View Categories

Thiết lập bản ghi DMARC

10 phút đọc

Bảo vệ chống giả mạo và lừa đảo, đồng thời giúp ngăn thư bị đánh dấu là thư rác

Bạn xác định chức năng Xác thực, Báo cáo và Tuân thủ Thông báo dựa trên Miền (DMARC) bằng cách nhập bản ghi DMARC vào cài đặt DNS của miền của bạn.

Sau khi chuẩn bị nội dung bản ghi DMARC, hãy thêm hoặc cập nhật bản ghi DNS TXT tại nhà cung cấp tên miền của bạn. Để cập nhật bản ghi DNS TXT, hãy nhập dòng văn bản xác định bản ghi chính sách DMARC của bạn trong bảng điều khiển quản lý cho nhà cung cấp miền của bạn.

Mỗi khi bạn thay đổi chính sách DMARC và cập nhật bản ghi của mình, bạn phải cập nhật bản ghi DNS TXT tại nhà cung cấp tên miền của mình.

Tên miền phụ và tên miền bổ sung #

Nếu bạn có nhiều miền, hãy thực hiện các bước bên dưới cho từng miền. Mỗi miền có thể có chính sách khác nhau và các tùy chọn báo cáo khác nhau (được xác định trong bản ghi).

Nếu bạn không tạo chính sách DMARC cho tên miền phụ thì chúng sẽ kế thừa chính sách DMARC của tên miền gốc. Để xác định chính sách DMARC cho tên miền phụ, hãy sử dụng sp thẻ chính sách  trong bản ghi DMARC cho miền gốc.

Thêm hoặc cập nhật hồ sơ của bạn #

Quan trọng:

  • Định cấu hình Thư được xác định bằng khóa tên miền (DKIM) và Khung chính sách người gửi (SPF) trước khi định cấu hình DMARC. DKIM và SPF phải xác thực tin nhắn trong ít nhất 48 giờ trước khi bật DMARC.
  • Các miền được sử dụng trong các bước dưới đây chỉ là ví dụ. Thay thế các tên miền mẫu này bằng tên miền của riêng bạn.

Thực hiện các bước này trong bảng điều khiển quản lý dành cho máy chủ miền của bạn chứ không phải trong Bảng điều khiển dành cho quản trị viên. Máy chủ lưu trữ tên miền của tôi là ai?

  1. Chuẩn bị sẵn tệp văn bản hoặc dòng đại diện cho bản ghi chính sách của bạn  .
  2. Đăng nhập vào bảng điều khiển quản lý cho máy chủ lưu trữ tên miền của bạn.
  3.  Xác định vị trí trang nơi bạn cập nhật bản ghi DNS.
  4. Thêm bản ghi DNS TXT hoặc sửa đổi bản ghi hiện có bằng cách nhập bản ghi của bạn vào bản ghi TXT cho  _dmarc :
    1. Tên bản ghi TXT: Trong trường đầu tiên, bên dưới Tên máy chủ DNS, hãy nhập:_dmarc.solarmora.com

      Quan trọng: Một số công ty lưu trữ miền tự động thêm tên miền sau _dmarc. Sau khi thêm bản ghi TXT, bạn có thể xác minh tên bản ghi DMARC TXT để đảm bảo tên bản ghi được định dạng chính xác.

    2. Giá trị bản ghi TXT: Trong trường thứ hai, nhập văn bản cho bản ghi DMARC của bạn, ví dụ:

      v=DMARC1; p=none; rua=mailto:dmarc-reports@solarmora.com

      Tên trường có thể khác đối với nhà cung cấp của bạn. Tên trường bản ghi DNS TXT có thể khác nhau một chút tùy theo nhà cung cấp. Tên miền được sử dụng ở đây là tên miền mẫu. Thay thếsolarmora.comvới tên miền riêng của bạn.

  5. Lưu các thay đổi của bạn. 

Tắt DMARC #

Chúng tôi khuyên bạn không nên tắt DMARC cho tổ chức hoặc miền của mình. Nếu không có DMARC, tin tặc và những người dùng độc hại khác có thể mạo danh tin nhắn, khiến chúng có vẻ như đến từ tổ chức hoặc miền của bạn. Việc tắt DMARC sẽ khiến người dùng và người liên hệ của bạn có nguy cơ bị spam, giả mạo và lừa đảo. Nếu bạn phải tắt DMARC, hãy làm theo các bước sau .

Xác minh tên bản ghi DMARC TXT (tùy chọn) #

Quan trọng: Các miền được sử dụng trong các bước bên dưới chỉ là ví dụ. Thay thế các tên miền mẫu này bằng tên miền của riêng bạn.

Một số công ty lưu trữ miền tự động thêm tên miền của bạn vào cuối tên bản ghi TXT, được nhập ở bước 4a của Thêm hoặc cập nhật bản ghi của bạn . Điều này có thể khiến tên bản ghi DMARC TXT bị định dạng không chính xác.

Ví dụ: nếu bạn nhập  _dmarc.solarmora.com và máy chủ miền của bạn tự động thêm tên miền của bạn thì tên bản ghi TXT sẽ được định dạng không chính xác thành _dmarc.solarmora.com.solarmora.com .

Sau khi thêm bản ghi DMARC TXT theo các bước trong  Thêm hoặc cập nhật bản ghi của bạn , hãy kiểm tra tên bản ghi TXT để xác minh rằng nó được định dạng chính xác.

Bạn có thể sử dụng tính năng Dig trong Hộp công cụ dành cho quản trị viên của Google để xem và xác minh bản ghi DMARC TXT của mình:

  1. Đi tới Google Admin Toolbox và chọn tính năng Dig.
  2. Trong trường Tên , nhập _dmarc. theo sau là tên miền hoàn chỉnh của bạn. Ví dụ: nếu tên miền của bạn là Solarmora.com, hãy nhập _dmarc.solarmora.com
  3. Bên dưới trường Tên , nhấp vào TXT .
  4. Xác minh tên bản ghi DMARC TXT của bạn trong kết quả. Hãy tìm dòng văn bản bắt đầu bằng _dmarc .

Định dạng bản ghi DMARC #

Quan trọng: Chính sách DMARC mẫu trong phần này sử dụng các miền mẫu. Thay thế các tên miền mẫu bằng tên miền của riêng bạn.

Bản ghi DMARC ở dạng một dòng văn bản thuần túy. Văn bản là danh sách các thẻ và giá trị DMARC, được phân tách bằng dấu chấm phẩy. Một số thẻ là bắt buộc và một số là tùy chọn.

Chính sách DMARC cho máy chủ nhận biết hành động cần thực hiện đối với các thư không được xác thực mà họ nhận được từ miền của bạn. Hành động cần thực hiện được chỉ định bằng chính sách (p) khi bạn xác định bản ghi DMARC của mình .

Đây là ví dụ về bản ghi chính sách DMARC. Các thẻ được phân tách bằng dấu chấm phẩy (  ;  ). Cácvpcác thẻ phải được liệt kê trước, các thẻ khác có thể theo thứ tự bất kỳ. Nếu bạn sử dụng thẻ rua để gửi email báo cáo DMARC, bạn phải sử dụng tiền tố mailto: trước mỗi địa chỉ email, như trong ví dụ này:

v=DMARC1; p=reject; rua=mailto:postmaster@solarmora.com, mailto:dmarc@solarmora.com; pct=100; adkim=s; aspf=s

Thẻ bản ghi DMARC #

Nhãn Mô tả và giá trị
v

Phiên bản DMARC. Cần phải DMARC1..

Thẻ này là bắt buộc.

P Hướng dẫn máy chủ thư nhận phải làm gì với những thư không vượt qua được quá trình xác thực.

  • none—Không thực hiện bất kỳ hành động nào đối với tin nhắn và gửi nó đến người nhận đã định. Đăng tin nhắn trong một báo cáo hàng ngày. Báo cáo được gửi đến địa chỉ email được chỉ định với tùy chọn rua trong bản ghi.
  • quarantine—Đánh dấu thư là thư rác và gửi vào thư mục thư rác của người nhận. Người nhận có thể xem lại tin nhắn rác để xác định tin nhắn hợp pháp.
  • reject—Từ chối tin nhắn. Với tùy chọn này, máy chủ nhận thường gửi tin nhắn bị trả lại đến máy chủ gửi.

Thẻ này là bắt buộc.

Lưu ý BIMI: Nếu miền của bạn sử dụng BIMI, tùy chọn DMARC p phải được đặt thành quarantine hoặc reject. BBIMI không hỗ trợ các chính sách DMARC với tùy chọn p được đặt thành none.

pct

Chỉ định phần trăm thư không được xác thực tuân theo chính sách DMARC. Khi triển khai dần dần DMARC, bạn có thể bắt đầu với một tỷ lệ nhỏ thư của mình. Khi có nhiều thư từ miền của bạn vượt qua xác thực với máy chủ nhận, hãy cập nhật bản ghi của bạn với tỷ lệ phần trăm cao hơn cho đến khi bạn đạt 100%.

Phải là số nguyên từ 1 đến 100. INếu bạn không sử dụng tùy chọn này trong hồ sơ thì chính sách DMARC sẽ áp dụng cho 100% thư được gửi từ miền của bạn.

Thẻ này là tùy chọn.

Lưu ý BIMI: Nếu miền của bạn sử dụng BIMI, chính sách DMARC của bạn phải có giá trị pct 100. BIMI không hỗ trợ các chính sách DMARC có giá trịpctđược đặt nhỏ hơn 100.

rua

Địa chỉ email để nhận báo cáo về hoạt động DMARC cho miền của bạn.

Địa chỉ email phải bao gồm mailto:
Ví dụ: mailto:dmarc-reports@solarmora.com

Để gửi báo cáo DMARC tới nhiều email, hãy phân tách từng địa chỉ email bằng dấu phẩy và thêm tiền tố mailto: trước mỗi địa chỉ. Ví dụ:
mailto:dmarc-reports@solarmora.com, mailto:dmarc-admin@solarmora.com

Tùy chọn này có thể dẫn đến số lượng lớn email báo cáo. Chúng tôi khuyên bạn không nên sử dụng địa chỉ email của riêng bạn. Thay vào đó, hãy cân nhắc sử dụng hộp thư chuyên dụng, nhóm hoặc dịch vụ bên thứ ba chuyên về báo cáo DMARC.

Thẻ này là tùy chọn.

ruf

Không được hỗ trợ. Gmail không hỗ trợ thẻ ruf thẻ được sử dụng để gửi báo cáo lỗi. Báo cáo thất bại còn được gọi là báo cáo pháp y.

sp Đặt chính sách cho thư từ tên miền phụ của tên miền chính của bạn. Sử dụng tùy chọn này nếu bạn muốn sử dụng chính sách DMARC khác cho tên miền phụ của mình.

  • none—Tất cả các tin nhắn đều được chuyển đến người nhận dự kiến mà không có hành động nào khác được thực hiện. Tất cả tin nhắn đều được ghi lại trong báo cáo hàng ngày. Báo cáo sẽ được gửi đến địa chỉ email được chỉ định với tùy chọnruatrong chính sách.

  • quarantine—Đánh dấu thư là thư rác và gửi vào thư mục thư rác của người nhận. Người nhận có thể xem lại tin nhắn rác để xác định tin nhắn hợp pháp.
  • reject—Từ chối tin nhắn. Với tùy chọn này, máy chủ nhận sẽ gửi tin nhắn bị trả lại đến máy chủ gửi

Nếu bạn không sử dụng tùy chọn này trong bản ghi thì tên miền phụ sẽ kế thừa chính sách DMARC được đặt cho tên miền chính.

Thẻ này là tùy chọn.

adkim Đặt chính sách căn chỉnh cho DKIM, xác định mức độ nghiêm ngặt của thông tin thư phải khớp với chữ ký DKIM. Tìm hiểu cách căn chỉnh hoạt động.

  • s—Căn chỉnh chặt chẽ. Tên miền của người gửi phải khớp chính xác vớ d=domainnametương ứng trong tiêu đề thư DKIM.
  • r—Cân nhắc linh hoạt (mặc định). Cho phép khớp một phần. Bất kỳ phụ tên miền hợp lệ nào của d=domain trong các tiêu đề thư DKIM đều được chấp nhận. Thẻ này là tùy chọn.

Thẻ này là tùy chọn.

aspf Đặt chính sách căn chỉnh cho SPF, trong đó chỉ định mức độ nghiêm ngặt của thông tin thư phải khớp với chữ ký SPF. Tìm hiểu cách căn chỉnh hoạt động .

  • s—Căn chỉnh chặt chẽ. Tiêu đề From của thông báo phải khớp chính xác với tên miền trong lệnh SMTP MAIL FROM
  • r—Căn chỉnh thoải mái (mặc định). Cho phép khớp một phần. Bất kỳ tên miền phụ hợp lệ nào của tên miền đều được chấp nhận.

Thẻ này là tùy chọn.