HƯỚNG DẪN KHAI BẢN GHI SPF SỬ DỤNG CHO CHỨNG THƯ SỐ VMC
1. Khái niệm
SPF (Sender Policy Framework) là cơ chế xác thực email dựa trên DNS, được thiết kế để ngăn chặn email spoofing – tình huống kẻ tấn công giả mạo địa chỉ người gửi để gửi spam hoặc phishing.
SPF cho phép domain chỉ định những máy chủ, dịch vụ, hoặc địa chỉ IP nào được phép gửi email thay mặt domain đó. Khi nhận email, mail server sẽ đối chiếu địa chỉ IP gửi đến SPF record của domain để quyết định chấp nhận, từ chối hay đánh dấu email là nghi ngờ.
2. Cấu trúc SPF Record
SPF record là một bản ghi TXT trong DNS. Cú pháp cơ bản:
v=spf1 <mechanisms> <qualifiers>
Ví dụ:
- Host: @
- Type: TXT
- Value: v=spf1 ip4:203.0.113.10 include:spf.protection.outlook.com -all
Giải thích:
v=spf1: Khai báo sử dụng SPF version 1.
ip4:203.0.113.10: Cho phép IP này gửi email cho domain
include:spf.protection.outlook.com: Bao gồm chính sách SPF của Outlook
-all: Chính sách từ chối cứng (hard fail) với mọi nguồn không được liệt kê.
3. Các cơ chế chính trong SPF
ip4 / ip6: Chỉ định địa chỉ IPv4/IPv6 được phép gửi mail.
a: Cho phép địa chỉ IP của A record của domain.
mx: Cho phép IP của MX record của domain.
include: Cho phép kế thừa SPF từ domain khác (dùng khi có dịch vụ gửi mail hộ, như Google, Microsoft 365, Mailgun…).
all: Phần kết thúc chính sách, thường đi kèm qualifier (-all, ~all, ?all).
4. Qualifiers
-all → Hard Fail: Từ chối mail nếu không khớp.
~all → Soft Fail: Đánh dấu nghi ngờ nhưng không từ chối.
?all → Neutral: Không áp dụng chính sách.
+all → Allow All (cực kỳ nguy hiểm, không nên dùng).
5. Tầm quan trọng của SPF
Ngăn chặn giả mạo (spoofing): Giúp mail server nhận biết mail giả mạo domain.
Tăng độ tin cậy & deliverability: Email ít bị rơi vào spam.
Bảo vệ thương hiệu: Giảm nguy cơ domain bị lợi dụng trong chiến dịch phishing.
Tích hợp với DMARC: SPF + DKIM kết hợp với DMARC tạo thành cơ chế xác thực toàn diện.
6.Ví dụ triển khai thực tế
- Host: @
- Type: TXT
- Value: v=spf1 ip4:203.0.113.10 include:spf.protection.outlook.com -all
