Bản Ghi DMARC Là Gì?
DMARC (Domain-based Message Authentication, Reporting and Conformance) là giao thức xác thực email được công bố dưới dạng bản ghi DNS TXT tại _dmarc.yourdomain.com. DMARC xây dựng trên nền tảng SPF và DKIM để yêu cầu máy chủ nhận email xử lý khi email thất bại xác thực — giám sát (p=none), cách ly (p=quarantine), hoặc từ chối (p=reject).
DMARC cũng cho phép nhận báo cáo tổng hợp (aggregate report) và báo cáo chi tiết (forensic report) để chủ sở hữu tên miền giám sát kết quả xác thực email. Đây là công cụ thiết yếu để bảo vệ tên miền khỏi email giả mạo và lừa đảo, đồng thời cải thiện khả năng gửi email.
Sử dụng công cụ kiểm tra DMARC để xác minh bản ghi DMARC đã được cấu hình đúng. Kết hợp với kiểm tra SPF và kiểm tra DKIM để đánh giá xác thực email toàn diện.
Cách Kiểm Tra Bản Ghi DMARC
Có nhiều phương pháp để kiểm tra bản ghi DMARC của bất kỳ tên miền nào. Công cụ online của chúng tôi cung cấp phân tích toàn diện nhất với 11 kiểm tra xác thực tự động.
Bản ghi DMARC luôn nằm tại _dmarc.yourdomain.com. Làm theo các bước dưới đây để kiểm tra chính sách DMARC của tên miền.
Nhập tên miền vào công cụ bên trên và nhấn 'Check DMARC'. Công cụ ngay lập tức truy xuất bản ghi DMARC từ _dmarc.domain.com, phân tích tất cả tag, đánh giá sức mạnh chính sách, kiểm tra alignment mode, xác minh reporting URI và đánh giá điểm sức khỏe với 11 kiểm tra.
Mở terminal và chạy nslookup -type=txt _dmarc.example.com. Lệnh này trả về bản ghi TXT tại subdomain _dmarc. Tìm bản ghi bắt đầu bằng v=DMARC1. Phương pháp này chỉ hiển thị bản ghi thô, không phân tích tag.
Chạy dig _dmarc.example.com TXT +short để xem bản ghi DMARC nhanh. Bạn cũng có thể kiểm tra tất cả bản ghi DNS của tên miền bằng tra cứu DNS của chúng tôi.
Tag DMARC — Hướng Dẫn Đầy Đủ
Bản ghi DMARC sử dụng các tag để cấu hình chính sách và hành vi. Hiểu rõ các tag DMARC giúp bạn cấu hình bảo mật email hiệu quả. Dưới đây là các tag DMARC quan trọng và 11 kiểm tra xác thực mà công cụ thực hiện:
Ba chính sách DMARC xác định cách máy chủ nhận xử lý email thất bại xác thực. Bắt đầu với p=none để giám sát, sau đó nâng lên p=quarantine và cuối cùng p=reject khi đã xác minh tất cả nguồn gửi email hợp lệ.
Chỉ giám sát — không ảnh hưởng đến việc gửi email. Nhận báo cáo DMARC để phân tích nguồn gửi email. Bước khởi đầu được khuyến nghị.
Email thất bại xác thực được chuyển vào thư mục spam. Bước trung gian sau khi đã xác minh nguồn gửi hợp lệ.
Email thất bại xác thực bị từ chối hoàn toàn. Bảo vệ tối đa chống email giả mạo. Chỉ sử dụng khi đã cấu hình đầy đủ.
Kiểm tra bản ghi bắt đầu đúng bằng 'v=DMARC1'. Tag bắt buộc đầu tiên trong mọi bản ghi DMARC hợp lệ.
Kiểm tra URI nhận báo cáo tổng hợp hàng ngày ở định dạng XML. Ví dụ: rua=mailto:[email protected].
Kiểm tra URI nhận báo cáo chi tiết về từng email thất bại. Không phải tất cả nhà cung cấp email đều hỗ trợ ruf.
Kiểm tra alignment mode cho DKIM: relaxed (r) cho phép subdomain, strict (s) yêu cầu khớp chính xác tên miền.
Kiểm tra alignment mode cho SPF: relaxed (r) cho phép subdomain, strict (s) yêu cầu khớp chính xác tên miền.
Kiểm tra phần trăm email áp dụng chính sách. pct=100 (mặc định) áp dụng cho tất cả email thất bại xác thực.
Kiểm tra chính sách riêng cho subdomain. Nếu không có tag sp, subdomain kế thừa chính sách của tên miền chính.
Xác minh địa chỉ email trong rua và ruf là hợp lệ và tên miền đích cho phép nhận báo cáo DMARC.
Lộ Trình Triển Khai DMARC
Triển khai DMARC nên thực hiện từng bước để tránh ảnh hưởng đến khả năng gửi email hợp lệ. Quá trình thường mất 2-4 tháng tùy thuộc vào số lượng dịch vụ email đang sử dụng.
Bước 1 — Giám sát (p=none): Bắt đầu với chính sách p=none và cấu hình rua để nhận báo cáo. Phân tích báo cáo trong 2-4 tuần để xác định tất cả nguồn gửi email hợp lệ. Đảm bảo SPF và DKIM đã được cấu hình đúng cho mọi dịch vụ.
Bước 2 — Cách ly (p=quarantine): Sau khi xác minh tất cả nguồn hợp lệ, nâng lên p=quarantine với pct=25 trước. Tăng dần pct lên 50, 75 rồi 100. Theo dõi báo cáo để phát hiện nguồn hợp lệ bị ảnh hưởng.
Bước 3 — Từ chối (p=reject): Khi đã chắc chắn không có nguồn hợp lệ bị ảnh hưởng, chuyển sang p=reject. Đây là cấp bảo vệ cao nhất — email giả mạo sẽ bị từ chối hoàn toàn. Sử dụng tạo DMARC để tạo bản ghi với cú pháp đúng cho mỗi giai đoạn.
SPF vs DKIM vs DMARC — Bộ Ba Xác Thực Email
SPF, DKIM và DMARC tạo thành bộ ba xác thực email không thể thiếu. Mỗi giao thức bổ sung cho nhau và cả ba cần được triển khai đồng thời để bảo vệ tên miền email hiệu quả.
SPF kiểm tra xem IP của máy chủ gửi có nằm trong danh sách được ủy quyền không — xác minh "ai đang gửi". DKIM thêm chữ ký mật mã vào email để xác minh nội dung không bị thay đổi trong quá trình truyền — xác minh "email có nguyên vẹn không". DMARC kết nối cả hai bằng alignment check và thiết lập chính sách (none, quarantine, reject) cho email thất bại — quyết định "xử lý thế nào khi thất bại".
Sử dụng kiểm tra SPF và kiểm tra DKIM để xác minh cấu hình, sau đó test SMTP để kiểm tra kết nối máy chủ email.
Công Cụ Email & DNS Liên Quan
DNS Robot cung cấp bộ công cụ đầy đủ để kiểm tra xác thực email và bảo mật tên miền. Sử dụng các công cụ dưới đây cùng với kiểm tra DMARC để phân tích toàn diện.
Xác minh bản ghi SPF với 12 kiểm tra, phân giải chuỗi include và đếm tra cứu DNS.
Tự động phát hiện DKIM selector, kiểm tra loại và kích thước khóa mật mã.
Kiểm tra kết nối SMTP, STARTTLS và mã hóa TLS trên cổng 25, 465, 587.
Tạo bản ghi DMARC đúng cú pháp với hướng dẫn từng bước cho mọi giai đoạn triển khai.
Xác minh bản ghi BIMI để hiển thị logo thương hiệu — yêu cầu DMARC p=quarantine hoặc p=reject.
Phân tích header email để kiểm tra kết quả xác thực SPF, DKIM và DMARC.