Hướng dẫn cấu hình DKIM SPF DMARC Zimbra Mail

by ĐỖ TRUNG QUÂN
Tác giả: ĐỖ TRUNG QUÂN 3 comments 2,9K lượt xem
Dịch vụ xử lý mã độc WordPress
WEB MẪU WORDPRESS
DKIM SPF DMARC

Trước khi thực hiện cấu hình DKIM và DMARC bạn cần cấu hình PTR và SPF. Đây là 2 record không thể thiếu để mail không bị vào spam folder. Lưu ý cần cấu hình trước khi gửi mail test cho gmail/yahoo nếu không thì gmail/yahoo sẽ cho vào spam folder.

PTR record (rDNS): yêu cầu bên quản lý IP (nếu thuê tại data center) hoặc bên quản lý đường truyền (nếu thuê leased-line, ftth có IP tĩnh) trỏ PTR từ IP, ví dụ 11.22.33.44 về tên server, ví dụ mail.dotrungquan.site

1. Cấu hình SPF

SPF (SPF Record – Sender Policy Framework) là một cách thức để xác nhận một email server có được phép gửi email dưới tên một domain nào đó không. Ví dụ ta chỉ muốn các email có dạng @dotrungquan.site khi gửi sẽ có địa chỉ IP là 11.22.33.44, còn các email dạng @dotrungquan.site được gửi từ máy chủ không phải IP 11.22.33.44 đều là giả mạo và không được phép gửi thì SPF sẽ thực hiện điều này. Khi đó mail server phía nhận sẽ tự động loại bỏ tất cả các email gửi dưới dạng @dotrungquan.site từ các địa chỉ không phải IP 11.22.33.44. Tất nhiên mail server phía nhận phải có chức năng kiểm tra SPF này

TypeNameContent/ValueTTL
TXT@ hoặc tên miềnv=spf1 ip4:11.22.33.44 mx ~allAuto

Sử dụng mxtoolbox để kiểm tra hoặc sử dụng http://dkimvalidator.com để kiểm tra bằng cách gửi email test đến 1 email mà dkimvalidator chỉ định.

2. Cấu hình DKIM

DMARC là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữu mà không được sự cho phép của họ mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những mail hợp lệ mới được chấp nhận vào hệ thống.

Để lấy được khoá DKIM bạn hãy SSH vào Server Mail sau đó chạy lệnh sau.

su zimbra
/opt/zimbra/libexec/zmdkimkeyutil -a -d my-domain

Nếu đã có DKIM rồi mà bạn muốn xem lại thì dùng lệnh sau

/opt/zimbra/libexec/zmdkimkeyutil -q -d my-domain
Screenshot 2021 07 24 at 11.21.42

[zimbra@mail root]$ /opt/zimbra/libexec/zmdkimkeyutil -a -d dotrungquan.site
DKIM Data added to LDAP for domain dotrungquan.site with selector A57E824E-EC36-11EB-A245-6CA165A36AC4
Public signature to enter into DNS:
A57E824E-EC36-11EB-A245-6CA165A36AC4._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzkwKI+Vw6h6rxFwMbIdkCcaENXTMiojCjUjG6x2kmt8CaotoiyxA5pYp7a9BqLWg3wiTznRm/codMbIEIqlO3EzArf30pyOtsJSHgT5jaJwVh/k5axMA8/A4yZpbT/f1/1wrX2DT97OURlYQ0uhozstNYh+hc6AYmlclwDZDTtKmrwVYAWAyuPq8DhMaeZCwRfRdGiPlZysZwe"
	  "Q4o7VUyFh6r/Xob8SP5eSRmXOj4RtI4ayd65cvw8xJe4T6Q/HLalz4jKuJaZ1Q2AnCEPXc4fiE1Q7OwHuZhO3Bb14an4ZCzCvpFoGFRzEs179ig+91dGmf7bMa/kxhZBIl+lpVzwIDAQAB" )  ; ----- DKIM key A57E824E-EC36-11EB-A245-6CA165A36AC4 for dotrungquan.site
[zimbra@mail root]$

Bây giờ bạn hãy mở DNS domain và cấu hình như sau

  • Lưu ý có dấu chấm (.) phía sau A57E824E-EC36-11EB-A245-6CA165A36AC4._domainkey.dotrungquan.site.

(Tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Khóa public p sẽ có giá trị bằng tất cả các phần output từ lệnh zmdkimkeyutil ở trên. Bạn nối 2 phần output lại, bỏ dấu nháy đôi ( “) đi.

TypeNameContent/ValueTTL
TXTChuổi SelecterKhoá DKIMAuto

Kiểm tra trực tiếp tại https://dkimcore.org/c/keycheck

Screenshot 2021 07 24 at 11.26.41

3. Thiết lập DMARC

DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiết lập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF.

DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là môt mô tả cách thức SPF và DKIM cùng làm việc với DMARC.

Để thiết lập DMARC thì bạn cần SPF record và DKIM record sẵn sàng. Sử dụng trang http://www.kitterman.com/dmarc/assistant.html để tạo DMARC record mẫu.

Ví dụ một record DMARC sẽ có dạng sau:

_dmarc TXT v=DMARC1; p=reject; rua=mailto:admin@dotrungquan.site; ruf=mailto:[email protected]
TypeNameContent/ValueTTL
TXT_dmarcv=DMARC1; p=reject; rua=mailto:admin@dotrungquan.site; ruf=mailto:[email protected]Auto

DMARC này có policy là reject. Tất cả các email không thỏa mãn điều kiện kiểm tra DKIM, SPF sẽ bị reject và gửi báo cáo về cho admin@dotrungquan.site

Lưu ý chỉ sử dụng _dmarc (không có dấu chấm (.) phía sau) trong DNS record. (Việc này tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Sau khi đã thiết lập xong có thể gửi mail đến gmail để kiểm tra. Xem trong phần show original sẽ báo PASS cho SPF, DKIM và DMARC.

Screenshot 2021 07 24 at 23.22.22

Bạn cũng có thể dùng Mail Tester (www.mail-tester.com) để kiểm tra. Sau khi gửi mail test đến địa chỉ mail được chỉ định của trang web, bạn sẽ biết điểm đánh giá, thường thì hệ thống cần đạt từ 8,5-10 điểm.

Screenshot 2021 07 24 at 23.25.18

Chúc bạn thực hiện thành công.

5/5 - (1 bình chọn)

Tham gia nhóm hỗ trợ WordPress

Tham gia nhóm Hỗ trợ Server - Hosting & WordPress để cùng nhau hỏi đáp và hỗ trợ các vấn đề về WordPress, tối ưu máy chủ/server.

Group Facebook Group Zalo Group Telegram

Mình tên là Đỗ Trung Quân, hiện đang công tác tại AZDIGI với vị trí là SysAdmin. Mình đam mê viết Blog. Vì viết Blog giúp mình trau dồi được nhiều kỹ năng. Học hỏi thêm nhiều kiến thức mới, từ đó mình có thể chia sẻ đến các bạn các bài viết tài liệu bổ ích hơn. Hiện tại mình là admin của Blog DOTRUNGQUAN.INFO - CaiSSL.COM - QuantriVPS.COM. Mới đây mình có tạo ra nhóm Hỗ trợ Server - Hosting & WordPress | Hỗ Trợ Xử Lý Mã Độc WordPress với mục đích gây dựng một cộng đồng nhỏ để mọi người trao đổi kinh nghiệm, kiến thức quản trị VPS. Các thủ thuật, mẹo vặt khi sử dụng VPS. Rất mong nhận được sự ủng hộ của các bạn.

BÀI VIẾT LIÊN QUAN

Hướng dẫn cài đặt chứng chỉ SSL trên...