Tạo bản ghi DMARC record cho mail server
DMARC Record là gì?
DMARC record là một tiêu chuẩn mới để chặn spammer sử dụng domain mail server trái phép mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, việc giả mạo địa chỉ mail người gửi trong mail gửi đi có thể thực hiện một cách dễ dàng.
Nhiệm vụ của DMARC record là sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những mail hợp lệ mới được chấp nhận vào hệ thống.
DMARC hoạt động như thế nào?
DMARC được xây dựng ở phía trên của DKIM và SPF record, xem bài viết về tạo DKIM và SPF record cho mail server
DMARC kết hợp DKIM và SPF
DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiết lập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF.
DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là môt mô tả cách thức SPF và DKIM cùng làm việc với DMARC.
DMARC record được cấu hình trong DNS trông giống như sau:
_dmarc.domain.com TXT v=DMARC1\; p=reject\; pct=100\; rua=mailto:[email protected]\;Bản ghi trên tạo 1 policy để reject (p=reject) 100% (pct=100) các email không pass DKIM hay SPF. Bên cạnh đó, bản ghi còn cho biết lý do từ chối sẽ được gửi vào mail (rua=mailto:[email protected]) để người quản trị phía domain.com được biết.
Hướng dẫn tạo DMARC record
Việc cấu hình DMARC cho một domain là phần vô cùng nhạy cảm và sẽ mất nhiều thời gian vì sẽ có rủi ro trong quá trình thực hiện.
Rủi ro đó là khi cấu hình DMARC sẽ có thể loại bỏ cả những mail hợp lệ. Để tránh điều này, ta cần thực hiện theo trình tự quan sát rồi áp dụng sau
Bước 1:Tạo một bản ghi DMARC để bắt đầu theo dõi
Ta tạo 1 bản ghi như sau:
_dmarc.domain.com TXT v=DMARC1\; p=none\; pct=100\; rua=mailto:[email protected]\;
Bản ghi này giống như ví dụ trên nhưng khác ở chỗ “p=none” thay vì “p=reject”. “none” cho biết đây là chế độ test mode. Các mail server nhận sẽ check từng message gửi đến nhưng nó chi gửi về các report mà không thực hiện hành động nào cụ thể. Điều này cho phép ta thu thập được thông tin chi tiết về các địa chỉ mail server gửi đến trước khi có quyết định thực hiện một hành động cụ thể.
Lúc này ta sử dụng công cụ để thu thập những số liệu thống kê này các bạn truy cập vào đây http://dmarc.postmarkapp.com
Bước 2: Phân tích DMARC report để xác định kết quả pass hay fail
Việc thu thập dữ liệu như trên sẽ cần một thời gian dài
Có 3 thống kê ta cần xem:
. Processed: Số lượng message đã đc gửi report
. Fully Aligned: Số lượng message đã pass cả SPF và DKIM
. Failed: Số lượng message failed tại SPF hoặc DKIM
Tiếp theo ta sẽ xem ở 2 trường quan trọng:
. Trusted sources: Đây là những địa chi email server bao gồm cả domain và IP mà đã pass cả SPF và DKIM
. Unknown/Threats: là những địa chi email server mà không pass qua được SPF hoặc DKIM. Trong nhiều trường hợp, Unknown là những source hợp lệ đang gửi email nhưng không sử dụng DKIM hoặc SPF. Chính vì điều này sẽ dẫn tới việc sử dụng DMRAC record vô cùng nhạy cảm, cấu hình sai chúng ta sẽ loại trừ mail đúng.
Bước 3: Chuyển tất cả các địa chỉ đã biết (xác định là hợp lệ) để gán DMARC
Sau khi đã có được những địa chỉ được coi là hợp lệ ta sẽ tạo danh sách cho nó và đối với mỗi địa chỉ mới, ta sẽ đối chiếu lại với danh sách này.
Mục đích của DMARC vẫn là kiểm tra cho việc pass cả DKIM và SPF record, trong một số trường hợp đặc biệt như: email fowarding, ở đó Return-path bị thay đổi và SPF failed nhưng nếu có DKIM, nó vẫn được chấp nhận như một email hợp lệ.
Bước 4: Áp dụng DMARC record thực tế
Một khi đã nắm được tương đối các địa chỉ mail hợp lệ, chúng ta sẽ tạo lại bản ghi DMARC record sang chế độ chặt chẽ hơn, đó là với “p=quarantine”.
Việc cách ly sẽ đặt các mail gửi đến mà nằm ở dạng failed vào thư mục SPAM/JUNK. Và cuối cùng, qua thời gian ta sẽ đặt nó ở chế độ chặt chẽ nhất “p=reject”, loại bỏ hoàn toàn các thư gửi đến bị failed.
Tóm lại, DMARC là một chuẩn cao hơn trên cơ sở kết hợp giữa DKIM và SPF. đây là một tiêu chuẩn mới trong đánh giá spam mail
Hiện tại khi chúng ta check việc cấu hình các bản ghi DNS cho mail server sẽ có kết quả là DMARC record có bị lỗi hay không, nếu chúng ta chưa có sẽ nhận được thông báo lỗi, các bạn có thể kiểm tra tại đây https://mxtoolbox.com
Việc một domain mail server có bản ghi DMARC record sẽ được đánh giá cao hơn, hạn chế mail server bị liệt vào SPAM.
Tạo DMARC record không phải là một việc dễ dàng như tạo SPF hay DKIM record, nó cần phải trải qua một thời gian xem xét đánh giá, nếu như tạo sai chúng ta có thể xảy ra tình trạng mất email người dùng.