Tìm hiểu về xác thực email và giả mạo miền: SPF, DKIM và DMARC
Doanh nghiệp là mục tiêu của các cuộc tấn công lừa đảo và giả mạo. Nếu email không được xác thực, kẻ tấn công có thể dễ dàng mạo danh miền. Nếu không xác thực, bất kỳ ai trên internet cũng có thể gửi email giả mạo.

Xác thực email có nghĩa là gì?
Xác thực email là một bộ tiêu chuẩn kỹ thuật giúp xác minh người gửi email đúng như họ khai báo. Giao thức này được phát triển vì giao thức email ban đầu (Giao thức truyền tải thư đơn giản, hay SMTP) không tích hợp sẵn tính năng ngăn chặn việc giả mạo địa chỉ người gửi.
Để hiểu về xác thực, trước hết cần biết rằng một email có hai địa chỉ người gửi:
1. Người gửi phong bì (RFC 5321)
Còn được gọi là địa chỉ MAIL FROM, người gửi P1 hoặc đường dẫn phản hồi (return-path), đây là địa chỉ kỹ thuật được các máy chủ thư sử dụng trong chế độ ẩn để định tuyến và chuyển phát thư.
- Mục đích: Địa chỉ này cho máy chủ nhận biết nơi gửi các thư tự động, chẳng hạn như thông báo thư bị trả lại hoặc báo cáo không thể chuyển phát (NDR).
- Hiển thị: Người nhận thường không bao giờ thấy địa chỉ này trong trình quản lý email; đây là một phần thuộc "phong bì" thư bị ẩn.
- Vai trò bảo mật: Đây là địa chỉ được SPF xác minh.
2. Người gửi tiêu đề (RFC 5322)
Còn được gọi là địa chỉ Từ: hoặc người gửi P2, đây là địa chỉ hiển thị trong hộp thư đến (ví dụ: Từ: your-bank@example.com).
- Mục đích: Đây là địa chỉ "thân thiện" được thiết kế cho người dùng, cho người nhận biết thư được gửi từ ai.
- Hiển thị: Đây là địa chỉ duy nhất mà hầu hết người dùng nhìn thấy khi mở hộp thư đến.
- Vai trò bảo mật: Đây là địa chỉ mà kẻ tấn công thường giả mạo nhất và là trọng tâm chính của việc kiểm tra đối sánh DMARC.
Thiết kế này giúp việc giả mạo email (giả mạo địa chỉ Từ:) trở nên dễ dàng. Kẻ tấn công có thể sử dụng một người gửi phong bì hợp lệ nằm dưới quyền kiểm soát của chúng để vượt qua các bước kiểm tra cơ bản của máy chủ, đồng thời sử dụng người gửi tiêu đề gian lận để đánh lừa người nhận. Các giao thức xác thực email như DMARC giải quyết vấn đề này bằng cách yêu cầu miền của hai người gửi này phải trùng khớp với nhau.
Tại sao xác thực email lại cần thiết cho doanh nghiệp?
Đối với doanh nghiệp, việc triển khai xác thực email là một biện pháp bảo vệ bắt buộc. Giao thức này giúp:
Ngăn chặn hành vi giả mạo và lừa đảo: Ngăn kẻ tấn công gửi email gian lận từ miền.
Bảo vệ uy tín thương hiệu: Tránh việc thương hiệu bị liên đới với thư rác và các hình thức lừa đảo.
Cải thiện khả năng gửi email: Báo hiệu cho các nhà cung cấp dịch vụ email khác rằng người gửi là hợp lệ, giúp email tránh bị rơi vào thư mục thư rác.
3 phương thức xác thực email cốt lõi
Khả năng bảo vệ mạnh mẽ dựa trên sự phối hợp của ba tiêu chuẩn: SPF, DKIM và DMARC. Mỗi tiêu chuẩn được xây dựng kế thừa từ tiêu chuẩn trước đó để tạo ra một hệ thống phòng thủ nhiều lớp.
1. Sender Policy Framework (SPF)
Sender Policy Framework (SPF) là danh sách công khai tất cả các máy chủ (theo địa chỉ IP) được phép gửi email thay mặt cho miền.
Cách thức hoạt động
Danh sách này được xuất bản dưới dạng bản ghi DNS TXT cho miền. Khi máy chủ nhận thư nhận được thư, máy chủ đó sẽ đối chiếu IP của máy chủ gửi với danh sách đó. Nếu IP có trong danh sách, thư sẽ vượt qua bước kiểm tra SPF; nếu không, quá trình kiểm tra sẽ thất bại.
Điểm yếu
SPF chỉ xác minh địa chỉ gửi kỹ thuật được các máy chủ thư sử dụng, chứ không xác minh địa chỉ Từ: hiển thị mà người dùng nhìn thấy trong hộp thư đến. Kẽ hở này cho phép những kẻ giả mạo vượt qua các bước kiểm tra SPF. Vì SPF là một giao thức dựa trên đường truyền nên giao thức này cũng thường thất bại khi email được chuyển tiếp qua danh sách gửi thư hoặc máy chủ của đối tác. Vì máy chủ chuyển tiếp không nằm trong danh sách được ủy quyền, quá trình kiểm tra sẽ thất bại.
2. DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail (DKIM) thêm một chữ ký số duy nhất, chống giả mạo vào nội dung thư, bao gồm cả tiêu đề Từ:.
Cách thức hoạt động
Chữ ký này được tạo bằng một khóa riêng tư mà chỉ máy chủ mới biết. Khóa công khai tương ứng được xuất bản trong DNS. Các máy chủ nhận sử dụng khóa công khai này để xác minh chữ ký. Nếu hợp lệ, chữ ký đó sẽ chứng minh email đến từ miền của doanh nghiệp và nội dung của email không bị thay đổi trong quá trình truyền tải.
Điểm yếu
Giống như SPF, tự bản thân DKIM không ngăn chặn giả mạo. Chữ ký chứng minh thư là xác thực đối với miền đã gửi, không nhất thiết phải là miền hiển thị trong địa chỉ Từ:.
3. Xác thực, báo cáo và sự tuân thủ thư dựa trên miền (DMARC)
Xác thực, báo cáo và sự tuân thủ thư dựa trên miền (DMARC) là chính sách liên kết SPF và DKIM lại với nhau. DMARC là quy tắc yêu cầu máy chủ thư chỉ tin cậy email nếu địa chỉ Từ: hiển thị khớp với kết quả kiểm tra xác thực ở chế độ nền. Quy tắc này đóng lỗ hổng mà kẻ tấn công có thể khai thác nếu chỉ sử dụng riêng lẻ SPF hoặc DKIM.
Cách thức hoạt động
DMARC yêu cầu miền trong địa chỉ Từ: hiển thị phải khớp với miền được sử dụng khi kiểm tra SPF hoặc DKIM thành công. Bước quan trọng này giúp kết nối địa chỉ người gửi hiển thị với quy trình xác minh kỹ thuật.
Quy tắc này cũng cho máy chủ biết cần phải làm gì: Chính sách DMARC (p) sẽ hướng dẫn máy chủ nhận cách xử lý khi xác thực thất bại:
- p=none (Giám sát): Không thực hiện hành động nào. Chỉ gửi lại báo cáo về đối tượng đang gửi email từ miền.
- p=quarantine (Cách ly): Gửi các email bị lỗi xác thực vào thư mục thư rác.
- p=reject (Từ chối): Chặn hoàn toàn các email xác thực thất bại.
Bảo vệ doanh nghiệp khỏi tấn công lừa đảo và giả mạo miền
Hơn 90% vụ vi phạm dữ liệu bắt đầu bằng một cuộc tấn công lừa đảo hoặc giả mạo. Triển khai SPF, DKIM và DMARC là tuyến phòng thủ đầu tiên, nhưng phải kết hợp với một nhà cung cấp email an toàn theo mặc định.
Proton Mail for Business được thiết kế để chặn đứng các mối đe dọa này trước khi chúng tiếp cận đội ngũ. Tính năng phát hiện chống giả mạo tiên tiến, công nghệ PhishGuard và mã hóa đầu cuối mang lại giải pháp phòng thủ toàn diện nhưng dễ quản lý.

Cách thiết lập xác thực email (từng bước)
Việc bảo mật miền bao gồm thêm một vài bản ghi vào cài đặt Hệ thống tên miền (DNS), được quản lý bởi công ty đăng ký tên miền (như GoDaddy, Namecheap hoặc Cloudflare).
Tạo bản ghi SPF
Trước tiên, hãy xác định tất cả dịch vụ được sử dụng để gửi email (ví dụ: nhà cung cấp email, dịch vụ bản tin như Mailchimp, CRM). Bản ghi SPF phải bao gồm tất cả các dịch vụ đó. Ví dụ: bản ghi SPF của Proton Mail là v=spf1 include:_spf.proton.me mx ~all. Cần thêm thông tin này dưới dạng bản ghi TXT trong cài đặt DNS.
Cấu hình chữ ký DKIM
Trong bảng điều khiển quản trị của Proton Mail (hoặc nhà cung cấp khác), hãy chuyển đến phần cài đặt miền. Hệ thống sẽ tạo một khóa DKIM duy nhất. Quy trình thiết lập DKIM trong Microsoft 365, Google Workspace, hoặc Proton đều tương tự: sao chép khóa đã tạo và tạo một bản ghi TXT mới trong DNS theo hướng dẫn.
Triển khai chính sách DMARC
Thêm chính sách DMARC (p) là bước cuối cùng. Nên triển khai theo từng giai đoạn để tránh chặn nhầm các email hợp lệ:
- Bắt đầu với p=none: Tạo bản ghi DMARC với chính sách p=none. Chế độ giám sát này cho phép nhận báo cáo về các lỗi email mà không ảnh hưởng đến việc gửi thư.
- Phân tích báo cáo: Sử dụng các báo cáo DMARC để tìm các dịch vụ hợp lệ đang bị lỗi xác thực và thêm các dịch vụ đó vào bản ghi SPF và DKIM.
- Chuyển sang p=quarantine: Khi đã chắc chắn, hãy đổi chính sách thành p=quarantine. Hành động này sẽ gửi các email bị lỗi xác thực vào thư mục thư rác.
- Chuyển sang p=reject: Sau một thời gian giám sát, hãy chuyển sang p=reject để chặn phân phát toàn bộ các email gian lận.
Để biết hướng dẫn thiết lập chi tiết, bao gồm cả ảnh chụp màn hình và các giá trị bản ghi, hãy xem hướng dẫn hỗ trợ của Proton.
Ngoài các bước cơ bản: ARC và BIMI
Sau khi đã áp dụng SPF, DKIM và DMARC, có hai tiêu chuẩn tùy chọn có thể mang lại giá trị gia tăng:
Chuỗi nhận thư được xác thực (ARC)
Giữ nguyên kết quả xác thực khi chuyển tiếp email (như qua danh sách gửi thư), vốn là thao tác thường làm hỏng SPF hoặc DKIM.
Chỉ báo thương hiệu để nhận dạng thư (BIMI)
Cho phép hiển thị logo chính thức của công ty bên cạnh email trong các hộp thư đến được hỗ trợ. Có thể coi tính năng này như một "dấu tích xác minh" dành cho email. Để đủ điều kiện, cần có một chính sách DMARC nghiêm ngặt (quarantine hoặc reject).
Cách Proton Mail bảo vệ email doanh nghiệp
Thiết lập xác thực email là bước thiết yếu, nhưng đó chỉ là một phần trong chiến lược bảo mật toàn diện. Proton Mail bổ sung thêm nhiều lớp bảo vệ để giữ doanh nghiệp an toàn trước các mối đe dọa nâng cao.

Phát hiện chống giả mạo nâng cao
Proton Mail tự động kiểm tra SPF, DKIM và DMARC trên tất cả các thư đến. Các email không đạt những bước kiểm tra này sẽ được đánh dấu rõ ràng, giúp giảm thiểu nguy cơ mạo danh.
PhishGuard
PhishGuard nhận diện các liên kết, mẫu hành vi nghi ngờ và các dấu hiệu cảnh báo khác mà bộ lọc cơ bản thường bỏ sót, giúp ngăn chặn các nỗ lực lừa đảo trước khi tiếp cận nhân viên.

Mã hóa đầu cuối và không truy cập
Email giữa các người dùng Proton được tự động mã hóa đầu cuối. Tất cả dữ liệu được lưu trữ bằng mã hóa không truy cập, nghĩa là ngay cả nhà cung cấp cũng không thể đọc email.

Xác nhận liên kết
Khi người dùng nhấp vào một liên kết trong email, Proton Mail sẽ hiển thị bản xem trước đầy đủ của URL đích, giúp ngăn ngừa việc vô tình nhấp vào các trang web độc hại.

Bảo mật thông tin liên lạc doanh nghiệp
Bảo vệ công ty khỏi các cuộc tấn công lừa đảo, giả mạo và vi phạm dữ liệu bằng dịch vụ email luôn đặt bảo mật và quyền riêng tư lên hàng đầu. Triển khai phương thức xác thực email mạnh mẽ và tận hưởng lợi ích từ mã hóa đầu cuối cùng tính năng bảo vệ chống lừa đảo nâng cao, tất cả trong một giải pháp đơn giản và an toàn.

Câu hỏi thường gặp
- Sự khác biệt giữa SPF và DKIM là gì?
- Các máy chủ thư kiểm tra xác thực như thế nào?
- Mất bao lâu để DMARC có hiệu lực?
- Điều gì xảy ra nếu kẻ lừa đảo giả mạo email?
- Giải pháp này có thể ngăn chặn tất cả các cuộc tấn công lừa đảo không?