DMARC là gì? Quan trọng như nào với Email doanh nghiệp 2024
Từ năm 2012, các kỹ thuật viên của Google, Yahoo!, Microsoft,… đã cùng nhau bàn về cách làm cho việc xác thực Email trở nên an toàn và bảo mật hơn nữa. Họ đã nhanh chóng cung cấp DMARC cho công chúng. Vậy DMARC là gì trong Email? Bài viết sau đây sẽ cung cấp câu trả lời cho những thắc mắc của bạn về giao thức xác thực phổ biến này, bao gồm DMARC là gì, cách hoạt động như thế nào trong Google Workspace năm 2024. Cùng GCS Technology Vietnam khám phá nhé!
DMARC là gì?
1. DMARC là gì?
Chúng ta sẽ bắt đầu bài viết này bằng cách trả lời câu hỏi mà có lẽ hầu hết độc giả đang thắc mắc: DMARC là gì và DMARC viết tắt cho cụm từ nào?
DMARC viết tắt cho Domain-based Message Authentication, Reporting & Conformance, có nghĩa là quá trình Xác thực email, báo cáo và tuân thủ các chính sách dựa trên miền, từ đó có thể ngăn chặn các email lừa đảo, giả mạo email các doanh nghiệp để thực hiện hành vi trái pháp luật.
Trong số ba giao thức xác thực email hàng đầu, DMARC là giao thức hiệu quả nhất và có tên phức tạp nhất. Và không khó để hiểu tại sao mọi người nhận định như thế.
DMARC sử dụng các biện pháp kiểm tra SPF (Sender Policy Framework – Khung chính sách người gửi) và/hoặc DKIM (DomainKeys Identified Mail – Thư nhận dạng khóa miền) để tiến hành xác thực kỹ lưỡng hơn đối với mọi Email nhận được.
Chữ ký DKIM được sử dụng trong xác thực DKIM để xác nhận tính xác thực của nguồn và nội dung Email. Mặt khác, SPF, được sử dụng bởi các nhà cung cấp dịch vụ internet như Gmail, Yahoo, v.v., cho phép chủ sở hữu tên miền cấp quyền cho địa chỉ IP để gửi email dưới tên miền.
Chủ sở hữu miền có thể xác định quy trình xác thực của riêng họ – còn được gọi là chính sách DMARC – với xác thực DMARC. Chính sách đó sẽ hướng dẫn máy chủ đến phải làm gì nếu email không vượt qua xét duyệt của DMARC.
Cuối cùng, để hợp lý hóa các thủ tục và đưa ra thông báo kịp thời trong trường hợp xảy ra giả mạo tên miền, chính sách cũng có thể tạo các báo cáo nêu chi tiết cụ thể của từng lần kiểm tra.
2. Bản ghi DMARC là gì?
Các bạn đã hiểu DMARC là gì, vậy thì bản ghi DMARC là gì? Bản ghi DMARC là bản ghi TXT được liệt kê trong _dmarc.yourdomain.com trong DNS cho miền của bạn, trong đó “yourdomain.com” là tên miền thực hoặc miền phụ của bạn. Nó cung cấp hướng dẫn về những việc cần làm và nơi gửi báo cáo về số liệu thống kê xác thực Email trong trường hợp thư Email không xác thực được DMARC.
Danh sách các thẻ DMARC tạo nên bản ghi DMARC. Mỗi thẻ bao gồm hai giá trị/ khóa, được phân cách bởi dấu “=”. Bảng sau sẽ giúp các bạn hiểu thêm về ý nghĩa các thẻ trong bản ghi DMARC:
Các thẻ trong DMARC | Ý nghĩa |
---|---|
v | phiên bản của giao thức DMARC. Mặc định là “DMARC1” |
p |
Sử dụng chính sách này cho các email không vượt qua quá trình kiểm tra DMARC. Bạn có thể chọn “none”, “reject” hoặc “quarantine” cho chính sách này: – “none” : Email sẽ được xử lý theo cách tương tự như khi không có cấu hình DMARC; nó vẫn có thể được gửi, phân loại là thư rác hoặc bị từ chối tùy thuộc vào các yếu tố khác. Thông thường, điều này được sử dụng để giám sát môi trường xung quanh và kiểm tra các báo cáo mà không ảnh hưởng đến khả năng gửi. – “quarantine”(cách ly) : chấp nhận email nhưng không chuyển tiếp email đến hộp thư đến của người nhận. Những tin nhắn này thường kết thúc trong thư mục thư rác. – “reject” (từ chối) : từ chối ngay email không vượt qua quá trình kiểm tra. |
rua |
Danh sách URI của nhà cung cấp dịch vụ email mà họ có thể chuyển tiếp các báo cáo tổng hợp. Lưu ý : đây không phải là danh sách địa chỉ email. DMARC yêu cầu danh sách các URI ở định dạng “mailto:test@example.com”. |
ruf |
Danh sách URI của ISP mà họ có thể gửi báo cáo điều tra. Lưu ý : đây không phải là danh sách địa chỉ email. DMARC yêu cầu danh sách URI có định dạng ‘mailto:test@example.org’ |
sp | Chính sách này sẽ được áp dụng cho các email từ miền phụ của miền này không vượt qua quá trình kiểm tra DMARC. Chính sách ‘ký tự đại diện’ cho tất cả tên miền phụ có thể được chủ sở hữu tên miền xuất bản bằng thẻ này. |
fo | Các lựa chọn pháp lý. Các giá trị được phép: ‘d’ để tạo báo cáo nếu DKIM không thành công, ‘s’ nếu SPF không thành công, ‘0’ để tạo báo cáo nếu cả DKIM và SPF không thành công và ‘1’ để tạo báo cáo nếu DKIM hoặc SPF không thành công tạo ra kết quả vượt qua DMARC. |
rf | Định dạng báo cáo báo cáo pháp lý. |
pct |
Các ISP được thẻ phần trăm hướng dẫn chỉ thực thi chính sách DMARC trên một tập hợp con các email không thành công. Khi một email không vượt qua được quá trình kiểm tra DMARC, người nhận chỉ nên áp dụng “p =’policy” 50% thời gian, theo cài đặt ‘pct = 50’. LƯU Ý : chỉ các chính sách “quarantine” hoặc “reject” mới được hưởng lợi từ việc này; chính sách “none” sẽ không được áp dụng. |
adkim | Biểu thị ‘Chế độ căn chỉnh’ cho chữ ký DKIM; ‘s’ biểu thị sự căn chỉnh chặt chẽ và ‘r’ để căn chỉnh thoải mái. Các miền ký DKIM đã xác thực (d=) chia sẻ miền Tổ chức với miền Từ (miền thực của người gửi) của email sẽ vượt qua quá trình kiểm tra DMARC khi hoạt động ở chế độ kiểm tra linh hoạt. Cần phải có kết quả khớp chính xác trong chế độ Kiểm tra chặt chẽ |
aspf | Chỉ định ‘Chế độ căn chỉnh’ cho SPF, có thể là ‘r’ (Kiểm tra linh hoạt) hoặc’s’ (Kiểm tra nghiêm ngặt). Các miền SPF đã xác thực chia sẻ miền Tổ chức với miền Từ của email sẽ vượt qua quá trình kiểm tra DMARC ở chế độ kiểm tra linh hoạt. Cần phải có kết quả khớp chính xác trong chế độ kiểm tra nghiêm ngặt. |
ri | Tần suất khoảng thời gian mà bạn muốn nhận báo cáo XML được tổng hợp. ISP có thể (và có thể sẽ) gửi báo cáo vào các khoảng thời gian khác nhau (thường là hàng ngày), nhưng đây là tùy chọn theo người cài đặt. |
DMARC hoạt động như thế nào trong Google Workspace?
Sau khi được hiểu thêm về DMARC là gì, tiếp sau đây chúng ta đến với cách hoạt động của DMARC trong Google Workspace nhé. Trước hết, người dùng Google Workspace cần biết rằng DMARC yêu cầu cài đặt bản ghi SPF hoặc bản ghi DKIM hoặc tốt hơn là cả hai là điều cần thiết để hiểu DMARC và cách thức hoạt động của nó trong Gmail của Google Workspace.
Máy chủ nhận tìm kiếm bản ghi DMARC hiện có trong DNS (Domain Name System – Hệ thống tên miền) khi nhận được Email. Trong khi đó, DKIM/SPF vẫn được thực hiện bình thường.
Tiếp theo, máy chủ nhận chạy Kiểm tra căn chỉnh DMARC (DMARC alignment test) để xem thử:
- Khi sử dụng SPF, địa chỉ “Trả lại Email” và địa chỉ “ Email được gửi đến” khớp với tiêu đề về kỹ thuật được ẩn của email. Nói cách khác, nó xác minh xem địa chỉ email được sử dụng để gửi thư và địa chỉ được sử dụng để gửi thư trả lời có khớp hay không.
- Khi sử dụng DKIM, miền của người gửi email, được biểu thị bằng giá trị đằng sau thẻ “d”, phải khớp với miền mà email được gửi đi.
Đương nhiên, cả hai bài kiểm tra căn chỉnh đều được chạy nếu cả hai xác thực đều được định cấu hình. Có hai loại yêu cầu căn chỉnh: thứ nhất là yêu cầu “linh hoạt”, trong đó các miền phụ khác nhau được phép nhưng các miền cơ sở phải khớp chính xác, yêu cầu thứ hai là “nghiêm ngặt”, trong đó các miền cơ sở phải khớp chính xác.
Trong các trường hợp sau, DMARC hoạt động thành công:
- Nếu chỉ định cấu hình một xác thực thì cả kiểm tra xác thực và kiểm tra căn chỉnh tương ứng đều phải vượt qua.
- Nếu cả hai xác thực đều được thiết lập thì một trong số đó phải thành công vượt qua bài kiểm tra căn chỉnh tương ứng, nhưng không cần thiết phải thực hiện cả hai xác thực.
Các bạn có thể thấy rằng DMARC sẽ tiếp tục hoạt động ngay cả trong trường hợp, chẳng hạn như DKIM và việc căn chỉnh của nó không thành công, nhưng SPF và việc căn chỉnh của nó thành công (hoặc ngược lại).
Bây giờ hãy giả sử rằng một Email, vì bất kỳ lý do gì, đã không vượt qua được quá trình kiểm tra DMARC. Bạn có thể thông báo cho máy chủ thư đến thông qua hướng dẫn của DMARC điều gì sẽ xảy ra với những Email không vượt qua được quá trình xác thực. Như chúng ta đã biết, có 3 chính sách trong DMARC đó là: none, quarantine và reject.
Tuy nhiên bạn vẫn có thể sửa đổi các chính sách này. Ví dụ: bằng cách sử dụng chính sách “Quarantine“, bạn có thể hướng dẫn máy chủ email bỏ qua (“None“) 90% email còn lại có quá trình kiểm tra không thành công và chỉ chuyển 10% trong số đó đến thư mục thư rác.
Xin lưu ý rằng máy chủ không phải lúc nào cũng làm theo hướng dẫn của bạn, ngay cả khi bạn đưa ra hướng dẫn. Tuy nhiên, bạn có nhiều quyền kiểm soát hơn so với xác thực SPF và DKIM.
Cuối cùng, các báo cáo chứa thông tin tổng hợp về các lần kiểm tra không thành công sẽ được máy chủ nhận gửi cho mỗi lần xác minh DMARC không thành công. Điều này rất hữu ích để theo dõi mọi hành vi lừa đảo và đánh giá tin nhắn của bạn hoạt động tốt như thế nào.
Tại sao nên sử dụng DMARC cho Email?
Bởi vì DMARC có lợi cho cả công ty và thương hiệu của bạn! Hãy tưởng tượng việc gửi một email từ công ty của bạn nhưng bị nhà cung cấp dịch vụ Email của người nhận gắn nhãn nhầm là thư rác do xác thực không đúng. Điều đó có thể dẫn đến việc nhà cung cấp dịch vụ đó đưa doanh nghiệp của bạn vào danh sách đen; nếu có đủ người báo cáo (report) cùng một vấn đề, điều đó thậm chí có thể có tác động đến tỷ lệ phân phối của bạn nói chung.
DMARC đảm bảo rằng mọi người đều biết email nào thuộc về doanh nghiệp của bạn và email nào không thuộc về bạn, điều này cũng chứng tỏ sự chuyên nghiệp và uy tín của công ty bạn, giúp bạn tránh được những trường hợp như vậy. Ngoài ra, nó còn cung cấp các báo cáo hữu ích nêu bật các vị trí chính xác nơi email của bạn bị thất lạc để bạn có thể giải quyết vấn đề.
Lợi ích khi sử dụng DMARC cho doanh nghiệp
Sau đây là 4 lợi ích cụ thể giúp doanh nghiệp của bạn xác định rõ tại sao nên sử dụng DMARC cho Email trong Google Workspace:
1. Bảo vệ hệ thống email của bạn khỏi bị giả mạo và lừa đảo
Email là hình thức liên lạc hiệu quả và tiện lợi nhất trong thế giới kinh doanh, nhất là khi doanh nghiệp của bạn sử dụng Google Workspace, nhưng nếu bạn không bảo vệ nó, nó có thể gây nguy hiểm cho công ty của bạn. Giao tiếp qua Email là điều cần thiết đối với các tổ chức, vì vậy họ nên bảo vệ nó khỏi bị giả mạo và lừa đảo. Phần lớn những kẻ gửi thư rác sử dụng kỹ thuật lừa đảo kết hợp với giả mạo email để lừa nạn nhân tiết lộ thông tin cá nhân.
Những kẻ tấn công đóng giả là thương hiệu có uy tín thông qua việc giả mạo email, khiến người nhận khó nhận ra các chiêu trò lừa đảo hơn. Để chống lại các cuộc tấn công này, các tổ chức phải luôn cảnh giác với các Email có nội dung lạ.
Người gửi có thể chỉ định máy chủ được ủy quyền để gửi email thay mặt miền của bạn bằng cách sử dụng SPF (Khung chính sách người gửi). Tất cả các địa chỉ IP được phép sử dụng tên miền của bạn đều được liệt kê ở đây. Tuy nhiên, bằng cách sử dụng giao thức DKIM (Thư nhận dạng khóa miền), bạn có thể ký tin nhắn của mình bằng khóa riêng và khóa chung mà máy chủ nhận sẽ sử dụng để xác minh nguồn gốc của tin nhắn.
DMARC cung cấp cho người nhận tùy chọn từ chối email từ các nguồn không xác định, sử dụng SPF và DKIM để ngăn chặn các nỗ lực lừa đảo và giả mạo. Giao thức phác thảo những gì sẽ xảy ra trong trường hợp tin nhắn không được xác thực. Khi chính sách DMARC được kích hoạt, máy chủ người nhận có thể được hướng dẫn thực hiện một trong ba hành động như đã nêu ở trên là “none”, “quarantine”, “reject”.
2. Cập nhật kịp thời những hoạt động đang diễn ra trong môi trường miền của bạn.
Tội phạm mạng liên tục tìm kiếm các phương pháp mới để đánh lừa nạn nhân bằng cách giả vờ là các miền hợp pháp. Vì vậy, bạn cần phải biết những gì đang xảy ra trong môi trường miền của mình. Bằng cách làm cho các kênh tên miền email của bạn hiển thị rõ hơn, bạn có thể ngăn chặn hành vi những hành vi bất hợp pháp khi thêm bản ghi DMARC vào DNS của mình.
Bạn có thể nhận báo cáo về các email được ủy quyền và trái phép được gửi trên miền của mình nhờ tính năng bảo vệ DMARC. Làm thế nào điều này có thể thực hiện được nhờ bảo mật email DMARC? Đầu tiên, giao thức cung cấp dữ liệu hữu ích, chẳng hạn như địa chỉ IP của người gửi, trong RUF (Reporting URL for Aggregate Reports – URL báo cáo pháp y) và RUA (Reporting URL for Forensic Reports – URL báo cáo tổng hợp).
Bằng cách sử dụng thông tin này, bạn có thể xác định xem các email được gửi thay mặt cho miền của bạn có xuất phát từ các nguồn uy tín hay không hoặc chúng không vượt qua quá trình kiểm tra DMARC. Như đã chỉ ra trước đó, máy chủ nhận có thể được hướng dẫn cách xử lý các email không đến từ các nguồn hợp pháp và không vượt qua xác thực DMARC bằng cách thêm bản ghi DMARC vào DNS của bạn.
3. Tăng cường nhận diện thương hiệu của bạn
Một ưu điểm nữa của DMARC là bảo vệ thương hiệu. Như các chủ doanh nghiệp đã biets, khách hàng không muốn liên kết với một công ty không trung thực. Giả sử bạn không sử dụng xác thực Email để bảo vệ thương hiệu của mình. Khi đó, tội phạm mạng có thể sử dụng lòng tin mà bạn có được để làm lợi cho chúng bằng cách giả vờ là trang web của bạn và lừa nạn nhân (tức là khách hàng của bạn) tiết lộ thông tin cá nhân. Bạn sẽ không biết về những hoạt động này nếu không có chính sách DMARC.
Danh tiếng và nhận diện thương hiệu của bạn có thể được bảo vệ bằng cách hiểu cách DMARC vận hành và sử dụng nó một cách hiệu quả. Việc triển khai tiêu chuẩn này sẽ ngăn chặn mọi nỗ lực gửi email lừa đảo hoặc lừa đảo từ miền của doanh nghiệp. Điều này giúp tăng cường niềm tin vào thương hiệu bằng cách tăng tốc độ gửi tin nhắn xác thực của bạn.
4. Đảm bảo Email của bạn đến được hộp thư đến của người nhận
Phần lớn các doanh nghiệp sử dụng Email marketing trong Google Workspace để kết nối với số lượng lớn khách hàng cùng một lúc. Mặc dù phương pháp này hoạt động tốt và có nhiều ưu điểm nhưng nó cũng có thể dẫn đến những vấn đề lớn do:
- Gửi quá nhiều email cùng lúc
- Email mang tính quảng cáo cao và chứa nhiều từ kích hoạt thư rác
- Các email lừa đảo và giả mạo được gửi một cách gian lận bằng miền của bạn
Điều này sẽ khiến các ISP chặn miền của bạn hoặc đưa thư của bạn vào thư mục thư rác của người nhận. Khả năng phân phối thư có thể được cải thiện bằng cách đảm bảo cài đặt DNS của bạn chứa đủ bản ghi DMARC. Nó ngăn chặn các email độc hại được gửi bởi các tác nhân đe dọa sử dụng tên miền của bạn. Do đó, ISP và người nhận học cách coi các email được ủy quyền là được xác thực.
Khi DMARC được triển khai, một tổ chức có thể thông báo cho các ISP rằng tổ chức đó đang thực hiện các cải tiến đối với bảo mật email của mình. Các ISP có thể sẽ sử dụng điều này để chuyển tiếp email từ các doanh nghiệp có bản ghi DMARC.
Cách cài đặt bản ghi DMARC trong Google Workspace
Sau khi chúng ta đã tìm hiểu DMARC là gì và cách thức hoạt động của DMARC, bây giờ GCSVN sẽ hướng dẫn các bạn cách tạo DMARC trong Google Workspace nhé:
Bước 1: Chuẩn bị cài đặt bản ghi DMARC
Để đảm bảo miền của bạn được chuẩn bị sẵn sàng để cài đặt DMARC, bạn phải làm một số việc trước khi tiếp tục.
Để DMARC hoạt động được, trước tiên bạn phải định cấu hình SPF và DKIM cho miền của mình trong Google. SPF và DKIM được DMARC sử dụng để xác nhận rằng email đến từ các nguồn hợp pháp.
Tiếp theo, lấy thông tin đăng nhập máy chủ miền của bạn. Để thêm bản ghi DMARC vào cài đặt DNS, bạn sẽ thông tin đăng nhập đó. Hãy liên hệ với nhà cung cấp tên miền của bạn để có được nó.
Bạn có thể tùy chọn tra cứu xem miền của mình đã có bản ghi DMARC hay chưa. Nếu bạn tìm thấy một bản ghi DMARC, hãy kiểm tra để xác định xem có cần điều chỉnh gì không.
Để xác định xem bạn hiện có bản ghi DMARC hay không:
- Truy cập Hộp công cụ quản trị trên Google.
- Nhấp vào “Xác minh sự cố DNS”, sau đó chọn “Kiểm tra MX”.
- Sau khi nhập tên miền, hãy nhấp vào Run Checks! (Chạy thử)
- Nếu DMARC của bạn chưa được định cấu hình, nó sẽ thông báo cho bạn. Nếu vậy, “Định dạng chính sách DMARC” sẽ xuất hiện.
Khi bạn đã thu thập hết được các thông tin cần thiết, giờ là lúc chuẩn bị cho bước tiếp theo.
Bước 2: Xác định bản ghi DMARC
Xác định bản ghi DMARC của bạn là bước tiếp theo. Đây sẽ là bản ghi TXT hướng dẫn nhà cung cấp email cách xử lý các email không xác thực được và chính sách DMARC của bạn là gì.
Đây là một ví dụ của bản ghi DMARC:
Như chúng ta đã biết ở trên, thẻ đầu tiên là “v”, viết tắt của phiên bản. Phiên bản DMARC đang sử dụng được chỉ định bằng thẻ “v”. Bạn có thể chỉ cần nhập DMARC1 vì đây là phiên bản mới nhất.
Tiếp theo là thẻ “p”, viết tắt của chính sách. Khi email không xác thực được DMARC, thẻ “p” sẽ hướng dẫn nhà cung cấp email những việc cần làm. Có 3 chính sách đó là “none”, “quarantine”, “reject”.
Cuối cùng là thẻ “rua”. Nhà cung cấp email sẽ được thông báo về nơi gửi báo cáo DMARC bằng thẻ “rua”. Nhập địa chỉ email của bạn ở đây. Bạn có thể nhập nhiều địa chỉ email vào đây nhưng hãy nhớ phân tách chúng bằng dấu phẩy! Để đảm bảo gửi đúng cách, hãy đặt “mailto:” trước mỗi địa chỉ.
Bước 3: Thêm bản ghi DMARC
Bước tiếp theo là thêm bản ghi DMARC vào cài đặt DNS của miền. Điều này sẽ hướng dẫn các nhà cung cấp email về cách xử lý các email không vượt qua xác thực DMARC và nơi tìm bản ghi DMARC của bạn.
– Trước tiên hãy đăng nhập vào tài khoản máy chủ miền của bạn. Phương pháp này giống nhau nhưng giao diện sẽ thay đổi tùy thuộc vào người lưu trữ tên miền của bạn. Bạn nên truy cập Google Domains.
– Sau khi đăng nhập, chọn “Miền của tôi” (My Domains) → chọn “Quản lý” (Manage) bên cạnh tên miền thích hợp. Tiếp theo, chọn “DNS”, thao tác này sẽ đưa bạn đến trang nơi bạn có thể đưa bản ghi DMARC của mình vào.
– Ấn chọn “Tạo bản ghi mới” (Create new record). “_dmarc” là nội dung bạn nên nhập vào trường đầu tiên.
– Sau đó, loại bản ghi sẽ được chọn từ menu thả xuống. Bạn ấn chọn TXT.
Thời gian thực hiện bản ghi hay TTL, là menu thả xuống tiếp theo. Đây là khoảng thời gian các máy chủ DNS phải giữ bản ghi này trong bộ đệm của chúng. Con số được tính bằng giây nhưng có thể là bất kỳ khoảng thời gian nào.
Quá trình xử lý bản ghi DMARC của bạn có thể mất tới 48 giờ. Khi đó, bạn có thể kiểm tra tính bảo mật email của miền của mình và nhận báo cáo DMARC.
Bước 4: Kiểm tra báo cáo tổng hợp
Hàng ngày có rất nhiều nhà cung cấp dịch vụ email gửi báo cáo tổng hợp. Điều này có nghĩa rằng vào ngày bản ghi DMARC được xuất bản, bạn có thể nhận được báo cáo tổng hợp.
Tuy nhiên, có thể mất tới 72 giờ để bạn nhận được bộ báo cáo tổng hợp ban đầu. Sau khi có được thông tin, bạn phải dùng thông tin đó để sửa luồng email của mình. Như vậy, DMARC sẽ được cài đặt thành công.
Lời kết
Bài viết trên đây của GCS Technology Vietnam đã giúp bạn tìm hiểu DMARC là gì và cách thức hoạt động của DMARC trong Google Workspace. Nếu các bạn vẫn còn thắc mắc về bài viết và có thêm những câu hỏi về DMARC, đừng ngần ngại để lại câu hỏi trong phần bình luận dưới bài viết nhé. Ngoài ra, nếu người dùng mong muốn có thêm thông tin chi tiết về các phiên bản Google Workspace, quý khách liên hệ miễn phí bằng cách nhắn tin trực tiếp vào phần Chatbox để được hỗ trợ nhanh nhất nhé.