Bảo vệ Tên Miền của Bạn với DMARC: Áp dụng Chính sách DMARC

Dạo này, không có kênh nào có thể tiếp cận được đám đông lớn như email. Đó là lý do tại sao các doanh nghiệp hợp pháp sử dụng email để tiếp cận khách hàng và người đăng ký của họ. Tuy nhiên, đáng tiếc, việc sử dụng email cũng là cách mà các kẻ gửi thư rác sử dụng để thực hiện các cuộc tấn công độc hại. Số lượng các cuộc tấn công hack và lừa đảo qua email ngày càng tăng lên từng năm.

Nhưng may mắn thay, có một cơ chế cho phép người gửi email bảo vệ tên miền của mình khỏi việc sử dụng sai mục đích. Đó chính là DMARC.

Tại sao triển khai DMARC?

DMARC được giới thiệu để kết hợp SPF và DKIM và để bảo vệ người gửi email hợp pháp và người nhận email của họ khỏi các cuộc tấn công giả mạo email.

DMARC là viết tắt của Domain-Based Message Authentication, Reporting, and Conformance. Đây là cơ chế xác thực một email để chứng minh rằng nó thực sự đến từ người gửi mà nó khẳng định.

Xác thực DMARC được thực hiện dựa trên hai phương pháp SPF và DKIM và được thực hiện bằng cách thêm một bản ghi DMARC TXT vào DNS của tên miền.

Triển khai bản ghi DMARC là điều cần thiết vì ba lý do chính:

1. Xác thực email.
2. Bảo vệ tên miền.
3. Hiển thị thông tin lưu lượng email.

Chính sách DMARC là gì?

DMARC không chỉ cho phép người gửi email xác thực các email của họ, mà còn cho phép chỉ dẫn những người nhận email làm gì với một email nếu nó không vượt qua kiểm tra DMARC. Điều này có nghĩa là bạn có thể chỉ định cho ISP gửi một email giả mạo đến người nhận và đưa vào thư mục spam hoặc chặn nó tại cổng.

Với mục đích này, DMARC có ba chính sách sau:

• Không (p=none): Chính sách này yêu cầu các nhà cung cấp dịch vụ Internet đã áp dụng DMARC không làm gì với một email không vượt qua kiểm tra DMARC. Email chỉ đơn giản đi vào hộp thư đến hoặc thư mục spam của người nhận tùy thuộc vào cách bộ lọc thư rác của ISP xử lý email đó.

• Cách ly (p=quarantine): Chính sách này yêu cầu các nhà cung cấp dịch vụ Internet đặt email không vượt qua bản ghi DMARC vào một thư mục ‘cách ly’ đặc biệt – thư mục rác hay thư mục spam.

• Từ chối (p=reject): Chính sách này yêu cầu các nhà cung cấp dịch vụ Internet từ chối tất cả các email không vượt qua kiểm tra DMARC. Những email này sẽ không xuất hiện trong bất kỳ thư mục nào của người nhận.

Trong bản ghi DMARC, bạn cũng có thể đặt một phần trăm chính sách. Thẻ phần trăm (pct=) chỉ dẫn ISP chỉ áp dụng chính sách DMARC cho phần trăm cụ thể của các email không vượt qua kiểm tra DMARC.

Ví dụ, ‘pct=10’ sẽ yêu cầu những người nhận email chỉ áp dụng chính sách cho 10% số lần cho các email không vượt qua kiểm tra DMARC. Phần trăm chỉ áp dụng cho chính sách ‘cách ly’ và ‘từ chối’.

Ví dụ về một bản ghi DMARC với chính sách ‘từ chối’ và pct=10:

v=DMARC1; p=reject; pct=10; rua=mailto:[email protected]; ruf=mailto:[email protected]; adkim=r; aspf=r; fo=0;

Làm thế nào để tạo bản ghi DMARC?

Tạo và thêm một bản ghi DMARC rất đơn giản. Có các công cụ như GlockApps DMARC Analyzer cho phép bạn nhanh chóng tạo bản ghi DMARC. Bạn chỉ cần thêm bản ghi DMARC vào DNS của tên miền và bạn đã hoàn thành. Bạn gửi email từ tên miền và bạn nhận được các báo cáo DMARC.

GlockApps sẽ phân tích từng báo cáo và trình bày dữ liệu về xác thực email của bạn dưới dạng toàn diện và dễ sử dụng.

Có cần áp dụng chính sách DMARC ‘từ chối’ không?

Sau khi phân tích hàng trăm báo cáo DMARC được thu thập bởi GlockApps, chúng tôi nhận thấy rằng rất nhiều người gửi email thành công sử dụng bản ghi DMARC nhưng không tiến tới chính sách DMARC mạnh mẽ hơn.

Theo Socketlabs, 59% người gửi không áp dụng DMARC.

Trong khi chính sách ‘không’ tốt để bắt đầu khi người gửi đang thu thập dữ liệu về nguồn gửi và xác thực email của họ, mục tiêu mà mọi người gửi email nên tập trung vào là chuyển sang mức bảo vệ đầy đủ, chẳng hạn như chính sách ‘từ chối’.

Tuy nhiên, những nỗi sợ này là dễ hiểu. Bất kể người gửi làm thế nào để xác thực các luồng thư hợp lệ của mình, thì gần như không thể đạt được mức độ tuân thủ DMARC 100% đối với tất cả các nguồn gửi hợp lệ. Thường thấy rằng một phần trăm nhỏ của tất cả các email đến từ nguồn gửi hợp lệ không vượt qua kiểm tra DMARC. Những sự thất bại này là do sự cố DNS đôi khi, chuyển tiếp tin nhắn hoặc các bản ghi SPF hoặc DKIM không được cấu hình đúng khi người gửi chuyển sang một nhà cung cấp dịch vụ email khác.

Tuy nhiên, 1 trong 10.000 email hợp lệ sẽ bị từ chối khi chính sách DMARC được áp dụng đầy đủ.

Bất chấp điều này, tại GlockApps, chúng tôi tin rằng việc có một tên miền được bảo vệ đầy đủ khỏi các cuộc tấn công lừa đảo là rất quan trọng và chấp nhận việc mất một số email hợp lệ do chính sách ‘từ chối’ của DMARC. Hậu quả của một cuộc tấn công lừa đảo gây thiệt hại nghiêm trọng hơn đối với doanh nghiệp so với một phần trăm nhỏ của số lượng email không được gửi đi.

Làm thế nào để áp dụng chính sách ‘từ chối’ của DMARC?

Không khuyến khích chuyển từ chính sách ‘không’ trực tiếp sang chính sách ‘từ chối’ 100%. Như đã đề cập ở trên, DMARC cho phép sử dụng một phần trăm chính sách để giảm thiểu ảnh hưởng của chính sách.

Đề nghị áp dụng chính sách từng bước nhỏ và đánh giá tác động của chính sách đã áp dụng lên khả năng giao hàng. Khi áp dụng chính sách, nó chỉ áp dụng cho phần trăm xác định của tất cả các email đã gửi không vượt qua kiểm tra DMARC, do đó sẽ không gây mất mát lớn về số lượng email hợp lệ khi xác thực được cấu hình không đúng.

Chúng tôi đề xuất kịch bản sau cho triển khai và áp dụng DMARC:

1. Thu thập dữ liệu.

Triển khai DMARC luôn bắt đầu với chính sách DMARC được đặt thành ‘không’, tức là chế độ giám sát. Sau khi bạn công bố một bản ghi DMARC với chính sách ‘không’, báo cáo DMARC sẽ bắt đầu chảy vào. Trong GlockApps DMARC Analytics, bạn sẽ thấy dữ liệu đã được thu thập dưới Dashboard Báo cáo Tổng hợp.

Dựa trên dữ liệu đã thu thập, bạn cần xác định những bước cần thiết trước khi tiến lên. Bạn có thể nhấp vào số ‘Nguồn’ và xác định xem nguồn thư có hợp lệ hay không đối với công ty của bạn. Khảo sát tỷ lệ tuân thủ SPF, DKIM và DMARC cho mỗi nguồn gửi hợp pháp (được biết đến) và, nếu cần, tiến hành cải thiện xác thực SPF/DKIM của bạn để vượt qua kiểm tra DMARC. Điều này cần thiết để giảm thiểu tỷ lệ mất đi email hợp lệ được gửi từ nguồn gửi hợp lệ, điều này có thể xảy ra sau khi cập nhật chính sách.

2. Áp dụng an toàn.

Sau khi đạt được gần 100% sự phù hợp DMARC cho tất cả các nguồn email hợp pháp, bạn có thể tiến tới áp dụng chính sách ‘cách ly’ của DMARC một cách chậm rãi. Đề nghị thực hiện điều này theo từng bước hẹp với phần trăm 5%, 10%, 25%, 50% và 100% bằng cách sử dụng thẻ ‘pct=’ trong bản ghi DMARC.

Sau mỗi thay đổi phần trăm, theo dõi dữ liệu đã thu thập về các bản ghi xác thực email cho các nguồn email đã được ủy quyền của bạn trong một hoặc hai tuần tùy thuộc vào tần suất gửi email cho người đăng ký của bạn.

Trong GlockApps, bạn có thể thiết lập thông báo DMARC sẽ được gửi cho bạn qua email, Slack hoặc Telegram khi công cụ phát hiện một giảm tỷ lệ tuân thủ SPF, DKIM hoặc DMARC. Khám phá và khắc phục nguyên nhân của việc giảm trước khi bạn có thể tiến tới mức độ tiếp theo của áp dụng DMARC.

Khi bạn đạt được 100% ‘cách ly’, lặp lại các bước trước với chính sách DMARC ‘từ chối’. Ngay khi chính sách ‘từ chối’ đã được áp dụng 100%, áp dụng DMARC đã được triển khai hoàn toàn và tên miền đã được bảo vệ đầy đủ chống lại cuộc tấn công lừa đảo và giả mạo – tất cả những email không vượt qua kiểm tra bản ghi DMARC đều bị từ chối.

3. Giám sát liên tục.

Tuy nhiên, sau khi bạn đạt được chính sách ‘từ chối’ 100%, bạn chưa hoàn thành. Việc giám sát liên tục tất cả dữ liệu xác thực trong tài khoản DMARC Analytics của bạn là rất quan trọng. Việc sử dụng nhà cung cấp dịch vụ email, địa chỉ IP và tên miền mới có thể gây ra vấn đề xác thực và dẫn đến mất đi email hợp lệ.

Để nhanh chóng tìm ra những nguồn gửi hợp pháp gửi email không tuân thủ, bạn có thể lọc dữ liệu cho tên miền theo “Nguồn không tuân thủ của tôi”. GlockApps xác định các nguồn được ủy quyền của bạn dựa trên những người gửi được bao gồm trong bản ghi SPF được cấu hình cho tên miền của bạn. Nếu nguồn hợp pháp của bạn đều tuân thủ DMARC, bạn có thể lọc dữ liệu theo “Không tuân thủ” và xem ai đang gửi email không tuân thủ thay mặt tên miền của bạn (người gửi hợp lệ mới, người gửi độc hại?).

Việc giám sát tuân thủ DMARC giúp phát hiện các vấn đề xác thực trước khi ảnh hưởng đến khả năng giao hàng, xác định các nguồn email hợp lệ mới và nguồn gửi email không được ủy quyền từ tên miền của bạn, chẳng hạn như cuộc tấn công giả mạo và lừa đảo.

Tuân thủ DMARC với chính sách ‘từ chối’ sẽ phát huy tác dụng trong danh tiếng người gửi và khả năng giao hàng trong dài hạn. Không ai sẽ nhận được một email lừa đảo hay email gian lận từ bạn, không ai sẽ gửi khiếu nại. Với áp dụng DMARC, bạn loại bỏ ba yếu tố chính có thể làm hỏng khả năng giao hàng của bạn: khiếu nại từ người dùng, email bị lọc vào thư rác và ghi trút mạt.

Nếu bạn muốn bắt đầu quá trình ngay hôm nay – GlockApps sẽ ở đây để hỗ trợ bạn. Bạn có thể bắt đầu sử dụng DMARC Analytics ngay bây giờ với 10.000 tin nhắn DMARC miễn phí hàng tháng và không giới hạn tên miền. Chúng tôi cung cấp sự trợ giúp thông qua đội ngũ hỗ trợ, hướng dẫn và phân tích chi tiết.

Tìm hiểu thêm về DMARC:

• DMARC Report Analyzer- Cải thiện khả năng giao hàng email
• Tại sao mọi doanh nghiệp cần DMARC
• Cách bạn có thể tận dụng DMARC Inspector để khắc phục vấn đề khả năng giao hàng
• DMARC Adoption in 2023: Vấn đề là gì?

Bắt đầu sử dụng DMARC

Nếu bạn quan tâm đến dịch vụ tư vấn về email marketing, cài đặt phần mềm email marketing, và hệ thống bán hàng tự động, hãy gọi ngay cho chúng tôi 0938.189.299 để được tư vấn và hỗ trợ nhanh nhất nhé!