Chuyển tới nội dung

DMARC Là gì? Hoạt Động Như Thế Nào Để Bảo Mật Email

Tìm hiểu DMARC là gì và cơ chế bảo mật email của DMARC

Triển khai DMARC là cách tốt nhất để bảo vệ email của doanh nghiệp khỏi các hoạt động giả mạo, lừa đảo và gian lận. Đây là giải pháp mà mọi đơn vị cần có để bảo vệ thương hiệu và bảo vệ khách hàng. Vậy thực chất thì DMARC là gì và nó hoạt động hiệu quả ra sao?

1. DMARC là gì?

DMARC là viết tắt của khái niệm “Domain-based Message Authentication Reporting and Conformance”, nghĩa là Xác thực, Báo cáo và Tuân thủ Thư dựa trên miền (domain). DMARC giúp ngăn chặn tin tặc và những kẻ tấn công muốn giả mạo (spoofing) doanh nghiệp, giả mạo thương hiệu thông qua tên miền email của họ. 

Công nghệ chống giả mạo của DMARC được xem như một sự đổi mới đáng kể và hiệu quả hơn. Thay vì cố gắng lọc ra các email độc hại, biện pháp này sẽ ngăn chặn ngay từ đầu, xác định đâu là thư hợp pháp và thư giả mạo. 

Các lợi ích nổi bật của DMARC có thể kể đến: 

  • Bảo vệ: Không cho phép sử dụng trái phép miền email của doanh nghiệp để ngăn chặn các nguy cơ spam, gian lận và lừa đảo.
  • Hiển thị: Cho quản trị viên thấy rõ người nào trên internet đang gửi thư bằng miền email của công ty bạn.
  • Xác thực: Các công cụ hỗ trợ của DMARC giúp xác thực một lượng lớn các email trên phạm vi rộng. Ứng dụng được cho cả các doanh nghiệp, tập đoàn lớn.

Nếu bạn là chủ sở hữu trang web của doanh nghiệp, bạn muốn biết chắc chắn rằng các khách truy cập, khách hàng, hoặc khách tiềm năng của bạn sẽ chỉ nhìn thấy những email mà bạn đã tự gửi. Vậy thì DMARC là điều kiện bắt buộc đối với mọi chủ sở hữu miền.

DMARC ngăn chặn và loại bỏ mọi nguy cơ từ tin tặc và các hoạt động giả mạo
DMARC ngăn chặn và loại bỏ mọi nguy cơ từ tin tặc và các hoạt động giả mạo

2. Tại sao nên sử dụng DMARC cho email?

Khi sử dụng thư điện tử, mỗi ngày người dùng có thể nhận vô vàn thư gửi đến, trong đó thư rác spam chiếm số lượng lớn. Với những thư rác này, kẻ gian có thể giả mạo địa chỉ mail của doanh nghiệp để gửi các tin nhắn mạo danh tới khách hàng. Chúng thường sử dụng cho các mục đích xấu như: Tuyên truyền thông tin sai lệch, gửi mã độc, phần mềm chứa virus… 

Một tình trạng khác cũng rất phổ biến là giả mạo email để lừa đảo. Theo đó người dùng thường bị đánh lừa một cách tinh vi để nhập các thông tin cá nhân như họ tên, mật khẩu, thẻ tín dụng… Những dữ liệu này sẽ bị đánh cắp để tiếp tục phục vụ cho các việc làm phạm pháp khác. 

Việc giả danh này có thể ảnh hưởng trầm trọng đến uy tín của doanh nghiệp, khiến người dùng và khách hàng sụt giảm niềm tin.

Chưa hết, nếu những kẻ gửi thư rác sử dụng tên miền trong email doanh nghiệp để gửi thư giả mạo, người nhận có thể báo cáo chúng là spam. Và nếu có quá nhiều người cùng báo cáo, sau này mọi email hợp pháp được gửi từ chính doanh nghiệp cũng có thể bị hộp thư người nhận bỏ qua và phân loại vào thư rác.

Theo thống kê, có hơn 90% các cuộc tấn công mạng liên quan tới email, và nếu không có DMARC, khó có thể phân biệt được các thư được gửi dưới danh nghĩa của một doanh nghiệp là thật hay giả. Vì thế DMARC là một lựa chọn cần thiết để các chủ sở hữu miền chống lại việc xâm nhập trái phép email doanh nghiệp.

Xem thêm: Top 5+ Hậu Quả Khó Lường Không Sử Dụng Email Doanh Nghiệp

DMARC giảm thiểu các cuộc tấn công mạng thông qua email, bảo vệ danh tiếng cho doanh nghiệp
DMARC giảm thiểu các cuộc tấn công mạng thông qua email, bảo vệ danh tiếng cho doanh nghiệp

3. Cách DMARC ngăn chặn hành vi giả mạo

Trong trường hợp có một thư được gửi dưới danh nghĩa của một công ty/tổ chức, nhưng thư đó không đạt kiểm tra xác thực, hoặc không đáp ứng các yêu cầu xác thực trong bản ghi chính sách DMARC, ngay lập tức máy chủ nhận thư sẽ được cảnh báo thư đang mạo danh hoặc được gửi từ các máy chủ trái phép.

DMARC được sử dụng với hai giao thức xác thực sau:

3.1 SPF (Sender Policy Framework – Khung chính sách người gửi)

Được sử dụng để xác thực người gửi email. Cho phép chủ sở hữu miền ủy quyền các địa chỉ IP được phép gửi thư đi. Danh sách các IP này sẽ được tập hợp trong bản ghi DNS TXT (bản ghi SPF). 

3.2 DKIM (Domain KEYS Identified Mail – Thư được xác định bằng khóa miền)

Bản ghi DKIM có ở cấu hình DNS và mã hóa khóa công khai-riêng tư bất đối xứng – phức tạp hơn và vượt trội hơn so với SPF. Mọi email gửi đi sẽ được thêm vào chữ ký điện tử. Máy chủ bên nhận thư sẽ sử dụng chữ ký để xác minh thư có phải là giả mạo không, hoặc có bị thay đổi trong quá trình chuyển tiếp hay không. 

Email hợp lệ chỉ cần đạt một trong hai giao thức kiểm tra SPF hoặc xác thực DKIM
Email hợp lệ chỉ cần đạt một trong hai giao thức kiểm tra SPF hoặc xác thực DKIM

Cả SPF và DMARC đều được tích hợp vào SpamTitan để bảo vệ người dùng tốt hơn khỏi các cuộc tấn công giả mạo email. Bật SPF, DKIM và DMARC sẽ giúp giảm đáng kể số lượng email giả mạo nhận được và điều đó chỉ tốt thôi.

4. DMARC hoạt động như thế nào?

Hai cơ chế SPF và DKIM được DMARC thống nhất thành một khuôn khổ chung là Căn chỉnh DMARC (DMARC Alignment), đảm bảo mọi mail được gửi đi đều đã xác thực. 

Những mail nào không vượt qua được bước xác thực (SPF and DKIM failed) thì phải được xử lý thông qua việc thực thi chính sách của DMARC (Receiver Policy).

>>Xem thêm: Google Workspace tính năng và chi phí chi tiết.

4.1 Xác thực tin nhắn (DMARC Alignment)

Khi SPF và DKIM được bật, DMARC sẽ dựa vào miền “From” (Từ) – còn được gọi là còn được gọi là “RFC5322.From” – trên mỗi email để xem có khớp với miền gửi hay không. 

Ghi chú: RFC5322.From là phần miền của địa chỉ email hiển thị tên người gửi. Trong ví dụ dưới đây, miền RFC5322.From là “acompany.com”

From: Phòng Kinh doanh công ty A <sales@acompany.com>

DMARC xác minh email hợp lệ dựa trên miền gửi
DMARC xác minh email hợp lệ dựa trên miền gửi

4.2 Quản lý các thư không xác thực được (Receiver Policy)

Một email được coi là tuân thủ DMARC thì miền “Từ” phải khớp với miền đã được xác thực bởi SPF, hoặc khớp với miền nguồn trong chữ ký DKIM hợp lệ. Nếu các miền khớp nhau và vượt qua ít nhất một trong hai cơ chế xác thực, thì email được xem là hợp pháp. 

Nếu có một thư được gửi đi dưới tên miền của doanh nghiệp, nhưng máy chủ mail không kiểm tra được SPF hay DKIM, DMARC sẽ gợi ý các tùy chọn hành động phù hợp dựa theo 3 chính sách DMARC:

  • None – Không thực hiện hành động nào và vẫn gửi thư đi bình thường
  • Quarantine (Cách ly) – Đánh dấu thư là spam và phân loại vào hộp Thư Rác của người nhận
  • Reject –  Từ chối thư và không gửi chúng đến người nhận.

4.3 Gửi báo cáo cho người dùng để theo dõi và thay đổi chính sách

Bạn có thể tự lập bản ghi DMARC (DMARC Record) để thường xuyên nhận báo cáo từ mail server. 

Báo cáo này sẽ tập hợp tất cả các thư đã gửi đi bằng tên miền của doanh nghiệp, kể cả những thư được gửi từ mọi máy chủ khác thuộc bên thứ ba.

Nhờ đó bạn sẽ biết được:

  • Máy chủ hoặc người gửi thứ ba nào khác đang gửi mail dưới tên miền của doanh nghiệp của bạn
  • Xác định các nguồn gửi thư trái phép
  • Xác định những thư đạt/không đạt kiểm tra xác thực SPF/DKIM (hoặc cả hai).

4.4 Quy trình hoạt động của DMARC

Khi tiến hành kiểm tra hoặc xác thực email hay áp dụng chính sách DMARC, miền nhận thư sẽ thực hiện các bước lần lượt sau:

Bước 1 – Tìm ra RFC5322.From miền của thư

Bước 2 – Tra cứu chính sách DMARC của miền đó trong DNS

Bước 3 – Thực hiện xác thực Chữ ký DKIM

Bước 4 – Thực hiện xác thực SPF

Bước 5 – Kiểm tra căn chỉnh miền (alignment)

Bước 6 – Áp dụng chính sách DMARC receiver policy

DMARC có thể kiểm tra, xác thực số lượng lớn thư điện tử trên phạm vi rộng
DMARC có thể kiểm tra, xác thực số lượng lớn thư điện tử trên phạm vi rộng

5. Các bước triển khai DMARC

Sau khi hiểu được DMARC là gì và cơ chế hoạt động của ra sao, bạn đã có thể triển khai DMARC cho miền doanh nghiệp.

5.1 Thiết lập DMARC

Trước khi DMARC được triển khai, quản trị viên cần kiểm tra cấu hình miền và liên tục theo dõi các báo cáo DMARC.

Bước 1. Bật SPF và DKIM cho miền doanh nghiệp trước 48 tiếng. 

Bước 2. Thiết lập một nhóm riêng hoặc hộp thư chuyên dụng để nhận và quản lý các báo cáo DMARC (báo cáo có hai định dạng là XML và AFRF). Số lượng báo cáo DMARC nhận được qua hộp thư này có thể nhiều hay ít tùy thuộc vào lượng email mà miền của doanh nghiệp gửi đi.

Bước 3. Nhận thông tin đăng nhập máy chủ lưu trữ miền (Vì DMARC được bật tại nhà cung cấp tên miền, chứ không bật trong Cài đặt riêng của email, nên bạn sẽ phải cần thông tin đăng nhập cho tài khoản máy chủ lưu trữ miền). 

Bước 4. Bật DMARC cho miền trong phần Cài đặt nhà cung cấp miền. Kiểm tra xem miền doanh nghiệp có bản ghi DMARC DNS TXT nào hiện có hay không

Bước 5. Cuối cùng, bạn hãy đảm bảo thư của bên thứ ba được xác thực thành công. Các công ty/tổ chức có thể gửi thư đi từ miền doanh nghiệp riêng của họ, tuy nhiên cũng có nhiều công ty khác sử dụng dịch vụ email doanh nghiệp bên thứ ba (Mail Client, Webmail…). 

Xem thêm: Top 7+ Công Ty cung cấp Email Doanh nghiệp Uy Tín

Các thư hợp lệ được gửi từ nhà cung cấp bên thứ ba này có thể không đạt kiểm tra SPF hoặc DKIM mà phải tuân theo hành động trong chính sách DMARC. 

Để tránh tình trạng thư hợp lệ bị từ chối hoặc bị đưa vào Thư Rác, hãy đảm bảo DKIM được thiết lập chính xác. Ngoài ra bạn có thể định tuyến thư gửi đi từ bên thứ ba bằng cách cài đặt các dịch vụ chuyển tiếp (SMTP…)

Đảm bảo DMARC được thiết lập chính xác để không loại bỏ nhầm thư hợp lệ
Đảm bảo DMARC được thiết lập chính xác để không loại bỏ nhầm thư hợp lệ

5.2 Cài đặt bản ghi chính sách DMARC

Sau khi bật DMARC, bạn có thể kiểm tra các tùy chọn về chính sách, căn chỉnh và báo cáo DMARC. Bạn có thể thay đổi các cài đặt sẵn có này nhằm nới lỏng hoặc siết chặt độ bảo mật email hơn.

Thông thường, doanh nghiệp được khuyên nên bắt đầu các chính sách từ nới lỏng đến siết chặt dần.

Giai đoạn 1 – Trong 1 tuần đầu tiên, hãy bắt đầu với chính sách DMARC nới lỏng, thực thi chính sách thành “None”. Điều này giúp các thư gửi từ miền doanh nghiệp không bị từ chối hoặc không bị đánh dấu là spam bởi máy chủ của người nhận.

Giai đoạn 2 – Xem xét và phân tích các báo cáo DMARC hàng ngày. Việc này giúp bạn phát hiện các sự cố như: email hợp lệ bị từ chối, hoặc bị đưa vào thư mục spam. 

dmarc là gì? - Báo cáo email hợp lệ
Báo cáo email hợp lệ

Giai đoạn 3 – Cách ly một số lượng nhỏ các thư. Sau khi theo dõi các báo cáo của DMARC trong ít nhất một tuần, nếu không có sự cố bất lợi nào, bạn có thể cập nhật chính sách quarantine đối với một lượng thư nhỏ.

Số lượng thư bị cách ly có thể tăng dần dần từ mức 1% – 5% – 10%… người nhận có thể xem lại các tin nhắn bị chuyển vào Thư Rác.

Giai đoạn 4 – Từ chối mọi tin nhắn chưa được xác thực

Đây là bước cuối cùng trong việc triển khai DMARC. Khi DMARC đã hoạt động ổn định, hầu hết hoặc toàn bộ các thư gửi từ miền doanh nghiệp đều đạt xác thực SPF và DKIM,  bạn có thể thay đổi cài đặt chính sách DMARC chặt chẽ hơn – từ chối 100% thư không hợp lệ. 

dmarc là gì
Nên cài đặt chính sách đi từ từ nới lỏng đến siết chặt dần

Lưu ý: Bạn cũng có thể tự tạo bản ghi DMARC (DMARC Record) của riêng mình. Chính sách DMARC của miền doanh nghiệp được công bố bằng cách xuất bản ghi DNS TXT tại một vị trí trong không gian DNS là “_dmarc.‘tên miền’.tld”.

Ví dụ về một bản ghi chính sách DMARC:

_dmarc.acompany.com. IN TXT “v=DMARC1\; p=none\; rua=mailto:agg_reports@acompany.com\; ruf=mailto:afrf_reports@acompany.com\; pct=100”

Trên đây là giải đáp cho câu hỏi “DMARC là gì” và cách thức hoạt động của DMARC. Nhìn chung đây chính là một thành phần thiết yếu của bảo mật không gian mạng email, giúp cả doanh nghiệp lẫn các khách hàng nói riêng, và mọi người dùng hộp thư điện tử nói chung có thể tránh khỏi các nguy cơ bị xâm nhập, tấn công và lừa đảo bởi các tin nhắn giả mạo. Điều quan trọng khi thiết lập DMARC là bạn cần hết sức cẩn thận và tỉ mỉ để tạo bản ghi chính xác, nếu không ngay cả những mail hợp lệ cũng sẽ bị bỏ sót và không thể đến với người nhận. Nếu muốn triển khai DMARC ngay từ hôm nay, bạn có thể liên hệ các dịch vụ CNTT chuyên nghiệp để đảm bảo bảo mật, an toàn mà hiệu quả. 

Hữu Đinh

"AI sẽ thay đổi phong cách làm việc của các bạn. Một là chấp nhận nó hai là bị bỏ lại phía sau."

hotline icon
zalo icon