Mỗi ngày có hàng tỷ email giả mạo được gửi đi nhằm chiếm đoạt thông tin và bôi nhọ uy tín thương hiệu. Trong bài viết này, VTOC sẽ hướng dẫn bạn cách cấu hình SPF DKIM DMARC chi tiết nhằm thiết lập lớp lá chắn bảo mật tối ưu cho email doanh nghiệp.
Tại sao email có thể bị giả mạo? Tại sao cần cấu hình SPF DKIM DMARC cho email tên miền?
Giao thức email SMTP (Simple Mail Transfer Protocol) ra đời từ những năm 1980 – khi đó bảo mật không phải ưu tiên. Mặc định, bất kỳ ai cũng có thể gửi email “từ” bất kỳ địa chỉ nào. Đó là lý do SPF, DKIM, DMARC được phát triển để vá lỗ hổng này.
SPF (Sender Policy Framework) là gì?
SPF là một bản ghi TXT trong DNS khai báo danh sách các máy chủ/IP được phép gửi email thay mặt cho tên miền của bạn.
Ví dụ bản ghi SPF: v=spf1 include:_spf.vtoc.vn ip4:103.x.x.x ~all
Khi người nhận nhận email từ @vtoc.vn, hệ thống của họ sẽ kiểm tra DNS của vtoc.vn xem IP gửi có trong danh sách SPF không. Nếu không có — email bị đánh dấu nghi ngờ.
nguồn Email Authentication Protocols in 2024: SPF, DKIM, DMARC & BIMI
DKIM (DomainKeys Identified Mail) là gì?
DKIM thêm chữ ký số vào header của email. Chữ ký này được tạo bằng private key lưu trên máy chủ gửi, và được xác minh bằng public key công khai trong DNS.
Lợi ích: nếu email bị chỉnh sửa trong quá trình chuyển tiếp (man-in-the-middle), chữ ký DKIM sẽ không còn hợp lệ — người nhận biết email đã bị can thiệp.
💡 DKIM không mã hóa nội dung email — nó chỉ xác minh email chưa bị thay đổi và đến từ đúng nguồn gốc.
DMARC (Domain-based Message Authentication) là gì?
DMARC là chính sách ở tầng cao hơn, kết hợp cả SPF và DKIM. Nó cho hệ thống email của người nhận biết phải xử lý thế nào khi email không qua kiểm tra SPF hoặc DKIM.
| Chính sách DMARC | Ý nghĩa | Khuyến nghị |
| p=none | Chỉ ghi log, không làm gì | Dùng khi mới bắt đầu triển khai |
| p=quarantine | Đưa email vào thư mục Spam | Giai đoạn chuyển tiếp |
| p=reject | Từ chối nhận email hoàn toàn | Mức bảo mật cao nhất, dùng khi đã ổn định |
Hướng dẫn cấu hình từng bước
Bước 1: Cấu hình SPF
- Đăng nhập vào DNS Manager của tên miền (tại nhà cung cấp hosting)
- Thêm bản ghi TXT với giá trị: v=spf1 include:mail.vtoc.vn ~all
- Nếu dùng nhiều dịch vụ gửi email, thêm tất cả vào một bản ghi SPF duy nhất
- Lưu và chờ DNS cập nhật (15-60 phút)
- Kiểm tra tại: mxtoolbox.com/spf.aspx
Bước 2: Cấu hình DKIM
- Nhà cung cấp email (VTOC) sẽ tạo cặp public/private key
- Bạn thêm public key vào DNS dạng: mail._domainkey.tenmiencuaban.vn TXT “v=DKIM1; k=rsa; p=MIGf…”
- Private key được cài trên mail server
- Kiểm tra tại: mxtoolbox.com/dkim.aspx
Bước 3: Cấu hình DMARC
- Thêm bản ghi TXT: _dmarc.tenmiencuaban.vn
- Giá trị khuyến nghị ban đầu: v=DMARC1; p=none; rua=mailto:dmarc@tenmiencuaban.vn
- Sau 2-4 tuần theo dõi báo cáo, nâng lên p=quarantine rồi p=reject
- Kiểm tra tại: mxtoolbox.com/dmarc.aspx
Kết quả sau khi cấu hình đầy đủ SPF + DKIM + DMARC
- Tên miền của bạn không thể bị giả mạo để gửi spam
- Điểm trust của tên miền trên Google Postmaster tăng
- Tuân thủ yêu cầu của Google/Yahoo: bắt buộc từ 2024 với bulk sender
- Tỷ lệ email vào inbox tăng lên 95-99%
⚠ Sai một ký tự trong bản ghi SPF hoặc DKIM có thể khiến toàn bộ email của bạn bị reject. VTOC sẽ cấu hình và kiểm tra toàn bộ thay bạn.
Để tăng cường hiệu quả tối đa, giải pháp bảo mật này nên được tích hợp đồng bộ khi doanh nghiệp sử dụng dịch vụ Email Server riêng biệt của VTOC nhằm đảm bảo hiệu suất và an toàn dữ liệu.
🔒 VTOC cấu hình SPF/DKIM/DMARC miễn phí khi đăng ký Email Hosting — Liên hệ: 0905 39 63 63