Ý nghĩa của chứng thực SPF, DKIM đối với email server

  • Friday 03/04/2020

Khi lựa chọn dịch vụ email server, bạn sẽ thường nhìn thấy các chứng thực SPF/ DKIM/ DomainKeys được liệt kê trong các gói dịch vụ, những chứng thực này là gì, có ý nghĩa ra sao?

SPF là gì?

SPF (SPF Record – Sender Policy Framework) là một hệ thống đánh giá email nhằm phát hiện email có phải được giả mạo hay không nhờ vào cơ chế cho phép hệ thống nhận email, kiểm tra email được gởi từ một domain có được xác quyền bởi người quản trị domain.

Danh sách những máy chủ (host) sử dụng để gửi email được thông báo trong bảng ghi của DNS dưới dạng bảng ghi tên là TXT.

Email gửi spam thường sử dụng địa chỉ email gửi giả mạo, vì vậy SPF được xem như là một kỹ thuật dùng để loại trừ email spam.

Hiểu đơn giản, SPF là một bản ghi dạng TXT khai báo trên DNS, mục đích chính là để bên nhận mail có thế kiểm tra tính xác thực của nguồn gửi (theo IP).

Ví dụ :

“v=spf1 +mx +a +ip4:112.213.93.85 ~all”

đây chính là bản ghi TXT khai báo cấu hình SPF

Cấu hình SPF mang đến lợi ích gì?

– Tăng độ tin tưởng với hệ thống bên nhận hơn khi nhận mail đến từ domain có khai báo SPF.

– Nhận được sự ưu tiên của Gmail, Yahoo khi kiểm tra nhờ vào các email gửi từ domain có khai báo SPF

DKIM là gì ?

DKIM ( DomainKeys Identified Mail) là một phương pháp xác thực e-mail bằng chữ ký số của miền gửi thư, trong đó khóa công khai thường được công bố trên DNS dưới dạng một TXT record.

Khi gửi thư, bộ ký thư sẽ chèn lên đầu thư một trường DKIM-Signature có nội dung đặc biệt.

Ví dụ:

Code: DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=mycompany.com; s=sitec; t=1250425543;

bh=qQxSOEYYHCCISqVJ6pi/vUuNCr0EqMNkRSnD0B0TNFQ=;

h=Message-ID:From:To:Subject: Date:MIME-Version:Content-Type;

b=aiL+F+rqOdVxmR1V0bdfwsVOvMpwv1eMcCrX5I2C6U9CX+mkyepL3t0PwkW8pLSFc

CpJ5NvsBGqgOK4f2h89IubyYMFU0BkqZmtlBFlL+wyximVXLtHxO95WOxJX380tCet

XwofYIOK7tx45K41hG4T7+5ylNSuO1HHMpM/WfOM=

Trong đó: phiên bản DKIM (v), thuật toán ký (a), thuật toán chuẩn hóa xâu ký tự đưa đi ký ( c ), tên miền ký (d), tên cặp khóa, hay còn gọi là selector (s), dấu ấn thời gian (t), thời hạn hiệu lực của chữ ký (x), phương thức truy vấn để lấy khóa công khai (q), danh sách các trường của phần đầu thư được ký (h), độ dài phần thân thư được ký (l), giá trị hash của nội dung được ký (bh), và chữ ký (b).

DKIM hoạt động như thế nào?

Đây là một phương pháp xác thực chứ không phải là một phương pháp chống spam. Nhưng vì có tính năng đảm bảo thư là thật (địa chỉ người gửi, hay ít nhất tên miền gửi thư là thật) trong khi thực tế đa số spam đều là thư giả mạo (mạo tên người khác, tên miền khác) nên nó hỗ trợ việc chống spam.

DKIM cung cấp cho hai hoạt động riêng biệt: chữ ký và xác minh. Một trong số chúng có thể được xử lý bởi một mô-đun của một tác nhân chuyển thư (MTA).

Nhận xét – So sánh

Giống nhau

Cả hai SPF và DKIM cố gắng để xác nhận tính xác thực của một người gửi tin nhắn bằng cách nhìn vào tên miền gửi và đủ điều kiện mà máy chủ gửi tin nhắn là hợp pháp.

Khác nhau

SPF và DKIM mỗi phương pháp tiếp cận nhiệm vụ này khác nhau và có phương pháp riêng độc đáo.

Mục tiêu chính khác nhau: SPF là để kiểm soát email giả mạo.

Phương thức khác nhau: Không giống như Sender Policy Framework (SPF) xác nhận một tin nhắn ở mức phong bì bằng cách sử dụng các tiêu đề Return-Path, DKIM xác nhận một tin nhắn bằng cách sử dụng từ tiêu đề.

Cấu hình thiết lập: Nếu SPF chỉ đơn giản đòi hỏi phải bổ sung thêm một bản ghi tên miền DNS của tên miền của bạn thì DKIM cấu hình phức tạp hơn so với SPF vì phải yêu cầu các thành phần phía máy chủ để xử lý chữ ký DKIM. Hầu hết các nhà cung cấp email server đều hỗ trợ DKIM và có thể hỗ trợ bạn thiết lập DomainKeys cho tên miền của bạn và ghi văn bản cần thiết trong DNS của bạn để cho phép ký DKIM.