Ngừng [Tiếp thị] Trả lại thư điện tử! Cách định cấu hình SPF, DMARC &DKIM

Yêu cầu thiết lập:

• Trình chỉnh sửa hệ thống tên miền (DNS) của bạn (tức là Quản trị viên GoDaddy đã đăng ký địa chỉ email)
• Tài khoản quản trị e-mail của bên thứ 3 (e-mail Blast Service [Mailchimp, ConstantContact, v.v.], Máy chủ thư bổ sung mà bạn có thể đang sử dụng, v.v.)

Bạn có thể đang đọc cái này vì bạn muốn được trợ giúp giải quyết lỗi bạn vừa nhận được. Lỗi này có thể cho biết điều gì đó về hồ sơ DMARC của bạn và e-mail không được xác thực. Và rất có thể bạn đã cố gắng gửi e-mail cho ai đó có địa chỉ '@ gmail.com' hoặc '@ yahoo.com' hoặc các nhà cung cấp e-mail lớn, miễn phí tương tự có các nguyên tắc mặc định cao hơn máy chủ e-mail mà bạn sẽ thiết lập thông qua công ty của riêng bạn.

Tôi cũng đã ở đó và đấu tranh khá nhiều thời gian để tìm ra điều này - không chỉ những gì bạn cần mà còn cả cách hoàn thành nó, một cách đúng đắn.

Thống kê của chúng tôi trước và sau khi định cấu hình SPF, DMARC &DKIM:

Như bạn có thể thấy trong các hình ảnh sau, các triển khai này cho chúng ta thấy rằng:

• Tỷ lệ thoát là 70% trước khi triển khai, toàn bộ 21441 email chưa bao giờ lọt vào hộp thư đến của người đăng ký.
• Sau khi triển khai, Tỷ lệ thoát chỉ còn 5,6%, giảm xuống chỉ còn 1855 lượt thoát.
• Các phản hồi không phải chỉ do bảo mật, một số e-mail bị xóa hoặc người đăng ký mắc lỗi đánh máy (điển hình là mail.com thay vì gmail.com).

Đã nói đủ về tầm quan trọng của việc triển khai - hãy bắt đầu!

Để tuân thủ 100% về xác thực e-mail, bạn cần cấu hình 3 thứ:

• SPF (Khung chính sách người gửi): một khuôn khổ được sử dụng để ngăn chặn giả mạo e-mail hay còn gọi là Spoofing. Giả mạo là khi ai đó giả vờ được gửi thư từ địa chỉ e-mail của bạn.
• DKIM (Thư được Định danh DomainKeys): Điều này sẽ cho phép máy chủ gửi e-mail mang tên bạn trong khi được xác thực để đảm bảo đó thực sự là bạn. Ví dụ:nếu bạn sử dụng MailChimp hoặc ConstantContact cho các vụ nổ bản tin và nói rằng đó là từ ‘john@doecompany.com’, thì các e-mail sẽ vẫn được gửi từ máy chủ MailChimp hoặc ConstantContacts. Tuy nhiên, bạn đã xác minh với dịch vụ e-mail Blast của mình rằng đó thực sự là bạn chứ không phải ai đó giả danh bạn. Đây là điều quan trọng nhất để thiết lập chính xác cho doanh nghiệp, vì nếu không sẽ có tỷ lệ thoát cao!
• DMARC (Xác thực, Báo cáo và Tuân thủ Thư dựa trên Miền): Ngoài ra, một cơ chế Chống giả mạo sẽ hoạt động cùng với SPF. Có cái này hay cái kia đều không hiệu quả - bạn sẽ cần cả hai để được bảo vệ đúng cách.

Trình chỉnh sửa DNS / Trình chỉnh sửa vùng DNS, Ví dụ về ảnh chụp màn hình GoDaddy (Đăng nhập và điều hướng đến Trang tổng quan quản trị của bạn trước):

Chọn Miền bạn cần thêm các mục nhập DNS vào màn hình sau khi nhấp vào Quản lý Khu vực.

Ở cuối bản ghi của bạn ở phía bên phải, bạn sẽ thấy nút 'Thêm' sẽ dẫn đến menu hộp thoại sau, trong đó bạn sẽ nhập từng mục nhập SPF, DMARC &DKIM:

Để biết các hướng dẫn khác cho Trình chỉnh sửa vùng, chỉ cần truy cập cơ sở kiến ​​thức / trung tâm hỗ trợ của Nhà cung cấp miền của bạn.

Thiết lập SPF:

Chỉ số SPF là dễ thiết lập nhất. Bạn sẽ cần 2 thứ:

1. Trình chỉnh sửa DNS của bạn (tức là Cổng quản trị GoDaddy)
2. Địa chỉ IP của máy chủ e-mail của bạn

Sau khi truy cập Trình chỉnh sửa DNS của bạn (còn được gọi là Trình chỉnh sửa vùng DNS trong Bảng điều khiển), bạn muốn tạo mục nhập TXT mới. Trong Mục nhập TXT này, bạn phải có 3 trường có thể có:Máy chủ lưu trữ, Giá trị TXT / Giá trị &TTL (Thời gian tồn tại). Những gì bạn sẽ nhập vào các trường này như sau (một số chi tiết có thể khác nhau, điều này dựa trên cài đặt GoDaddy ):Máy chủ:@ TXT Giá trị:v =spf1 + a + mx + ip4: ~ allTTL:1 Giờ

Giải thích / Ý nghĩa của các cài đặt này:

‘@’ Là ký hiệu trong GoDaddy đề cập đến Miền bạn đang làm việc. Vì vậy, nếu bạn đang làm việc bên trong ‘doecompany.com’, bạn có thể thay thế ‘@’ bằng ‘doecompany.com’ và kết quả sẽ giống nhau. Tuy nhiên, cách tốt nhất là sử dụng ký hiệu ‘@’ thay thế trong trường hợp của GoDaddy.

là IP của nơi gửi e-mail của bạn. Đây không nhất thiết phải giống với IP mà trang web thực được lưu trữ trên đó.

+ a: Bao gồm một bản ghi

+ mx: Bao gồm bản ghi Máy chủ Thư

+ ip4: Chỉ định từ máy chủ IPv4 nào

~ tất cả: Hồ sơ ngoài những hồ sơ đã khai báo trước sẽ không thành công.

TTL =1 giờ (hoặc 3600 giây):Thời gian tồn tại hoặc tần suất thời gian tồn tại sẽ hết hạn. Nếu bạn thay đổi máy chủ e-mail, bạn sẽ rất vui vì chỉ có khoảng cách tối đa là 1 giờ không được xác thực.

Thiết lập DKIM:

Đây là công việc tẻ nhạt nhất trong ba thiết lập và là công việc quan trọng nhất. Bạn sẽ xác thực bên thứ 3 để gửi thay mặt cho tên e-mail của bạn, tức là ‘john@doecompany.com’.

Tôi hiện đã thiết lập 2 DKIM:

1. Đối với Máy chủ Thư thực tế của tôi, máy chủ này nằm trên một máy chủ khác với trang web thực của tôi (điều này phổ biến hơn trong môi trường Doanh nghiệp).
2. Đối với nhà cung cấp dịch vụ bùng nổ bản tin e-mail của tôi (ConstantContact trong trường hợp này, có thể dễ dàng là Mailchimp hoặc ai đó khác trong trường hợp của bạn).

Đối với cả hai trường hợp, công việc của bạn là như nhau. Bạn sẽ phải liên hệ với bộ phận hỗ trợ e-mail của Máy chủ Thư hoặc dịch vụ gửi e-mail của Bên thứ ba và yêu cầu họ cài đặt DKIM cho tài khoản của bạn.

Việc này hoàn toàn nằm ngoài tầm tay của bạn và họ thường mất 1–2 ngày để hoàn thành công việc này. Về cơ bản những gì đang xảy ra là họ sẽ đăng ký và cài đặt RSA có mã hóa ít nhất 1024-Bit (2048 thì tốt hơn) trên máy chủ của họ.

Sau khi thiết lập xong, họ sẽ gửi cho bạn Khóa công khai mà bạn sẽ sử dụng trong bước tiếp theo để thiết lập bản ghi DKIM của mình.

Cũng giống như với các bản ghi SPF &DMARC, bạn sẽ truy cập Trình chỉnh sửa DNS của mình (còn được gọi là Trình chỉnh sửa vùng DNS trong Bảng điều khiển) và tạo mục nhập TXT mới. Trong Mục nhập TXT này, bạn phải có 3 trường có thể có:Máy chủ lưu trữ, Giá trị TXT / Giá trị &TTL (Thời gian tồn tại). Những gì bạn sẽ nhập vào các trường này như sau (một số chi tiết có thể khác nhau, điều này dựa trên cài đặt GoDaddy với các e-mail được lưu trữ trên inmotionhosting.com và ConstantContact dưới dạng dịch vụ Bản tin). Hãy nhớ tạo 1 mục nhập riêng biệt cho mỗi bản ghi DKIM:Máy chủ: ._ domainkeyTXT Giá trị:v =DKIM1; k =rsa; p = TTL:1 giờ

Đảm bảo không để lại bất kỳ khoảng trắng nào sau các ký hiệu ‘=’.

Giải thích / Ý nghĩa của các cài đặt này:

Máy chủ có thể là một tên hoặc số và thực sự là duy nhất đối với bên thứ ba. Khi một e-mail được gửi thay mặt cho bạn, e-mail đó sẽ có tên hoặc số đó trong tiêu đề. Đó là bản ghi mà nó sẽ tìm kiếm trong miền của bạn.

Theo các điều khoản của giáo dân và ví dụ của chúng tôi, máy chủ người nhận sẽ chuyển đến các bản ghi DNS của ‘doecompany’s và xem những gì bên thứ 3 tuyên bố là đúng sẽ có ở đó hay không. Chỉ khi khóa công khai xác thực đúng với khóa trên máy chủ của họ, thì e-mail sẽ được gửi đi.

v =DKIM1: Chỉ cần chỉ định phiên bản DKIM đang được sử dụng để làm rõ hơn những gì cần tìm.

k =rsa: RSA là tiêu biểu nhất để sử dụng làm Khóa (k). Bên thứ 3 của bạn có thể chọn sử dụng thứ gì đó khác. Nhưng RSA với mã hóa 2048 bit là tùy chọn an toàn nhất mà bạn có thể có vào lúc này. 1024 bit cũng tốt.

p =: Thay vì ‘’, bạn sẽ được cung cấp chuỗi 1024 bit hoặc 2048 bit của văn bản và số dường như ngẫu nhiên hoặc các giá trị khác phù hợp với bất kỳ mã hóa nào mà bên thứ 3 quyết định sử dụng.

TTL =1 giờ (hoặc 3600 giây):Thời gian tồn tại hoặc tần suất thời gian tồn tại sẽ hết hạn. Nếu bạn thay đổi máy chủ e-mail, bạn sẽ rất vui vì chỉ có khoảng cách tối đa là 1 giờ không được xác thực.

Thiết lập DMARC:

Nhắc nhở: Để DMARC thực hiện công việc của mình, bạn PHẢI thiết lập SPF VÀ DKIM trước đó. Bởi vì DMARC xác minh cài đặt SPF &DKIM và liệu người gửi có phù hợp với các cài đặt này hay không và không phải là một người phù hợp. Nếu SPF &DKIM không được thiết lập, DMARC sẽ không hoạt động và dẫn đến các email bị từ chối.

Cũng giống như với các bản ghi SPF, bạn sẽ truy cập Trình chỉnh sửa DNS của mình (còn được gọi là Trình chỉnh sửa vùng DNS trong Bảng điều khiển) và tạo mục nhập TXT mới. Trong Mục nhập TXT này, bạn phải có 3 trường có thể có:Máy chủ lưu trữ, Giá trị TXT / Giá trị &TTL (Thời gian tồn tại). Những gì bạn sẽ nhập vào các trường này như sau (một số chi tiết có thể thay đổi, điều này dựa trên cài đặt GoDaddy với các e-mail được lưu trữ trên inmotionhosting.com):Máy chủ:_dmarcTXT Giá trị:v =DMARC1; p =từ chối; sp =none; adkim =r; aspf =r; pct =100; fo =0; rf =afrf; ri =86400TTL:1 giờ

Giải thích / Ý nghĩa của các cài đặt này:

Máy chủ được khai báo là ‘_dmarc’ vì trong GoDaddy nó sẽ tự động thêm ‘.johndoe.com’ làm miền phụ. Điều này có nghĩa là khi một e-mail được gửi đi, DMARC sẽ luôn được kiểm tra trong bộ chọn đó đối với miền của bạn. Nếu điều này không được thiết lập đúng cách thành ‘_dmarc’, các máy chủ e-mail sẽ không thể tìm thấy mục nhập DMARC của bạn và sẽ tự động làm hỏng e-mail của bạn vì họ cho rằng không có mục nào để bắt đầu.

v =DMARC1: Khai báo phiên bản của DMARC để làm rõ những gì đang được sử dụng và làm cho việc xác thực trở nên hợp pháp hơn.

p =từ chối: E-mail sẽ bị từ chối từ máy chủ e-mail của người nhận nếu chúng không khớp với bản ghi DMARC.

sp =none: Không kiểm tra xem miền phụ và miền chính có cài đặt phù hợp hay không; đây là tùy chọn.

adkim =r: Có nghiêm ngặt (các) hoặc thoải mái (r) với các cài đặt định danh DKIM hay không; thư giãn là mặc định.

aspf =r: Có nghiêm ngặt (các) hoặc thoải mái (r) với cài đặt định danh SPF; thư giãn là mặc định.

pct =100: 100 phần trăm e-mail sẽ bị ảnh hưởng bởi DMARC. Chỉ các giá trị nguyên từ 1 đến 100. Tập hợp nhỏ hơn sẽ chỉ có ý nghĩa để thử nghiệm; phải là 100 cho mục đích bảo mật.

fo =0: Báo cáo lỗi DMARC được tạo nếu không xác thực được SPF &DKIM. 0 là giá trị mặc định. Những người khác là 1, d và s. 1 là nếu một trong hai không thành công, để tạo bản ghi. d nếu đánh giá chữ ký không thành công. s nếu đánh giá SPF không thành công.

rf =afrf: Định dạng cho các báo cáo lỗi thông báo. afrf là ​​giá trị được hỗ trợ duy nhất tại thời điểm viết bài này.

ri =86400: Bao nhiêu giây đã trôi qua giữa việc gửi báo cáo đến người gửi. 86400 được mặc định là 24 giờ hoặc 1 ngày. Nhiều nhà cung cấp hộp thư lớn như Gmail, Yahoo, v.v. sẽ gửi nhiều hơn một báo cáo mỗi ngày.

TTL =1 giờ (hoặc 3600 giây):Thời gian tồn tại hoặc tần suất thời gian tồn tại sẽ hết hạn. Nếu bạn thay đổi máy chủ e-mail, bạn sẽ rất vui vì chỉ có khoảng cách tối đa là 1 giờ không được xác thực.

Và đó là cách bạn xác thực đúng các e-mail của mình. Tôi hy vọng điều này đã giải quyết một số bí ẩn và phức tạp cho bạn. Bạn sẽ không còn nhận được những hậu quả rắc rối đó từ mailer-daemon của mình nữa!

Tác giả:

Andreas Lopez - https://www.linkedin.com/in/andreaslopez/

Người chỉnh sửa:

Stevan Pupavac - https://www.linkedin.com/in/stevan-pupavac/

Frederick Alcantara - https://www.linkedin.com/in/frederick-alcantara/

Nguồn:

1. Ảnh chụp màn hình GoDaddy của DMARCanalyzer.com:https://www.dmarcanalyzer.com/dmarc/dmarc-record-setup-guides/dmarc-setup-guide-godaddy/