Xác thực email thông qua SPF và DKIM

Chúng ta lại bắt đầu nữa đây! Lại là từ viết tắt, lại những điều cần biết, lại là thông tin mọt sách! Không, chúng là một vấn đề nghiêm trọng và việc gửi email chính xác của bạn phụ thuộc vào những từ viết tắt này. Chúng tôi biết từ kinh nghiệm cá nhân rằng những từ viết tắt này nghe có vẻ xa lạ, đáng sợ và có vẻ hoàn toàn không thú vị. Hoặc có thể chúng nghe có vẻ quen thuộc với bạn nhưng bạn chưa bao giờ quan tâm đủ để kiểm tra xem chúng thực sự là gì. Chúng ta hãy thử làm một số việc sự rõ ràng cho những người không phải là kỹ thuật viên.

Dù bằng cách nào, đã đến lúc tìm hiểu một chút về SPF và DKIM là gì cũng như cách thiết lập chúng trong bản ghi DNS cho máy chủ thư của bạn nếu bạn muốn kiểm soát tốt hơn việc gửi email của mình. Tôi sẽ cố gắng hết sức để giải thích nó bằng những từ ngữ đơn giản mà không chỉ các lập trình viên mới hiểu được.

SPF là gì? SPF hoạt động như thế nào?

Nói một cách đơn giản, Sender Policy Framework (SPF) là một cơ chế bảo mật được xây dựng nhằm ngăn chặn kẻ xấu gửi email thay mặt bạn. Cơ chế này liên quan đến giao tiếp giữa các máy chủ DNS… và đây là lúc mọi thứ bắt đầu trông đáng sợ! Nhưng đừng hoảng sợ. Tôi sẽ cố gắng giữ nó đơn giản nhất có thể.

Giả sử bạn đã gửi email cho Bob. Nhưng làm sao máy chủ DNS của Bob biết rằng email đó thực sự được bạn gửi? Vấn đề là, anh ấy thực sự không biết. Trừ khi bạn đã thiết lập SPF trên máy chủ DNS của mình. Ồ, chúng ta sẽ phải giải thích máy chủ DNS là gì nhưng hãy bỏ qua nó nếu không bạn sẽ tống tôi xuống địa ngục!

SPF xác định địa chỉ IP nào có thể được sử dụng để gửi email từ miền của bạn. Vì vậy, hãy tưởng tượng hai "cuộc trò chuyện" có thể xảy ra giữa các máy chủ. Để làm điều này dễ dàng hơn, giả sử tên bạn là Paul.

Tình huống 1 – Bạn chưa đặt SPF.

Máy chủ của Mike: Này, Máy chủ của Bob. Tôi có tin nhắn mới từ Mike.
Máy chủ của Bob: Xin chào máy chủ của Mike. SPF của bạn là bao nhiêu?
Máy chủ của Mike: Vâng, về SPF… thực sự thì ai quan tâm chứ. Tôi không có cái đó. Tin tôi đi, đó là từ Mike.
Máy chủ của Bob: Nếu bạn không có SPF, tôi không thể chắc chắn Mike đã gửi nó. Cung cấp cho tôi IP được phép của Mike để tôi có thể so sánh chúng với IP của bạn.
Máy chủ của Mike: Tôi không có danh sách IP trắng của Mike.
Máy chủ của Bob: Vậy thì tôi không muốn tin nhắn của bạn. Giao hàng bị từ chối. Xin lỗi, anh bạn…

Tình huống 2 – Bạn đã đặt SPF.

Máy chủ của Mike: Này, Máy chủ của Bob. Tôi có tin nhắn mới từ Mike.
Máy chủ của Bob: Xin chào máy chủ của Mike. SPF của bạn là bao nhiêu?
Máy chủ của Mike: Đây là SPF của tôi. Có cả một danh sách IP mà chính Mike đã tuyên bố là những IP có thể được sử dụng thay mặt anh ấy.
Máy chủ của Bob: Ok, để tôi xem… Và tin nhắn bạn gửi cho tôi được gửi từ IP 64.233.160.19. Được rồi, nó có trong danh sách. Mọi thứ đều ổn. Đưa tin nhắn cho tôi, tôi sẽ cho Bob xem. Cảm ơn!

Tôi xin lỗi tất cả độc giả hệ thống vì sự đơn giản hóa quá mức này, tôi biết bạn đang rùng mình nhưng xin hãy tha thứ cho tôi và hãy nhớ rằng chúng tôi ghen tị với kiến ​​​​thức kỹ thuật của bạn nhưng tôi phải nói chuyện với những khán giả không rành về kỹ thuật và tôi phải đơn giản hóa.

Dù sao đi nữa, ý nghĩa của hai cuộc đối thoại ngắn này là: hãy đặt SPF của bạn. Nếu không, bạn có thể trông giống một cậu bé hư và không phải tất cả email của bạn đều được gửi đến.

Bạn nên đưa những ứng dụng nào vào SPF của mình?

Ý tưởng chung là đảm bảo rằng mọi ứng dụng gửi email thay mặt bạn (và sử dụng SMTP của họ chứ không phải của bạn) đều được đưa vào SPF của bạn. Ví dụ: nếu bạn đang sử dụng Google Apps để gửi email từ miền của mình, bạn nên đặt Google trong SPF của mình. Dưới đây là hướng dẫn của Google về cách thực hiện.

Nhưng điều quan trọng là phải đảm bảo rằng Google không phải là ứng dụng duy nhất có quyền đối với SPF của bạn. Ví dụ: nếu chúng tôi đang sử dụng HelpScout để quản lý email hỗ trợ và MailChimp để gửi bản tin thì chúng tôi sẽ đưa cả hai vào SPF của mình.

Tôi có nên thêm Chim gõ kiến ​​vào kem chống nắng của mình không?

Không. Như tôi đã nói, bạn nên nhớ đặt các ứng dụng gửi email thay mặt bạn nhưng sử dụng SMTP của chính chúng trong bản ghi SPF của bạn. Woodpecker sử dụng SMTP của riêng bạn để gửi email, vì vậy nó giống một ứng dụng email trực tuyến hơn là một ứng dụng gửi email hàng loạt.

Điều đó có nghĩa là khả năng gửi email từ Woodpecker phụ thuộc vào danh tiếng tên miền của bạn. Đặt SPF và DKIM sẽ giúp bạn bảo vệ danh tiếng tốt cho tên miền của mình và do đó cải thiện khả năng gửi email của bạn.

Làm cách nào để thiết lập bản ghi SPF trên máy chủ của bạn từng bước?

Bước đầu tiên là kiểm tra bản ghi SPF hiện tại của bạn là gì. Bạn có thể thực hiện việc này bằng các công cụ như:

• Hộp công cụ Mx
• Hộp công cụ Google Apps

Khi bạn nhập tên miền của mình (ví dụ: tôi sẽ nhập woodpecker.co), các công cụ sẽ chạy một số thử nghiệm và hiển thị cho bạn SPF hiện tại của bạn hoặc thông báo rằng SPF đó chưa được đặt.

Các bước tiếp theo là gì?

Tùy thuộc vào máy chủ miền của bạn, các bước sẽ khác nhau. Về cơ bản, đó là vấn đề dán dòng văn bản có cấu trúc phù hợp vào đúng vị trí trong bảng điều khiển. Ví dụ: nếu bạn đang sử dụng Google Apps để gửi tất cả email từ miền của mình thì dòng này sẽ trông như thế này:

“v=spf1 bao gồm:_spf.google.com ~tất cả”

Phần “v=spf1” của bản ghi được gọi là phiên bản và những phần sau đó được gọi là cơ chế.

Bây giờ chúng ta hãy xem chính xác từng phần có ý nghĩa gì.

• v = spf1 phần tử này xác định bản ghi là SPF
• bao gồm:_spf.google.com cơ chế này bao gồm các máy chủ thư là máy chủ được ủy quyền
• ~v=spf1 phần tử này cho biết rằng nếu một email được nhận từ một máy chủ trái phép (không được liệt kê trong cơ chế "bao gồm:"), thì email đó sẽ được gắn thẻ là lỗi mềm, nghĩa là email có thể được gửi qua nhưng có thể bị gắn cờ là thư rác hoặc đáng ngờ.

Nhưng nếu bạn đang sử dụng nhiều ứng dụng hơn thế này (ví dụ: ứng dụng nào đó để gửi bản tin của bạn, ứng dụng nào đó để gửi tin nhắn hỗ trợ của bạn, v.v.), dòng này sẽ dài hơn một chút vì bạn sẽ cần đưa tất cả các ứng dụng khác vào Nó. Hoặc nếu bạn không sử dụng Google Apps mà sử dụng máy chủ từ một máy chủ khác, chẳng hạn như GoDaddy, thì dòng sẽ khác.

Dưới đây là cách đặt SPF cho các máy chủ lưu trữ tên miền phổ biến nhất:

• Google
• microsoft
• Zoho
• GoDaddy
• Amazon SES

DKIM là gì?

Tiêu chuẩn DomainKeys Identified Mail (DKIM) được tạo ra với lý do tương tự như SPF: để ngăn chặn kẻ xấu mạo danh bạn là người gửi email. Đó là một cách để ký thêm email của bạn theo cách cho phép máy chủ của người nhận kiểm tra xem người gửi có phải là bạn hay không.

Bằng cách thiết lập DKIM trên máy chủ DNS của bạn, bạn đang thêm một phương pháp khác để thông báo cho người nhận rằng “vâng, đây thực sự là tôi đang gửi tin nhắn này”.

Cách thiết lập dkim và spf

Toàn bộ ý tưởng dựa trên việc mã hóa và giải mã chữ ký bổ sung được đặt trong tiêu đề thư của bạn. Để thực hiện được điều này, bạn cần có hai chìa khóa:

• khóa riêng (dành riêng cho miền của bạn và chỉ dành cho bạn. Khóa này cho phép bạn mã hóa chữ ký của mình trong tiêu đề thư).
• khóa chung (mà bạn thêm vào bản ghi DNS của mình bằng tiêu chuẩn DKIM, để cho phép máy chủ của người nhận truy xuất khóa đó và giải mã chữ ký ẩn trong tiêu đề thư của bạn).

Lấy Game of Thrones để có bức tranh toàn cảnh về DKIM. Ned Stark đang gửi một con quạ mang tin nhắn tới Vua Robert. Mọi người có thể lấy một mảnh giấy, viết lời nhắn và ký tên Ned Stark. Nhưng có một cách để xác thực tin nhắn – con dấu. Bây giờ, mọi người đều biết dấu ấn của Ned là một direwolf (đây là khóa công khai). Nhưng chỉ có Ned mới có con dấu gốc và có thể đưa nó vào tin nhắn của mình (đây là khóa riêng). Việc thiết lập DKIM chỉ là đưa thông tin khóa chung vào bản ghi máy chủ của bạn. Nó chỉ đơn giản là một bản ghi txt cần được đặt đúng chỗ.

Khi bạn đã thiết lập xong, mỗi khi ai đó nhận được email từ bạn, máy chủ của người nhận sẽ cố gắng giải mã chữ ký ẩn của bạn bằng khóa chung. Nếu thành công, điều này sẽ xác thực hơn nữa thư của bạn và do đó tăng tính xác thực cho tất cả các email của bạn.

Làm cách nào để thiết lập bản ghi DKIM trên máy chủ của bạn từng bước?

Đầu tiên, bạn cần tạo khóa chung. Để thực hiện việc này, bạn cần đăng nhập vào bảng điều khiển quản trị của nhà cung cấp email của bạn. Các bước tiếp theo có thể khác nhau tùy thuộc vào nhà cung cấp email của bạn.

Nếu bạn đang sử dụng Google Apps để gửi email của mình thì đây là istruzioni từng bước một. Đối với người dùng Google Apps, bạn nên biết rằng chữ ký DKIM bị tắt theo mặc định, do đó bạn phải bật chúng theo cách thủ công trong bảng điều khiển dành cho quản trị viên Google của mình.

Khi bạn có khóa chung, hãy lấy bản ghi txt đã tạo và dán nó vào đúng vị trí trong bản ghi DNS của bạn.

Cuối cùng, bạn cần kích hoạt tính năng ký email để bắt đầu gửi email có chữ ký được mã hóa bằng khóa riêng của bạn. Đây là cách, nếu bạn đang sử dụng Google Apps để gửi email của mình.

Đặt SPF & DKIM và cải thiện khả năng gửi của bạn

Nếu bạn gửi nhiều email, để tiếp thị hoặc để bán hàng trong hoặc ngoài nước, danh tiếng tên miền của bạn rất quan trọng và bạn nên quan tâm đến nó. Bạn không muốn tên miền của mình bị đưa vào danh sách đen và email của bạn bị chuyển vào thư rác. Việc thiết lập chính xác các bản ghi SPF và DKIM trên máy chủ DNS của bạn là một bước cần thiết để bảo mật miền và khả năng gửi thư của bạn ở mức cao.

Việc thiết lập chúng có vẻ phức tạp nhưng chắc chắn là có giá trị. Nếu tôi là bạn, tôi sẽ vào tài khoản của mình và kiểm tra xem SPF và DKIM của tôi đã được thiết lập chính xác chưa hoặc nhờ nhân viên CNTT của tôi làm việc đó. Và nếu câu trả lời là "không", tôi sẽ nhờ họ giúp đỡ.