HƯỚNG DẪN KHAI BẢN GHI DMARC SỬ DỤNG CHO CHỨNG THƯ SỐ VMC

1. Khái niệm DMARC Record

DMARC (Domain-based Message Authentication, Reporting & Conformance) là cơ chế xác thực email nâng cao, kết hợp SPF và DKIM để đảm bảo:

  • Email thực sự được gửi từ domain hợp pháp.
  • Người nhận biết cách xử lý khi email không vượt qua xác thực (reject, quarantine, none).
  • Quản trị viên nhận được báo cáo chi tiết về các nguồn gửi email giả mạo domain.
  • DMARC giúp bảo vệ thương hiệu, giảm tỷ lệ spoofing, phishing và nâng cao độ tin cậy của domain.

    2. Cấu trúc DMARC Record

    DMARC được khai báo trong DNS dưới dạng TXT record, với tên _dmarc.<domain>.

    Ví dụ:

    • Host: _dmarc.domain.vn
    • Type: TXT
    • Value: v=DMARC1; p=quarantine; rua=mailto:dmarc-report@domain.vn

    Giải thích:

    v=DMARC1: Phiên bản DMARC.

    p: Chính sách áp dụng khi email không vượt qua kiểm tra SPF/DKIM.

    rua: Địa chỉ email nhận báo cáo tổng hợp (Aggregate Reports).

    ruf (tùy chọn): Nhận báo cáo chi tiết (Forensic Reports).

    3. Các giá trị chính sách (Policy – p)

    none: Chỉ theo dõi, không chặn email (dành cho giai đoạn đầu kiểm thử).

    quarantine: Cách ly email không hợp lệ (chuyển vào spam/junk).

    reject: Từ chối hoàn toàn email không đạt xác thực.

    4. Các tham số phổ biến

    pct=: Xác định % email được áp dụng chính sách DMARC (ví dụ: pct=50 → áp dụng 50%).

    sp=: Chính sách riêng cho subdomain (ví dụ: sp=reject).

    adkim= và aspf=: Cách so khớp domain của DKIM/SPF (r = relaxed, s = strict).

    rua=: Nhận báo cáo tổng hợp (XML).

    ruf=: Nhận báo cáo chi tiết (nếu được hỗ trợ).

    Ví dụ cấu hình đầy đủ:

    • Host: _dmarc.domain.vn
    • Type: TXT
    • Value: v=DMARC1; p=reject; sp=quarantine; adkim=s; aspf=s; pct=100; rua=mailto:dmarc-report@domain.vn

      5. Cơ chế hoạt động DMARC

      Email đến được kiểm tra SPF và DKIM.

      Nếu 1 trong 2 hợp lệ và domain khớp với domain trong From header, email được coi là hợp lệ.

      Nếu không đạt, DMARC áp dụng chính sách (none/quarantine/reject).

      Mail server nhận gửi báo cáo về cho quản trị viên qua địa chỉ rua và ruf.

      6. Tầm quan trọng của DMARC

      Bảo vệ domain khỏi giả mạo (spoofing/phishing).

      Giám sát toàn bộ nguồn gửi email liên quan đến domain.

      Tăng độ tin cậy & tỉ lệ inbox khi gửi email hợp pháp.

      7. Ví dụ triển khai thực tế

      Chính sách cơ bản

      • Host:_dmarc.bluebit.vn
      • Type: TXT
      • Value: v=DMARC1; p=none; rua=mailto:dmarc@bluebit.vn

      Chính sách nghiêm ngặt

      • Host: _dmarc.bluebit.vn
      • Type: TXT
      • Value:v=DMARC1;p=reject;sp=reject;adkim=s;aspf=s;pct=100;rua=mailto:dmarc@bluebit.vn