Posted inSecurity

Nắm Vững DMARC, SPF và DKIM: Hướng Dẫn Cấu Hình Bảo Mật Email Thiết Yếu Của Bạn

Security tutorial - IT technology blog
Security tutorial - IT technology blog

Khởi Đầu Nhanh: Tăng Cường Bảo Mật Email Trong 5 Phút

Tôi từng có một máy chủ bị tấn công vũ phu SSH liên tục vào nửa đêm. Trải nghiệm đó đã dạy tôi một bài học quan trọng: bảo mật không chỉ là một điều nghĩ đến sau; đó là một yếu tố nền tảng, thiết yếu ngay từ lần thiết lập đầu tiên.

Triết lý này áp dụng sâu sắc cho email. Các nỗ lực mạo danh và lừa đảo qua email rất phổ biến, nhưng bạn có thể bảo vệ đáng kể miền của mình và người nhận bằng cách cấu hình đúng DMARC, SPF và DKIM. Dưới đây là cách để triển khai nhanh chóng các giao thức quan trọng này.

1. Bản Ghi SPF (Sender Policy Framework)

SPF giúp ngăn chặn những kẻ gửi thư rác gửi email như thể chúng đến từ miền của bạn. Bạn thực hiện điều này bằng cách xuất bản một bản ghi TXT liệt kê tất cả các máy chủ gửi email được ủy quyền của bạn. Ví dụ, nếu bạn sử dụng Google Workspace (trước đây là G Suite) cho email của mình, bản ghi SPF của bạn có thể trông như thế này:

yourdomain.com.  IN  TXT  "v=spf1 include:_spf.google.com ~all"

Nếu bạn cũng gửi email qua các dịch vụ khác như Mailchimp hoặc SendGrid, bạn chỉ cần thêm các cơ chế ‘include’ của họ:

yourdomain.com.  IN  TXT  "v=spf1 include:_spf.google.com include:servers.mcsv.net ~all"

Hành động: Tạo một bản ghi TXT cho miền của bạn. Bao gồm mục SPF thích hợp, liệt kê tất cả các dịch vụ gửi email hợp lệ. Ban đầu hãy bắt đầu với ~all (softfail) để tránh vô tình chặn các email hợp lệ.

2. Bản Ghi DKIM (DomainKeys Identified Mail)

DKIM thêm một chữ ký số vào các email đi của bạn. Chữ ký này cho phép các máy chủ thư nhận xác minh rằng email chưa bị giả mạo và thực sự bắt nguồn từ miền của bạn. Nhà cung cấp dịch vụ email (ESP) của bạn thường tạo các khóa mã hóa này cho bạn. Đối với người dùng Google Workspace, bạn sẽ tìm thấy tùy chọn này trong bảng điều khiển Admin của mình dưới mục Ứng dụng > Google Workspace > Gmail > Xác thực email.

google._domainkey.yourdomain.com.  IN  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDIn3sC2c4A..."

Ở đây, phần google là ‘bộ chọn’ (selector), trong khi chuỗi dài sau p= là khóa công khai của bạn.

Hành động: Tạo một cặp khóa DKIM với ESP của bạn. Sau đó, xuất bản khóa công khai dưới dạng bản ghi TXT dưới bộ chọn đã chỉ định (ví dụ: google._domainkey).

3. Bản Ghi DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC kết hợp SPF và DKIM lại với nhau. Nó hướng dẫn các máy chủ nhận cách xử lý các email không vượt qua kiểm tra SPF hoặc DKIM. Quan trọng hơn, nó cũng cung cấp các báo cáo chi tiết về xác thực email. Bắt đầu ở chế độ giám sát:

_dmarc.yourdomain.com.  IN  TXT  "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;"
  • v=DMARC1: Chỉ định phiên bản giao thức DMARC.
  • p=none: Đặt chính sách thành ‘none,’ cho biết chế độ giám sát. Các máy chủ nhận sẽ chấp nhận email nhưng gửi báo cáo chi tiết về kết quả xác thực.
  • rua=mailto:[email protected]: Đây là địa chỉ email cho các báo cáo tổng hợp (tóm tắt hàng ngày ở định dạng XML).
  • ruf=mailto:[email protected]: Đây là địa chỉ email cho các báo cáo pháp y (thông tin chi tiết về lỗi, mặc dù ít được sử dụng hơn do lo ngại về quyền riêng tư tiềm ẩn).
  • fo=1: Tạo báo cáo nếu SPF hoặc DKIM thất bại, cung cấp thông tin chi tiết rộng hơn.

Hành động: Tạo một bản ghi TXT cho _dmarc.yourdomain.com với chính sách p=none. Đảm bảo sử dụng địa chỉ email của bạn cho các báo cáo. Cấu hình này cho phép bạn quan sát các vấn đề xác thực mà không chặn các email hợp lệ.

Tìm Hiểu Sâu: Hiểu Rõ Các Giao Thức

Trong khi phần khởi đầu nhanh giúp bạn được bảo vệ, việc hiểu sâu hơn về SPF, DKIM và DMARC là rất quan trọng để có được bảo mật email thực sự mạnh mẽ và khắc phục sự cố hiệu quả.

Giải Thích Về Sender Policy Framework (SPF)

SPF hoạt động bằng cách cho phép chủ sở hữu miền xuất bản một danh sách các địa chỉ IP hoặc tên máy chủ đáng tin cậy trong DNS của họ. Đây là những nguồn duy nhất được ủy quyền gửi email thay mặt cho miền của họ. Khi một máy chủ email nhận được một tin nhắn, nó sẽ kiểm tra miền của người gửi so với bản ghi SPF đã xuất bản này. Nếu IP gửi không có trong danh sách, email có thể bị đánh dấu là thư rác, bị cách ly hoặc thậm chí bị từ chối hoàn toàn.

  • v=spf1: Luôn bắt đầu một bản ghi SPF, cho biết phiên bản của nó.
  • a: Ủy quyền bản ghi ‘A’ (địa chỉ IP chính) của miền bạn.
  • mx: Ủy quyền bản ghi ‘MX’ (máy chủ trao đổi thư) của miền bạn.
  • ip4:192.0.2.1/24: Ủy quyền các địa chỉ hoặc dải IPv4 cụ thể, cung cấp khả năng kiểm soát chi tiết.
  • include:anotherdomain.com: Cơ chế này bao gồm bản ghi SPF của một miền khác, thường thấy đối với các ESP như Google hoặc Microsoft 365.
  • Cơ chế & Định tính:
    • + (Pass): Cho phép rõ ràng các email từ nguồn này. Đây là mặc định nếu không có định tính nào được chỉ định.
    • -all (Fail): Chính sách nghiêm ngặt này rõ ràng không cho phép bất kỳ máy chủ nào không được liệt kê. Email từ các nguồn trái phép sẽ bị từ chối.
    • ~all (SoftFail): Không cho phép nhưng xử lý các máy chủ không được liệt kê một cách nghi ngờ. Email từ các nguồn này có thể bị đánh dấu là thư rác hoặc bị cách ly, thay vì bị từ chối ngay lập tức. Điều này thường được khuyến nghị cho việc triển khai SPF ban đầu.
    • ?all (Neutral): Định tính này có nghĩa là máy chủ không vượt qua cũng không thất bại. Nó cung cấp ít sự bảo vệ thực sự và thường không được khuyến nghị.

Quan trọng: Một miền chỉ nên có một bản ghi SPF TXT duy nhất. Nếu bạn cần thêm người gửi được ủy quyền, hãy nối chúng vào bản ghi hiện có của bạn bằng cách sử dụng các cơ chế include bổ sung. Ví dụ, nếu bạn sử dụng hai dịch vụ tiếp thị, bạn có thể có hai câu lệnh include.

Giải Thích Về DomainKeys Identified Mail (DKIM)

DKIM dựa trên xác thực mã hóa mạnh mẽ. Khi máy chủ email của bạn gửi một email, nó sẽ tạo một chữ ký số duy nhất cho tiêu đề và nội dung của email. Chữ ký này sau đó được mã hóa bằng khóa riêng, mà chỉ máy chủ gửi của bạn sở hữu. Khóa công khai tương ứng sau đó được xuất bản an toàn trong DNS của miền bạn dưới dạng bản ghi TXT.

Khi máy chủ thư của người nhận nhận được email của bạn, nó thực hiện hai bước quan trọng:

  1. Nó truy xuất khóa công khai của bạn từ DNS của bạn.
  2. Nó sử dụng khóa công khai này để giải mã chữ ký số của email.

Nếu chữ ký đã giải mã khớp với nội dung của email, điều này xác nhận hai sự thật quan trọng:

  1. Email chưa bị thay đổi hoặc giả mạo trong suốt hành trình của nó trên internet.
  2. Email thực sự được gửi bởi một máy chủ được ủy quyền liên kết với miền của bạn, ngăn chặn hành vi mạo danh.

Bộ chọn (selector) (ví dụ: google trong ví dụ khởi đầu nhanh) cực kỳ hữu ích.

Nó cho phép bạn duy trì nhiều khóa DKIM cho một miền duy nhất. Tính linh hoạt này có lợi nếu bạn sử dụng các ESP khác nhau hoặc cần xoay vòng khóa để tăng cường bảo mật mà không làm gián đoạn tất cả các dịch vụ gửi cùng một lúc.

Giải Thích Về DMARC

DMARC được xây dựng dựa trên nền tảng của SPF và DKIM. Nó cung cấp các hướng dẫn rõ ràng cho các máy chủ thư nhận về cách xử lý các email không vượt qua kiểm tra xác thực SPF hoặc DKIM. Quan trọng hơn, DMARC cũng cung cấp các báo cáo vô giá trở lại cho chủ sở hữu miền về các lỗi xác thực này, giúp bạn có cái nhìn rõ ràng về các nỗ lực mạo danh tiềm ẩn và cấu hình sai.

  • v=DMARC1: Đây là thẻ bắt buộc xác định phiên bản DMARC.
  • p= (Chính sách): Thẻ này quy định hành động mà các máy chủ nhận nên thực hiện:
    • none: Đây là chế độ ‘giám sát’. Các máy chủ không làm gì với chính email, nhưng chúng gửi báo cáo. Đây là cài đặt lý tưởng cho việc triển khai DMARC ban đầu khi bạn thu thập dữ liệu.
    • quarantine: Email không vượt qua xác thực sẽ bị đánh dấu là đáng ngờ. Các máy chủ nhận có thể chuyển chúng vào thư mục spam hoặc gắn cờ để xem xét.
    • reject: Đây là chính sách mạnh nhất. Email không vượt qua xác thực sẽ bị chặn hoàn toàn và không được gửi đến hộp thư đến của người nhận.
  • rua=mailto:[email protected]: Đây là địa chỉ nơi các báo cáo tổng hợp (tóm tắt ở định dạng XML, thường được gửi hàng ngày) được gửi đến.
  • ruf=mailto:[email protected]: Đây là địa chỉ cho các báo cáo pháp y (báo cáo lỗi chi tiết, riêng lẻ). Hãy lưu ý rằng những báo cáo này có thể chứa thông tin nhạy cảm và ít được sử dụng hơn.
  • pct=100: Đặt tỷ lệ phần trăm email mà chính sách DMARC được áp dụng. Điều này rất tốt cho việc triển khai dần dần; ví dụ, đặt pct=10 sẽ áp dụng chính sách cho chỉ 10% email của bạn ban đầu.
  • aspf=s (Căn alignments SPF nghiêm ngặt): Yêu cầu khớp chính xác miền giữa tiêu đề ‘From’ và miền đã được xác thực SPF.
  • aspf=r (Căn alignments SPF linh hoạt): Cho phép khớp miền phụ cho SPF (ví dụ: mail.yourdomain.com cho yourdomain.com). Đây là cài đặt mặc định.
  • adkim=s (Căn alignments DKIM nghiêm ngặt): Yêu cầu khớp chính xác miền giữa tiêu đề ‘From’ và miền đã ký DKIM.
  • adkim=r (Căn alignments DKIM linh hoạt): Cho phép khớp miền phụ cho DKIM. Đây cũng là cài đặt mặc định.

Sức mạnh thực sự của DMARC nằm ở khả năng báo cáo toàn diện của nó. Các báo cáo này rất cần thiết để xác định các nguồn gửi hợp lệ mà bạn có thể đã bỏ qua trong bản ghi SPF của mình, hoặc để xác định các vấn đề với việc triển khai DKIM của bạn. Nếu không có báo cáo DMARC, bạn về cơ bản đang hoạt động trong bóng tối về trạng thái xác thực email của mình.

Sử Dụng Nâng Cao: Tinh Chỉnh Hệ Thống Phòng Thủ Email Của Bạn

Nhiều SPF Includes và Giới Hạn Ký Tự

Mặc dù việc sử dụng nhiều câu lệnh include trong bản ghi SPF là phổ biến, bạn phải chú ý đến hai giới hạn quan trọng: giới hạn 255 ký tự cho một bản ghi TXT duy nhất và giới hạn 10 lần tra cứu DNS cho toàn bộ bản ghi SPF. Vượt quá các giới hạn này có thể khiến bản ghi SPF của bạn không hợp lệ, khiến miền của bạn dễ bị mạo danh. Nếu bạn quản lý nhiều dịch vụ gửi, bạn có thể cần hợp nhất chúng hoặc tìm kiếm một dịch vụ quản lý SPF chuyên dụng để duy trì trong các giới hạn này.

Xoay Khóa DKIM và Nhiều Bộ Chọn

Việc xoay vòng khóa DKIM thường xuyên là một thực hành bảo mật tốt, giống như việc thường xuyên thay đổi mật khẩu của bạn. Hầu hết các ESP cung cấp các cơ chế đơn giản cho việc này. Nếu bạn sử dụng các dịch vụ khác nhau để gửi email (ví dụ: một cho tiếp thị, một cho cho email giao dịch), mỗi dịch vụ có thể yêu cầu bản ghi DKIM riêng với một bộ chọn duy nhất (ví dụ: google._domainkey, sendgrid._domainkey). Luôn đảm bảo tất cả các bộ chọn liên quan được cấu hình đúng trong DNS của bạn.

Tiến Hóa Chính Sách DMARC: Cách Tiếp Cận Theo Giai Đoạn

Hành trình từ chính sách p=none đến p=reject là một con đường quan trọng để đạt được sự bảo vệ email toàn diện. Tốt nhất nên tiếp cận nó như một quy trình dần dần, theo từng giai đoạn:

  1. Bắt đầu với p=none: Giám sát các báo cáo DMARC của bạn trong vài tuần. Giai đoạn này cho phép bạn xác nhận rằng tất cả các nguồn email hợp lệ của bạn đều vượt qua thành công cả xác thực SPF và DKIM.
  2. Chuyển sang p=quarantine: Khi bạn tự tin vào khả năng xác thực của mình, hãy chuyển chính sách của bạn sang quarantine. Cân nhắc bắt đầu với một pct thấp (ví dụ: pct=10) trong vài ngày, sau đó tăng dần lên 100. Chính sách này sẽ khiến các email không vượt qua bị chuyển vào thư mục spam của người nhận.
  3. Cuối cùng, chuyển sang p=reject: Sau khi cách ly email thành công mà không gặp vấn đề gì trong một thời gian, hãy nâng cấp chính sách của bạn lên reject. Cài đặt mạnh mẽ này sẽ khiến tất cả các email không vượt qua xác thực bị chặn hoàn toàn, mang lại sự bảo vệ tối đa.

Việc phân tích các báo cáo tổng hợp DMARC thô có thể khó khăn, vì chúng ở định dạng XML phức tạp. Nhiều dịch vụ bên thứ ba xuất sắc, như DMARCian, Valimail hoặc các công cụ DMARC của Postmark, cung cấp các trình phân tích báo cáo DMARC chuyên biệt giúp đơn giản hóa quy trình này thành một bảng điều khiển có thể hành động.

Mẹo Thực Hành Để Có Môi Trường Email An Toàn

  • Liên tục Giám sát Báo cáo DMARC: Ngay cả sau khi đạt được chính sách p=reject, việc giám sát liên tục là rất quan trọng. Các dịch vụ gửi mới, thay đổi trong các nền tảng hiện có hoặc cấu hình sai đơn giản đều có thể khiến các email hợp lệ không vượt qua xác thực.
  • Xác định Kỹ lưỡng Tất cả Các Nguồn Gửi: Đây thường là phần khó nhất. Đừng bỏ qua các nền tảng tự động hóa tiếp thị (như HubSpot hoặc Mailchimp), hệ thống CRM (như Salesforce), dịch vụ email giao dịch (như SendGrid hoặc AWS SES) và thậm chí cả các biểu mẫu liên hệ trên trang web của bạn gửi thông báo email. Mỗi thứ này cần được đưa vào bản ghi SPF của bạn, và DKIM nên được cấu hình nếu dịch vụ hỗ trợ.
  • Hiểu Thời Gian Truyền Bá DNS: Sau khi thực hiện bất kỳ thay đổi DNS nào, hãy nhớ rằng phải mất thời gian để các cập nhật này truyền bá trên internet. Mặc dù thường trong vòng vài phút đến vài giờ, nhưng đôi khi có thể mất tới 48 giờ. Đừng hoảng sợ nếu các báo cáo DMARC của bạn không ngay lập tức phản ánh những thay đổi mới nhất của bạn.
  • Tên miền phụ và DMARC: Các chính sách DMARC mặc định áp dụng cho tên miền phụ. Tuy nhiên, bạn có thể chỉ định các chính sách khác nhau cho tên miền phụ bằng cách sử dụng thẻ sp= (chính sách tên miền phụ). Ví dụ, p=reject; sp=none; sẽ từ chối email cho tên miền chính nhưng chỉ giám sát cho tên miền phụ.
  • Kiểm tra, Kiểm tra và Kiểm tra: Luôn sử dụng các công cụ trực tuyến để kiểm tra bản ghi SPF, DKIM và DMARC của bạn ngay sau khi cấu hình và sau bất kỳ thay đổi nào. Nhiều dịch vụ kiểm tra xác thực email (ví dụ: MXToolbox, DMARC Analyzer) có thể gửi một email thử nghiệm và cho bạn thấy chính xác cách nó xác thực.
  • Giữ Bản Ghi Ngắn Gọn: Hướng tới việc có ít câu lệnh include nhất có thể trong bản ghi SPF của bạn. Điều này giúp bạn duy trì trong giới hạn 10 lần tra cứu DNS quan trọng và duy trì hiệu suất tối ưu.

Việc triển khai DMARC, SPF và DKIM thoạt nhìn có vẻ là một nỗ lực phức tạp. Tuy nhiên, lợi ích bảo mật là rất lớn: bảo vệ danh tiếng thương hiệu của bạn, cải thiện đáng kể tỷ lệ gửi email thành công và ngăn chặn hiệu quả những kẻ xấu mạo danh miền của bạn. Hãy xử lý bảo mật email của bạn với sự cẩn trọng và tỉ mỉ tương tự như cách bạn xử lý quyền truy cập SSH của máy chủ, và bạn sẽ xây dựng một sự hiện diện kỹ thuật số an toàn và đáng tin cậy hơn rất nhiều.

Share:
Tags: