Định nghĩa
DMARC (Domain-based Message Authentication, Reporting, and Conformance) là một cơ chế xác thực email có khả năng mở rộng cho phép chủ sở hữu tên miền xuất bản một chính sách có thể đọc được bằng máy trong DNS, tuyên bố những gì các máy chủ thư nhận nên làm khi một thông điệp đến không thành công các kiểm tra liên kết SPF hoặc DKIM, và cho phép các máy chủ đó gửi các báo cáo có cấu trúc trở lại cho chủ sở hữu tên miền. Ba giá trị chính sách của DMARC — none, quarantine và reject — cung cấp cho chủ sở hữu tên miền sự kiểm soát phân cấp về cách email không được xác thực mạo danh đến từ tên miền của họ được xử lý bởi cơ sở hạ tầng nhận toàn cầu.
DMARC được phát triển hợp tác bởi một nhóm các bên tham gia ngành bao gồm PayPal, Google, Microsoft, Yahoo, ReturnPath và các bên liên quan hệ sinh thái email khác, và được công bố lần đầu là IETF RFC 7489 vào tháng 3 năm 2015. Đặc tả được duy trì bởi nhóm làm việc DMARC.org. Nó mở rộng và phối hợp hai tiêu chuẩn xác thực trước đó: SPF (RFC 7208) và DKIM (RFC 6376), mà nó sử dụng làm tín hiệu đầu vào nhưng không thay thế.
Cách hoạt động
Một chính sách DMARC được xuất bản dưới dạng bản ghi DNS TXT tại _dmarc.<domain>. Một bản ghi đại diện trông như: v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s. Các thẻ chính là:
v=DMARC1— định danh phiên bảnp=— chính sách:none(chỉ giám sát),quarantine(chuyển đến thư rác/thư rác) hoặcreject(loại bỏ thông điệp hoàn toàn)rua=— URI đích báo cáo tổng hợp; nhận tóm tắt XML hàng ngày của kết quả xác thực từ các nhà cung cấp hộp thư tham giaruf=— URI đích báo cáo pháp y; nhận các báo cáo cấp thông điệp được biên tập cho các lỗi cá nhânpct=— phần trăm các thông điệp mà chính sách áp dụng (cho phép triển khai theo giai đoạn)adkim=vàaspf=— chế độ liên kết:s(nghiêm ngặt, yêu cầu khớp tên miền chính xác) hoặcr(thoải mái, cho phép khớp tên miền phụ)
Đổi mới quan trọng mà DMARC giới thiệu là liên kết định danh. Một lần vượt qua SPF hoặc DKIM chỉ được coi là tuân thủ DMARC nếu tên miền được xác thực liên kết với tên miền tiêu đề RFC5322.From — địa chỉ “From:” mà người dùng email nhìn thấy. Điều này khắc phục khoảng trống do SPF và DKIM hoạt động độc lập: một thông điệp có thể vượt qua SPF trên một tên miền khác (người gửi phong bì) và vượt qua DKIM cho một tên miền ký bên thứ ba, nhưng vẫn gian lận nếu tiêu đề From hiển thị một tên miền khác. DMARC yêu cầu ít nhất một trong SPF hoặc DKIM tạo ra một lần vượt qua được liên kết.
Các báo cáo tổng hợp (RUA) được phân phối dưới dạng các tệp XML nén, thường trong vòng 24 giờ kể từ khi kết thúc thời kỳ báo cáo, bởi các nhà cung cấp hộp thư bao gồm Google (Gmail), Microsoft (Outlook/Exchange Online Protection), Yahoo Mail, Apple iCloud Mail, Comcast và những người khác. Các báo cáo này chứa số lượng thông điệp trên mỗi IP nguồn, kết quả SPF, kết quả DKIM và xử lý DMARC. Các công cụ như DMARCIAN, Valimail, Postmark DMARC Digests và Google Postmaster Tools cung cấp các bảng điều khiển phân tích cú pháp và trực quan hóa các báo cáo này.
Bạn gặp DMARC ở đâu
DMARC được gặp phải ở bất cứ đâu mà việc gửi email khối lượng lớn hoặc rủi ro cao xảy ra. Kể từ tháng 2 năm 2024, Google và Yahoo đều yêu cầu người gửi nhiều hơn 5.000 thông điệp mỗi ngày đến địa chỉ Gmail hoặc Yahoo Mail có một bản ghi DMARC được công bố với ít nhất p=none — một thay đổi chính sách ngành quan trọng đã thực sự làm cho DMARC bắt buộc đối với các người gửi số lượng lớn. Microsoft đã thông báo các yêu cầu tương tự cho hộp thư Outlook.com của người tiêu dùng vào năm 2025.
Đối với các nền tảng cuộc thi gửi email xác nhận phiếu bầu ở quy mô, DMARC phục vụ hai vai trò. Đầu tiên, nó bảo vệ danh tiếng của tên miền gửi bằng cách hướng dẫn các máy chủ nhận từ chối các thông điệp giả mạo — ngăn chặn bên thứ ba giả mạo địa chỉ From của nền tảng cuộc thi trong các chiến dịch lừa đảo, sẽ làm hại uy tín gửi của tên miền. Thứ hai, các báo cáo tổng hợp DMARC cung cấp một kênh giám sát hoạt động: chủ sở hữu tên miền có thể thấy, qua tất cả các nhà cung cấp hộp thư tham gia, phần nào của các thông điệp đi đang vượt qua SPF và DKIM, và đánh dấu các sai lệch cấu hình hạ tầng trước khi chúng dẫn đến các lỗi email xác nhận hàng loạt.
Các nhà cung cấp dịch vụ email bao gồm SendGrid, Mailgun, Amazon SES, Postmark và SparkPost xuất bản hướng dẫn về cấu hình DMARC cùng với cơ sở hạ tầng gửi của riêng họ. Các công cụ chẩn đoán DNS bao gồm MXToolbox DMARC Lookup, DMARC Inspector của DMARCIAN và bộ kiểm tra bản ghi của EasyDMARC cho phép chủ sở hữu tên miền xác thực các chính sách được công bố.
Ví dụ thực tế
Một công ty cuộc thi bắt đầu gửi email xác nhận bằng cách sử dụng tên miền phụ mới confirm.votes.example.com. Tên miền cha votes.example.com có p=reject trong bản ghi DMARC của nó. Vì các bản ghi SPF và DKIM cho tên miền phụ mới chưa được cấu hình, các email xác nhận không thành công liên kết DMARC và bị Gmail từ chối. Quản trị viên chẩn đoán vấn đề thông qua dữ liệu báo cáo tổng hợp cho thấy lỗi DMARC 100% trên tên miền phụ, thêm các bản ghi DNS SPF include và bộ chọn DKIM thích hợp, và đặt lại chính sách tên miền phụ DMARC tên miền phụ (sp=none) tạm thời trong quá trình triển khai.
Một thương hiệu chạy cuộc thi nộp ảnh với giải thưởng tổng cộng 50.000 đô la. Một kẻ lừa đảo cố gắng gửi email lừa đảo bằng cách sử dụng tên miền cuộc thi của thương hiệu làm địa chỉ From, hướng người bỏ phiếu đến trang xác nhận giả để thu thập thông tin đăng nhập email. Bởi vì chính sách DMARC của tên miền là p=reject, Gmail, Outlook và Yahoo Mail đều loại bỏ các thông điệp gian lận trước khi giao, bảo vệ cả người tham gia cuộc thi và uy tín người gửi của thương hiệu.
Khái niệm liên quan
DMARC phụ thuộc vào cả SPF Record và DKIM làm các đầu vào xác thực của nó — một lần vượt qua DMARC yêu cầu ít nhất một trong số này liên kết với tên miền tiêu đề From. Đối với hoạt động cuộc thi, hiệu ứng kết hợp của SPF, DKIM và DMARC trên việc đặt hộp thư đến là yếu tố kỹ thuật chính quyết định liệu các thông điệp xác nhận Email Confirmation Vote có đến được hộp thư đến của người bỏ phiếu hay không. Tiêu chuẩn BIMI, cho phép hiển thị logo thương hiệu trong các khách hàng hộp thư đến như một chỉ báo tin cậy, yêu cầu chính sách DMARC p=quarantine hoặc p=reject làm điều kiện tiên quyết.
