin nhắn bằng Chữ Ký Tác Giả (DKIM d= khớp với miền From:).
"discardable" — miền ký tất cả các tin nhắn và các tin nhắn không được ký nên bị loại bỏ.

Được công bố vào tháng 8 năm 2009, ADSP gặp phải sự chấp nhận hạn chế và được chuyển sang trạng thái "Historic" vào tháng 11 năm 2013 bởi RFC 5863. Người kế thừa của nó, DMARC, giải quyết những khuyết điểm của ADSP và trở thành cơ chế chính sách xác thực email tiêu chuẩn.

Cách Nó Hoạt Động

Tra Cứu DNS

Hồ sơ ADSP được công bố dưới dạng hồ sơ DNS TXT tại _adsp._domainkey.<domain>. Khi người nhận nhận được tin nhắn có tiêu đề From: là alice@example.com, nó tra cứu:

_adsp._domainkey.example.com. IN TXT "dkim=all"

Giá Trị Chính Sách

Chính Sách	Hồ Sơ DNS	Ý Nghĩa
Unknown	`dkim=unknown` (hoặc không có hồ sơ)	Miền có thể ký một số hoặc tất cả thư. Không xác nhận về tin nhắn không được ký.
All	`dkim=all`	Tất cả thư từ miền này được ký bằng Chữ Ký Tác Giả. Tin nhắn không được ký đáng ngờ nhưng không nhất thiết là giả mạo.
Discardable	`dkim=discardable`	Tất cả thư được ký. Tin nhắn không được ký nên bị loại bỏ im lặng. Chính sách mạnh nhất.

Chữ Ký Tác Giả vs. Chữ Ký Bên Thứ Ba

Một khái niệm quan trọng trong ADSP là Chữ Ký Tác Giả — chữ ký DKIM trong đó thẻ d= trong tiêu đề DKIM-Signature chính xác khớp với miền trong tiêu đề From:. Điều này nghiêm ngặt hơn DKIM chung, cho phép bất kỳ miền nào ký:

; Chữ Ký Tác Giả (ADSP quan tâm đến cái này) From: alice@example.com DKIM-Signature: v=1; a=rsa-sha256; d=example.com; ... ; d=example.com khớp với miền From → Chữ Ký Tác Giả: CÓ ; Chữ Ký Bên Thứ Ba (ADSP bỏ qua cái này) From: alice@example.com DKIM-Signature: v=1; a=rsa-sha256; d=esp-provider.com; ... ; d=esp-provider.com không khớp với miền From → Chữ Ký Tác Giả: KHÔNG

Điều này có nghĩa là nếu bạn sử dụng một ESP (Nhà Cung Cấp Dịch Vụ Email) ký thư là d=esp.com thay vì d=yourdomain.com, ADSP sẽ coi những tin nhắn đó như không được ký — mặc dù chúng có chữ ký DKIM hoàn toàn hợp lệ.

Luồng Xác Minh

Nhận tin nhắn và trích xuất miền tiêu đề From:.
Tìm kiếm các tiêu đề DKIM-Signature trong đó d= khớp với miền From (Chữ Ký Tác Giả).
Nếu Chữ Ký Tác Giả hợp lệ hiện diện và hợp lệ, chấp nhận tin nhắn bình thường.
Nếu không có Chữ Ký Tác Giả hợp lệ nào tồn tại, truy vấn DNS cho _adsp._domainkey.<domain>.
Áp dụng chính sách: unknown có nghĩa là không thực hiện hành động, all có nghĩa là coi như đáng ngờ, discardable có nghĩa là từ chối hoặc loại bỏ im lặng.

Chi Tiết Kỹ Thuật Chính

Tại Sao ADSP Thất Bại

Thiết kế của ADSP có những hạn chế cơ bản ngăn cản sự chấp nhận có ý nghĩa:

Danh sách gửi thư phá vỡ Chữ Ký Tác Giả. Khi danh sách gửi thư sửa đổi tin nhắn (thêm chân trang, thay đổi Chủ Đề), chữ ký DKIM bị hỏng. Dưới dkim=discardable, người nhận sẽ loại bỏ tin nhắn. Các miền sử dụng danh sách gửi thư không bao giờ có thể triển khai an toàn một chính sách nghiêm ngặt.
Không có bảo phủ miền phụ. ADSP chỉ áp dụng cho miền chính xác được truy vấn. Không có cách để đặt chính sách cho *.example.com mà không cần công bố hồ sơ cho mọi miền phụ riêng lẻ.
Không có cơ chế báo cáo. ADSP không có cách nào để người nhận gửi phản hồi cho chủ sở hữu miền về kết quả xác thực. Không có dữ liệu, chủ sở hữu miền không thể đánh giá tác động của chính sách nghiêm ngặt hơn trước khi triển khai.
Không có triển khai dần dần. Các tùy chọn duy nhất là "unknown" (không bảo vệ), "all" (không rõ ràng), hoặc "discardable" (hạt nhân). Không có tương đương với thẻ phần trăm (pct=) của DMARC để thực thi dần dần.
SPF không được xem xét. ADSP chỉ đánh giá DKIM. Một tin nhắn vượt qua SPF nhưng thiếu DKIM được coi giống như một bản giả mạo hoàn toàn không xác thực.

ADSP vs. DMARC: Những Khác Biệt Chính

Tính Năng	ADSP (RFC 5617)	DMARC (RFC 7489)
Phương pháp xác thực	Chỉ DKIM	DKIM hoặc SPF (bất kỳ cái nào cũng có thể vượt qua)
Chế độ căn chỉnh	Chỉ Strict (khớp From chính xác)	Strict hoặc relaxed (cho phép miền phụ)
Chính sách miền phụ	Không	`sp=` thẻ cho miền phụ
Báo cáo tổng hợp	Không	`rua=` thẻ cho báo cáo XML hàng ngày
Báo cáo pháp y	Không	`ruf=` thẻ cho báo cáo theo lỗi
Triển khai dần dần	Không	`pct=` thẻ để áp dụng chính sách cho một phần trăm thư
Hành động chính sách	unknown, all, discardable	none, quarantine, reject
Vị trí DNS	`_adsp._domainkey.<d>`	`_dmarc.<d>`
Trạng thái	Historic (loại bỏ 2013)	Active, triển khai rộng rãi

Hồ Sơ DNS Chi Tiết

; Cú pháp hồ sơ ADSP _adsp._domainkey.example.com. IN TXT "dkim=discardable" ; Thẻ duy nhất được công nhận là "dkim=" với giá trị: ; unknown - mặc định, không xác nhận ; all - tất cả thư được Ký Tác Giả ; discardable - tất cả thư được Ký Tác Giả; loại bỏ nếu không

Những Sai Lầm Phổ Biến

Triển khai ADSP vào năm 2024 trở đi. ADSP là historic. Không có người nhận chính nào kiểm tra hồ sơ ADSP. Nếu bạn vẫn còn một hồ sơ được công bố, nó không làm gì cả. Triển khai DMARC thay thế.
Nhầm lẫn ADSP với DMARC. Cả hai đều là cơ chế chính sách cho DKIM, nhưng DMARC là tiêu chuẩn hiện tại. Nếu bạn gặp tài liệu tham chiếu _adsp._domainkey hồ sơ, nó đã lỗi thời.
Để lại hồ sơ ADSP cũ trong DNS. Hồ sơ ADSP cũ tiêu tốn thời gian truy vấn DNS và tạo ra sự nhầm lẫn trong quá trình gỡ lỗi. Nếu bạn tìm thấy hồ sơ _adsp._domainkey TXT trong vùng của mình, hãy dọn dẹp chúng.
Nghĩ "discardable" là chính sách mạnh nhất có thể. Thậm chí ở đỉnh cao, "discardable" của ADSP được tôn trọng bởi rất ít người nhận. Sự chấp nhận quá thấp để cung cấp sự bảo vệ có ý nghĩa chống lại giả mạo.
Không học bài học. ADSP thất bại vì nó toàn bộ hoặc không có với không hiển thị. DMARC thành công vì nó thêm báo cáo (rua=) và triển khai dần dần (pct=). Luôn bắt đầu với giám sát trước khi thực thi.

Ảnh Hưởng Khả Năng Gửi

Không ảnh hưởng hiện tại. Hồ sơ ADSP không được kiểm tra bởi người nhận hiện đại. Công bố một hồ sơ không có tác dụng gì đến việc gửi, kết quả xác thực, hoặc lọc thư rác.
Bài học lịch sử cho triển khai DMARC. Thất bại của ADSP trực tiếp thông báo cho thiết kế DMARC. Các tính năng báo cáo và triển khai dần dần giúp DMARC triển khai tồn tại vì ADSP chứng minh rằng một chính sách nhị phân mà không có phản hồi là không thực tế.
Hồ sơ cũ là tín hiệu. Hồ sơ ADSP cũ trong DNS là tín hiệu nhẹ rằng cơ sở hạ tầng email của một miền không được duy trì tích cực. Mặc dù không có người nhận nào phạt cái này, nó có thể gây nhầm lẫn trong quá trình gỡ lỗi xác thực.
Chuyển sang DMARC. Nếu miền của bạn có hồ sơ ADSP nhưng không có hồ sơ DMARC, triển khai DMARC ngay lập tức. Bắt đầu với p=none và địa chỉ báo cáo rua= để có được khả năng hiển thị, sau đó tightening chính sách dựa trên dữ liệu.