Hướng dẫn Cấu hình DKIM SPF DMARC cho Zimbra Mail Server trên Centos 7

  • Sunday 31/03/2024

DKIM, SPF, và DMARC là các công nghệ liên quan đến xác thực và chống giả mạo trong email.

DKIM (DomainKeys Identified Mail): DKIM là một phương pháp xác thực email bằng cách sử dụng chữ ký điện tử. Khi một email được gửi đi, máy chủ email của người gửi sẽ sử dụng khóa riêng của mình để tạo một chữ ký điện tử cho email đó. Máy chủ email của người nhận sẽ kiểm tra chữ ký này bằng cách sử dụng khóa công khai được công bố trước đó. Nếu chữ ký được xác thực thành công, điều này cho thấy email không bị sửa đổi trong quá trình truyền tải và nguồn gốc của nó có thể được xác định.

SPF (Sender Policy Framework): SPF là một cơ chế xác thực email dựa trên việc xác định các máy chủ được phép gửi email thay mặt cho một miền cụ thể. Chủ sở hữu miền sẽ cung cấp thông tin SPF bằng cách thiết lập các bản ghi DNS cho miền của họ. Khi một email được nhận, máy chủ email của người nhận sẽ kiểm tra xem máy chủ gửi có được phép gửi email thay mặt cho miền đó hay không. SPF giúp ngăn chặn các cuộc tấn công giả mạo email bằng cách kiểm tra tính hợp lệ của máy chủ gửi.

DMARC (Domain-based Message Authentication, Reporting, and Conformance): DMARC là một tiêu chuẩn xác thực email được sử dụng để tăng cường bảo mật cho việc gửi email. DMARC kết hợp cả DKIM và SPF để xác minh tính hợp lệ của một email. Ngoài ra, DMARC cũng cung cấp các chính sách cụ thể để xử lý các email không hợp lệ hoặc có dấu hiệu giả mạo. DMARC cung cấp cơ chế báo cáo cho chủ sở hữu miền để họ có thể theo dõi và phân tích các hoạt động liên quan đến email gửi từ miền của mình.

Tổng cộng, DKIM, SPF, và DMARC là các công nghệ quan trọng trong việc xác thực và chống giả mạo email, giúp cải thiện bảo mật và độ tin cậy của việc gửi và nhận email.

Trước khi thực hiện cấu hình DKIM SPF DMARC Zimbra Mail bạn cần cấu hình PTR và SPF. Đây là 2 record không thể thiếu để mail không bị vào spam folder. Lưu ý cần cấu hình trước khi gửi mail test cho gmail/yahoo nếu không thì gmail/yahoo sẽ cho vào spam folder.

PTR record (rDNS): yêu cầu bên quản lý IP (nếu thuê tại data center) hoặc bên quản lý đường truyền (nếu thuê leased-line, ftth có IP tĩnh) trỏ PTR từ IP, ví dụ 123.21.123.92 về tên server, ví dụ mail.you.io.vn

SPF: thiết lập 1 TXT record có dạng

@ TXT v=spf1 ip4:123.21.123.92 mx ~all

Sử dụng mxtoolbox để kiểm tra hoặc sử dụng http://dkimvalidator.com để kiểm tra bằng cách gửi email test đến 1 email mà dkimvalidator chỉ định.

Tất nhiên bạn đã cấu hình 2 record cơ bản là A record và MX record có dạng sau:

mail A 123.21.123.92

@ MX mail.you.io.vn 10

Để kiểm tra có thể dùng mxtoolbox hoặc nslookup/dig.

$dig –x 123.21.123.92

;; ANSWER SECTION:

92.123.21.123.in-addr.arpa. 3599 IN PTR mail.you.io.vn.

Để có sự tương đồng hoàn hảo giữa rDNS và SMTP Banner của server, bạn cần thay đổi/kiểm tra thông số zimbraMtaSmtpdBanner trên zimbra như sau:

$zmprov mcf zimbraMtaMyHostname mail.you.io.vn

$zmcontrol restart

Dùng mxtoolbox để kiểm tra.

Đến đây bạn đã có thể gửi và nhận mail tốt. Để nang cao độ “uy tín” của hệ thống mail server, bạn thực hiện thiết lập DKIM và DMARC.

1. Cấu hình SPF

SPF (SPF Record – Sender Policy Framework) là một cách thức để xác nhận một email server có được phép gửi email dưới tên một domain nào đó không. Ví dụ ta chỉ muốn các email có dạng @you.io.vn khi gửi sẽ có địa chỉ IP là 123.21.123.92, còn các email dạng @you.io.vn được gửi từ máy chủ không phải IP 123.21.123.92 đều là giả mạo và không được phép gửi thì SPF sẽ thực hiện điều này. Khi đó mail server phía nhận sẽ tự động loại bỏ tất cả các email gửi dưới dạng @you.io.vn từ các địa chỉ không phải IP 123.21.123.92. Tất nhiên mail server phía nhận phải có chức năng kiểm tra SPF này

Type Name Content/Value TTL
TXT @ hoặc tên miền v=spf1 ip4:123.21.123.92 mx ~all Auto

Sử dụng mxtoolbox để kiểm tra hoặc sử dụng http://dkimvalidator.com để kiểm tra bằng cách gửi email test đến 1 email mà dkim validator chỉ định.

dkim-spf-drmac-ired-mail-server

2. Cấu hình DKIM

DMARC là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữu mà không được sự cho phép của họ mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những email giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những email hợp lệ mới được chấp nhận vào hệ thống.

Để lấy được khoá DKIM bạn hãy SSH vào Server Mail sau đó chạy lệnh sau.

su zimbra

/opt/zimbra/libexec/zmdkimkeyutil -a -d you.io.vn

[root@mail ~]# su zimbra

/opt/zimbra/libexec/zmdkimkeyutil -a -d you.io.vn

[zimbra@mail root]$ /opt/zimbra/libexec/zmdkimkeyutil -a -d you.io.vn

DKIM Data added to LDAP for domain you.io.vn with selector 4AE5E56C-DEB8-11EE-B036-C6293CBEE68F

Public signature to enter into DNS:

4AE5E56C-DEB8-11EE-B036-C6293CBEE68F._domainkey IN      TXT     ( “v=DKIM1; k=rsa; “

“p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt29d8WKbJ9avO/2E/tFxXdYxXxA01nG8ihHWn6kIL8CRW8WS88ycvJTdab6uaVIVyl0+upWJZnvHuhSO0b/pRzyiffcW91zCaSOY1A4m+39nT+wm1m2KBNCCNvTXxZ6Eq7LpTbsAXTOkqwpSr7w4rDvk8l+eD/RBIEtK7vBNLyTWINjJRQd084SjiVD0uYnFkb1TNfHKT31YIr”

“+JCPnbvpX6BxA/owm+5BJCE2SrmMybQouqER0HG3x9INFsG1cfHuyFLpm+YHF5ZVIkPJs2vKApazlBy9+FdachIlNwW6pHMTjH07yhZ4cKiGw2yjnYFcLTxTkUkRY+33zee6ZDMQIDAQAB” )  ; —– DKIM key 4AE5E56C-DEB8-11EE-B036-C6293CBEE68F for you.io.vn

dkim-spf-drmac-ired-mail-server01

Nếu đã có DKIM rồi mà bạn muốn xem lại thì dùng lệnh sau

/opt/zimbra/libexec/zmdkimkeyutil -q -d you.io.vn

=>

[zimbra@mail root]$ /opt/zimbra/libexec/zmdkimkeyutil -q -d you.io.vn

DKIM Domain:

you.io.vnDKIM Selector:

4AE5E56C-DEB8-11EE-B036-C6293CBEE68F

DKIM Private Key:

—–BEGIN PRIVATE KEY—–

MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC3b13xYpsn1q87

/YT+0XFd1jFfEDTWcbyKEdafqQgvwJFbxZLzzJy8lN1pvq5pUhXKXT66lYlme8e6

FI7Rv+lHPKJ99xb3XMJpI5jUDib7f2dP7CbWbYoE0II29NfFnoSrsulNuwBdM6Sr

ClKvvDisO+TyX54P9EEgS0ru8E0vJNYg2MlFB3TzhKOJUPS5icWRvVM18cpPfVgi

v4kI+du+lfoHED+jCb7kEkITZKuYzJtCi6oRHQcbfH0g0WwbVx8e7IUumb5gcXll

UiQ8mza8oClrOUHL34V1pyEiU3BbqkcxOMfTvKFnhwqIbDbKOdgVwtPFORSRFj7f

fN57pkMxAgMBAAECggEAEbFg+QunBgJv0AQ9u/tVKTUj+XSdeBKr2hBq6Gb8Jmj3

TEgECtZxRsJAEfdFqNx1RBnW11XdlSA6zUC23tXZKRkY3jgDQ9QzX0NC9i8wROFO

xHd1bojNv3WiHa1jk4jc6Je+55OyLwswZpv+CjvIJpq3VEZzPzwyvOvuPBo7A6Eq

somM2xwWtyfaTv6CIE7/g4FOr+DPCcv2Kr8Uj8OMO7NT1/sIWcjkB8jrB8Tq+zaI

IBuxpztyYtPOMNcmzYGYiRr21+2tUSd0/eoGT2POSeERTymWdJFiZqY4HvKgf7cc

chP1sL58GsR1J2r1DZVwaXgqaWOKje9efW/XbYb0rQKBgQDu5HSaSnCozVQ9KuVT

AAipGczcfgkUefauUOCdLlVRu1vBuTtXkOULa7Tpz/AyxMWLtWkEJ4p/hmpyiwkd

v5tchnKweUk34bI87TkSe5ts2zXgVQhDZILHs2+0ys5K58Ogn/+sfmYyBSkcAD/u

5KshxM1+S3613ZVzvVfD/4BafQKBgQDEkjpFpsUYGAg6HEDr39S6KKFvAY4t/5qR

20wATUn+v8PPqgVenendTtXvnk4PLt1iZ7t6aPndzWApcFu209XW4IrsWn8Jsj1a

KNy/hoj/8st2tXcfOKoAz/iPEpJhm/g4bKgsM+jIKqYaWyzCBIn78lniyswkD4Ic

21H4kBP1xQKBgDSE9T2Wb/4sZgCslY4Ry9WhXnB7JPPjfGAGV9s2fHtjfWCxoGI3

8KL6IuPkWyJOMD/uug+3wbMXkf9soaxwm29T/5Lcl0Q50j2iyZFOq3TbHJUdHJv0

VOwifsR4cbH2EgQWKNd7UmxcxhTp2SRkEVtzMNo7Lrg85sZzMgBdA5LhAoGBAKq4

LO/NFSQFyy9c1m2E6iX7n6je+vKsKTw/71PbzEX5mkBC84LnNvNDwr3nCPhaxV7v

pH19qnSeJ8QVlzHD7NZAEaeQOQDc0jf5gS6900InRdoFZD2zYsJt3Pu1L3iikwO+

KpipRKSDldsSEF84vfYY10QGySEQbvpM6HYt+4fZAoGATg6PDJIpBjS4lgxUNja/

g1YdpZzA3bkzDHz4iXUmmo6Zt1dZ2jBGzqMmsmaLAj5MIUcJjY5Vzv8q99atBxTp

TXqBTD+Z1C4uHszHRmaO4WKfi8zVqjaHKk/0VgxIYguOCAtNCQtzF905vYeBQBKq

q6ia0Sy+Mugw6thK1YKPzuc=

—–END PRIVATE KEY—–

DKIM Public signature:

4AE5E56C-DEB8-11EE-B036-C6293CBEE68F._domainkey IN      TXT     ( “v=DKIM1; k=rsa; “

          “p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt29d8WKbJ9avO/2E/tFxXdYxXxA01nG8ihHWn6kIL8CRW8WS88ycvJTdab6uaVIVyl0+upWJZnvHuhSO0b/pRzyiffcW91zCaSOY1A4m+39nT+wm1m2KBNCCNvTXxZ6Eq7LpTbsAXTOkqwpSr7w4rDvk8l+eD/RBIEtK7vBNLyTWINjJRQd084SjiVD0uYnFkb1TNfHKT31YIr”

          “+JCPnbvpX6BxA/owm+5BJCE2SrmMybQouqER0HG3x9INFsG1cfHuyFLpm+YHF5ZVIkPJs2vKApazlBy9+FdachIlNwW6pHMTjH07yhZ4cKiGw2yjnYFcLTxTkUkRY+33zee6ZDMQIDAQAB” )  ; —– DKIM key 4AE5E56C-DEB8-11EE-B036-C6293CBEE68F for you.io.vn

DKIM Identity:

you.io.vn

[zimbra@mail root]$         

dkim-spf-drmac-ired-mail-server          

Bây giờ bạn hãy mở DNS domain và cấu hình như sau

  • Lưu ý có dấu chấm (.) phía sau 4AE5E56C-DEB8-11EE-B036-C6293CBEE68F._domainkey.you.io.vn
  • TXT
  • v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAt29d8WKbJ9avO/2E/tFxXdYxXxA01nG8ihHWn6kIL8CRW8WS88ycvJTdab6uaVIVyl0+upWJZnvHuhSO0b/pRzyiffcW91zCaSOY1A4m+39nT+wm1m2KBNCCNvTXxZ6Eq7LpTbsAXTOkqwpSr7w4rDvk8l+eD/RBIEtK7vBNLyTWINjJRQd084SjiVD0uYnFkb1TNfHKT31YIr+JCPnbvpX6BxA/owm+5BJCE2SrmMybQouqER0HG3x9INFsG1cfHuyFLpm+YHF5ZVIkPJs2vKApazlBy9+FdachIlNwW6pHMTjH07yhZ4cKiGw2yjnYFcLTxTkUkRY+33zee6ZDMQIDAQAB

(Tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Khóa public p sẽ có giá trị bằng tất cả các phần output từ lệnh zmdkimkeyutil ở trên. Bạn nối 2 phần output lại, bỏ dấu nháy đôi ( “) đi.

Type Name Content/Value TTL
TXT Chuổi Selecter Khoá DKIM Auto

Kiểm tra trực tiếp tại https://dkimcore.org/c/keycheck

dkim-spf-drmac-ired-mail-server02

3. Thiết lập DMARC

DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiết lập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF.

DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là một mô tả cách thức SPF và DKIM cùng làm việc với DMARC.

Để thiết lập DMARC thì bạn cần SPF record và DKIM record sẵn sàng. Sử dụng trang http://www.kitterman.com/dmarc/assistant.html để tạo DMARC record mẫu.

Ví dụ một record DMARC sẽ có dạng sau:

_dmarc TXT v=DMARC1; p=reject; rua=mailto:admin@you.io.vn; ruf=mailto:admin@you.io.vn

Type Name Content/Value TTL
TXT _dmarc v=DMARC1; p=reject; rua=mailto:admin@you.io.vn; ruf=mailto:admin@you.io.vn Auto

DMARC này có policy là reject. Tất cả các email không thỏa mãn điều kiện kiểm tra DKIM, SPF sẽ bị reject và gửi báo cáo về cho admin@you.io.vn

dkim-spf-drmac-ired-mail-server04

Lưu ý chỉ sử dụng _dmarc (không có dấu chấm (.) phía sau) trong DNS record. (Việc này tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Sau khi đã thiết lập xong có thể gửi mail đến gmail để kiểm tra. Xem trong phần show original sẽ báo PASS cho SPF, DKIM và DMARC.

Bạn cũng có thể dùng Mail Tester (www.mail-tester.com) để kiểm tra. Sau khi gửi mail test đến địa chỉ mail được chỉ định của trang web, bạn sẽ biết điểm đánh giá, thường thì hệ thống cần đạt từ 8,5-10 điểm.

Kết luận

Trên đây là những thông tin hướng dẫn hướng dẫn cấu hình DKIM SPF DMARC Zimbra Mail Server trên Centos 7 mà P.A Việt nam muốn chia sẻ tới các bạn. Hy vọng bài viết sẽ cung cấp cho bạn nhiều thông tin hữu ích để có thể cài đặt và cấu hình DKIM SPF DMARC Zimbra Mail Server trên Centos 7

Ngoài ra khi tự cài đặt Zimbra Mail Server, sẽ có một số nhược điểm mà bạn cần xem xét:

Phức tạp trong quá trình cài đặt: Cài đặt Zimbra Mail Server yêu cầu kiến thức kỹ thuật cao và hiểu biết về hệ thống máy chủ và mạng. Quá trình cài đặt có thể phức tạp và mất nhiều thời gian, đặc biệt đối với những người không có kinh nghiệm trong việc triển khai email server.

Khó khăn trong việc quản lý và bảo trì: Việc quản lý và bảo trì Zimbra Mail Server có thể phức tạp và đòi hỏi kiến thức kỹ thuật liên quan. Bạn sẽ phải tự đảm nhận trách nhiệm cho việc cập nhật, sao lưu, khắc phục sự cố và bảo mật. Nếu không có đủ kỹ năng và thời gian, việc quản lý email server có thể trở nên khó khăn.

Rủi ro về bảo mật: Khi tự cài đặt và quản lý email server, có thể xảy ra rủi ro về bảo mật nếu bạn không có đủ kiến thức và kỹ năng để bảo vệ hệ thống. Một cấu hình không đúng cũng có thể dẫn đến lỗ hổng bảo mật và tấn công từ bên ngoài.

Hạn chế về tính năng và khả năng mở rộng: Khi tự cài đặt Zimbra Mail Server, bạn có thể gặp hạn chế về tính năng so với phiên bản có giấy phép hoặc dịch vụ do nhà cung cấp cung cấp. Bạn cũng có thể gặp khó khăn trong việc mở rộng email server để đáp ứng nhu cầu mở rộng trong tương lai.

Thiếu hỗ trợ kỹ thuật: Khi tự cài đặt Zimbra Mail Server, bạn sẽ không có sự hỗ trợ kỹ thuật chuyên sâu từ nhà cung cấp dịch vụ. Nếu gặp vấn đề phức tạp hoặc cần sự trợ giúp, bạn sẽ phải tự tìm kiếm thông qua các nguồn tài liệu trực tuyến hoặc cộng đồng người dùng.

Nhằm đáp ứng nhu cầu của bạn và cung cấp một giải pháp email server tối ưu, chúng tôi xin gửi tới bạn tham khảo Email Server tại P.A Việt nam.

Email Server tại P.A Việt nam được xây dựng trên cơ sở hạ tầng an toàn và đáng tin cậy, giúp bảo vệ thông tin nhạy cảm của bạn.

Chúng tôi sở hữu dãy ip đáng tin cậy nhất hiện nay, được tin tưởng và chấp nhận bởi hầu hết các tổ chức trong và ngoài nước.

Quản lý dễ dàng: Email Server tại P.A cung cấp giao diện quản lý tiện lợi, cho phép Quý khách dễ dàng tạo, xóa và quản lý tài khoản email của mình với kho giao diện cực đẹp và chuyên nghiệp, người dùng dễ dàng soạn thảo và đọc thư cùng rất nhiều tính năng tuyệt vời khác.

An toàn và bảo mật: Hỗ trợ bảo mật đa lớp bao gồm chứng chỉ số, mã hóa email và mã hóa email trên trình duyệt.

TÍnh sẵn sàng: Chúng tôi luôn cam kết chất lượng ổn định và cao nhất với thời gian hoạt động tới 99%.

Đội ngũ chuyên gia Email Server nhiều năm kinh nghiệm nhiệt tình tận tâm, xử lý và giải quyết mọi vấn đề một cách nhanh chóng giúp Email luôn được thông suốt.Làm việc bất chấp ở bất kì đâu và tương thích bất cứ thiết bị nào từ di động, trình duyệt, máy pc, laptop.Luôn sẵn sàng hỗ trợ bạn trong quá trình chuyển đổi và sử dụng Email Server tại P.A.

Sử dụng dịch vụ với giá tốt của nhà cung cấp Việt Nam nhưng tận hưởng chất lượng quốc tế.

Các bạn tham khảo các dịch vụ Email tại P.A: https://www.pavietnam.vn/vn/email-server.html

Private Email

Email Server Pro

Tham khảo các bài viết về Email Server khác tại https://kb.pavietnam.vn/category/email-server

Nếu Các bạn đang sử dụng Email marketing tại P.A thì có thể tham khảo hướng dẫn sử dụng email marketing tại đây

Hiện tại chúng tôi cũng có 1 số chương trình khuyến mãi cho các dịch vụ các bạn cũng có thể tham khảo tại đây

P.A Việt Nam – Nhà cung cấp giải pháp Email Server dành cho Doanh Nghiệp hàng đầu Việt Nam

Hãy liên hệ với P.A Việt Nam khi bạn cần tư vấn nhé!

https://support.pavietnam.vn

Email: kythuat@pavietnam.vn

Phone: 19009477, Ext 2.

Phòng kỹ thuật P.A Việt Nam

Rate this post