SPF, DKIM và DMARC: chuỗi xác thực domain gửi mail chuẩn cho doanh nghiệp

SPF, DKIM và DMARC không phải ba lựa chọn thay thế nhau; chúng là một chuỗi xác thực dùng chung để chứng minh email có thật sự đến từ domain doanh nghiệp hay không. Khi cấu hình đúng, doanh nghiệp giảm đáng kể khả năng bị giả mạo thương hiệu, giảm rủi ro phishing và có dữ liệu để kiểm soát nguồn gửi hợp lệ.

Ba lớp xác thực bổ sung cho nhau như thế nào?

SPF trả lời câu hỏi: máy chủ hoặc dịch vụ nào được phép gửi email thay mặt domain? DKIM trả lời: nội dung thư có được ký bởi domain hợp lệ và có bị sửa trong đường đi hay không? DMARC nối hai tín hiệu đó với chính sách cho domain owner và báo cáo để bạn biết chuyện gì đang xảy ra ngoài thực tế.

Trong vận hành thật, sai sót thường không nằm ở bản thân giao thức mà ở cách triển khai: nhiều SPF record, quên third-party sender, chưa bật DKIM cho từng custom domain, hoặc bật DMARC quá sớm mà chưa quan sát đầy đủ. Vì vậy, bài toán tốt nhất là có lộ trình, không nhảy thẳng sang reject khi chưa kiểm tra liên kết giữa các hệ thống gửi mail.

So sánh nhanh SPF, DKIM và DMARC

Vì sao doanh nghiệp nên làm đầy đủ cả ba?

• Giảm spoofing từ các domain trông giống tên công ty hoặc gửi từ hạ tầng không hợp lệ.
• Tăng độ tin cậy gửi mail với đối tác, khách hàng và hệ thống lọc của bên thứ ba.
• Có báo cáo để nhìn ra dịch vụ gửi mail bên ngoài nào đang dùng domain mà chưa được kiểm soát.

Checklist triển khai an toàn

• Liệt kê mọi nguồn gửi: Microsoft 365, CRM, marketing, HRM, ứng dụng nội bộ, máy in, website.
• Rà SPF để không có quá nhiều DNS lookup và không để nhiều record trùng nhau.
• Bật DKIM cho từng custom domain đang gửi mail.
• Khởi động DMARC ở chế độ quan sát trước khi tăng mức chặn.

Sai lầm thường gặp

• Dùng SPF như lớp chống spoofing duy nhất rồi bỏ qua DKIM/DMARC.
• Bật DMARC reject ngay khi chưa biết hết các sender hợp lệ.
• Không đọc DMARC report nên không phát hiện được third-party service đang phá alignment.

Nguồn tham khảo