Làm ngay trong 5 phút: Check-list cấu hình nhanh
Đang vội và muốn mail thoát khỏi mục Spam của Gmail hay Outlook ngay? Hãy thêm 3 bản ghi DNS này vào trình quản lý tên miền của bạn. Đừng quên thay 1.2.3.4 bằng IP server và yourdomain.com bằng domain thật nhé.
- SPF Record (Bản ghi TXT): Khai báo IP nào được phép gửi mail.
v=spf1 ip4:1.2.3.4 include:_spf.google.com ~all - DKIM Record (Bản ghi TXT): Lấy mã khóa từ Workspace, Zoho hoặc server Mail.
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA... - DMARC Record (Bản ghi TXT): Quyết định số phận mail khi sai SPF/DKIM.
_dmarc.yourdomain.com TXT "v=DMARC1; p=none; rua=mailto:[email protected]"
Tại sao phải cấu hình đống này?
Sự thật là giao thức SMTP rất cũ kỹ và lỏng lẻo. Hacker có thể dễ dàng giả mạo địa chỉ [email protected] để gửi mail yêu cầu kế toán chuyển tiền. Theo báo cáo của Verizon, có tới 90% các vụ tấn công doanh nghiệp bắt đầu từ chính những email lừa đảo như thế này.
Mình từng xử lý một ca “dở khóc dở cười”. Một công ty đối tác bị giả mạo email đòi thanh toán nợ vào tài khoản lạ. Chỉ vì thiếu vài dòng DNS mà uy tín gây dựng 10 năm suýt đổ sông đổ biển. Nếu bạn bỏ qua, IP server của bạn sẽ sớm bị đưa vào danh sách đen (blacklist) của các tổ chức chống spam toàn cầu.
Hiểu đúng bản chất để làm chuẩn
1. SPF (Sender Policy Framework) – Danh sách khách mời
Hãy coi SPF như danh sách khách mời tại cổng bảo vệ. Khi server nhận thấy mail từ bạn, nó sẽ check DNS: “Ông IP 1.2.3.4 này có trong danh sách được phép gửi mail của yourdomain.com không?”.
v=spf1: Phiên bản cấu hình.ip4:1.2.3.4: IP server của bạn.~all(Soft Fail): Sai IP thì vẫn nhận nhưng đánh dấu nghi ngờ.-all(Hard Fail): Sai IP là từ chối thẳng thừng, không cho vào.
2. DKIM (DomainKeys Identified Mail) – Con dấu niêm phong
DKIM sử dụng cặp khóa Public/Private Key để ký số. Server gửi dùng Private Key để đóng dấu vào Header mỗi email. Khi mail đến, server nhận lấy Public Key từ DNS để giải mã. Nếu khớp, chắc chắn nội dung mail không bị chỉnh sửa trên đường đi.
Lưu ý: Bạn không thể tự chế bản ghi này. Hãy vào trang quản trị mail hoặc dùng OpenDKIM trên Linux để gen chuỗi ký tự chuẩn.
3. DMARC (Domain-based Message Authentication) – Người quản đốc
DMARC đứng sau để điều phối kết quả của SPF và DKIM. Nó cực kỳ quyền lực vì có tính năng gửi báo cáo (RUA). Bạn sẽ biết chính xác ai đang cố tình giả mạo domain của mình hàng ngày qua email báo cáo.
Trong bản ghi DMARC, tham số p (policy) là quan trọng nhất:
p=none: Chỉ theo dõi, chưa can thiệp (dành cho người mới).p=quarantine: Đẩy mail nghi ngờ vào thư mục Spam.p=reject: Chặn đứng hoàn toàn mail giả mạo từ vòng gửi xe.
Lộ trình nâng cấp: Từ theo dõi đến chặn đứng
Nhiều anh em mắc lỗi để p=none từ năm này qua năm khác. Như vậy chỉ mới dừng ở mức quan sát chứ chưa bảo vệ. Lộ trình chuẩn nhất là:
- Cấu hình
p=nonetrong 7 ngày đầu để theo dõi báo cáo. - Sử dụng các tool như DMARC Advisor để đọc file XML báo cáo cho dễ hiểu.
- Khi chắc chắn mail từ hệ thống mình đều đạt chuẩn, hãy nâng lên
p=quarantine. - Cuối cùng, chuyển hẳn sang
p=rejectđể khóa chặt mọi nỗ lực giả mạo.
Cấu hình nghiêm ngặt nhất thường trông như thế này:
v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]Mẹo test nhanh sau khi cấu hình
Đừng vội tin là DNS đã chạy ngay lập tức. Hãy sử dụng 3 công cụ “thần thánh” sau để kiểm tra kết quả:
- Mail-Tester.com: Gửi 1 mail thử nghiệm, nếu đạt 10/10 điểm là bạn đã thành công.
- MXToolbox: Kiểm tra xem bản ghi có lỗi cú pháp hay bị trùng lặp không.
- Google Admin Toolbox: Công cụ check lỗi cực sâu cho anh em dùng Workspace.
Cuối cùng, hãy nhớ rằng DNS cần thời gian để cập nhật (propagation). Đừng quá lo lắng nếu vừa đổi xong mà check chưa thấy gì. Cứ thong thả pha ly cafe, đợi tầm 30 phút rồi kiểm tra lại nhé. Chúc anh em cấu hình thành công!
