1. Về SPF và DKIM
a. SPF và DKIM
Với kỹ thuật SMTP, bất kỳ người
gửi nào cũng có thể chèn vào header của email một email from
(domain) bất kỳ, nếu không có sự kiểm duyệt từ các email
provider (như Gmail, Yahoo Mail, HotMail...) thì rất dễ gặp tình
trạng kẻ xấu khai thác điều này nhằm mục đích không tốt.
Kỹ thuật SPF và DKIM ra đời nhằm
khắc phục vấn đề này. Một cách tổng quan, SPF và DKIM yêu cầu
người chủ sở hữu tên miền phải add các record vào domain panel
để đảm bảo domain đó là có thật và thuộc sở hữu của chính
email server đó.
b. Các điều kiện để email không bị email providers cho là spam
- IP (IP range) của email server không bị cho vào blacklist bởi các tổ chức phòng chống spam.
- Thêm MX, SPF, DKIM record.
- Liên hệ với ISP để trỏ Reserve-IP lookup về domain mail server.
- Tắt chức năng replay trên server,
kiểm tra log mail server thường xuyên để phát hiện ra các dấu
hiệu gửi mail bất thường do virus.
- Trong một số trường hợp (ví dụ
thư gửi bị trả về quá nhiều, thư gửi tràn lan...) các email
provider sẽ tiến hành block IP mail server, khi đó bắt buộc chúng
ta phải liên hệ trực tiếp với họ để tiến hành gỡ bỏ.
2. Hướng dẫn add SPF và DKIM record
Trong ví dụ này được cấu hình xác thực cho domain qgs.vn với ip public là 222.255.129.232
a. Thêm SPF Record:
SPF Record (Sender Policy Framework),
là cấu hình mở rộng hỗ trợ cho giao thức gởi mail (SMTP). SPF cho phép
nhận dạng , chứng thực và loại bỏ những nội dung mail từ địa chỉ mail
giả mạo (spam)
Tại domain control panel, chúng ta add TXT record với nội dung sau:
Host Records: @
Record Type: TXT
Address: v=spf1 a mx ip4:222.255.129.232 mx:qgs.vn ?all
b. Thêm DKIM Record:
DomainKeys Identified Mail (DKIM) là
một phương pháp xác thực email được Yahoo đưa ra nhằm xác thực mỗi email
gửi đi có phải là bị giả mạo hay không. Việc thêm DKIM Record có
phần rắc rối hơn SPF Record đôi chút, nó sử dụng thuật toán RSA
để tiến hành xác thực với các email provider.
B1. Vào trang http://port25.com, chọn mục DKIM WIZARD
Thêm thông tin domain name và domainkey (domainkey bắt buộc phải khai báo trùng khớp với domainkey của email server)
B2: Cấu hình DNS Server với public key
Thêm 2 record như sau (đối với những domain khác nhau thì public
key và private key sẽ khác nhau, một số control panel domain yêu
cầu định dạng k=rsa\;):
B3. Lưu privatekey về email server
B4. Cấu hình trên email server
- Enable chức năng DKIM Signing trên email server.
- Chọn đường dẫn Private key file với file được lưu ở B3.
- Chọn Selector là (DomainKey đã chọn ở B1)
B5. Kiểm tra thiết lập:
Chúng ta có rất nhiều
cách để thiết lập xem các cấu hình ở trên đã đúng hay chưa,
sau đây là 2 cách kiểm tra phổ biến nhất:
a. Xem hearder của mỗi email gửi đến.
Để xem header của email, chọn Hiển thị nội dung thư gốc (đối với Gmail) và Xem tiêu đề đầy đủ (Yahoo)
b. Gửi một email tới check-auth@verifier.port25.com, check-auth2@verifier.port25.com
Email trả về sẽ có nội dung như sau, kiểm tra 2 dòng SPF check và DKIM check