Defaults.Exposed › Cách khắc phục › DMARC (Bảo vệ giả mạo email)

Cách khắc phục DMARC (Bảo vệ giả mạo email)

DMARC là cài đặt duy nhất thực sự yêu cầu các nhà cung cấp thư trên thế giới CHẶN email giả mạo tên doanh nghiệp bạn. SPF và DKIM kiểm tra ổ khóa; DMARC quyết định điều gì xảy ra khi email giả mạo thất bại kiểm tra — bỏ vào thùng rác, gắn cờ, hoặc cho qua. Cài đặt sai, tên miền của bạn có thể bị giả mạo hoàn toàn; cài đặt đúng, hành vi mạo danh dừng lại tại hộp thư đến.

Điểm mấu chốt với doanh nghiệp bạn: Không có thực thi DMARC, một tên tội phạm có thể gửi email trông y hệt như từ doanh nghiệp của bạn — đến khách hàng, nhân viên và nhà cung cấp — và nó hạ cánh trong hộp thư đến của họ, không phải thư rác. Mọi người bị lừa đảo nhân danh bạn, và họ đổ lỗi cho bạn.

Điều này có thể gây thiệt hại gì

• Một kẻ lừa đảo gửi cho khách hàng của bạn hóa đơn trông thật 'từ nhóm kế toán của bạn' với thông tin ngân hàng của chúng. Khách hàng thanh toán. Bạn biết vài tuần sau khi họ hỏi về hàng hóa đã trả tiền — và họ đổ trách nhiệm cho bạn.
• Một email 'thanh toán khẩn cấp' được gửi đến nhân viên tài chính của bạn, xuất hiện từ bạn, chủ sở hữu. Họ chuyển tiền trước khi ai nghĩ đến việc kiểm tra lại — và sau khi tiền vào tài khoản tội phạm, hầu như không bao giờ lấy lại được.
• Nhóm IT của một khách hàng lớn tiềm năng chạy kiểm tra bảo mật trên tên miền của bạn trước khi ký. Kết quả trả về 'email không được bảo vệ — có thể bị giả mạo.' Bạn mất hợp đồng cho đối thủ có tên miền đã vượt qua.
• Tên miền của bạn được dùng trong một đợt lừa đảo quy mô lớn. Khách hàng bị lừa để lại đánh giá tức giận và cảnh báo người khác. Thiệt hại uy tín kéo dài nhiều tháng sau cuộc tấn công.
• Ngay cả email hợp lệ của bạn bắt đầu bị spam, vì Google và Yahoo ngày càng không tin tưởng — và hiện đôi khi từ chối — các tên miền không có chính sách DMARC được thực thi.

Tại sao điều này quan trọng. Email chưa bao giờ được xây dựng để chứng minh ai thực sự gửi nó, nên việc giả mạo địa chỉ 'from' là tầm thường. DMARC là kiểm soát duy nhất biến 'chúng ta có thể phát hiện đồ giả' thành 'đồ giả bị chặn' — và nó cũng cung cấp cho bạn các báo cáo hàng ngày tiết lộ ai đang gửi thư nhân danh thương hiệu của bạn. Các nhà cung cấp hộp thư lớn hiện coi chính sách DMARC thiếu hoặc không được thực thi là tín hiệu tin cậy chống lại bạn, vì vậy điều này ảnh hưởng đến việc email của chính bạn có được giao không.

DMARC là gì, giải thích đơn giản

Email có một bí mật đen tối: dòng “from” chỉ là văn bản gõ vào. Bất kỳ ai, ở bất cứ đâu, đều có thể ghi tên và địa chỉ doanh nghiệp của bạn vào trường “from” của email và gửi nó. Internet chưa bao giờ được thiết kế để ngăn chặn điều đó.

Có ba cài đặt cùng nhau khắc phục điều này. Hãy nghĩ chúng như bảo mật tòa nhà:

• SPF là danh sách ai được phép vào cửa trước (dịch vụ thư nào có thể gửi thay mặt bạn).
• DKIM là con dấu chống giả mạo chứng minh tin nhắn không bị thay đổi trong quá trình truyền.
• DMARC là bảo vệ kiểm tra danh sách và con dấu — và quan trọng hơn, quyết định phải làm gì khi chúng không khớp: để lọt qua, gửi vào spam, hoặc từ chối tại cửa.

Bạn có thể có danh sách (SPF) và con dấu (DKIM) mà vẫn không có bảo vệ. Đó là tình huống phổ biến và nguy hiểm nhất: ổ khóa tồn tại, nhưng không có gì thực thi chúng. DMARC là sự thực thi. Đây là sự khác biệt giữa “chúng ta có thể biết email này là giả” và “email giả này không bao giờ đến khách hàng của bạn.”

Điều này có thể khiến bạn mất gì

Đây không phải lý thuyết. Đây là những cách cụ thể tên miền không được bảo vệ biến thành tiền thật và thiệt hại thật:

1. Lừa đảo hóa đơn giả. Một tên tội phạm gửi cho khách hàng của bạn thứ trông y hệt như hóa đơn thật từ nhóm kế toán của bạn — cùng tên, cùng tên miền, bố cục chuyên nghiệp — nhưng với thông tin ngân hàng của chúng. Vì tên miền của bạn không được thực thi, nó hạ cánh trong hộp thư đến, không phải spam. Khách hàng thanh toán. Bạn phát hiện vài tuần sau khi họ hỏi về đơn hàng. Tiền thường đã mất, và khách hàng thường đổ trách nhiệm cho bạn.

2. Chuyển khoản lừa đảo CEO. Một email xuất hiện từ bạn, chủ sở hữu, gửi đến nhân viên tài chính: “Bạn có thể xử lý khoản thanh toán này khẩn không, tôi đang trong cuộc họp.” Nó trông hoàn toàn thật vì là địa chỉ của bạn — chỉ là bị giả mạo. Khoản thanh toán đi ra. Mẫu này — Business Email Compromise — là một trong những lừa đảo tốn kém nhất ảnh hưởng đến doanh nghiệp nhỏ, chính xác vì email thực sự đến từ tên miền của bạn, nên nó vượt qua mọi sự nghi ngờ.

3. Hợp đồng bị mất. Khách hàng tiềm năng nghiêm túc chạy kiểm tra bảo mật hoặc mua sắm trước khi ký. Công cụ của họ báo cáo tên miền của bạn là “có thể bị giả mạo — không có thực thi xác thực email.” Dấu đỏ đơn đó có thể đủ để trao hợp đồng cho đối thủ có tên miền đã vượt qua. Bạn không bao giờ biết lý do thật.

4. Thiệt hại uy tín không thể xóa. Tên miền của bạn bị quét vào chiến dịch lừa đảo. Hàng chục người bị lừa nhân danh bạn đăng cảnh báo và đánh giá. Cuộc tấn công kéo dài một tuần; câu hỏi “công ty này có an toàn không?” kéo dài nhiều tháng.

5. Email của chính bạn đi vào spam. Google và Yahoo hiện đang tích cực không tin tưởng các tên miền không có DMARC được thực thi. Báo giá, hóa đơn và thư trả lời bạn thực sự gửi bắt đầu lặng lẽ hạ cánh trong thư rác. Thỏa thuận đình trệ và bạn không bao giờ biết tại sao.

Thực ra nó là gì (và “tốt” trông như thế nào)

DMARC tồn tại như một dòng văn bản trong cài đặt tên miền — bản ghi DNS “TXT” được xuất bản tại tên đặc biệt _dmarc.yourdomain. Bên trong có vài hướng dẫn ngắn. Hai trong số chúng quan trọng nhất, và đó chính xác là hai điều kiểm tra này kiểm tra.

1. Chính sách (p=) — lệnh của bảo vệ. Đây là phần được đánh trọng số nặng nhất. Nó có thể là một trong ba thứ:

• p=none — chỉ theo dõi. Bảo vệ ghi chú ai đến nhưng không ngăn ai. Điều này không bảo vệ bạn khỏi bất cứ điều gì; đây là giai đoạn theo dõi, không phải cài đặt hoàn chỉnh. (Engine của chúng tôi tính điểm này là thất bại — tốt hơn không có DMARC, nhưng không phải bảo vệ.)
• p=quarantine — gửi đồ giả vào spam. Bảo vệ thật, nhưng kẻ tấn công quyết tâm đang cá cược rằng mọi người kiểm tra thư rác. Đây là bước đệm tốt — nó kiếm khoảng nửa điểm.
• p=reject — từ chối đồ giả tại cửa. Email giả mạo không bao giờ được giao. Đây là cài đặt duy nhất bảo vệ hoàn toàn và kiếm điểm đầy đủ.

“Tốt” trông như thế nào: p=reject. Bất cứ thứ gì ít hơn để lại một lỗ hổng.

Hai chi tiết kỹ thuật mà engine cũng kiểm tra, đáng biết để bạn không bị vướng:

• Chính sách tên miền phụ (sp=). Bạn có thể đặt chính sách mạnh cho tên miền chính nhưng vô tình để các tên miền phụ (như mail.yourdomain hoặc news.yourdomain) rộng mở. Engine của chúng tôi phạt điều này mạnh — tên miền với p=reject nhưng sp=none được tính điểm gần giống như không có thực thi, vì kẻ tấn công sẽ đơn giản giả mạo tên miền phụ thay thế. Thực hành tốt là để sp kế thừa chính sách mạnh của bạn, hoặc đặt nó thành reject rõ ràng.
• Phần trăm (pct=). Trong quá trình triển khai cẩn thận, bạn có thể áp dụng thực thi cho chỉ một phần thư (ví dụ pct=25). Đó là công cụ chuyển đổi hợp lệ, nhưng triển khai một phần chỉ cho bảo vệ một phần, và điểm của chúng tôi phản ánh điều đó — nó tăng dần khi bạn chuyển từ 25% về phía 100%, nhưng điểm đầy đủ cần phủ sóng đầy đủ.

2. Địa chỉ báo cáo (rua=) — tầm nhìn của bạn. Đây là kiểm tra thứ hai trên trang này. Thẻ rua= yêu cầu mọi nhà cung cấp thư trên thế giới gửi cho bạn bản tóm tắt hàng ngày về ai đã cố gắng gửi email nhân danh tên miền của bạn — hệ thống của bạn và bất kỳ kẻ mạo danh nào. Không có nó, bạn đang lái mù: bạn không biết ai đang lạm dụng tên của bạn. Với nó, các doanh nghiệp thường xuyên khám phá từ 5 đến 50 người gửi trái phép ngay trong ngày đầu tiên.

“Tốt” trông như thế nào cho báo cáo: một địa chỉ rua=mailto: hợp lệ (hoặc URL https: dịch vụ báo cáo) thực sự nhận các báo cáo. Kiểm tra của chúng tôi xác nhận định dạng — địa chỉ bị gõ sai hoặc không đúng định dạng có nghĩa là báo cáo lặng lẽ không đến đâu, được tính là kết quả một phần hoặc thất bại dù thẻ kỹ thuật “hiện diện.”

Cách sửa (miễn phí, ~30 phút rải rác trong hai tuần)

Chuyển phần này cho người quản lý tên miền, website hoặc IT của bạn — việc sửa hoàn toàn miễn phí. Chúng tôi chỉ tính phí để theo dõi rằng nó luôn đúng theo thời gian, để quản lý danh mục tên miền, hoặc cho kiểm toán. Bản thân thay đổi không tốn tiền.

Quy tắc vàng: không bao giờ nhảy thẳng đến reject. Bật theo dõi trước, xem báo cáo, xác nhận thư thật được nhận biết, sau đó siết chặt. Làm theo thứ tự này là an toàn; làm vội có thể spam email của chính bạn.

Bước 1 — Đảm bảo SPF và DKIM đã có trước. DMARC dựa vào chúng. Nếu thiếu một trong hai, sắp xếp trước khi thực thi DMARC (xem trang SPF và DKIM).

Bước 2 — Xuất bản bản ghi theo dõi với báo cáo bật. Thêm bản ghi DNS TXT:

• Host / name: _dmarc.yourdomain (nhà cung cấp DNS của bạn có thể hiển thị chỉ là _dmarc)
• Type: TXT
• Value: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Điều này theo dõi và báo cáo mà không chặn gì cả. Các phần adkim=s; aspf=s yêu cầu căn chỉnh nghiêm ngặt — bỏ qua chúng lúc đầu nếu không chắc, và thêm vào khi email của bạn được xác nhận sạch.

Bước 3 — Đọc báo cáo trong ~2 tuần. Báo cáo DMARC thô là XML dày đặc. Dùng dịch vụ báo cáo miễn phí (ví dụ dmarcian hoặc công cụ DMARC miễn phí của Postmark) để biến chúng thành bảng điều khiển có thể đọc được. Xác nhận rằng mọi người gửi hợp lệ — nhà cung cấp hộp thư, công cụ newsletter, CRM, helpdesk, ứng dụng hóa đơn — đang vượt qua. Sửa bất kỳ người gửi hợp lệ nào không đạt.

Bước 4 — Chuyển sang quarantine. Khi thư thật của bạn sạch, thay p=none bằng p=quarantine. Theo dõi thêm vài ngày.

Bước 5 — Chuyển sang reject. Cuối cùng thay p=quarantine bằng p=reject. Bạn hiện được bảo vệ hoàn toàn. Bản ghi cuối cùng trông như:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain; adkim=s; aspf=s

Bước 6 — Đừng quên tên miền phụ. Đảm bảo bạn không để sp=none ở chỗ. Nếu bạn không xuất bản sp nào, các tên miền phụ kế thừa chính sách p= chính của bạn, đó là điều bạn muốn.

Ghi chú theo nền tảng phổ biến:

• Google Workspace / Microsoft 365: Cả hai đều hỗ trợ hoàn toàn DMARC. Bản ghi DMARC đặt trong nhà cung cấp DNS của bạn, không phải trong bảng admin Google hoặc Microsoft — đảm bảo SPF và DKIM đã được bật trong bảng admin trước, sau đó xuất bản bản ghi TXT DMARC tại nhà đăng ký/nhà cung cấp DNS.
• Cloudflare: DNS > Records > Add record > TXT, name _dmarc, dán giá trị. Cloudflare cũng cung cấp quản lý DMARC tích hợp có thể thiết lập điều này và thu thập báo cáo cho bạn.
• Nhà cung cấp hosting/đăng ký phổ biến: Tìm “DNS”, “DNS Zone”, hoặc “Advanced DNS”, thêm bản ghi TXT với name _dmarc và giá trị ở trên. Lan truyền thường mất vài phút đến một giờ.

Các lỗi phổ biến

• Dừng ở p=none. Lỗi phổ biến nhất cho đến nay. Theo dõi là bắt đầu, không phải kết thúc — tên miền kẹt ở none vẫn có thể bị giả mạo hoàn toàn. Engine của chúng tôi tính điểm đây là thất bại chính xác vì lý do này.
• Nhảy thẳng đến reject mà không theo dõi. Lỗi ngược lại. Không có giai đoạn báo cáo, bạn có thể không nhận ra người gửi hợp lệ (thường là newsletter hoặc công cụ hóa đơn) không được căn chỉnh — và bạn sẽ bắt đầu chặn thư của chính mình.
• Quên chính sách tên miền phụ. p=reject mạnh với sp=none để cửa bên rộng mở; kẻ tấn công chỉ cần giả mạo tên miền phụ thay thế.
• Địa chỉ báo cáo bị hỏng. rua= bị gõ sai (hoặc thiếu tiền tố mailto:) có nghĩa là báo cáo không đến đâu và bạn mù mà không nhận ra. Định dạng phải là URI mailto: hoặc https: hợp lệ, hoặc báo cáo không bao giờ được giao.
• “Chúng tôi không gửi email nên bỏ qua.” Tên miền không gửi là mục tiêu chính chính xác vì không ai đang theo dõi nó. Xuất bản chính sách reject nghiêm ngặt để khóa hoàn toàn.

Ghi chú về điểm số

Kiểm tra chính sách (p=) là một trong những mục được đánh trọng số nặng nhất trong toàn bộ đánh giá — vì đây là yếu tố lớn nhất quyết định liệu doanh nghiệp của bạn có thể bị mạo danh không. reject kiếm điểm đầy đủ; quarantine kiếm khoảng một nửa; none và bản ghi thiếu được tính là thất bại. Chính sách tên miền phụ yếu hơn hoặc triển khai pct= một phần kéo điểm xuống để khớp với mức bảo vệ thực tế bạn có.

Kiểm tra báo cáo (rua=) cũng mang trọng số thật, nhưng hãy nghĩ về nó ít hơn là hộp cần đánh dấu và nhiều hơn là công cụ cho phép bạn đạt reject an toàn. Thiết lập nó cùng lúc với bản ghi theo dõi, và nó trả lợi tức bằng tầm nhìn ngay từ ngày đầu.

Cài đặt trên nhà cung cấp hosting của bạn

Từng bước cho các nhà cung cấp phổ biến:

• Cài đặt DMARC trên GoDaddy
• Cài đặt DMARC trên Namecheap
• Cài đặt DMARC trên Cloudflare
• Cài đặt DMARC trên Google Workspace
• Cài đặt DMARC trên Microsoft 365
• Cài đặt DMARC trên Squarespace
• Cài đặt DMARC trên Wix
• Cài đặt DMARC trên AWS Route 53
• Cài đặt DMARC trên Hostinger
• Cài đặt DMARC trên Porkbun
• Cài đặt DMARC trên IONOS
• Cài đặt DMARC trên Bluehost

FAQ