Hướng dẫn cấu hình DKIM SPF DMARC Zimbra Mail

Trước khi thực hiện cấu hình DKIM và DMARC bạn cần cấu hình PTR và SPF. Đây là 2 record không thể thiếu để mail không bị vào spam folder. Lưu ý cần cấu hình trước khi gửi mail test cho gmail/yahoo nếu không thì gmail/yahoo sẽ cho vào spam folder.

PTR record (rDNS): yêu cầu bên quản lý IP (nếu thuê tại data center) hoặc bên quản lý đường truyền (nếu thuê leased-line, ftth có IP tĩnh) trỏ PTR từ IP, ví dụ 11.22.33.44 về tên server, ví dụ mail.dotrungquan.site

1. Cấu hình SPF

SPF (SPF Record – Sender Policy Framework) là một cách thức để xác nhận một email server có được phép gửi email dưới tên một domain nào đó không. Ví dụ ta chỉ muốn các email có dạng @dotrungquan.site khi gửi sẽ có địa chỉ IP là 11.22.33.44, còn các email dạng @dotrungquan.site được gửi từ máy chủ không phải IP 11.22.33.44 đều là giả mạo và không được phép gửi thì SPF sẽ thực hiện điều này. Khi đó mail server phía nhận sẽ tự động loại bỏ tất cả các email gửi dưới dạng @dotrungquan.site từ các địa chỉ không phải IP 11.22.33.44. Tất nhiên mail server phía nhận phải có chức năng kiểm tra SPF này

Sử dụng mxtoolbox để kiểm tra hoặc sử dụng http://dkimvalidator.com để kiểm tra bằng cách gửi email test đến 1 email mà dkimvalidator chỉ định.

2. Cấu hình DKIM

DMARC là một tiêu chuẩn để chặn spammer khỏi việc sử dụng domain của người sở hữu mà không được sự cho phép của họ mà ta hay gọi nó là spoofing. Thực tế, khi sử dụng mail, bất kỳ ai cũng có thể giả mạo địa chỉ tại trường “From” trong mail gửi đi một cách dễ dàng. DMARC sẽ đảm bảo những mail giả mạo này sẽ bị chặn trước khi chúng đến được mailbox của người nhận và hơn thế nữa, chỉ những mail hợp lệ mới được chấp nhận vào hệ thống.

Để lấy được khoá DKIM bạn hãy SSH vào Server Mail sau đó chạy lệnh sau.

su zimbra
/opt/zimbra/libexec/zmdkimkeyutil -a -d my-domain

Nếu đã có DKIM rồi mà bạn muốn xem lại thì dùng lệnh sau

/opt/zimbra/libexec/zmdkimkeyutil -q -d my-domain

[zimbra@mail root]$ /opt/zimbra/libexec/zmdkimkeyutil -a -d dotrungquan.site
DKIM Data added to LDAP for domain dotrungquan.site with selector A57E824E-EC36-11EB-A245-6CA165A36AC4
Public signature to enter into DNS:
A57E824E-EC36-11EB-A245-6CA165A36AC4._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzkwKI+Vw6h6rxFwMbIdkCcaENXTMiojCjUjG6x2kmt8CaotoiyxA5pYp7a9BqLWg3wiTznRm/codMbIEIqlO3EzArf30pyOtsJSHgT5jaJwVh/k5axMA8/A4yZpbT/f1/1wrX2DT97OURlYQ0uhozstNYh+hc6AYmlclwDZDTtKmrwVYAWAyuPq8DhMaeZCwRfRdGiPlZysZwe"
	  "Q4o7VUyFh6r/Xob8SP5eSRmXOj4RtI4ayd65cvw8xJe4T6Q/HLalz4jKuJaZ1Q2AnCEPXc4fiE1Q7OwHuZhO3Bb14an4ZCzCvpFoGFRzEs179ig+91dGmf7bMa/kxhZBIl+lpVzwIDAQAB" )  ; ----- DKIM key A57E824E-EC36-11EB-A245-6CA165A36AC4 for dotrungquan.site
[zimbra@mail root]$

Bây giờ bạn hãy mở DNS domain và cấu hình như sau

• Lưu ý có dấu chấm (.) phía sau A57E824E-EC36-11EB-A245-6CA165A36AC4._domainkey.dotrungquan.site.

(Tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Khóa public p sẽ có giá trị bằng tất cả các phần output từ lệnh zmdkimkeyutil ở trên. Bạn nối 2 phần output lại, bỏ dấu nháy đôi ( “) đi.

Kiểm tra trực tiếp tại https://dkimcore.org/c/keycheck

3. Thiết lập DMARC

DMARC tiến một bước xa hơn so với DKIM và SPF khi nó cho ta quyền thiết lập một policy để loại bỏ (reject) hay cách ly (quarantine- thường hành động là cho mail này vào SPAM folder) một email từ một nguồn không rõ ràng hoặc không có độ tin cậy dựa trên kết quả của DKIM và SPF.

DMARC cho phép ta nói với các Mail server phía bên nhận cách thức xử lý khi SPF hay DKIM failed hoặc không có. Dưới đây là môt mô tả cách thức SPF và DKIM cùng làm việc với DMARC.

Để thiết lập DMARC thì bạn cần SPF record và DKIM record sẵn sàng. Sử dụng trang http://www.kitterman.com/dmarc/assistant.html để tạo DMARC record mẫu.

Ví dụ một record DMARC sẽ có dạng sau:

_dmarc TXT v=DMARC1; p=reject; rua=mailto:admin@dotrungquan.site; ruf=mailto:admin@dotrungquan.site

DMARC này có policy là reject. Tất cả các email không thỏa mãn điều kiện kiểm tra DKIM, SPF sẽ bị reject và gửi báo cáo về cho admin@dotrungquan.site

Lưu ý chỉ sử dụng _dmarc (không có dấu chấm (.) phía sau) trong DNS record. (Việc này tùy vào nhà cung cấp dịch vụ tên miền cho bạn quy định, vui lòng liên hệ với họ để được hướng dẫn).

Sau khi đã thiết lập xong có thể gửi mail đến gmail để kiểm tra. Xem trong phần show original sẽ báo PASS cho SPF, DKIM và DMARC.

Bạn cũng có thể dùng Mail Tester (www.mail-tester.com) để kiểm tra. Sau khi gửi mail test đến địa chỉ mail được chỉ định của trang web, bạn sẽ biết điểm đánh giá, thường thì hệ thống cần đạt từ 8,5-10 điểm.

• Bạn có thể tham khảo thêm tại Zimbra Blog

Chúc bạn thực hiện thành công.