Defaults.Exposed › Cách khắc phục › DKIM

Cách khắc phục DKIM

DKIM là con dấu chống giả mạo vô hình trên mỗi email doanh nghiệp bạn gửi. Nó cho phép nhà cung cấp thư nhận xác nhận email thực sự đến từ bạn và đến nguyên vẹn. Không có DKIM, thư của bạn dễ bị giả mạo hơn, dễ bị sửa đổi hơn, và khả năng cao hơn bị lọc vào spam hoặc từ chối thẳng.

Điểm mấu chốt với doanh nghiệp bạn: Không có DKIM, email bạn gửi có thể bị giả mạo trong quá trình truyền, dễ bị tội phạm mạo danh hơn, và có nhiều khả năng bị lọc vào spam hoặc từ chối hoàn toàn — âm thầm làm mất giao dịch, thanh toán và niềm tin mà bạn không bao giờ biết đã mất.

Điều này có thể gây thiệt hại gì

• Một hóa đơn bạn gửi email bị chặn và thay đổi thông tin ngân hàng trước khi đến khách hàng. Email vẫn trông như từ bạn, khách hàng trả tiền cho tội phạm, và khi mọi thứ vỡ lở, bạn là người bị đổ lỗi.
• Báo giá, hợp đồng và hóa đơn hợp lệ của bạn liên tục rơi vào thư rác của khách hàng. Bạn cho rằng khách hàng không quan tâm hoặc chọn người khác — nhưng thực ra họ đơn giản là chưa thấy email của bạn.
• Nhóm bảo mật hoặc mua sắm của một khách hàng lớn hơn chạy kiểm tra nhanh tên miền của bạn trước khi ký, thấy không có DKIM, và đẩy thỏa thuận lùi nhiều tuần cho đến khi bạn sửa hoặc âm thầm chọn nhà cung cấp đã vượt qua kiểm tra.
• Một tên tội phạm gửi email giả mạo thuyết phục 'từ công ty bạn' đến khách hàng của chính bạn. Vì không có gì chứng minh email nào thực sự là của bạn, các email giả cũng có vẻ thuyết phục như thật — và thương hiệu của bạn chịu thiệt hại.
• Nhà cung cấp hộp thư lớn và ngân hàng ngày càng coi thư chưa ký là đáng ngờ. Theo thời gian, ngày càng nhiều email kinh doanh hàng ngày của bạn bị giới hạn, spam hoặc trả lại, và tiếp cận của bạn lặng lẽ ngừng hoạt động.

Tại sao điều này quan trọng. Email chưa bao giờ được xây dựng để chứng minh ai đã gửi, và việc giả mạo người gửi cực kỳ dễ. DKIM thêm chữ ký mật mã mà nhà cung cấp nhận kiểm tra tự động — xác nhận tin nhắn thực sự từ tên miền của bạn và không bị thay đổi trên đường đi. Đây là một trong ba điều mà mọi nhà cung cấp thư hiện đại tìm kiếm, nó ảnh hưởng trực tiếp đến việc email của bạn được tin tưởng hay bị spam, và việc sửa là miễn phí.

Thực ra nó là gì, giải thích đơn giản

Mỗi email doanh nghiệp bạn gửi đi qua nhiều tay trước khi đến hộp thư đến. Bản thân email không mang bằng chứng nào về người thực sự gửi nó hay liệu ai đó có thay đổi nó trên đường đi không — dòng “from” chỉ là văn bản ai cũng có thể gõ.

DKIM khắc phục điều đó. Nó đặt một con dấu vô hình, chống giả mạo trên mỗi tin nhắn doanh nghiệp bạn gửi. Khi email đến, nhà cung cấp thư nhận kiểm tra con dấu với một khóa bạn xuất bản trên tên miền. Nếu khớp, nhà cung cấp biết chắc hai điều: email thực sự đến từ tên miền của bạn, và không một ký tự nào bị thay đổi trong quá trình truyền. Nếu không khớp — vì tin nhắn bị giả mạo hoặc thay đổi — con dấu thất bại, và nhà cung cấp coi thư đó với sự nghi ngờ.

Bạn không tự quản lý điều này bằng tay. Sau khi được bật, việc ký và kiểm tra diễn ra tự động trên mỗi email, mãi mãi. Toàn bộ mục đích của DKIM là làm cho thư thật của bạn có thể chứng minh là thật — để nó được tin tưởng, và để đồ giả mạo nổi bật.

Điều này có thể khiến bạn mất gì

Đây không phải lý thuyết. Đây là những gì thiếu hoặc yếu con dấu DKIM trông như thế nào trong thực tế với một doanh nghiệp vừa và nhỏ.

• Hóa đơn bị thay đổi. Bạn gửi email hóa đơn cho khách hàng. Đâu đó giữa máy chủ của bạn và máy chủ của họ, kẻ tấn công chặn và đổi thông tin ngân hàng của bạn bằng của chúng. Email vẫn xuất hiện từ bạn, khách hàng trả tiền — vào tài khoản tội phạm. Không có DKIM, không có gì báo hiệu tin nhắn bị giả mạo. Có DKIM, sự thay đổi âm thầm đó phá vỡ con dấu và bị phát hiện.
• Những thỏa thuận chết trong spam. Báo giá, đề xuất và theo dõi của bạn tiếp tục trượt vào thư rác của khách hàng. Bạn không bao giờ nhận được phản hồi và cho rằng họ không quan tâm. Thực tế, thư chưa ký là tín hiệu spam mạnh — email kinh doanh hợp lệ của bạn đơn giản là không được nhìn thấy.
• Hợp đồng bị mất. Nhóm mua sắm hoặc bảo mật của một khách hàng lớn hơn thẩm định tên miền của bạn trước khi ký. Họ thấy không có DKIM và coi đó là dấu hiệu đỏ — trì hoãn thỏa thuận nhiều tuần trong khi bạn sửa, hoặc âm thầm chọn nhà cung cấp có bảo mật email kiểm tra ổn.
• Tên bạn bị dùng chống lại khách hàng của chính bạn. Một kẻ lừa đảo phát tán email thuyết phục “từ công ty bạn” đến cơ sở khách hàng của bạn. Vì không có gì chứng minh tin nhắn nào thực sự là của bạn, các email giả trông hợp lệ như thật — và chính uy tín của bạn bị thiệt hại khi mọi người bị lừa.
• Siết dần dần email của bạn. Ngân hàng, nhà cung cấp hộp thư lớn và bộ lọc doanh nghiệp ngày càng không tin thư chưa ký. Hiệu ứng len lỏi theo thời gian: giới hạn nhiều hơn, spam nhiều hơn, trả lại nhiều hơn — cho đến khi tiếp cận hàng ngày của bạn lặng lẽ không còn hiệu quả.

Thực ra nó là gì

DKIM là viết tắt của DomainKeys Identified Mail. Đây là cách con dấu hoạt động, không có biệt ngữ:

• Bạn xuất bản một khóa công khai trên tên miền (trong cài đặt DNS). Bất kỳ ai cũng có thể đọc nó — đó chính là mục đích.
• Nhà cung cấp thư của bạn giữ khóa riêng tư phù hợp và dùng nó để ký mỗi email bạn gửi, thêm một header ẩn.
• Khi email đến, nhà cung cấp của người nhận lấy khóa công khai của bạn, kiểm tra chữ ký với tin nhắn, và xác nhận nó là thật và chưa thay đổi.

Một số thuật ngữ bạn có thể nghe từ người IT:

• Selector — nhãn trỏ đến một khóa cụ thể, ví dụ selector1._domainkey.yourdomain. Nó cho phép bạn chạy và luân chuyển nhiều khóa sạch sẽ. Nhà cung cấp của bạn thiết lập cái này.
• Độ mạnh khóa — khóa DKIM có nhiều kích cỡ. Đường cơ sở hiện đại là 2048-bit RSA; khóa 4096-bit RSA hoặc Ed25519 còn mạnh hơn. Khóa 1024-bit cũ vẫn hoạt động nhưng được coi là yếu theo tiêu chuẩn hiện nay (NIST SP 800-131A / RFC 8301).

“Tốt” trông như thế nào: một khóa DKIM hợp lệ được xuất bản tại một selector cho tên miền của bạn, thư đi của bạn đang được ký bằng nó, và khóa là 2048-bit hoặc mạnh hơn. Đó là điểm đầy đủ.

Lưu ý về cách tính điểm. Kiểm tra này tìm khóa DKIM thực sự, hợp lệ được xuất bản tại các selector mà nhà cung cấp thư thường dùng. Khóa hợp lệ được xuất bản là tín hiệu tích cực — máy quét bên thứ ba không thể phát lại chữ ký trực tiếp của bạn, vì vậy sự hiện diện của một khóa đúng là điều được đo. Không tìm thấy khóa thất bại kiểm tra (đây là lỗ hổng nghiêm trọng cao). Khóa hợp lệ nhưng yếu (1024-bit RSA) kiếm khoảng một nửa điểm — đang hoạt động nhưng nên được nâng cấp. Khóa mạnh (2048-bit RSA hoặc tốt hơn, hoặc Ed25519) kiếm điểm tối đa.

Cách sửa (miễn phí, ~15 phút)

Phần này dành cho người quản lý email hoặc tên miền của bạn — nếu không phải bạn, hãy chuyển phần này cho họ. Việc sửa là miễn phí. Chúng tôi chỉ tính phí để theo dõi rằng bảo vệ của bạn luôn lành mạnh theo thời gian, không phải để thiết lập chúng.

Hình dạng chung giống nhau ở mọi nơi: bật DKIM trong nhà cung cấp email, lấy khóa nó tạo ra, xuất bản nó trong DNS, sau đó xác nhận nó đang hoạt động. Các bước chính xác phụ thuộc vào ai chạy email của bạn — đây là những trường hợp phổ biến.

Google Workspace (Gmail)

1. Admin Console → Apps → Google Workspace → Gmail → Authenticate email.
2. Chọn tên miền và nhấp Generate new record (chọn độ dài khóa 2048-bit).
3. Google cho bạn bản ghi DNS. Thêm nó tại nhà cung cấp DNS của bạn dưới dạng bản ghi TXT, host google._domainkey.yourdomain, với giá trị Google cung cấp.
4. Chờ lan truyền (vài phút đến vài giờ), sau đó quay lại màn hình tương tự và nhấp Start authentication.

Microsoft 365 (Outlook / Exchange Online)

1. Đến cổng Microsoft Defender → Email & collaboration → Policies & rules → Threat policies → Email authentication settings → DKIM.
2. Chọn tên miền. Microsoft hiển thị hai bản ghi CNAME để xuất bản (selector1 và selector2).
3. Thêm cả hai bản ghi CNAME tại nhà cung cấp DNS của bạn chính xác như hiển thị.
4. Trong màn hình DKIM, bật ký DKIM sang Enabled cho tên miền.

Zoho Mail

1. Control Panel → Email Authentication → DKIM.
2. Tạo khóa (dùng selector như zoho), sau đó thêm bản ghi TXT được cung cấp tại zoho._domainkey.yourdomain trong DNS của bạn.
3. Xác minh trong bảng Zoho sau khi bản ghi đang hoạt động.

Nhà cung cấp khác / máy chủ thư của riêng bạn Mẫu giống hệt nhau: nhà cung cấp (hoặc phần mềm thư của bạn) tạo một cặp khóa, ký thư đi của bạn bằng khóa riêng tư, và cung cấp cho bạn một bản ghi công khai để xuất bản. Thường trông như:

Host:  selector1._domainkey.yourdomain
Type:  TXT (hoặc CNAME, tùy nhà cung cấp)
Value: (chuỗi khóa dài mà nhà cung cấp cung cấp cho bạn)

Nơi thêm bản ghi DNS: trong cài đặt DNS của tên miền — thường tại nhà đăng ký tên miền hoặc nhà cung cấp DNS (ví dụ Cloudflare, GoDaddy, bảng điều khiển hosting của bạn). Nếu nhà cung cấp email cung cấp CNAME, nó trỏ đến bản ghi họ lưu trữ, vì vậy bạn không bao giờ thấy khóa thô — điều đó là bình thường.

Xác nhận hoạt động: gửi cho mình một email thử đến tài khoản Gmail, mở nó, chọn Show original, và kiểm tra DKIM: PASS xuất hiện. Sau đó kiểm tra lại tên miền để xác nhận khóa đến dưới dạng 2048-bit hoặc mạnh hơn, không phải khóa 1024-bit yếu.

Các lỗi phổ biến

• Giả định nhà cung cấp lớn đã bật mặc định. Nhiều tên miền trên Google hoặc Microsoft vẫn cần DKIM được bật và bản ghi được xuất bản. “Chúng tôi dùng Microsoft 365” không giống với “DKIM đã bật.”
• Tạo khóa 1024-bit yếu. Một số nhà cung cấp vẫn mặc định hoặc cung cấp 1024-bit. Chọn 2048-bit khi được lựa chọn — khóa yếu chỉ kiếm nửa điểm và bị gắn cờ bởi máy chủ nhận nghiêm ngặt hơn.
• Xuất bản bản ghi nhưng không bao giờ bật ký. Thêm bản ghi DNS chỉ là nửa công việc. Nếu bạn không bật ký trong nhà cung cấp (toggle cuối cùng), thư của bạn vẫn ra ngoài chưa ký.
• Gõ sai hoặc cắt bớt khóa. Khóa DKIM rất dài. Copy-paste bỏ sót một ký tự hoặc tách sai giá trị tạo ra con dấu bị hỏng thất bại trên mọi email. Dán giá trị chính xác như đã cho.
• Quên những người gửi khác. Nếu bạn gửi thư qua công cụ newsletter, CRM, ứng dụng hóa đơn hoặc nền tảng thương mại điện tử, mỗi cái có thể cần khóa DKIM và selector riêng. Ký thư từ tất cả các dịch vụ gửi thay mặt bạn, không chỉ hộp thư.

Ghi chú về DKIM, SPF và DMARC

DKIM hiếm khi hoạt động một mình. Đây là một trong ba cài đặt cùng nhau làm cho email của bạn đáng tin cậy:

• SPF cho biết máy chủ nào được phép gửi thư cho tên miền của bạn.
• DKIM (trang này) là con dấu chống giả mạo chứng minh tin nhắn thực sự là của bạn và chưa thay đổi.
• DMARC là hướng dẫn nói với nhà cung cấp phải làm gì với bất cứ thứ gì thất bại — và nó dựa vào DKIM và SPF để thực hiện cuộc gọi đó.

Nếu bạn đang sửa DKIM, đáng để kiểm tra SPF và DMARC cùng lúc. Cùng nhau, chúng là điều ngăn doanh nghiệp của bạn bị mạo danh và giữ cho email thật của bạn hạ cánh đúng chỗ.

Cài đặt trên nhà cung cấp hosting của bạn

Từng bước cho các nhà cung cấp phổ biến:

• Cài đặt DKIM trên GoDaddy
• Cài đặt DKIM trên Namecheap
• Cài đặt DKIM trên Cloudflare
• Cài đặt DKIM trên Google Workspace
• Cài đặt DKIM trên Microsoft 365
• Cài đặt DKIM trên Squarespace
• Cài đặt DKIM trên Wix
• Cài đặt DKIM trên AWS Route 53
• Cài đặt DKIM trên Hostinger
• Cài đặt DKIM trên Porkbun
• Cài đặt DKIM trên IONOS
• Cài đặt DKIM trên Bluehost

FAQ