Defaults.Exposed › Cài đặt › DMARC

Cách thiết lập DMARC trên Microsoft 365

Thêm bản ghi DMARC vào DNS để chỉ định cho máy chủ nhận hành động cần thực hiện khi email không vượt qua kiểm tra SPF và DKIM.

Tại sao điều này quan trọng với doanh nghiệp của bạn

DMARC là chính sách kết hợp SPF và DKIM lại với nhau. Nó chỉ định cho máy chủ thư điện tử phía nhận hành động cần thực hiện khi một email giả mạo từ tên miền của bạn không vượt qua kiểm tra — bỏ qua, chuyển vào thư rác, hoặc từ chối thẳng — đồng thời có thể gửi báo cáo cho bạn về việc ai đang gửi (hoặc giả mạo) thư nhân danh bạn. Nói đơn giản: DMARC là thứ thực sự ngăn tội phạm mạo danh tên miền của bạn để lừa đảo khách hàng và nhân viên. Miễn phí, và biến SPF và DKIM từ “nên có” thành bảo vệ thực sự.

Thiết lập SPF và DKIM trước

DMARC phụ thuộc vào SPF và DKIM. Hãy thiết lập hai bản ghi đó trước, hoặc song song với DMARC. Một bản ghi DMARC đơn độc — không có SPF/DKIM hoạt động — có thể khiến chính email hợp lệ của bạn bị chặn. Bắt đầu nhẹ nhàng (xem lưu ý về chính sách bên dưới) và siết chặt theo thời gian.

Lưu ý quan trọng: nơi thực hiện thiết lập

Giống SPF, DMARC là bản ghi DNS, không phải cài đặt trong Microsoft 365. Microsoft 365 là nền tảng thư điện tử của bạn (chạy hộp thư), nhưng bản ghi DMARC được thêm vào nơi DNS của tên miền đang đặt — nhà đăng ký, nhà cung cấp hosting, Cloudflare, hoặc bất kỳ ai kiểm soát nameservers của bạn. Nếu bạn để Microsoft quản lý DNS, hãy thêm vào Microsoft 365 admin center → Settings → Domains → DNS records; nếu không, hãy thêm vào nhà cung cấp DNS của bạn. Không có “công tắc DMARC” riêng trong Microsoft — phần của Microsoft chỉ là SPF và DKIM đang hoạt động (được thiết lập riêng) là thứ DMARC dựa vào.

Trước tiên: công ty nào đang quản lý DNS của bạn?

Bản ghi DMARC chỉ hoạt động nếu được thêm vào nơi nameservers của tên miền trỏ đến. Nếu không chắc, kiểm tra phần Nameservers trong tài khoản nhà đăng ký của bạn, hoặc hỏi người đã thiết lập website. Thêm bản ghi vào cài đặt DNS của công ty đó (tìm DNS / Records / Advanced DNS).

Những gì bạn cần thêm

Một bản ghi TXT tại tên host đặc biệt: _dmarc.

Giá trị an toàn để bắt đầu, chỉ giám sát và không chặn bất cứ gì, là:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = chỉ giám sát; chưa có gì bị chặn. Tốt cho vài tuần đầu.
• rua=mailto:... = nơi gửi báo cáo tóm tắt. Dùng hộp thư thật bạn kiểm tra.
• Sau khi xác nhận (qua báo cáo và kiểm tra miễn phí) rằng email hợp lệ của bạn vượt qua kiểm tra, bạn có thể siết chặt lên p=quarantine (chuyển email lỗi vào thư rác) rồi p=reject (từ chối thẳng). Microsoft khuyến nghị tiến tới p=reject khi bạn đã tự tin.

Các bước thực hiện

1. Đăng nhập vào nhà cung cấp DNS của bạn (nhà đăng ký, nhà cung cấp hosting, hoặc nhà cung cấp DNS — hoặc Microsoft 365 admin center nếu Microsoft quản lý DNS của bạn).
2. Mở cài đặt DNS cho tên miền của bạn (tìm DNS / Records / Advanced DNS).
3. Thêm bản ghi mới và chọn TXT.
4. Trong trường Name / Host, nhập chính xác _dmarc (có dấu gạch dưới đứng đầu). Không nhập _dmarc.yourdomain.com — nhà cung cấp DNS tự động thêm tên miền vào.
5. Trong trường Value, dán chuỗi DMARC, ví dụ v=DMARC1; p=none; rua=mailto:[email protected] (thay email bằng địa chỉ thật bạn theo dõi).
6. Để TTL theo mặc định.
7. Lưu.

Những lỗi phổ biến

• Đây không phải cài đặt hộp thư. Nhiều người tìm kiếm “DMARC” trong cài đặt Microsoft 365 — nó không có ở đó dưới dạng công tắc. Bản ghi thuộc về DNS của bạn.
• Tên host là _dmarc, có dấu gạch dưới. Bỏ dấu gạch dưới, hoặc nhập thêm tên miền sau đó, sẽ đặt bản ghi sai vị trí và DMARC sẽ không được tìm thấy.
• Chú ý dấu ngoặc kép. Dán giá trị thuần; hầu hết nhà cung cấp DNS tự thêm dấu ngoặc cho bạn. Đừng tự bọc trong "...".
• Chỉ một bản ghi DMARC. Phải có đúng một bản ghi TXT tại _dmarc. Nếu đã có, hãy chỉnh sửa thay vì thêm mới.
• Bắt đầu với p=none. Chuyển thẳng lên p=reject trước khi SPF/DKIM ổn định có thể chặn cả hóa đơn và báo giá của chính bạn. Giám sát trước, siết chặt sau.
• Dùng hộp thư báo cáo thật. Địa chỉ rua phải là nơi bạn thực sự có thể nhận thư.
• Chờ một chút. Thay đổi DNS có thể mất từ vài phút đến vài giờ để có hiệu lực ở khắp nơi.

Xác minh thiết lập

Sau khi lưu, xác nhận bản ghi DMARC đang hoạt động và hợp lý bằng cách kiểm tra miễn phí trên Defaults.Exposed. Nhập tên miền của bạn và kết quả sẽ cho bạn biết bằng ngôn ngữ đơn giản liệu DMARC đã được thiết lập đúng và bước tiếp theo cần làm gì. Dữ liệu của bạn được xử lý tại EU.

Đã xong? Kiểm tra tên miền miễn phí để xác nhận đã hoạt động — và xem điểm đầy đủ của bạn trên cả 34 hạng mục kiểm tra.