Bản Ghi SPF Là Gì?
Bản ghi SPF (Sender Policy Framework) là bản ghi DNS TXT chỉ định máy chủ email nào được phép gửi email thay mặt tên miền của bạn. SPF giúp ngăn chặn email giả mạo (spoofing) và lừa đảo (phishing) bằng cách cho phép máy chủ nhận email xác minh rằng email đến từ một máy chủ được ủy quyền.
Khi máy chủ nhận email, nó tra cứu bản ghi SPF của tên miền gửi trong DNS. Nếu IP của máy chủ gửi nằm trong danh sách được ủy quyền, SPF pass. Nếu không, tùy theo cơ chế (-all hoặc ~all), email có thể bị từ chối hoặc đánh dấu đáng ngờ. Sử dụng công cụ kiểm tra SPF của chúng tôi để xác minh bản ghi SPF hoạt động đúng.
SPF hoạt động cùng với DKIM và DMARC để tạo hệ thống xác thực email toàn diện. Cả ba nên được cấu hình để bảo vệ email tối đa.
Cách Kiểm Tra Bản Ghi SPF
Có nhiều phương pháp để kiểm tra bản ghi SPF của bất kỳ tên miền nào. Công cụ online của chúng tôi là cách nhanh nhất với kết quả phân tích toàn diện nhất, nhưng phương pháp dòng lệnh cũng hữu ích cho quản trị viên hệ thống.
Làm theo các bước dưới đây để xác minh bản ghi SPF của tên miền. Công cụ tự động phân tích cú pháp, đếm tra cứu DNS và phân giải chuỗi include.
Nhập bất kỳ tên miền nào vào công cụ bên trên và nhấn "Check SPF". Công cụ ngay lập tức truy xuất bản ghi SPF, phân tích tất cả cơ chế, đếm số lần tra cứu DNS, phân giải chuỗi include và đánh giá điểm sức khỏe với 12 kiểm tra xác thực.
Mở terminal và chạy nslookup -type=txt example.com. Tìm bản ghi bắt đầu bằng v=spf1. Phương pháp này chỉ hiển thị bản ghi thô, không phân tích cơ chế hay đếm tra cứu.
Chạy dig example.com TXT +short và lọc kết quả có v=spf1. Để phân tích DNS toàn diện hơn, hãy sử dụng tra cứu DNS của chúng tôi để kiểm tra tất cả 12 loại bản ghi DNS.
Cơ Chế SPF — Hướng Dẫn Đầy Đủ
Bản ghi SPF sử dụng các cơ chế (mechanisms) để xác định máy chủ nào được phép gửi email. Mỗi cơ chế có thể kết hợp với qualifier (+ pass, - fail, ~ softfail, ? neutral) để kiểm soát hành vi khi khớp. Hiểu rõ các cơ chế SPF là chìa khóa để cấu hình đúng.
Công cụ kiểm tra SPF của chúng tôi thực hiện 12 kiểm tra xác thực và phân tích các phương pháp hay nhất để đảm bảo bản ghi SPF của bạn an toàn và hiệu quả. Dưới đây là các kiểm tra và khuyến nghị quan trọng:
Kiểm tra bản ghi bắt đầu đúng bằng 'v=spf1'. Mọi bản ghi SPF hợp lệ phải có tiền tố này.
RFC 7208 giới hạn tối đa 10 tra cứu DNS (include, a, mx, ptr, exists, redirect). Vượt quá gây lỗi permerror.
Kiểm tra cách xử lý email không khớp: -all (từ chối), ~all (đánh dấu đáng ngờ), +all (cho phép tất cả — không an toàn).
Phân giải đệ quy tất cả cơ chế include và hiển thị cây phụ thuộc đầy đủ với IP được ủy quyền.
Kiểm tra tên miền chỉ có đúng một bản ghi SPF. Nhiều bản ghi SPF gây lỗi permerror theo RFC 7208.
Phát hiện sử dụng cơ chế PTR — đã bị RFC 7208 không khuyến khích vì chậm và không đáng tin.
Phát hiện tra cứu DNS trả về NXDOMAIN hoặc SERVFAIL. RFC 7208 giới hạn tối đa 2 void lookup.
Kiểm tra bản ghi SPF không vượt quá 255 ký tự mỗi chuỗi TXT. Bản ghi dài cần chia thành nhiều chuỗi.
Xác thực tất cả địa chỉ IP và CIDR range trong cơ chế ip4 và ip6 là hợp lệ và đúng định dạng.
Phân tích cơ chế redirect để xác minh tên miền đích tồn tại và có bản ghi SPF hợp lệ.
Khuyến nghị sử dụng -all (hard fail) thay vì ~all (soft fail) sau khi đã cấu hình đầy đủ SPF.
Hiển thị tất cả IP được ủy quyền từ chuỗi include để hỗ trợ flattening — giảm số lần tra cứu DNS.
SPF vs DKIM vs DMARC — Xác Thực Email
SPF, DKIM và DMARC là ba trụ cột của xác thực email hiện đại. Mỗi giao thức giải quyết một khía cạnh khác nhau của bảo mật email, và cả ba nên được cấu hình đồng thời để bảo vệ tối đa.
SPF xác minh IP của máy chủ gửi có được ủy quyền không. DKIM thêm chữ ký mật mã để xác minh tính toàn vẹn của email — không bị thay đổi trong quá trình truyền. DMARC kết nối cả hai bằng cách kiểm tra alignment (tên miền trong header From phải khớp với tên miền xác thực bởi SPF hoặc DKIM) và thiết lập chính sách xử lý khi xác thực thất bại.
Sử dụng kiểm tra DKIM để xác minh chữ ký DKIM và kiểm tra DMARC để đánh giá chính sách DMARC. Kết hợp với test SMTP để kiểm tra kết nối máy chủ email và kiểm tra BIMI để xác minh logo thương hiệu trong email.
Công Cụ Email & DNS Liên Quan
DNS Robot cung cấp bộ công cụ đầy đủ để kiểm tra xác thực email và cấu hình DNS. Sử dụng các công cụ dưới đây cùng với kiểm tra SPF để phân tích bảo mật email toàn diện.
Xác minh chính sách DMARC, alignment mode và reporting URI với 11 kiểm tra xác thực.
Tự động phát hiện DKIM selector, kiểm tra loại và kích thước khóa với 10 kiểm tra xác thực.
Kiểm tra kết nối SMTP, EHLO capabilities, STARTTLS và mã hóa TLS trên cổng 25, 465, 587.
Xác minh bản ghi BIMI để hiển thị logo thương hiệu trong email client hỗ trợ.
Phân tích header email để theo dõi đường đi và kiểm tra xác thực SPF/DKIM/DMARC.
Tạo bản ghi DMARC đúng cú pháp với hướng dẫn từng bước cho tên miền của bạn.