Vận dụng công nghệ tiên tiến DMARC để bảo vệ hệ thống email của bạn khỏi cuộc tấn công mạng là điều cần thiết. Việc làm này không chỉ giúp đảm bảo tính bảo mật của thông tin mà còn đem lại sự yên tâm cho người dùng.
DMARC không chỉ là công cụ bảo mật thông thường mà còn là cách tối ưu hiệu suất Email mạnh mẽ. Bài viết dưới đây sẽ làm rõ khả năng của DMARC để bảo vệ hệ thống email của bạn. Cùng FPT Smart Cloud tìm hiểu nhiều hơn về phương pháp giải quyết vấn đề của giao thức xác thực mail ngay!
Mục lục
DMARC (Domain-based Message Authentication, Reporting & Conformance) là một tiêu chuẩn để chặn tình trạng spam email. Thực tế khi sử dụng email, rất nhiều người dùng đã gặp phải vấn nạn spam. Sẽ thật nguy hiểm nếu chẳng may bạn click vào các được link giả mạo này.
DMARC sẽ đảm bảo các email rác, email spam sẽ bị chặn trước khi chúng tới được mailbox của bạn. Và hơn thế nữa, chỉ những email hợp lệ mới được chấp nhận vào hệ thống thư điện tử của người dùng.
Sử dụng DMARC sẽ giúp bạn tránh được những cuộc tấn công mạng và đảm bảo dữ liệu trong email vẫn được an toàn.
Xem thêm: Hướng dẫn 8 cách quản lý email doanh nghiệp hiệu quả nhất
DMARC được xây dựng ở tầng phía trên của SPF và DKIM. Do vậy, để hiểu rõ hơn về cách vận hành của giao thức này, chúng ta cần đi vào tìm hiểu DKIM và SPF.
Domain Keys Identified Mail là phương thức để xác định tính hợp lệ của một email bất kỳ. Mỗi email khi được gửi đi, nó sẽ được gắn một khóa private key. Bên phía server nhận, khóa public key được setup trong bản ghi DNS sẽ tiến hành xác thực.
Quá trình này đảm bảo rằng mail gửi đi sẽ không bị thay đổi trên đường tới với bên nhận. Nói cách khác, DKIM ngăn chặn ai đó có thể can thiệp, thay đổi nội dung email trước khi nó tới tay người nhận.
Ngoài ra, Domain Keys Identified Mail còn giúp các ISP sử dụng các thông tin đó để đánh giá mức độ tin cậy của domain. Để tăng mức độ xác thực của domain, bạn chỉ cần gửi email lành mạnh với tỷ lệ spam và bounces ít.
Còn đây là cách setup DKIM trong DNS với public key mà có thể bạn đang cần:
Sender Policy Framework là cách thức xác thực xem email server có được phép gửi email dưới tên một domain nào đó hay không.
Ví dụ, khi bạn muốn chỉ cho phép máy chủ email của domain @fpt.vn gửi email từ các địa chỉ IP thuộc spf.google.com, SPF sẽ thực hiện việc này. Nếu có bất kỳ máy chủ email nào khác có địa chỉ IP không thuộc spf.google.com gửi email dưới tên miền @fpt.vn, chúng sẽ bị xem là giả mạo và bị từ chối.
Tuy nhiên, để SPF hoạt động, mail server phía nhận cần phải được cấu hình để kiểm tra SPF. Nếu không kiểm tra, SPF sẽ không có tác dụng.
DMARC đưa ra một tiến bộ so với DKIM và SPF bằng việc cung cấp quyền kiểm soát tốt hơn về việc xử lý email từ nguồn không xác định hoặc không đáng tin cậy.
Bằng cách thiết lập một chính sách DMARC, bạn có thể quyết định xử lý email này theo cách cất giữ hoặc cách ly (thường là đưa vào thư mục SPAM) dựa trên kết quả của việc kiểm tra DKIM và SPF.
DMARC policy được thiết lập trong DNS: _dmarc.domain.com TXT v=DMARC1\; p=reject\; pct=100\; rua=mailto:[email protected]\;
Bản ghi này tạo một policy để reject (p=reject) 100% (pct=100) các email không pass DKIM hoặc SPF. Ngoài ra, nó còn hiển thị lý do từ chối và gửi vào mail (rua=mailto:[email protected]) để quản trị viên phía domain.com được biết.
Quy trình triển khai cấu hình DMARC cho một domain vừa phức tạp, vừa cần thời gian. Bởi trong quá trình thực hiện, người dùng có nguy cơ sẽ loại bỏ cả những email hợp lệ.
Để tránh điều này, khi triển khai DMARC, bạn cần tuân theo trình tự sau:
Đầu tiên, bạn cần tạo một bản ghi như sau: _dmarc.domain.com TXT v=DMARC1\; p=none\; pct=100\; rua=mailto:[email protected]\;
Trong đó chúng ta sẽ sử dụng “p=none” thay vì “p=reject” để thiết lập chế độ thử nghiệm (test mode).
Điều này được hiểu là máy chủ email sẽ kiểm tra từng hộp thư gửi đến và gửi báo cáo cho người dùng mà không thực hiện bất kỳ hành động cụ thể nào. Bạn sẽ có thể thu thập thông tin về các máy chủ email gửi tới một cách chi tiết trước khi ra quyết định hành động cụ thể.
Để thu thập các thông tin này, bạn có thể sử dụng công cụ http://dmarc.postmarkapp.com. Trang web này cho phép bạn nhập địa chỉ email và tên miền muốn theo dõi để nhận các thông tin thống kê chi tiết.
Để có dữ liệu thống kê có giá trị như bên dưới, bạn có lẽ sẽ cần một khoảng thời gian đáng kể.
Dữ liệu thu thập bao gồm các yếu tố quan trọng sau đây:
Ngoài ra, có hai trường quan trọng mà bạn cần xem xét:
Lúc này, bạn có thể tạo một danh sách tổng hợp các địa chỉ email server hợp lệ và sử dụng nó để đối chiếu với mọi địa chỉ email mới. Mục tiêu cuối cùng của DMARC vẫn là đảm bảo rằng email vượt qua cả kiểm tra DKIM và SPF để được coi là hợp lệ.
Có một điều quan trọng ở đây là trong một số tình huống đặc biệt, như trường hợp chuyển tiếp email (email forwarding), địa chỉ Return-path có thể bị thay đổi và gây ra việc kiểm tra SPF thất bại.
Tuy nhiên, nếu email này có chữ ký số (DKIM), nó vẫn có thể được xem xét là hợp lệ. Điều này giúp DMARC trở thành một công cụ mạnh mẽ để kiểm tra tính toàn vẹn và đáng tin cậy của các email được gửi từ tên miền của bạn.
Bước tiếp theo sau khi bạn đã xác định được các địa chỉ email server hợp lệ là chuyển bản ghi DMARC sang chế độ nghiêm ngặt hơn, đó là “p=quarantine”. Trong chế độ này, các email gửi đến mà không đáp ứng được các kiểm tra SPF hoặc DKIM sẽ bị đưa vào thư mục SPAM/JUNK.
Cuối cùng, sau một thời gian kiểm tra và đảm bảo rằng các email hợp lệ đang hoạt động đúng, bạn có thể chuyển chế độ DMARC sang “p=reject”, từ chối hoàn toàn các email không hợp lệ.
Để thực hiện điều này, bạn cần truy cập vào trang quản trị DNS của tên miền và thêm một bản ghi TXT với các thông số sau:
Hiện nay, DMARC tuy chưa quá phổ biến nhưng nó được nhận định là sẽ rất có giá trị trong tương lai. Doanh nghiệp rất nên áp dụng DMARC như một bước quan trọng để tăng cường sự bảo mật, đảm bảo email không bị tấn công mạng.
Đừng ngại thử nghiệm và điều chỉnh cài đặt của DMARC cho phù hợp nhất với tổ chức của bạn.
Nếu bạn cần sự hỗ trợ hoặc muốn tư vấn về cách cài đặt DMARC trong môi trường của mình, hãy liên hệ với chúng tôi để biết thêm chi tiết về gói Microsoft 365 for Business. Các chuyên gia của FPT Smart Cloud sẽ luôn sẵn sàng hỗ trợ doanh nghiệp trong việc đảm bảo tính bảo mật cho hệ thống email của mình.
