Hướng dẫn sử dụng Google Workspace

Hướng dẫn cấu hình SPF, DKIM, DMARC trên Google Workspace

Posted on by Minhbrand
5/5 - (3 bình chọn)

Bạn thường gặp tình trạng gửi email cho khách hàng nhưng khi hỏi khách đã check mail chưa thì họ nói không nhận được. Và bạn phải bảo khách hàng hãy thử check trong hòm thư SPAM, và trớ trêu, thư của bạn bị nhốt trong đó và vuột mất đơn hàng quan trọng.

Vậy phải làm sao để khi gửi email bằng mail doanh nghiệp Google Workspace không bị vào hòm thư SPAM

Trước tiên, bạn phải biết là cần khai báo các bản ghi SPF, DKIM và DMARC đúng cách. Nhưng trước khi đi vào chi tiết, hãy chắc chắn rằng nội dung thư của bạn thực sự không SPAM. Giờ, nếu bạn không spam vì sao email của bạn lại vào Spam? đơn giản vì email từ tên miền của bạn chưa khai báo đủ thủ tục để các máy chủ nhận thư tin rằng thư của bạn đáng tin cậy.

Tại sao khi sử dụng email cá nhân như @gmail.com hay @hotmail.com lại không bị? Thứ nhất, hầu hết người nhận email là cá nhân thuộc hệ thống các dịch vụ email đám mây này, bởi vậy mặc định chúng được xác thực với nhau. Thứ hai, Google, Microsoft sở hữu các tên miền này, vì thế đương nhiên họ đã khai báo chính xác toàn bộ các bản ghi cần thiết.

Vậy SPF, DKIM và DMARC là gì mà quan trọng như thế đối với Email doanh nghiệp tên miền riêng?

Các bản ghi SPF, DKIM và DMARC là các phương pháp xác thực email được sử dụng để tăng cường bảo mật và đảm bảo tính xác thực của email. Dưới đây là giải thích về từng bản ghi và ý nghĩa của chúng:

  1. SPF (Sender Policy Framework):
    Bản ghi SPF được sử dụng để xác định các máy chủ được phép gửi email thay mặt cho một miền cụ thể. SPF xác định danh sách các địa chỉ IP cho phép gửi email từ miền đã chỉ định. Khi một email được nhận, máy chủ nhận email có thể kiểm tra bản ghi SPF để xác định xem máy chủ gửi có được phép hay không. Nếu máy chủ gửi không nằm trong danh sách được phép, email có thể bị coi là spam hoặc không được xác thực.
  2. DKIM (DomainKeys Identified Mail):
    Bản ghi DKIM sử dụng một cặp khóa công khai và khóa riêng tư để xác thực email. Khi một email được gửi đi, máy chủ gửi sẽ tạo một chữ ký số dựa trên nội dung của email và khóa riêng tư của miền gửi. Máy chủ nhận email có thể sử dụng khóa công khai hiện có trong bản ghi DKIM để xác minh tính xác thực của email. Nếu chữ ký hợp lệ, email được coi là xác thực và không bị sửa đổi trong quá trình truyền tải.
  3. DMARC (Domain-based Message Authentication, Reporting, and Conformance):
    Bản ghi DMARC là một tiêu chuẩn xác thực email kết hợp cả SPF và DKIM. DMARC cho phép chủ sở hữu miền xác định chính sách xử lý email không được xác thực hoặc không hợp lệ. Bằng cách sử dụng DMARC, chủ sở hữu miền có thể quyết định xử lý email không xác thực hoặc không hợp lệ như thế nào, bao gồm quyết định xem nó được chấp nhận, đưa vào hòm thư rác hoặc từ chối hoàn toàn. DMARC cũng cung cấp mecanhism để thu thập báo cáo về các tình huống xác thực không thành công, giúp người dùng theo dõi và giải quyết các vấn đề bảo mật liên quan đến email.

Tóm lại, SPF, DKIM và DMARC là các bản ghi quan trọng trong việc xác thực email. Khi được triển khai đúng cách, chúng giúp ngăn chặn email giả mạo và tăng tính xác thực của email, đảm bảo rằng email được gửi từ các nguồn đáng tin cậy và không bị sửa đổi trên đường truyền.

Hầu hết các nhà cung cấp, đại lý hoặc đối tác của Google khi triển khai gói Email Google Workspace cho khách hàng thường bỏ qua các bản ghi quan trọng này.

Cấu hình SPF, DKIM, DMARC giúp email của bạn an toàn hơn
Cấu hình SPF, DKIM, DMARC giúp email của bạn an toàn hơn

1. Bản Ghi SPF là gì? Cách cấu hình SPF cho Google Workspace

a. Giới thiệu về SPF (sender policy framework)

SPF record (sender policy framework) là 1 kiểu bản ghi của dịch vụ tên miển (DNS) được dùng để xác định máy chủ mail được quyền gửi mail đại diện cho domain của bạn. Mục đích của bản ghi SPF là ngăn chặn kẻ gởi tin rác gởi tin nhắn giả mạo từ địa chỉ tên miền của bạn. Người nhận có thể tham chiếu đến bản ghi SPF để xác định liệu nội dung tin nhắn tới từ domain của bạn có được thẩm quyền từ máy chủ mail.

Ví dụ: 

Giả sử domain minhbrand.pro.vn dùng gmail. Bạn tạo bản ghi SPF để xác định Google Apps mail server chứng thực mail server cho domain của bạn. Khi người nhận của máy chủ mail nhận tin nhắn từ user@minhbrand.pro.vn, nó có thể kiểm tra bản ghi SPF của minhbrand.pro.vn để xác định liệu nó có là tin nhắn hợp lệ. Nếu tin nhắn đến từ 1 domain # Google Apps mail server được tìm thấy trong bản ghi SPF thì người nhận sẽ từ chối mail như là 1 mail rác. Nếu domain của bạn ko co bản ghi SPF, một vài người nhận của các domain có lẽ sẽ chối từ tin nhắn người dùng của bạn bởi vì họ không thể xác nhận rằng tin nhắn này đến từ 1 server mail được ủy quyền.

Mô tả cách hoạt động của SPF
Mô tả cách hoạt động của SPF

b. Cách cấu hình SPF cho Google Workspace

Để cấu hình xác thực SPF cho Google Workspace bạn cần phải vào trong phần quản trị của tên miền tạo một bản ghi TXT và 1 bảng ghi SPF Record với nội dung như sau:

Bảng ghi TXT

Typle: TXT

Host/Name: @

Value/Destination: v=spf1 include:_spf.google.com ~all

Bảng ghi SPF

Typle: SPF

Host/Name: @

Value/Destination: v=spf1 include:_spf.google.com ~all

Một ví dụ về bảng ghi SPF sử dụng trên Google Domain
Một ví dụ về bảng ghi SPF sử dụng trên Google Domain

Đối với một số nhà cung cấp dịch vụ không có tuỳ chọn bảng ghi SPF bạn cũng có thể chỉ cần thêm mỗi TXT là được.

2. Bản Ghi DKIM là gì? Cách cấu hình DKIM cho Google Workspace

a. Giới thiệu về DKIM

DKIM viết tắt của Domain Keys Identified Mail, là một phương thức giúp xác nhận các email thông qua chữ ký số của miền gửi thư, việc này giúp tránh email giả mạo, mục đích chính ban đầu của DKIM được thiết kế ra là để người nhận có thể xác định email đến từ tên miền cụ thể nào, tên miền đó thật không, có được ủy quyền hay không.

Bên cạnh đó, DKIM cũng có khả năng chặn các địa chỉ email giả mạo, chức năng được hữu ích được sử dụng rất nhiều ngày nay, nhất là đối với các dòng thư giả mạo, thư lừa đảo, email spam chứa các mã độc,…

b. Cách cấu hình DKIM

Để cấu hình DKIM các bạn có thể làm theo hướng dẫn sau:

Bước 1: Truy cập vào Admin Console và tìm trên thanh tìm kiếm từ khoá DKIM hoặc truy cập theo link này

Bước 2: Nhấp vào Generate new record và chọn Prefix selector là google

  • Chọn Generate
  • Chọn 1 trong 2 loại bản ghi DKIM: DKIM 1024 bit và DKIM 2048 bit. (DKIM 1024: Nhiều nhà cung cấp dịch vụ DNS hỗ trợ. (Khuyến nghị nếu sử dụng nhà cung cấp DNS ở Vietnam. DKIM 2048: Ít nhà cung cấp dịch vụ DNS hỗ trợ, nhưng bảo mật cao hơn DKIM 1024 bit)

Bước 3: Truy cập vào trang quản trị DNS và thêm vào 1 TXT records mà Google vừa tạo.
Bản ghi DKIM cần cấu hình trên DNS sẽ có giá trị như sau:

  • Type: TXT
  • Host/name: google._domainkey
  • Value: *Giá trị mà quản trị viên vừa khởi tạo*

Bước 4: Sau khi cập nhật bản ghi TXT trên trang quản trị DNS như hướng dẫn trên, quản trị viên hệ thống quay trở lại Google Admin Console để xác thực email bằng cách Nhấn chọn START AUTHENTICATION

2. Bản Ghi DMARC là gì? Cách cấu hình DMARC cho Google Workspace

a. Giới thiệu về bảng ghi DMARC trong email

DMARC viết tắt của Domain-based Message Authentication, Reporting & Conformance là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữu mà không được sự cho phép của họ mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những mail hợp lệ mới được chấp nhận vào hệ thống.

DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiết lập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF. DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là môt mô tả cách thức SPF và DKIM cùng làm việc với DMARC.

Lưu ý: Chỉ thêm bản ghi DMARC sau khi đã cấu hình hoàn chỉnh bản ghi SPF và DKIM cho hệ thống.

b. Cách cấu hình DMARC cho email

Để cấu hình DMARC bạn hãy truy cập vào trang quản trị DNS và thêm vào 1 TXT records

  • Host/Name: _dmarc
  • Value/Destination: v=DMARC1; p=reject; rua=mailto:baocao@minhbrand.pro.vn (có thể thay thế bằng tài khoản Admin để nhận thông báo hoặc không điền)

Ngoài ra, Google cũng khuyến cáo người dùng nên duyệt email trên giao diện web của Google (tương tự gmail.com) để các bản ghi nâng cấp bảo mật SPF, DKIM, DMARC hoạt động hiệu quả, kết hợp với các tính năng cảnh báo emailreport spamreport phishing email giúp tài khoản luôn được an toàn và tránh các rủi ro liên quan đến bảo mật thông tin trong doanh nghiệp

Sau khi cấu hình xong các bạn cũng có thể sử dụng công cụ Check MX tại đây để kiểm tra xem mọi thứ đã hoạt động đúng chưa: https://toolbox.googleapps.com/apps/checkmx/