SPF vs DMARC vs DKIM — Giải Thích Xác Thực Email

SPF, DMARC và DKIM là ba trụ cột của xác thực email. SPF nói ai có thể gửi. DKIM chứng minh tin nhắn không bị thay đổi. DMARC đặt chính sách phải làm gì khi kiểm tra thất bại. Cả ba cùng lúc = rủi ro giả mạo gần bằng không. Thiếu một = kẻ tấn công chỉ cần phá một ổ khóa.

SPF là bản ghi TXT DNS liệt kê các máy chủ gửi được ủy quyền. Nếu một máy chủ không trong danh sách cố gửi, SPF thất bại. Nhưng vấn đề là: SPF có giới hạn 10 truy vấn DNS. Nhiều tên miền lớn đạt giới hạn này và thất bại âm thầm. Đó là lý do SPF một mình là không đủ. Chỉ 29,6% tên miền chúng tôi kiểm tra có SPF — phần lớn không có xác thực người gửi nào.

DMARC xây dựng trên SPF và DKIM bằng cách thêm chính sách: yêu cầu máy chủ nhận từ chối hoặc cách ly thư giả mạo. Đây là giao thức thực sự ngăn chặn giả mạo. Không có DMARC, một email giả mạo vượt qua SPF hoặc DKIM (hoặc cả hai) sẽ được phân phối. Chỉ 17,6% tên miền có cấu hình nó. Nếu bạn chỉ cấu hình một thứ, hãy chọn DMARC — ngay cả không có SPF, DMARC=policy vẫn cho máy chủ nhận biết lập trường của bạn.

DKIM ký các tin nhắn đi bằng khóa riêng. Máy chủ nhận xác minh chữ ký bằng khóa công khai trong DNS. Nó chứng minh nội dung tin nhắn không bị thay đổi trong quá trình truyền. Đây là giao thức khó thiết lập nhất (cần quản lý khóa) và ít phổ biến nhất — chỉ 9,4% tên miền chúng tôi kiểm tra có DKIM.

v=DMARC1; p=reject; pct=100; rua=mailto:mailauth-reports@google.com