Xác Thực Chữ Ký Số Email – DKIM là gì ? SPF là gì ? Hướng Dẫn Tạo Bản Ghi DKIM

SPF LÀ GÌ?

SPF (SPF Record – Sender Policy Framework) là một hệ thống đánh giá email nhằm phát hiện email có phải được giả mạo hay không nhờ vào cơ chế cho phép hệ thống nhận email, kiểm tra email được gởi từ một domain có được xác quyền bởi người quản trị domain.

Danh sách những máy chủ (host) sử dụng để gửi email được thông báo trong bảng ghi của DNS dưới dạng bảng ghi tên là TXT.
Email gửi spam thường sử dụng địa chỉ email gửi giả mạo, vì vậy SPF được xem như là một kỹ thuật dùng để loại trừ email spam.

Hiểu đơn giản, SPF là một bản ghi dạng TXT khai báo trên DNS, mục đích chính là để bên nhận mail có thế kiểm tra tính xác thực của nguồn gửi (theo IP).

DKIM LÀ GÌ ?

DKIM ( DomainKeys Identified Mail) là một phương pháp xác thực e-mail bằng chữ ký số của miền gửi thư, trong đó khóa công khai thường được công bố trên DNS dưới dạng một TXT record.

Khi gửi thư, bộ ký thư sẽ chèn lên đầu thư một trường DKIM-Signature có nội dung đặc biệt.

Ví dụ:

Code: DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=mycompany.com; s=sitec; t=1250425543;

bh=qQxSOEYqVJ6pi/vUuNCr0ESnD0B0TNFQ=;

h=Message-ID:From:To:Subject: Date:MIME-Version:Content-Type;

b=aiL+F+rqOdVxmR1V0bdfpL3t0PwkW8pLSFc

CpJ5MFU0BkqZmtlBFlL+wyximVXLtHxOt=

DKIM HOẠT ĐỘNG NHƯ THẾ NÀO?

Đây là một phương pháp xác thực chứ không phải là một phương pháp chống spam. Nhưng vì có tính năng đảm bảo thư là thật (địa chỉ người gửi, hay ít nhất tên miền gửi thư là thật) trong khi thực tế đa số spam đều là thư giả mạo (mạo tên người khác, tên miền khác) nên nó hỗ trợ việc chống spam.

DKIM cung cấp cho hai hoạt động riêng biệt: chữ ký và xác minh. Một trong số chúng có thể được xử lý bởi một mô-đun của một tác nhân chuyển thư (MTA).

Tùy theo hệ thống Mail server khác nhau sẽ có hướng dẫn khác nhau về cấu hình DKIM ở phía server, nhưng hầu hết đều phải thực hiện các bước:
Bước 1: Sinh ra cặp khóa private/public, có nhiều phần mềm hỗ trợ việc này (ví dụ: OpenSSL)
Bước 2: Đưa khóa Public lên khai báo bản ghi TXT trên DNS theo đúng domain gửi email.
Bước 3: Cấu hình Mail server sử dụng khóa private để ký vào email trước khi gửi email. Khóa này chỉ lưu trên Mail server nên không thể giả mạo.

Xử lý ở bên nhận:
Bước 1: Nhận được email từ bên gửi và thấy email có thông điệp được mã hóa do cấu hình DKIM.
Bước 2: Query DNS để lấy khóa public của domain bên gửi để giải mã, nếu giả mã đúng thì xác nhận nguồn gửi và email đảm báo, ngược lại sẽ tùy chính sách của bên nhận để từ chối hoặc nhận email.

NHẬN XÉT – SO SÁNH SPF VÀ DKIM

Giống nhau
Cả hai SPF và DKIM cố gắng để xác nhận tính xác thực của một người gửi tin nhắn bằng cách nhìn vào tên miền gửi và đủ điều kiện mà máy chủ gửi tin nhắn là hợp pháp.

Khác nhau
SPF và DKIM mỗi phương pháp tiếp cận nhiệm vụ này khác nhau và có phương pháp riêng độc đáo.

Mục tiêu chính khác nhau: SPF là để kiểm soát email giả mạo.

Phương thức khác nhau: Không giống như Sender Policy Framework (SPF) xác nhận một tin nhắn ở mức phong bì bằng cách sử dụng các tiêu đề Return-Path, DKIM xác nhận một tin nhắn bằng cách sử dụng từ tiêu đề.

Cấu hình thiết lập: Nếu SPF chỉ đơn giản đòi hỏi phải bổ sung thêm một mục nhập văn bản DNS của tên miền của bạn thì DKIM cấu hình phức tạp hơn so với SPF vì phải yêu cầu các thành phần phía máy chủ để xử lý chữ ký DKIM. Email Hầu hết các nhà cung cấp hosting hỗ trợ DKIM và có thể hỗ trợ bạn thiết lập DomainKeys cho tên miền của bạn và ghi văn bản cần thiết trong DNS của bạn để cho phép ký DKIM.

TẠO BẢN GHI DKIM CHO GMAIL

Bước 1: Truy cập vào Admin Console của Google > Apps > Google Apps > Gmail > Setup DKIM

Bước 2: Nhấp vào Generate new record và chọn Prefix selector là google, sau đó chọn Generate
Bạn sẽ chọn 1 trong 2 loại bản ghi DKIM:

• DKIM 1024: Nhiều nhà cung cấp dịch vụ DNS hỗ trợ. (Khuyến nghị nếu sử dụng nhà cung cấp DNS ở Vietnam)
• DKIM 2048: Ít nhà cung cấp dịch vụ DNS hỗ trợ, nhưng bảo mật cao hơn DKIM 1024 bit.
  Truy cập vào trang quản trị DNS và thêm vào 1 TXT records mà Google vừa tạo, tương tự như hình

Bản ghi DKIM cần cấu hình trên DNS sẽ có giá trị như sau:

Type: TXT
Host/name: google._domainkey
Value: *Giá trị mà quản trị viên vừa khởi tạo*

Bước 3: Sau khi cập nhật bản ghi TXT trên trang quản trị DNS như hướng dẫn trên, quản trị viên hệ thống quay trở lại Google Admin Console để xác thực email bằng cách Admin console > Apps > Google Apps > Gmail >Authenticate email > Nhấn chọn START AUTHENTICATION

Chúc mừng bạn đã tạo thành công bản ghi DKIM!