Bản Ghi DKIM Là Gì?
Bản ghi DKIM (DomainKeys Identified Mail) là bản ghi DNS TXT chứa khóa công khai mật mã. Khi email được gửi đi, máy chủ gửi ký email bằng khóa riêng. Máy chủ nhận sau đó truy xuất khóa công khai từ DNS để xác minh chữ ký, xác nhận email không bị thay đổi trong quá trình truyền và thực sự được gửi từ tên miền đó.
DKIM hoạt động theo cơ chế mật mã bất đối xứng: khóa riêng (private key) được giữ bí mật trên máy chủ gửi, trong khi khóa công khai (public key) được công bố trong DNS để ai cũng có thể xác minh. Đây là lớp bảo vệ quan trọng chống giả mạo và thay đổi nội dung email.
DKIM là một trong ba trụ cột xác thực email, cùng với SPF (xác minh IP gửi) và DMARC (kết nối SPF và DKIM với chính sách thực thi). Cả ba nên được cấu hình đồng thời.
Cách Kiểm Tra Bản Ghi DKIM
Bản ghi DKIM được lưu tại selector._domainkey.domain.com trong DNS. Thách thức lớn nhất khi kiểm tra DKIM là tìm đúng selector — chuỗi định danh khóa DKIM nào sử dụng cho xác minh.
Công cụ của chúng tôi giải quyết vấn đề này bằng cách tự động quét hơn 65 selector phổ biến. Làm theo các bước dưới đây để kiểm tra bản ghi DKIM.
Nhập tên miền vào công cụ bên trên và nhấn 'Check DKIM'. Công cụ tự động phát hiện selector phổ biến (google, default, selector1, v.v.), truy xuất bản ghi DKIM, phân tích tất cả tag, kiểm tra loại và kích thước khóa, chạy 10 kiểm tra xác thực. Bạn cũng có thể nhập selector cụ thể.
Mở một email đã gửi, xem header đầy đủ và tìm header 'DKIM-Signature'. Trong đó có trường 's=selector' — đây là DKIM selector. Ví dụ: Google dùng 'google', Microsoft 365 dùng 'selector1'/'selector2'. Dùng phân tích email header để phân tích tự động.
Chạy dig selector._domainkey.example.com TXT +short (thay 'selector' bằng selector thực tế). Nếu bạn chưa biết selector, hãy thử các giá trị phổ biến: google, default, selector1, dkim, s1, k1.
Tag DKIM và 10 Kiểm Tra Xác Thực
Bản ghi DKIM sử dụng các tag để cấu hình khóa và hành vi xác minh. Công cụ kiểm tra DKIM thực hiện 10 kiểm tra xác thực để đánh giá toàn diện sức khỏe DKIM. Dưới đây là các kiểm tra và khuyến nghị quan trọng:
Kích thước khóa DKIM là yếu tố bảo mật then chốt. Khóa RSA 1024-bit hiện được coi là yếu, 2048-bit là tiêu chuẩn khuyến nghị, và Ed25519 là công nghệ hiện đại nhất với kích thước nhỏ hơn nhưng bảo mật tương đương.
Kiểm tra bản ghi DKIM tồn tại tại selector._domainkey.domain.com và chứa khóa công khai hợp lệ.
Xác minh bản ghi bắt đầu đúng bằng 'v=DKIM1'. Tag phiên bản bắt buộc cho mọi bản ghi DKIM hợp lệ.
Kiểm tra tag p= chứa khóa công khai hợp lệ được mã hóa Base64. Khóa trống (p=) nghĩa là khóa đã bị thu hồi.
Xác minh loại khóa: RSA (phổ biến nhất) hoặc Ed25519 (hiện đại, nhỏ gọn hơn với bảo mật tương đương).
Kiểm tra kích thước khóa RSA: 1024-bit (yếu), 2048-bit (khuyến nghị), 4096-bit (mạnh nhất). Tối thiểu 2048-bit.
Phát hiện cờ t=y cho thấy DKIM đang ở chế độ test. Email thất bại DKIM được xử lý như email không ký. Nên gỡ sau khi test xong.
Kiểm tra tag s= giới hạn loại dịch vụ sử dụng khóa. Giá trị '*' (mặc định) cho phép tất cả, 'email' chỉ cho email.
Xác minh selector tồn tại và trỏ đến bản ghi DKIM hợp lệ. Công cụ quét 65+ selector phổ biến từ các nhà cung cấp email.
Phát hiện và liệt kê tất cả DKIM selector hoạt động cho tên miền. Một tên miền có thể có nhiều selector cho các dịch vụ khác nhau.
Xác minh khóa công khai chưa bị thu hồi (p= không trống). Khóa thu hồi cho thấy selector cũ không còn được sử dụng.
Cách DKIM Hoạt Động — Mật Mã Bất Đối Xứng
DKIM sử dụng mật mã bất đối xứng (asymmetric cryptography) để xác minh tính toàn vẹn và nguồn gốc email. Quá trình xác minh DKIM diễn ra hoàn toàn tự động giữa các máy chủ email mà không cần can thiệp từ người gửi hay người nhận.
Khi máy chủ gửi email, nó tạo hash từ các header và nội dung email (tùy cấu hình), sau đó ký hash bằng khóa riêng. Chữ ký được thêm vào header DKIM-Signature cùng với tên miền gửi và selector. Máy chủ nhận tra cứu DNS tại selector._domainkey.domain.com để lấy khóa công khai, dùng khóa này giải mã chữ ký và so sánh với hash tính được — nếu khớp, email được xác minh.
Sử dụng phân tích email header để kiểm tra kết quả xác minh DKIM trong email thực tế. Kết hợp với kiểm tra SPF và kiểm tra DMARC để đánh giá xác thực email hoàn chỉnh.
SPF vs DKIM vs DMARC — Xác Thực Email Toàn Diện
SPF, DKIM và DMARC là ba giao thức bổ sung cho nhau trong hệ thống xác thực email. Mỗi giao thức giải quyết một vấn đề khác nhau, và cả ba cần được triển khai để bảo vệ tên miền email tối đa.
SPF xác minh IP máy chủ gửi có nằm trong danh sách được ủy quyền. DKIM xác minh email không bị thay đổi qua chữ ký mật mã. DMARC kết nối cả hai bằng alignment check (tên miền ký DKIM hoặc tên miền envelope SPF phải khớp header From) và thiết lập chính sách (none, quarantine, reject) cho email thất bại. Nếu chỉ cấu hình một hoặc hai giao thức, kẻ tấn công vẫn có thể khai thác lỗ hổng còn lại.
Công Cụ Email & DNS Liên Quan
DNS Robot cung cấp bộ công cụ đầy đủ để kiểm tra xác thực email và bảo mật DNS. Sử dụng các công cụ dưới đây cùng với kiểm tra DKIM để phân tích toàn diện.
Xác minh bản ghi SPF với 12 kiểm tra, phân giải chuỗi include và đếm tra cứu DNS.
Xác minh chính sách DMARC, alignment mode và reporting URI với 11 kiểm tra xác thực.
Kiểm tra kết nối SMTP, EHLO capabilities, STARTTLS và mã hóa TLS trên cổng 25, 465, 587.
Xác minh bản ghi BIMI để hiển thị logo thương hiệu trong email client hỗ trợ.
Phân tích header email để kiểm tra kết quả xác thực SPF, DKIM và DMARC thực tế.
Tạo bản ghi DMARC đúng cú pháp với hướng dẫn từng bước cho tên miền của bạn.