Dmarc Là Gì

  -  
DMARC là gì?

DMARC là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữumà không được sự cho phép củahọ mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những mail hợp lệ mới được chấp nhận vào hệ thống.

Bạn đang xem: Dmarc là gì

DMARC hoạt động như thế nào?

DMARC được xây dựng ở phía trên của DKIM và SPF. Vậy trước tiên, ta sẽ xem DKIM và SPF là gì?

DKIM (Domainkeys Identified Mail)

*

DKIM là một phương thức để xác thực tính hợp lệ của một email. Mỗi mail khi gửi đi được gắn 1 khóa private key và sau đó được xác thực bên phía mail server nhận bằng một khóa public key được setup trong bản ghi DNS. Quá trình này đảm bảo rằng mail gửi đi không bị thay đổi trên đường tới phía bên nhận. Nói cách khác, nó ngăn chặn ai đó có thể can thiệp vào email của bạn, thay đổi nó và sau đó gửi đi với nội dung mới. Bản chất của nó giống hệt như giao thức SSH mà ta vẫn hay dùng hàng ngày.

DKIM còn giúp các ISP sử dụng những thông tin đó để đánh giá mực độ tin cậy của domain bằng một thông số ta vẫn thường nghe là “reputation“. Việc thực hiện gửi mail một cách lành mạnh với tỉ lệ SPAM và bounces ít, tỉ lệ chấp nhận cao sẽ tự nhiên làm tăng độ tin cậy và xác thực của domain đó đối với các ISP

Đây là cách setup DKIM trong DNS mà ta vẫn thường thấy với public key:

default._domainkey.maychuemail.com. 360 IN TXT “k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQviviancosmetics.vngQCJc/pm2JWRbgSSiGxrKh74YvOmIDja0hPp6P/0/ij76TpOeUfdweZU1grF6cymUa3RzWnCvh+JngT6vNo9XfYoTJNzbJzBPJoMIUYwuffsE8hHyleA3GV0f5egEhaz6PtWFWgfiG6n/QVxrdgicxFcEEPtJ9mkvxQIIsvk5dZRbwIDAQAB”

SPF (Sender Policy Framework)

*

SPF là một cách thức để xác nhận một email server có được phép gửi email dưới tên mộtdomain nào đó không. Chẳng hạn như muốn email từ domain
maychuemail.com chỉ có giá trị khi gửitừ địa chỉ IP123.123.123.123, còn các mail server có IP khác mà gửi các mail có đuôi
maychuemail.com đều là giả mạo và không được phép thì SPF sẽ thực hiện điều này. Khi đó mail server phía nhận sẽ tự động loại bỏ tất cả các email gửi dưới dạng
maychuemail.comtừ các địa chỉ không phải IP123.123.123.123.Tất nhiên mail server phía nhận phải có chức năng kiểm tra SPF này, còn không kiểm tra thì có cấu hình cũng bằng thừa.

Thiết lập bản ghi SPF cho domain

Thêm 1 record với thông tin sau:Host Records: maychuemail.com. hoặc
Record Type: TXT

Address: v=spf1 a mx:maychuemail.comip4:123.123.123.123~all

Trong đó123.123.123.123 là IPv4 của máy chủ SMTP

DMARC kết hợp DKIM và SPF

*

DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiếtlập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF.

Xem thêm: Thứ 6 Ngày 13: Xuất Hiện Tựa Game Thứ 6 Ngày 13 Th: The Game 1

DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là môt mô tả cách thứcSPF vàDKIM cùng làm việc vớiDMARC.

DMARC policy được cấu hình trong DNS và trông giốngnhư sau:

_dmarc.maychuemail.com. TXT v=DMARC1; p=reject; pct=100; rua=mailto:dmarc-reports
maychuemail.com;Bản ghi trên tạo 1 policy để reject (p=reject) 100% (pct=100) các email không pass DKIM haySPF. Bên cạnh đó, bản ghi còn cho biết lý do từ chối sẽ được gửi vào mail (rua=mailto:dmarc-reports
maychuemail.com) để người quản trị phía maychuemail.com được biết.

Xem thêm: Em Hãy Kể Tóm Tắt Bài Sự Tích Hồ Gươm Hay, Ngắn Nhất (5 Mẫu)

Hướng dẫn cấu hình DMARC Record

Lưu ý: Chỉ thêm bản ghi DMARC sau khi đã cấu hình hoàn chỉnh bản ghi SPF và DKIM cho hệ thống.

Truy cập vào trang quản trị DNS và thêm vào 1 TXT records

Host/Name:_dmarcValue/Destination:v=DMARC1; p=reject; rua=mailto:dmarc-reports
maychuemail.com(có thể thay thế bằng tài khoản Admin để nhận thông báo hoặc không điền)
hoặc bạn có thể thay p=none thay cho p=reject